|
[Ulazimo u pricu…]
Potpuno je pogresno trojance zvati virusima, zato sto su oni kompletne aplikacije i ne sire se kao virusi. Takodje, trojanski konji se mogu ukloniti brisanjem njihovog fajla iz odredjenog direktorijuma, za razliku od virusa koji su obicno zakaceni za druge datoteke i ubacuju se u memoriju. Vecina njih nije sama po sebi destruktivna, ali zato omogucuje bilo kome na Internetu da upravlja vasim kompjuterom ili mu salje vase lozinke itd., tako da to kolika ce nam steta biti naneta zavisi samo od onoga ko se domogao nasih podataka. Kod trojanaca treba napraviti razliku izmedju KLIJENTA i SERVERA. Server je sam trojanac, dok je klijent program pomocu koga se njime upravlja.
Najpoznatiji trojanac je svakako Back Orifice (BO), koga je za samo mesec dana preuzelo i koristilo skoro 100000 ljudi na Internetu. On izgleda kao obicna klijent-server aplikacija za rad na udaljenom racunaru sa izuzetkom sto se server, tj. sam trojanac, instalira bez pitanja, kao virus, kada startujete zaracenu aplikaciju i omogucava svakome ko dodje do vaseg IP broja da preuzme potpunu kontrolu nad vasim racunarom dok ste na Internetu. Posle BO-a zavladala je prava pomama za slicnim programima, pa je izasao i veliki broj njegovih naslednika medju kojima su najpoznatiji NetBus, Millenium itd. Medjutim, i domaci provajderi su resili da tome stanu na put. Vecina je zatvorila port 31337 (na koji je BO najcesce konfigurisan), a otvorene su i e-mail adrese preko kojih se moze prijaviti zloupotreba korisnickog naloga (one su najcesce tipa abuse@provajder npr. abuse@eunet.yu, abuse@beotel.net itd.). Neki dobavljaci koriscenje trojanaca sankcionisu izbacivanjem, dok drugi samo upozoravaju zlonamernike.
Mnogi kada cuju rec trojanac pomisle na programe tipa NetBus-a za nedozvoljenu kontrolu racunara preko Interneta. Da to nije uvijek tako evo liste malo “drugacijih”:
“Nuke Master” - proizvoljno brise fajlove na disku;
“Cable Accelerator” - predstavlja se kao program za ubrzanje rada modema, a, u stvari, reboot-uje kompjuter svakih deset minuta;
“Happy993 - menja fajl wsock32.dll da bi mogao da zakaci sebe za svaku poruku koju saljete elektronskom postom ili u diskusione grupe.;
“Master’s paradise” - jedna od njegovih verzija otvara FTP server na zarazenom racunaru sto svima omogucava slobodan pristup njegovim fajlovima;
“The 1-900 Trojan” - posebno je zanimljiv zato sto tajno poziva neki od telefonskih brojeva koji pocinju na 1-900 u Americi, koji su namerno izabrani da svaki poziv naplacuju najmanje 4 USD u SAD (mozete zamisliti koliko bi to kostalo kod nas);
“Picture” - pretrazuje nas kompjuter u potrazi za PWL fajlovima (onim u kojima se cuvaju korisnicka imena i sifre) i salje ih na e-mail adresu u Kini;
“Satanz backdoor” - kada startujemo njegovu datoteku po imenu WinVM32.exe pojavljuje se prozorcic sa obavjestenjem o navodnoj gresci u mreznoj komunikaciji i trazi da upisete korisnicko ime i sifru koji se, nakon toga, salju na odredjeni e-mail (prozor se inace ne moze zatvoriti pomocu komande CTRL+ALT+DEL);
“HDFill” - puni hard disk raznim fajlovima dok se ne srusi;
“ProMail” - izgleda kao besplatan mail klijent a, u stvari, salje vase sifre napadacu; Pored ovih, postoji jos i desetine i desetine kopija NetBus-a i BO, zatim nekoliko bezopasnih (npr. “Mouse Joke” koji nasumicno pomjera kursor misa po ekranu) i slicnih nabrojanim.
