Troje projektantów z Afryki Południowej zademonstrowało sposób przełamywania zapory ogniowej na corocznej konferencji Def Con poświęconej bezpieczeństwu, gromadzącej zarówno specjalistów od spraw bezpieczeństwa i ścigania przestępstw komputerowych, jak i hakerów.

Już od dwóch lat ostrzegano, że przechodzenie koni trojańskich przez zaporę ogniową będzie nieuchronnie następnym krokiem w rozwoju technik hakerskich. Na konferencji ten sposób włamania "objawiono" w postaci konia trojańskiego o nazwie Setiri, który może działać w sposób niewidoczny dla użytkownika lub zapory ogniowej. Projektanci prototypu zapewnili, że nie zamierzają wypuścić go na wolność, ale jednocześnie apelują do Microsoftu, aby jak najszybciej uszczelnił lukę, która umożliwia jego działanie.

Zobacz również:

• Złośliwe oprogramowanie Qbot - czy jest groźne i jak się chronić?

Prototypowy koń trojański ładuje się do PC w taki sam sposób, jak inne trojany - pod postacią załącznika do poczty elektronicznej, sprowadzanego protokołem FTP pliku, albo po prostu z nośnika pamięci zewnętrznej.

Setiri różni się jednak od innych koni trojańskich tym, że nie zawiera wykonywalnych komend, które mogą powodować zablokowanie jego nielegalnych akcji przez zaporę ogniową.

Zamiast nich program tworzy ukryte okno w Internet Explorer w celu wykonania połączenia z serwerem webowym za pośrednictwem anonimowego ośrodka proxy o nazwie Anonymizer.com. Ośrodek ten jest przeznaczony do anonimowego surfowania po Internecie, ale Setiri wykorzystuje go w procesie zmierzającym do wykonania komend na zaatakowanym PC bez wiedzy użytkownika. Takie komendy mogą zawierać sprowadzenie do systemu programu rejestrującego użycie klawiszy klawiatury lub przesłanie plików czy haseł do odległego PC. Ponieważ ukradzione dane są przekazywane przez proxy Anonymizer, nie jest możliwe śledzenie i zlokalizowanie odległego komputera, z którego są ściągane programy.

Setiri wykorzystuje standardowy mechanizm Internet Explorera, pozwalający niewidocznemu oknu przeglądarki otwierać połączenia z Internetem. Otwarte w tle okno przeglądarki nie widnieje na ekranie desktopa - nie widać więc, jakie akcje są na nim wykonywane. W wykazie otwartych okien Windows Task Manager będzie widoczne jako IEXPLORER.EXE, tak jak regularne okno Internet Explorer.

Internet Explorer używa ukrytego okna w wielu całkiem legalnych operacjach, takich jak na przykład wysyłanie informacji rejestracyjnej do .Net. Program pocztowy Eudora używa ukrytego okna przeglądarki do sprowadzania obrazów, do których łączniki zawarto w przesyłkach pocztowych.

Jednym z możliwych sposobów zapobieżenia skuteczności tej techniki włamania jest zablokowanie przez Microsoft funkcji ukrytego okna. Jednak takie posunięcie utrudni niektóre operacje IE.

Natomiast jedynym sposobem zabezpieczającym przed możliwością kontaktu Setiri z ośrodkiem, gdzie przechowuje on swoje komendy, jest skonfigurowanie zapory ogniowej, blokujące dostęp do ośrodka Anonymizer. Trzeba jednak pamiętać, że ten trojan może pojawić się w innych odmianach, używających innego proxy.