Author |
Topic |
Dave
Fan
|
Posted - 10/03/2004 : 00:43:59
|
Cito:
quote: Il nome deriva dal famoso "Cavallo di Troia" dell'Iliade di Omero. All'interno del cavallo vennero messi dei guerrieri che al momento opportuno uscirono per prendere possesso di Troia. Alla stessa maniera questi programmini che sembrano innocui si installano all'interno del computer e poi in momenti spesso prestabiliti o anche casualmente provocano danni alla macchina o modificano chiavi di registro, o aprono una "Backdoor" (letteralmente porta sul retro) che permette poi a qualcuno dall'esterno di prendere controllo del computer infettato.
quote: Premessa. Un po' di tempo fa mi è stato chiesto aiuto da parte di un'amica che ha avuto problemi con il suo PC ed Internet. Veniva importunata da persone, fino ad allora a lei sconosciute, che però sapevano molto sul suo conto: da tutte le sue informazioni personali (telefono, abitazione,...) a quelle sulla sua famiglia e per di più notava strani comportamenti di funzionamento nel suo sistema proprio quando queste persone la contattavano nelle chat. Nel cercare di capire quali fossero le cause dei suoi problemi, ho intuito che poteva trattarsi di quella forma di virus che fino ad allora credevo fosse pura fantasia e ne ignoravo i rischi: i trojan horse. Dopo essermi documentato da diverse fonti, ho iniziato a procurami del software adeguato per combattere questa forma di virus. Be', fino ad oggi ho scoperto che circa 1 su 3 dei miei amici e conoscenti erano infetti da uno o più trojan, me compreso! Non avrei mai creduto che tali fossero così diffusi. Noi tutti abbiamo quindi provveduto a ripulire i nostri sistemi. Adesso potete farlo anche voi!!! Passerò quindi prima a descrivere velocemente cosa sono i trojans e poi come procedere per rilevarvi ed eliminarli in modo semplice e veloce!
Cos'è un trojan horse. I trojan horse (cavalli di troia), o semplicemente trojan, non sono esattamente virus, per cui se si usa un tool antivirus difficilmente lo si individua. Sono nati come strumenti atti a spiare (violazione di privacy) e fondamentalmente rappresentano un mezzo per controllare a distanza (controllo remoto) le risorse hardware e software di un PC. Con controllo remoto di un sistema si intende che su tale PC sono effettuabili molte delle operazioni che possono attuarsi direttamente davanti ad esso, ma a distanza. Un trojan è costituito da due moduli principali: un programma server ed un programma client. Il server è il programma di piccole dimensioni che infetta un PC, cioè quando un PC è infetto da un trojan allora significa che nel file system di quel PC è presente un programma trojan-server installato che automaticamente si carica in memoria (vale a dire, si lancia in esecuzione da solo). Il client è invece il programma che usa il "pirata" per controllare un PC quando questo è infetto da un trojan (e solo in quest'ultima ipotesi). Se un PC è infetto da un trojan, quando questo viene connesso ad Internet, il server-trojan riname nascosto (nel senso che non ci si accorge che esiste, da cui il nome) e pronto per ricevere richieste di connessione (e successivamente comandi) da parte di un qualunque PC in rete che disponga di un programma trojan-client e che sia maneggiato da un qualunque utente che non sia necessariamente un "pirata telematico". I trojan sono molto diffusi, nel senso che una gran percentuale dei nostri PC è infetta a nostra insaputa ed inoltre sono di facile acquisizione nella grande rete sia i programmi che infettano che quelli per il controllo di un PC infetto. Solitamente vengono distribuiti insieme, sia il lato server che il lato client, e per la maggiore sono programmi della categoria freeware.
Cosa succede se si ha il PC infetto da un trojan e qualcuno si connette ad esso. Praticamente può far di tutto: dalla lettura di tutti i files personali sull'hard-disk (tra cui la posta elettronica, le password, ...), alla cancellazione di questi (fino a distruggere tutto o parte del file system o comunque i files essenziali per l'avvio di Windows e rendere così il PC inutilizzabile). Può fare scherzi bizzarri (apertura dello sportellino del CD-ROM, attivazione di suoni, scambio tasti del mouse, riavvio del sistema, ...). Può ascoltare ciò che si digita dalla tastiera, mentre si scrive una lettera o si dialoga in chat. Altro ancora...
