Tutto il contenuto di questo articolo è da ritenersi dannoso quindi non applicabile. L’utente è pregato di non mettere in atto quanto scritto, è solo stato pubblicato per offrire una maggiore conoscenza in questo ambito, NON per altri scopi.
Trojan
Innanzitutto vorrei chiarire il concetto di trojan e backdoor (se già sapete tuto vi consiglio di passare avanti).
Un trojan o Cavallo di troia, deriva dalla leggendaria storia. Una volta eseguito il programma il file patch risiederà sul computer che diventerà un server accessibile facilmente tramite un client o collegamento e quindi prenderà il controllo della macchina senza che l’utente se ne accorga (da cui il nome di “cavallo di troia”).
Il Trojan è semplicemente un programma che, con funzioni non autorizzate, si nasconde dentro un programma autorizzato/conosciuto. Ha diverse funzioni, ad esempio può mandarti tutte le password che vengono digitate in un giorno al tuo indirizzo di posta elettronica e contemporaneamente può cancellarsi da solo.
Se non è intenzionale (ovvero non viene immesso nel sistema da un pirata informatico) questo viene chiamato bug (cito una storia che avevo letto su alcune guide…”per chi non sapesse perché viene usato il termine bug per indicare un errore in un sistema, deve sapere che quando avevano inventato il primo computer, che era grande come una stanza, tra i suoi circuiti un giorno si infilò una cimice che lo mandò fuori uso e da allora i difetti di un sistema vengono chiamati bug cioè “insetto”.
Backdoor
Altra piccola considerazione meriterebbero le backdoor. Ho notato che molti non distinguono fra i due considerandoli la stessa minestra. Eppure io personalmente per backdoor ho sempre inteso quelle modifiche apportate a file come il login, per mantenere un acceso al sistema. Non so se sia giusta la mia distinzione, forse non è importante ma ho sempre indicato col termine backdoar un file di norma già presente su un server al quale si fanno delle adeguate modifiche per ottenere dei vantaggi o privilegi (come al netstat).
Alcuni anti-virus individuano alcuni trojan ma come nel caso dei virus, nessuno può sentirsi al sicuro poiché per ogni nuova scoperta in campo di protezione ne viene fatta una nel campo dell’attacco.
Rimuoverli
Esiste un sistema per tenere sotto controllo tutte le porte aperte ed è questo, scrivete sotto dos:
Cmd
netstat -a
se oltre alla porta 0 è aperta un’altra allora iniziate anche a preoccuparvi. Io vi consiglio con un antivirus aggiornato di scansionare l’intero PC, attenzione se trova dei virus non cancellateli ancora, come riporta l’antivirus, (non preoccupatevi, se non siete in rete il trojan non potrà farvi niente). Ora esistono mille programmi per la rimozione dei trojan come “The cleaner” anche per specifici, ad esempio programmi che scovano il server back orifice e lo cancellano definitivamente, lo stesso col Netbus. Quindi avete più possibilità…ATTENZIONE DA DOVE SCARICATE I PROGRAMMI DI RIMOZIONE, VERIFICATE SEMPRE IL DOMINIO!
Un’altra osservazione da fare è questa, tutti questi virus si eseguono in background (significa dietro le quinte, termine usato nei sistemi linux) quindi per vedere ad ogni avvio cosa la macchina esegue andate nel regedit e fatene una copia con il comando “export” poi andate in HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
da qui potrete vedere tutto quello che partirà in avvio.
Comunque adesso vi riporto come ripulire alcuni di questi trojan, è sempre meglio che riavviate il sistema, ad esempio cancellate una riga alla volta sul registro.
BACK ORIFICE
Descrizione: il file patch è un’applicazione “.exe” senza icona ed è circa 180kb.
Il file si piazza in c/windows/del.exe ma come la versione 1.20 può darsi si trovi in c:\Windows\System.Trovatelo e cancellatelo da Dos.
Poi andate nel regedit e cancellate la voce, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
NETBUS
Descrizione:il oatch si chiama appunto “patch.exe” ma si trova sempre rinominato ovviamente ha come icona una “piccola parabola” , è grande circa 483kb.
Andate in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run e cancellate la riga.Poi andate in c:\Windows\ e cancelate il file che vi hanno mandato e avete precedentemente eseguito.Atenzione puo’ avere anche l’estensione .ini cancellatelo cmq.
TELECOMMANDO
Descizione :il server è Odbc.exe ed è circa 206kb.
Si piazza in c:\Windows\System ma voi andate nel regedit in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run e cancellate la riga SystemApp “ODBC.EXE” poi cancellate il file file odbc.exe da Windows\System
GIRLFRIEND
Descizione:il patch è Windll.exe circa 336kb o 302kb, ha per icona il simbolo di Windows oppure un piccolo fax.Il file si piazza in C:\WINDOWS\Windll.exe
Quindi andate in dal regedit HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
e poi cancellate il file in c:\windows.
MASTER’S PARADISE 98
Descizione:il patch è SysEdit.exe sono circa 462kb.
