Adesso è giunto il momento di parlare di trojan veri e propri. Naturalmente sapete perchè si chiamano così...o devo spiegarlo? Lo faccio in 3 parole: vi ricordate la storiella della lotta fra Greci e Troiani? Ecco i greci vinsero nascondendosi dentro un grande cavallo di legno che donaro alla città di Troia in segno di (finta) pace. Infatti la notte uscirono dal "Cavallo di Troia" e distrussero tutta la città. (se sto scrivendo cazzabubbole ditemelo pure).
Allora, cosa è di preciso un trojan? Iniziamo dicendo che non sono dei veri virus in quanto non si replicano, ma sono altrettanto pericolosi. La loro funzione principale è tenere aperta una backdoor ("porta di servizio") che permetta poi di entrare, tramite appositi programmi, nel computer infetto. Una volta entrati è strafigo perchè potete fare ciò che volete tipo aprire il lettore cd, scaricare suoi file, cancellarli ecc. Naturalmente non si cancellano file di sistema al primo venuto senza avere una buona ragione; l'unica cartella che potete in ogni modo cancellare è una chiamata "windows". ;-)
Usarli e facile, principalmente si dividuno in 2 file .EXE, uno è la patch contenente il "virus" da spedire alla vittima (che lo deve aprire), l'altra è il programma di controllo da installare sul tuo Pc...attento a non sbagliarti.
La funzione l'ho già spiegata prima...la ripeto per chi non l'avesse capito: rendono un server accessibile tramite un client per poi far assumere il controllo da esterni senza che l'utente se ne possa accorgere. Se non ha ancora capito ricomincia a leggere dall'inizio, io non lo ripeto più. Qui la domanda nasce spontanea: come faccio a mandare la patch alla vittima e a fargliela aprire senza che se ne accorga? Bene, USA la fantasia. Posso suggerirti alcune ipotesi: puoi spedirla spacciandola come qualcos'altro, cambiando nome e icona (per farlo usa Microangelo), puoi metterla su un floppy e darla ad un tuo nemico (deve essere tordo). Altro metodo è fonderlo insieme ad un altro file con progammi appositi o addirittura cercare un utente infetto con uno scanner o con telnet...INGEGNATI. Per iniziare puoi utilizzare i trojan più facili da usare come netbus o bo, ma ricordati che se la vittima ha un antivirus ti becca in 10 nanosecondi (uomo avvisato mezzo salvato). Se poi trovi le sorgenti e te lo modifichi, visto che naturalmente conosci qualche linguaggio di programmazione tanto meglio. Crearlo sarebbe il massimo. Ogni trojan attacca una porta specifica, quindi puo essere utile avere a portata di mano una tabella come questa:
TABELLA:
porta - trojan che ci opera
porta 21 - Back Construction, Blade Runner, Doly Trojan, Fore, FTP trojan,
Invisible FTP, Larva,
WebEx, WinCrash
porta 23 - Tiny Telnet Server (= TTS)
porta 25 - Ajan, Antigen, Email Password Sender, Haebu Coceda (= Naebi),
Happy 99, Kuang2, ProMail trojan, Shtrilitz, Stealth, Tapiras, Terminator,
WinPC, WinSpy
porta 31 - Agent 31, Hackers Paradise, Masters Paradise
porta 41 - DeepThroat
porta 59 - DMSetup
porta 79 - Firehotcker
porta 80 - Executor, RingZero
porta 99 - Hidden Port
porta 110 - ProMail trojan
porta 113 - Kazimas
porta 119 - Happy 99
porta 121 - JammerKillah
porta 421 - TCP Wrappers
porta 456 - Hackers Paradise
porta 531 - Rasmin
porta 555 - Ini-Killer, NeTAdmin, Phase Zero, Stealth Spy
porta 666 - Attack FTP, Back Construction, Cain & Abel, Satanz Backdoor,
ServeU, Shadow Phyre
porta 911 - Dark Shadow
porta 999 - DeepThroat, WinSatan
porta 1001 - Silencer, WebEx
porta 1010 - Doly Trojan
porta 1011 - Doly Trojan
porta 1012 - Doly Trojan
porta 1015 - Doly Trojan
porta 1024 - NetSpy
porta 1042 - Bla
porta 1045 - Rasmin
porta 1090 - Xtreme
porta 1170 - Psyber Stream Server, Streaming Audio trojan, Voice
porta 1234 - Ultors Trojan
porta 1243 - BackDoor-G, SubSeven, SubSeven Apocalypse
porta 1245 - VooDoo Doll
porta 1269 - Mavericks Matrix
porta 1349 (UDP) - BO DLL
porta 1492 - FTP99CMP
porta 1509 - Psyber Streaming Server
porta 1600 - Shivka-Burka
porta 1807 - SpySender
porta 1981 - Shockrave
porta 1999 - BackDoor
porta 1999 - TransScout
porta 2000 - TransScout
porta 2001 - TransScout
porta 2001 - Trojan Cow
porta 2002 - TransScout
