quote:

---

Il nome deriva dal famoso "Cavallo di Troia" dell'Iliade di Omero. All'interno del cavallo vennero messi dei guerrieri che al momento opportuno uscirono per prendere possesso di Troia.
Alla stessa maniera questi programmini che sembrano innocui si installano all'interno del computer e poi in momenti spesso prestabiliti o anche casualmente provocano danni alla macchina o modificano chiavi di registro, o aprono una "Backdoor" (letteralmente porta sul retro) che permette poi a qualcuno dall'esterno di prendere controllo del computer infettato.

---

quote:

---

Premessa.
Un po' di tempo fa mi è stato chiesto aiuto da parte di un'amica che ha avuto problemi con il suo PC ed Internet. Veniva importunata da persone, fino ad allora a lei sconosciute, che però sapevano molto sul suo conto: da tutte le sue informazioni personali (telefono, abitazione,...) a quelle sulla sua famiglia e per di più notava strani comportamenti di funzionamento nel suo sistema proprio quando queste persone la contattavano nelle chat. Nel cercare di capire quali fossero le cause dei suoi problemi, ho intuito che poteva trattarsi di quella forma di virus che fino ad allora credevo fosse pura fantasia e ne ignoravo i rischi: i trojan horse. Dopo essermi documentato da diverse fonti, ho iniziato a procurami del software adeguato per combattere questa forma di virus. Be', fino ad oggi ho scoperto che circa 1 su 3 dei miei amici e conoscenti erano infetti da uno o più trojan, me compreso! Non avrei mai creduto che tali fossero così diffusi. Noi tutti abbiamo quindi provveduto a ripulire i nostri sistemi. Adesso potete farlo anche voi!!! Passerò quindi prima a descrivere velocemente cosa sono i trojans e poi come procedere per rilevarvi ed eliminarli in modo semplice e veloce!


Cos'è un trojan horse.
I trojan horse (cavalli di troia), o semplicemente trojan, non sono esattamente virus, per cui se si usa un tool antivirus difficilmente lo si individua. Sono nati come strumenti atti a spiare (violazione di privacy) e fondamentalmente rappresentano un mezzo per controllare a distanza (controllo remoto) le risorse hardware e software di un PC. Con controllo remoto di un sistema si intende che su tale PC sono effettuabili molte delle operazioni che possono attuarsi direttamente davanti ad esso, ma a distanza. Un trojan è costituito da due moduli principali: un programma server ed un programma client. Il server è il programma di piccole dimensioni che infetta un PC, cioè quando un PC è infetto da un trojan allora significa che nel file system di quel PC è presente un programma trojan-server installato che automaticamente si carica in memoria (vale a dire, si lancia in esecuzione da solo). Il client è invece il programma che usa il "pirata" per controllare un PC quando questo è infetto da un trojan (e solo in quest'ultima ipotesi). Se un PC è infetto da un trojan, quando questo viene connesso ad Internet, il server-trojan riname nascosto (nel senso che non ci si accorge che esiste, da cui il nome) e pronto per ricevere richieste di connessione (e successivamente comandi) da parte di un qualunque PC in rete che disponga di un programma trojan-client e che sia maneggiato da un qualunque utente che non sia necessariamente un "pirata telematico". I trojan sono molto diffusi, nel senso che una gran percentuale dei nostri PC è infetta a nostra insaputa ed inoltre sono di facile acquisizione nella grande rete sia i programmi che infettano che quelli per il controllo di un PC infetto. Solitamente vengono distribuiti insieme, sia il lato server che il lato client, e per la maggiore sono programmi della categoria freeware.


Cosa succede se si ha il PC infetto da un trojan e qualcuno si connette ad esso.
Praticamente può far di tutto: dalla lettura di tutti i files personali sull'hard-disk (tra cui la posta elettronica, le password, ...), alla cancellazione di questi (fino a distruggere tutto o parte del file system o comunque i files essenziali per l'avvio di Windows e rendere così il PC inutilizzabile). Può fare scherzi bizzarri (apertura dello sportellino del CD-ROM, attivazione di suoni, scambio tasti del mouse, riavvio del sistema, ...). Può ascoltare ciò che si digita dalla tastiera, mentre si scrive una lettera o si dialoga in chat. Altro ancora...