[Kako se zastititi od trojanaca?]
Kao prvo, najvaznije je koristiti dobar antivirus. Preporucuje se AntiViral Toolkit Pro (skraceno AVP) / 1 / koji se moze preuzeti sa adrese http://www.avp.com (velicine je oko 4.2 MB). Nakon sto ga instaliramo startujemo deo po imenu “AVP monitor”, koji ce biti rezidentan i stalno ce nas stititi. Kvalitetni antivirusi (AV) su jos i Norton Antivirus (http://www.symantec.com), F-Prot (potpuno besplatan DOS program, http://www.datafellows.com/gallery/) i dr. Zatim, treba biti oprezan sa datotekama koje preuzimamo sa Interneta i diskusionih grupa (nedavno se desilo da je na jednoj od konferencija sa yu. prefiksom ostavljena datoteka zarazena trojancem “Kuang”, jednim od mnogih ‘password stealer’-a namijenjenih za kradju Internet sifara) i svaku pre startovanja skenirati nekim od pomenutih AV programa. Dobro bi bilo imati i neki cisto anti-trojan program (kao na primer “The Cleaner” koji u svojoj bazi ima oko 120 trojanaca, a moze se preuzeti sa http://www.dynamsol.com/moosoft/) ali on i nije toliko neophodan, ukoliko smo postupili po prethodnim pravilima. Takodje, nemojmo nikada preuzimati trojanske konje da bi sa njima eksperimentisali, jer su skoro svi oni zarazeni sopstvenim serverom.
[Kako kontrolisati trojana koga imate na sistemu?]
Kako kontrolisati trojanca kojeg imate na sistemu? Kako na jednostavan nacin ukloniti trojanca koji se samo startuje iz Registry baze? Ne dozvolite da Vas drugi iskoriscavaju.
Koristite program TFAK - jednostavno. Ovaj program je prvenstveno napisan da bi pomogao uklanjanje i/li kontrolu trojanaca. Kada se program prvi put startuje, on zapamti stanja u AUTOEXEC.BAT, CONFIG.SYS, WIN.INI, SYSTEM.INI, STARTUP direktorijumu, WINSTART.BAT, WININIT.INI i Registry bazi. Kada se nesto promeni u ovim fajlovima, prilikom sledeceg startovanja programa, bice prijavljeno da je doslo do promene u tom sistemskom fajlu. Registry bazu je sada daleko lakse pregledati, jer Vas program direktno uputi u sekciju koja je vezana za taj sistemski fajl pa ne morate da kopate po racunaru gde se sta nalazi. Npr. vise nije potrebno “kopati” po Registry bazi da bi dosli do kljuca:
HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run.
Sada je dovoljno pozvati iz padajuceg menija Registry 1 i imacete kao na dlanu prikaz Registry kljuca
HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run
i
HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion RunServices
ili Registry 2 i bice Vam prikazani sledeci kljucevi:
HKEY_CLASSES_ROOT exefile shell open command
i
HKEY_CLASSES_ROOT comfile shell open command.
To su svi kljucevi za koje se kace svi standardni trojanci. Odatle sada mozete lako i da uklonite neki red iz Registry baze. Ovaj program je trojan remover. Trenutno u svojoj bazi ima podatke o 481 trojancu (backdoor i PSW) i 25 klijentskih backdoor funkcija, koje uspesno otkriva i uklanja ili Vam dozvoljava da ih kontrolisete. TFAK moze i da posluzi kao Domain Scanner i Trojan Scanner, tj. da skenira sve portove na Internetu i da trazi sve trojance koji salju neke podatke na Internet. Tu mozete da vidite koji trojanci su jos uvek u “opticaju”. Potrebno je samo da u programu navedete raspon IP adresa koje zelite da skenirate ili tacno odredenu IP adresu koju zelite da skenirate.