Come viene infettato un PC da un trojan. Il modo più semplice per acquisire (nel senso di infettarsi) un trojan è quello di scaricare un programma apparentemente innocuo (un gioco, un'applicazione di qualunque tipo) dalla rete che però dentro sé nasconde anche un programmino trojan-server che si installa nel PC a propria insaputa! Come succede per i virus, dopotutto. Non basta però che tra questi files sia presente un trojan-server, ma bisogna anche programmarlo in modo tale che questo si carichi in memoria all'avvio o alla connessione del sistema della vittima, che sia fatto per via del registro di configurazione o per via dei files di inizializzazione di Windows (alla vecchia maniera!). Come fare questo? Esistono programmini che riescono ad integrare i contenuti di pachetti d'installazione comune con programmi virus. (Top)
Come fa un "pirata" a sapere se un PC è infetto da qualche trojan per connettersi ad esso. Esistono programmi che effettuano la scansione delle porte di un IP (singolo PC) o di un intervallo di domini IP (più PC) per individuare su questi l'esistenza di trojan-server pronti a ricevere comandi. Questi programmi sono peraltro molto diffusi e spesso sono inclusi direttamente nel programma di controllo di un trojan (trojan lato client) e nei programmi di chat.
Esempio pratico Ammetiamo che si voglia trovare in rete una casuale vittima di un trojan SubSeven nella vs 2.1 (ALLO SCOPO DI AIUTARLO AD ELIMINARE IL TROJAN CHE INFETTA IL SUO PC :). Procediamo perciò per via indiretta, senza sapere nulla a priori sul suo conto. Le informazioni di cui necessitiamo in questo caso sono la consapevolezza che su una macchina ci sia un SubSeven-server in ascolto sulla porta 27374 (porta default per il trojan SubSeven) ed il suo indirizzo IP nella forma classica xxx.yyy.zzz.www. Innanzitutto conviene procurarci un programma di chat (IRC client) come looksharp, costruito su mIRC. Da qui, dopo aver impostato i soliti parametri personali e quelli del nostro abituale server chat (ad esempio irc.tin.it sulla porta 6667, conveniente se vogliamo accorciare i tempi di individuazione dell'IP completo), passiamo ad impostare le funzioni di scansione delle porte sulle macchine remote (in breve, in "General Setup", alla scheda "XAPS", selezionare la casella "ports" ed immettere manualmente "27374" nello spazio al suo fianco, eliminando eventuali altre informazioni già presenti in tale spazio). Effettuiamo ora la connessione al server chat ed entriamo nei canali. La scansione verrà effettuata automaticamente ed in modo trasparente a noi, che nel frattempo chattiamo, sulle porte dei PC degli utenti presenti nei canali in cui ci troviamo. Appena rilevata una vittima del trojan SubSeven, apparirà una nuova finestrella denominata "XAPS". Da qui potremo leggere il suo nick ed il suo indirizzo IP. Se questo IP non è nella forma xxx.yyy.zzz.www (tale può apparire in forma differente in dipendenza dal provider server a cui tale utente è connesso) bisogna effettuare la conversione nella forma voluta (selezionando il relativo nick nella lista utenti di un canale in cui è presente e selezionando "DNS lookup" dal menù rapido che appare una volta cliccato esso con il tasto destro del mouse. Dopodicchè si potrà leggere e copiare il suo IP nella forma voluta dalla finestrella "Status"). A questo punto potremo informare l'utente direttamente dalla chat che è infetto dal trojan SubSeven e quindi domandargli il PERMESSO di accedere al suo sistema per aiutarlo a rimuovere esso. Se concesso tale, si potrà aprire il SubSeven-client, immettere l'IP trovato e impostare il numero di porta "27374". Cliccato su "connect", potrebbe essere richiesta una password, nel qual caso potremo rispondere con "cancel". La connessione potrebbe essere ora attiva. Nel menù del SubSeven, selezioniamo "connection", andiamo alla sezione "server option" e clicchiamo su "remove server". Dopo una conferma di esecuzione dell'operazione avremo portato a termine la nostra buona azione!