Andate in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
cancellate la riga e poi andate in c:\windows e cancellate sysedit.exe e KeyHook.dll .
DEEP THROAT
Descizione:il patch è Systray.exe ,circa 304kb.
Qundi andate in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
cancellate la riga e poi cancellate il file systray.exe da c:\Windows.
NETBUS PRO2
Come il Netbus ,infatti si piazza sempre in c:\windows\ pero’ nel regedit ci sono delle varianti che sono :
HKEY_CURRENT_USER\NetBus
HKEY_CURRENT_USER\NetBus Server\General
HKEY_CURRENT_USER\NetBus Server\Protection
HKEY_CURRENT_USER\NetRex
HKEY_CURRENT_USER\NetRex Server\General
HKEY_CURRENT_USER\NetRex Server\Protection
POLY
Descrizione : il file patch è un .exe circa 389kb,ha l’icona di un filmato multimediale quando lo si esegue appare una finestra che ci comunica che mancano le librerie del quicktime.
Si piazza in c:\windows è “rhwtcnxb.exe” ma puo’ darsi anche ci siano delle varianti,per sicurezza fate uno scan con un antivirus aggiornato ,il norton2000 preferibilmente e controllate.
Quindi andate in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run e cancellate la riga ,che mi sembra simuli una .dll .
Poi cancellate il file in c:\windows.
TIPS per sfruttare i trojan
Innanzitutto per vedere se un utente è infettato da un trojan e conoscete la porta di aperture (ad esmpio per il Netbus è la 12345) andate con telnet all’host che sara’ l’ip della vittima e la porta del trojan esempio pratico :
123.242.24.23:12345 vi dirà anche che versione (nometrojan)! .
Se avete individuate un ip infetto da Netbus e volete illuderlo da password(solo voi potete accedere al computer) fate i seguenti comandi col telnet:
una volta scritto l’ip e la porta del netbus
Password;1;any
poi
ServerPwd; lapasswordchevolete
Attenzione: funziona dalla versione precedente alla 1.70 ,per controllarlo verificatelo con telnet.
Potete cambiare anche l’icona ad un trojan, prendete un programma che crea icone come il microangelo e prendiamo un icona che ci garba. Poi la apriamo con l’editor di icone e facciamo un copia di tutto e incolla sull’icona del trojan sempre editandolo.
Si avrà una Patch meno sospettabile.
Potete anche creare un bel “pacchetto” per nascondere meglio. Mettete in un file zippato la patch rinominata Setup.exe con una bella icona di istallazione! Poi ci mettete dei file .doc magari chiamandoli leggimi.doc o leggimi.txt ,fate dei file di help, dei file .bin o altro per simulare un bel programma ,se volete anche un’immagine fatta da voi (per simulare l’immagine che parte appena si esegue l’istallazione)!!
Difendersi
I trojan sono file “visibili” (quindi non sono dei veri e propri virus) che si avviano automaticamente ogni volta che venga avviato il computer. Quindi per verificare se il proprio Pc non sia infetto da trojani, quali Netbus, BackOrifice e Paradise (per citarne alcuni) si possono “eseguire” due metodi:
-Verificare, mediante SysEdit e Regedit, se vengono eseguiti automaticamente stringhe, file o programmi “sconosciuti”. (scelta + consigliata anche se più rischiosa…).
-Chiedere ad un vostro AMICO di provare a connettersi al vostro pc mediante netbus… Se lui non riesce a connettersi con nessun programma allora significa che siete salvi (solo però dai programmi da lui utilizzati…). Nel caso in cui riesca a connettersi con uno dei programmi siete nella… MERDA!!! In questo caso per disinfettarvi o utilizzate programmi appositi (gli anti-virus aggiornati mensilmente riconoscono quasi sempre trojani) o per essere sicuri al 100% fate tutto voi mediante l’utilizzo di SysEdit e Regedit sennò eseguire un certo comando format all’ hard disk.
Utilizzo di Regedit e SysEdit
SysEdit e Regedit sono due programmi che si trovano rispettivamente nella directory c:\windows\system e c:\windows
(ATTENZIONE se non vi sentite in grado di operare NON FATELO)
SysEdit: avviare il programma e verificare che il file Autoexec.bat e Win.ini non eseguano automaticamente stringhe, file o programmi “sconosciuti”. In questo caso cancellare la/e stringa e riavviare il computer e se tutto funziona (prova ad avviare anche alcuni programmi) correttamente potresti aver eliminato l’intruso.
Regedit: avviare il programma e verificare se nella stringa Run (precisamente in: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrenteVersion\Run) vengano richiamate applicazioni “sconosciute” (i più comuni sono nuke.exe e fast.exe). In questo caso cancellare la/e stringa e riavviare il computer e se tutto funziona (prova ad avviare anche alcuni programmi) correttamente potresti aver eliminato l’intruso.
N.B. Prima di fare modifiche decisive con SysEdir e Regedit SALVA i file da modificare; molte volte quello che ritieni estraneo, sono stringhe necessarie per l’avvio corretto del proprio computer.