Detect and remove trojans je skener koji detektuje da li na svom racunaru imate nekog trojanca. Za sada baza moze da detektuje 506 trojanaca. Nije ni puno, a nije ni malo. Port check je opcija kojom mozete da skenirate sve portove koje koristi Vas racunar u potrazi za trojancem. Veoma lako mozete da otkrijete trojanca i da vidite koji on port koristi. Uz pomoc ovog programa mozete uvek da vidite koji su programi trenutno ucitani i da, ako je potrebno, neki “ubijete”, tj. da ga obrisete iz memorije. To je omoguceno opcijom What is running ?.
What is autostarted je alatka koja omogucava laksi pregled sistemskih fajlova i mozete jako lako da vidite neku neispravnost koju je uneo neki trojanac. S ovom alatkom treba biti pazljiv jer nestrucnim rukovanjem mozete cak i da onesposobite svoj sistem a onda niste nista uradili. Kako kontrolisati trojanca kojeg imate na Vasem racunaru? Ovaj program, nudi opciju da mozete da kontrolisete neke trojance i da eventualno Vi kontrolisete mediatora. TFAK nudi opciju da kontrolisete sledece trojance: Backdoor 2.03, Blada Runner 0.8, Coma 1.09, Devil, Doly Trojan 1.7, Exploiter, Frenzy 2000, GateCrasher, Host Control, InCommand 1.0, INI Killer, Kaos, NetBus 2.1, OOLT, Phase Zero 1.0, Robo Hack 1.2, Satan’s Back Door, Secret Service, Spying King, Sub7 2.0, SysMon, TerrorTrojan, UMuerte, Vampire 1.2, WarTrojan 2 i WinCrash 2.0. Ovu opcija je za malo naprednije korisnike. Autor programa je SnakeByte, koji je clan nemacke Kryptocrew ekipe koja se bavi sigurnoscu korisnika. Ovaj program je besplatan za ne komercijalno koriscenje. Svaka njegova zloupotreba je kaznjiva.
——————————————————————————–
Napad Trojancem I RAT-om! ————best off
——————————————————————————–
Napomena: Zelim da istaknem da je ovaj tutorial namenjen samo I samo u edukativne svrhe i da autor ovog teksta nije odgovoran za bilo kakvu stetu koju napravite primenom ovih informacija.
[Ulazimo u pricu…]
Zapravo najlakse je da nekoga napadnete i istrazite pomocu tako dobrih Trojanaca I RAT-ova !
Kao sto smo vec saznali da postoje mnogo trojanaca sa razlicitim delovanjem.Ali ja bih istakao trojanca koji ima sve obuhvatnu ulogu u racunaru.Da je mali I skriva se kao Trojan a deluje kao mocni RAT (Remote Administration Tool). Iako ce znaciti da ce biti malo veci (200kb I vise) ali ce vam sluziti kao najbolje oruzije.Teze ga je proslediti I naterati zrtvu da ga pokrene ali vi morate imati maste u kreiranju zamke ako vec hocete da se bavite ovim. Uf sad sam ga bas upetljao……O.K. –da krenemo sa objasnjenjima.
Zapravo sta je to RAT (Remote Administration Tool): to su vam naj naj mocnije alatke a pritom I najopasnije u ovom poslu…Prave ga Uber Hakeri a koriste svi….
To su vam dragi moji kompletni hakerski NET programi ( ma skoro citav operativni pod system)koji sadrze u sebi skoro sve zezalice (ali o tome ce mo kasnije), kompatabilni su za sve mreze I protokole ili za one za koje se kreiraju, sadrze u svom kodu instrukcije (potprograme)koje KOMPLETNO PREUZIMAJU KONTROLU NAD UDALJENIM RACUNAROM.Sto znaci da ako ste zarazeni sa RAT-om … najebali ste (najblaze receno).
