Zabezpieczenie przed stratowaniem

Metody przeciwdziałania zainfekowaniu komputerów przez konie trojańskie są standardowe: instalowanie zapór firewall, oprogramowania antywirusowego i regularne aktualizowanie systemu, aplikacji i bazy definicji wirusów. Zapory mogą zapobiec wysłaniu przez konia trojańskiego informacji wykorzystywanych później przez hakerów, ale ich skuteczność nie jest stuprocentowa i zależy zarówno od aplikacji firewall, jak i rodzaju konia trojańskiego. Ponadto użytkownik musi starannie kontrolować komunikaty informujące o próbach nawiązania zewnętrznego kontaktu przez programy działające na jego komputerze. Nie jest to proste, gdyż konie trojańskie zazwyczaj podszywają się pod nazwy znanych aplikacji, przybierając np. nazwę EXPLORER.EXE. To, czy mamy do czynienia z właściwym programem Windows Explorer, można ocenić sprawdzając, czy ścieżka dostępu do pliku wskazuje na katalog systemowy (aczkolwiek najbardziej przebiegłe trojany instalują się właśnie tam). Niewprawny użytkownik może zostać łatwo zmylony i zezwolić na komunikację wrogiego programu z Internetem, nawet jeśli zapora firewall zareagowała na działanie konia trojańskiego.

Dla zwiększenia bezpieczeństwa warto więc wykorzystać specjalizowane programy do wykrywania koni trojańskich. Jednym z największych problemów jest bowiem to, że producenci oprogramowania antywirusowego wolno aktualizują definicje koni trojańskich - czasem trwa to nawet 10 dni. Dzieje się tak, ponieważ programy te starają się nie ujawniać swojej obecności, a wykrycie ich w komputerze może być trudne, zanim np. zdalnie nie zostanie zainicjowany atak DoS.

Coraz inteligentniejsze

Efektywność działania oprogramowania do wykrywania i unieszkodliwiania koni trojańskich trudno obecnie ocenić. Dotychczas żadne ze znanych, niezależnych laboratoriów, zajmujących się badaniami i testami porównawczymi, nie opublikowało wyników analiz, dotyczących tego typu programów. Nie można też jednoznacznie stwierdzić, o ile zwiększa się bezpieczeństwo systemu, jeśli obok standardowego oprogramowania antywirusowego zostaną zainstalowane specjalizowane programy "antytrojańskie".

Warto jednak zachować daleko idącą ostrożność. Według Roberta Vamosi, pojawiły się już zaawansowane konie trojańskie, które po wykradzeniu haseł lub innych istotnych informacji, automatycznie się usuwają, nie zostawiając śladu włamania do komputera.

Jak radzą niektórzy specjaliści, najlepszym zabezpieczeniem przed nowymi wersjami koni trojańskich jest instalowanie na serwerach firewall i pocztowych heurystycznych filtrów, które poddają kwarantannie podejrzane pliki. Konfiguracja odpowiednich reguł filtrowania jest dość trudna i wymaga sporej wiedzy technicznej.

Koń trojański w szczegółach

W Internecie można znaleźć wiele pakietów, służących do tworzenia koni trojańskich. Jednym z nich jest SubSeven, znany również jako Sub7 lub Backdoor_G. Aplikacja ta składa się z trzech elementów: klienta umożliwiającego włamywaczowi przejęcie kontroli nad zainfekowaną stacją roboczą, serwera (czyli właściwego konia trojańskiego) o objętości ok. 300 KB oraz aplikacji przeznaczonej do modyfikowania parametrów serwera.

Korzystając z aplikacji konfiguracyjnej, włamywacz najpierw przygotowuje konia trojańskiego do pracy (opcje konfiguracyjne są widoczne na zamieszczonym obok rysunku): ustawia sposób powiadomienia o tym, że komputer został zainfekowany (może to być poczta elektroniczna, wiadomość przez ICQ lub komunikat na kanale IRC), docelowy port (praktycznie dowolny), na którym serwer będzie prowadził nasłuch, oczekując na połączenie, hasło dostępu do trojana, nazwę pliku, pod jaką trojan ma występować, sposób jego uruchamiania w systemie itd. Aplikacja udostępnia również opcję, pozwalającą dołączyć konia trojańskiego do dowolnego wskazanego pliku EXE, np. aplikacji wykorzystywanej w danej firmie.

Kolejnym etapem jest dostarczenie tak spreparowanego pliku do ofiary. Włamywacze posługują się różnymi metodami - również bardzo banalnymi, przesyłając np. załącznik do poczty elektronicznej o nazwie "IMPREZA.JPG.....................EXE". Użytkownik, chcący obejrzeć plik wyglądający na obrazek, w rzeczywistości uruchomi konia trojańskiego, a ten zainstaluje się w systemie.

Haker może w dowolnym momencie, kiedy włączony jest komputer, połączyć się z nim poprzez oprogramowanie klienckie. To zazwyczaj umożliwia dostęp do konsoli DOS-owej stacji roboczej, pozwalając na wykonanie dowolnego polecenia, przesłanie na stację użytkownika dowolnego pliku itd. Istnieją również specjalne pluginy, pozwalające na "podsłuchiwanie" wszystkich wprowadzanych przez użytkownika komputera znaków, podglądanie zawartości jego ekranu itd. Możliwości są nieograniczone.