This is where we are today, people going separate ways This is the way things are now, in disarray. I read it in the papers, there's death on every page Oh Lord I thank the Lord above, my life has been saved.
(Freddie Mercury) |
|
|
Lene4Me
Fan
|
Posted - 10/03/2004 : 10:45:15
|
quote: Originally posted by Gattissimo
Gli spyware si beccano installando programmi, non girando per internet.
In parte hai ragione e in parte hai torto: per quanto riguarda la parte della ragione è che è vero che gli spyware si beccano installando programmi (come ad esempio kazaa), non sono d'accordo per quanto dici che non è possibile beccare spyware tramite internet, cosa invece possibile, in quanto gli spyware si mascherano (nel 99% dei casi) da cookies. Per eliminare questo inconvenienti ci sono 2 strade:
§ installare un programma anti-spyware come Spybot § disabilitare la ricezione dei cookies, con l'incoveniente però che alcune pagine del web non saranno accessibili in quanto hanno bisogno di scaricare i cookies per accedervi
ps:Sembra quasi che ti devo sempre contraddire, vero Gatt?
Lene 4 Ever In My Heart |
Edited by - Lene4Me on 10/03/2004 10:46:04 |
|
|
Gattissimo
Fan
|
Posted - 10/03/2004 : 13:03:27
|
quote: Originally posted by Lene4Me non è possibile beccare spyware tramite internet, cosa invece possibile, in quanto gli spyware si mascherano (nel 99% dei casi) da cookies. Per eliminare questo inconvenienti ci sono 2 strade:
Spyware = programmi maligni che prendono dati a tua insaputa. I cookie non sono programmi, di conseguenza non sono spyware. Certo, ci sono cookie maligni, ma fanno ben poco, e poi ti sei dimenticato la soluzione migliore (), ovvero di abilitare i cookie, ma soltanto quelli per il sito d'origine...
quote: Sembra quasi che ti devo sempre contraddire, vero Gatt?
Noooooo
_____________ Miaoooo...
In the evening glow I seek / for a glimmering mountain peak / imagining I was free... |
|
|
Lene4Me
Fan
|
Posted - 10/03/2004 : 13:40:46
|
quote: Originally posted by Gattissimo Spyware = programmi maligni che prendono dati a tua insaputa. I cookie non sono programmi, di conseguenza non sono spyware. Certo, ci sono cookie maligni, ma fanno ben poco, e poi ti sei dimenticato la soluzione migliore (), ovvero di abilitare i cookie, ma soltanto quelli per il sito d'origine...
Hai ragione...quelli sono piuttosto cookie maligni, che comunque possono esser segnalati dal un buon programma anti-spyware
quote:
quote: Sembra quasi che ti devo sempre contraddire, vero Gatt?
Noooooo
Lene 4 Ever In My Heart |
Edited by - Lene4Me on 10/03/2004 13:41:10 |
|
|
Gattissimo
Fan
|
Posted - 10/03/2004 : 14:20:03
|
Beh, comunque se volete evitare i virus, un modo sicuro ed economico c'è...
_____________ Miaoooo...
In the evening glow I seek / for a glimmering mountain peak / imagining I was free... |
Edited by - Gattissimo on 10/03/2004 18:58:33 |
|
|
Robyf
Fan
|
Posted - 10/03/2004 : 14:29:29
|
quote: Originally posted by Gattissimo
Beh, comunque se volete evitare i virus, un modo sicuro ed economico c'è...
Ehm, non e' che lo traduci anche?
Sweet darling you worry too much, my child See the sadness in your eyes You are not alone in life Although you might think that you are Within Temptation - Our Farewell |
|
|
Gattissimo
Fan
|
Posted - 10/03/2004 : 18:59:07
|
Era un avviso di hotlinking disabilitato... ho salvato sul mio spazio e risistemato il link...
_____________ Miaoooo...
In the evening glow I seek / for a glimmering mountain peak / imagining I was free... |
|
|
Dave
Fan
|
Posted - 10/03/2004 : 20:19:05
|
Ho avuto lo stesso problema nel mio forum.
This is where we are today, people going separate ways This is the way things are now, in disarray. I read it in the papers, there's death on every page Oh Lord I thank the Lord above, my life has been saved.
(Freddie Mercury) |
|
|
Topic |
|
|
|