Come viene infettato un PC da un trojan.
Il modo più semplice per acquisire (nel senso di infettarsi) un trojan è quello di scaricare un programma apparentemente innocuo (un gioco, un'applicazione di qualunque tipo) dalla rete che però dentro sé nasconde anche un programmino trojan-server che si installa nel PC a propria insaputa! Come succede per i virus, dopotutto. Non basta però che tra questi files sia presente un trojan-server, ma bisogna anche programmarlo in modo tale che questo si carichi in memoria all'avvio o alla connessione del sistema della vittima, che sia fatto per via del registro di configurazione o per via dei files di inizializzazione di Windows (alla vecchia maniera!). Come fare questo? Esistono programmini che riescono ad integrare i contenuti di pachetti d'installazione comune con programmi virus. (Top)


Come fa un "pirata" a sapere se un PC è infetto da qualche trojan per connettersi ad esso.
Esistono programmi che effettuano la scansione delle porte di un IP (singolo PC) o di un intervallo di domini IP (più PC) per individuare su questi l'esistenza di trojan-server pronti a ricevere comandi. Questi programmi sono peraltro molto diffusi e spesso sono inclusi direttamente nel programma di controllo di un trojan (trojan lato client) e nei programmi di chat.

Esempio pratico
Ammetiamo che si voglia trovare in rete una casuale vittima di un trojan SubSeven nella vs 2.1 (ALLO SCOPO DI AIUTARLO AD ELIMINARE IL TROJAN CHE INFETTA IL SUO PC :). Procediamo perciò per via indiretta, senza sapere nulla a priori sul suo conto. Le informazioni di cui necessitiamo in questo caso sono la consapevolezza che su una macchina ci sia un SubSeven-server in ascolto sulla porta 27374 (porta default per il trojan SubSeven) ed il suo indirizzo IP nella forma classica xxx.yyy.zzz.www. Innanzitutto conviene procurarci un programma di chat (IRC client) come looksharp, costruito su mIRC. Da qui, dopo aver impostato i soliti parametri personali e quelli del nostro abituale server chat (ad esempio irc.tin.it sulla porta 6667, conveniente se vogliamo accorciare i tempi di individuazione dell'IP completo), passiamo ad impostare le funzioni di scansione delle porte sulle macchine remote (in breve, in "General Setup", alla scheda "XAPS", selezionare la casella "ports" ed immettere manualmente "27374" nello spazio al suo fianco, eliminando eventuali altre informazioni già presenti in tale spazio). Effettuiamo ora la connessione al server chat ed entriamo nei canali. La scansione verrà effettuata automaticamente ed in modo trasparente a noi, che nel frattempo chattiamo, sulle porte dei PC degli utenti presenti nei canali in cui ci troviamo. Appena rilevata una vittima del trojan SubSeven, apparirà una nuova finestrella denominata "XAPS". Da qui potremo leggere il suo nick ed il suo indirizzo IP. Se questo IP non è nella forma xxx.yyy.zzz.www (tale può apparire in forma differente in dipendenza dal provider server a cui tale utente è connesso) bisogna effettuare la conversione nella forma voluta (selezionando il relativo nick nella lista utenti di un canale in cui è presente e selezionando "DNS lookup" dal menù rapido che appare una volta cliccato esso con il tasto destro del mouse. Dopodicchè si potrà leggere e copiare il suo IP nella forma voluta dalla finestrella "Status"). A questo punto potremo informare l'utente direttamente dalla chat che è infetto dal trojan SubSeven e quindi domandargli il PERMESSO di accedere al suo sistema per aiutarlo a rimuovere esso. Se concesso tale, si potrà aprire il SubSeven-client, immettere l'IP trovato e impostare il numero di porta "27374". Cliccato su "connect", potrebbe essere richiesta una password, nel qual caso potremo rispondere con "cancel". La connessione potrebbe essere ora attiva. Nel menù del SubSeven, selezioniamo "connection", andiamo alla sezione "server option" e clicchiamo su "remove server". Dopo una conferma di esecuzione dell'operazione avremo portato a termine la nostra buona azione!

---

quote:

---

Originally posted by Gattissimo

Gli spyware si beccano installando programmi, non girando per internet.

---

quote:

---

Originally posted by Lene4Me
non è possibile beccare spyware tramite internet, cosa invece possibile, in quanto gli spyware si mascherano (nel 99% dei casi) da cookies. Per eliminare questo inconvenienti ci sono 2 strade:

---

quote:

---

Sembra quasi che ti devo sempre contraddire, vero Gatt?

---

quote:

---

Originally posted by Gattissimo
Spyware = programmi maligni che prendono dati a tua insaputa. I cookie non sono programmi, di conseguenza non sono spyware. Certo, ci sono cookie maligni, ma fanno ben poco, e poi ti sei dimenticato la soluzione migliore (), ovvero di abilitare i cookie, ma soltanto quelli per il sito d'origine...

---

quote:

---

quote:

---

Sembra quasi che ti devo sempre contraddire, vero Gatt?

---

Noooooo

---

quote:

---

Originally posted by Gattissimo

Beh, comunque se volete evitare i virus, un modo sicuro ed economico c'è...

---