Jedina mana je sto su malo veci ( mogu biti od nekoliko kb pa sve I preko 100mb-pa kako i nece kad ima toliko potprograma) pa ih je teze distribuirati na udaljeni komp ali oni se cesto kriju u velikim instalacijama I krekovima( npr. Downlodujete Corel, Photoshop, AutoCad, film, muziku, krek u kojima su najcesce I td.. sa sumljivih lokacija ili sa Peer to Peer mreza (e-Mule-npr, BitTorrent, DCC)
RAT sadrzi skoro sve da paralise vas racunar I prisvoji ga.Zapravo sta se nalazi u njemu: I treojanci I virusi I crvi I exploiti I keylogeri I snifferi I blokeri za pojedine programe ma skoro sve ….bar ja ih znam hiljadu dobrih….ali necu vam reci ime naravno…jer je to skroz nehumano.
Nemoj te se ponadati da ste spaseni jer se dobro skriva I Antivirus ga nevidi kao ni Fireweall….stalno izlaze nove modifikacije tako da ostaju Stellth.( setite se predhodne price o AntiVirus tehnologiji od 6 meseci kasnjenja.
RAT vam deluje kao kasetna bomba.Kada se instalira izbaci gomilu svojih potprograma ,kodova , skripti I rasiri se na sve sisteme Windowsa brzinom svetlosti I preuzima kontrolu.Ali naravno neprimetno da vi nebiste odmah izvrsili Format C:> jer vam je to jedino resenje da ga onesposobite za vecinu funkcija iako je rezistentan u ROM memoriji vaseg hardware.Zapravo RAT je savrsenstvo Cyber napada…To je prava umetnost programiranja ,dugo se pravi I dosta kosta.Nemoj te se ponadati da na netu lamerski skidate vec vidjene RAT programe I da sa tim postignete neke znacajnije uspehe.Svasta ,pa I sami znate da ako je nesto izaslo kako javno za to je vec napravljena dobra zastita.Prave se stvari razmenjuju na tajnim kanalima IRC I VPN (Virtual Private Network—PGP )dobro kriptovano I osigurano od kradja I samo medju malobrojnim Hakerskim Grupama I Vladinim organizacijama.
Delovanje:( objasnicu primer ako poseduje skoro sve alatke)
Kada udje u racunar prvo se dobro skrije pod odredjenim imenima u fajlovimai registry bazi ,npr. Sound.dll, Kernel32, inplementira se uz Windowsove programe ,registry ne vidljiv startup,preuzima procese, aktivira blokere za AntiVirus I Firewall I necujno preuzima njihovu kontrolu. Zatim aktivira snifere I exploite za skeniranje mreze I aktivnosti na racunaru I preuzima svu ulogu nad njome. Ako je inplementiran Trojan onda krade zadate fajlove I sifre I salje ih na zadatu adresu ,Instalira crva za pracenje mail box I I ostalih aktivnosti za koje je projektovan. Aktivira Keylogere-spyware I prati vam kompletne aktivnosti na racunaru , sta kucate na tastaturi I sta pokrecete od programa , kuda surfujete I td.
Ovo je zanimljivo u vezi tastature: Malo da pojasnim jebiga…Sigurno ste culi za keylogere I spyware koje su komercijalni I cesto koriste Sefovi u firmama za spijuniranje radnika sta rade na kompu a koriste ga cesto I roditelji da bi videli sta deca posecuju od sajtova,koje teme ih interesuju ,koje su im sifre I td.)Istaci cu jedan samo- Spector Pro v5.0..a zamisli te onda trojanca koji vam prati bafer tastature I prosledjuje u txt formatu gazdi na drugoj strani. Mozete zamisliti da ste kucali pismo devojci ili vasu hotmail adresu u Messengeru npr. pera@hotmail.com naravno zatim odmah kucate I ********** ali u vidljivom stanju.Pripazite se .mozda vam neko cita mail ! Ok.Toliko o tome—vrati mo se RAT-u>
|