porta 2003 - TransScout
porta 2004 - TransScout
porta 2005 - TransScout
porta 2023 - Ripper
porta 2115 - Bugs
porta 2140 - Deep Throat, The Invasor
porta 2155 - Illusion Mailer
porta 2283 - HVL Rat5
porta 2565 - Striker
porta 2583 - WinCrash
porta 2600 - Digital RootBeer
porta 2801 - Phineas Phucker
porta 2989 (UDP) - RAT
porta 3024 - WinCrash
porta 3128 - RingZero
porta 3129 - Masters Paradise
porta 3150 - Deep Throat, The Invasor
porta 3459 - Eclipse 2000
porta 3700 - Portal of Doom
porta 3791 - Eclypse
porta 3801 (UDP) - Eclypse
porta 4092 - WinCrash
porta 4321 - BoBo
porta 4567 - File Nail
porta 4590 - ICQTrojan
porta 5000 - Bubbel, Back Door Setup, Sockets de Troie
porta 5001 - Back Door Setup, Sockets de Troie
porta 5011 - One of the Last Trojans (OOTLT)
porta 5031 - NetMetro
porta 5321 - Firehotcker
porta 5400 - Blade Runner, Back Construction
porta 5401 - Blade Runner, Back Construction
porta 5402 - Blade Runner, Back Construction
porta 5550 - Xtcp
porta 5512 - Illusion Mailer
porta 5555 - ServeMe
porta 5556 - BO Facil
porta 5557 - BO Facil
porta 5569 - Robo-Hack
porta 5742 - WinCrash
porta 6400 - The Thing
porta 6669 - Vampyre
porta 6670 - DeepThroat
porta 6771 - DeepThroat
porta 6776 - BackDoor-G, SubSeven
porta 6912 - Shit Heep (not port 69123!)
porta 6939 - Indoctrination
porta 6969 - GateCrasher, Priority, IRC 3
porta 6970 - GateCrasher
porta 7000 - Remote Grab, Kazimas
porta 7300 - NetMonitor
porta 7301 - NetMonitor
porta 7306 - NetMonitor
porta 7307 - NetMonitor
porta 7308 - NetMonitor
porta 7789 - Back Door Setup, ICKiller
porta 8080 - RingZero
porta 9400 - InCommand
porta 9872 - Portal of Doom
porta 9873 - Portal of Doom
porta 9874 - Portal of Doom
porta 9875 - Portal of Doom
porta 9876 - Cyber Attacker
porta 9878 - TransScout
porta 9989 - iNi-Killer
porta 10067 (UDP) - Portal of Doom
porta 10101 - BrainSpy
porta 10167 (UDP) - Portal of Doom
porta 10520 - Acid Shivers
porta 10607 - Coma
porta 11000 - Senna Spy
porta 11223 - Progenic trojan
porta 12076 - Gjamer
porta 12223 - Hack«99 KeyLogger
porta 12345 - GabanBus, NetBus, Pie Bill Gates, X-bill
porta 12346 - GabanBus, NetBus, X-bill
porta 12361 - Whack-a-mole
porta 12362 - Whack-a-mole
porta 12631 - WhackJob
porta 13000 - Senna Spy
porta 16969 - Priority
porta 17300 - Kuang2 The Virus
porta 20000 - Millennium
porta 20001 - Millennium
porta 20034 - NetBus 2 Pro
porta 20203 - Logged
porta 21544 - GirlFriend
porta 22222 - Prosiak
porta 23456 - Evil FTP, Ugly FTP, Whack Job
porta 23476 - Donald Dick
porta 23477 - Donald Dick
porta 26274 (UDP) - Delta Source
porta 29891 (UDP) - The Unexplained
porta 30029 - AOL Trojan
porta 30100 - NetSphere
porta 30101 - NetSphere
porta 30102 - NetSphere
porta 30303 - Sockets de Troi
porta 30999 - Kuang2
porta 31336 - Bo Whack
porta 31337 - Baron Night, BO client, BO2, Bo Facil
porta 31337 (UDP) - BackFire, Back Orifice, DeepBO
porta 31338 - NetSpy DK
porta 31338 (UDP) - Back Orifice, DeepBO
porta 31339 - NetSpy DK
porta 31666 - BOWhack
porta 31785 - Hack«a«Tack
porta 31787 - Hack«a«Tack
porta 31788 - Hack«a«Tack
porta 31789 (UDP) - Hack«a«Tack
porta 31791 (UDP) - Hack«a«Tack
porta 31792 - Hack«a«Tack
porta 33333 - Prosiak
porta 33911 - Spirit 2001a
porta 34324 - BigGluck, TN
porta 40412 - The Spy
porta 40421 - Agent 40421, Masters Paradise
porta 40422 - Masters Paradise
porta 40423 - Masters Paradise
porta 40426 - Masters Paradise
porta 47262 (UDP) - Delta Source
porta 50505 - Sockets de Troie
porta 50766 - Fore, Schwindler
porta 53001 - Remote Windows Shutdown
porta 54320 - Back Orifice 2000
porta 54321 - School Bus
porta 54321 (UDP) - Back Orifice 2000
porta 60000 - Deep Throat
porta 61466 - Telecommando
porta 65000 - Devil
Quindi state sempre all'erta perchè le porte abbondano... Ecco la descrizione dei trojan più famosi (tratta da newbies2):
BACK ORIFICE bhe' lo sapete controllate /windows/system....e il regedit
la porta e' udp 31337
ENIGMA e' un setup.exe che da permesso di lettura e scrittura su
una parte di c:
MIRC e' bersagliato, ci sono decine di script che ti fregano ma
basta un occhiata per trovarli
DMSETUP di solito crea diverse directory fasulle, e' uno dei piu'
vecchi e piu'....
(occio ce ne sono circa 4 versioni)
BACKDOOR si installa con il nome di notepad. exe o notepa.exe
quindi se non vi funziona o ne avete 2...zzi vostri
SYSPPROTECT98 dovrebbe apparire come un setup e crea un file chiamato
system.eo(bha') e funge da server senza alcuna protezione
PICTURE vi fotte la vostra password di accesso a internet(cache) e
la spedisce a un tizio in mail (forse una software house
di antivirus hihihihih)
TELECOMMANDO il server e' una dll da 266k ed il client non l'ho
provato....sorry vi faro' sapere
PHASE-0 e' tipo netbus(.) carino e con molte opzioni per il reg,
il server e' un .exe da 294k
NETBUS E' piu' famoso del BO, le versioni piu' note sono la 1.6, la
1.7 e la 2.0 pro b. Apre la porta tcp 12345 o 12346 ma e'
facilmente riprogrammabile.
REMOTE WIN il server e' RmtEwxS.exe di 262k da le opzioni di est,
SHOUTDOWN reboot e shoutdown, e' possibile settare una password.
GATECRACHER e' completamente scritto in visual basic, il server e'
BUG.exe di 56k, ha le funzioni piu' comuni come apri/chiudi
cd, apri webbrowser, start screensaver, chiudi windows,
cancella file e dir, format, killwin, ... e qualcos'altro....
ICKILLER e' simile al netbus l'interfaccia grafica lascia un po' a
desiderare i comandi sono gli stessi il server si installa
come explorer.exe
DEEP TROAT credo che sia della stessa crew del BO e' facile e molto
simile al netbus a me e' sembrato un po' piu' lento.
WINHELPER altro trojan per mirc riscrive il mirc.ini
NETPATCH non l'ho mai incontrato ma credo che installi un server
ftp sulla porta 31377(BO)
MASTER e' molto simile al netbus, credo che, grazie ad un monitor
PARADISE sul server possa essere usato tranquillamente come RAT
GIRLFRIEND e' molto carino...logga tutti i tasti premuti in ogni
finestra di windows.....quindi anche le password d'accesso
e rimane in ascolto del client sulla porta 21554
ANGEL installa un server ftp che da' completo accesso all'HD
della vittima (credo senza pass)
DEVIL lo sto scaricando ma credo che sia del genere netbus visto
quanto pesa!!
WARTOOL si installa come un explorer.exe ed al riavvio cancella
tutti gli exe e le dll
GJAMER apre la porta tcp 12076 con un server ftp e www
################################################################################################
Adesso qualche consiglio per prevenire l'infezione: prima di tutto non accettare programmi dagli sconosciuti o almeno fare un bel virus scanner. Poi è buona norma usare sempre un firewall quando siamo collegati ad internet. Un firewall, per chi non lo sapesse, è un programma che impedisce le connessioni non autorizzate (prendetelo così). Controllare e-mail prima di aprirle, visto che pure quello sono veicolo di contagio. Se avete paura di essere stati contagiati esiste un sistema sicuro per controllare: basta che scriviate sotto dos: netstat -a. Questo vi darà le informazioni sulle porte, se oltre alla porta 0 ne è aperta un'altra allora iniziate a preoccuparvi. Per rimuoverli non usate NORTON ma utilizzate programmi specifici tipo "The Cleaner" reperibile in rete.
