Основные типы троянов.

• Back Door троян. Состоит из клиента и сервера. Сервер отправляется жертве и в дальнейшем вся работа ведется по принципу клиент-сервер, т.е. злоумышленник посылает команды через клиента, а сервер их выполняет. В зависимости от настойки сервера и трояна вы можете ограничить доступ к серверу паролем или поставить определенное количество человек подключенных в одно время к серверу. После подключения к серверу вы можете управлять компьютером точно также как и своим: перезагружать, выключать, открывать CD-ROM, удалять, записывать, менять файлы. Также можно вытаскивать пароли. В общем, функций миллион, но также все зависит от самого трояна, например Sub7 имеет просто уйму функций.

• E-mail троян. Этот вид троянов работает по принципу отправки информации хозяину на e-mail. Следует сказать, что на e-mail пересылают пароли практически на все, что есть на компьютере: Dial-Up, ICQ, e-mail… А некоторые трояны высылают даже номера телефонов провайдера, настройку DNS и т.д. Одним словом, этот вид просто занимается сбором информации, и жертва злоумышленника даже может не знать, что ее пароли уже давно кому-то известны, иногда жертва об этом догадывается только тогда, когда приходит счет от провайдера. Этот вид в основном состоит из 2-х файлов: сам троян и файл для его конфигурирования.

• Key Logger троян. Принцип прост: записывает все клавиши в отдельный файл и затем он, как и e-mail троян, высылает этот файл к хозяину на e-mail. На мой взгляд, он самый примитивный, но хорош в использовании когда жертва при соединении с интернетом не ставит галочку "Запомнить мой пароль".

Настройка.

Далее будет рассмотрена настройка всех 3-х типов троянов.

• Настройка Back Door. В основном главная цель настройки Back Door трояна состоит в получении IP адреса на e-mail, ICQ ( Sub7 также может отсылать на IRC).
  IP адрес нужен для того, чтобы подключиться к серверу и управлять им. Без IP адреса злоумышленник ничего не сможет сделать.

  К большинству троянов прилагается файл конфигурации, с помощью которого конфигурируется сервер или злоумышленник просто может настроить сервер из самого клиента (например, в Net bus). Для получения IP указавается e-mail адрес (на него будет приходить IP жертвы), и указывается SMTP сервер через который будет пересылаться письмо от трояна с IP адресом жертвы. Но здесь надо быть осторожным и сначала проверить SMTP сервер на работоспособность. На этом настройка e-mail закончена. Если возможна пересылка IP адреса через ICQ, то это намного удобнее. Злоумышленник просто указывает свой UIN и как только жертва в сети, к нему на ICQ будет приходить IP адрес. Если ICQ уведомления в настройках сервера нет, то очень удобно использовать программку Joiner. С помощью этой программы злоумышленник сможет склеить серверную часть трояна с любым файлом, и включить уведомление по ICQ. При запуске готового результата к нему на ICQ придет IP запустившего готовый файл.
  Далее указывается порт, через который программа-клиент соединяется с сервером. Во всех троянах он выбран по умолчанию (у каждого свой), но можно указать любой порт. После того как указан порт, можно поставить пароль на сервер, чтобы никто другой не смог им пользоваться. Также возможно указать количество человек подключенных к серверу в одно время. Опять же все зависит от самого трояна, у всех добавлены свои специфические настройки.

  После того как все настроено: e-mail, порт и т.д., надо прописать настройки в программе-сервере. В большинстве случаев в окне настройки сервера есть кнопка (в Sub7 это например кнопка Browse, рядом с надписью server) при нажатие которой откроется окно, в котором необходимо указать "чистый" (то есть еще не измененный) сервер (всегда читайте readme файл, там всегда написано какой exe файл является сервером, какой клиентом и т.д.), указать сервер файл и нажать "Открыть" или "Open". На этом настройка сервера закончена, и готовым сервером с вашими настройками будет являться только что измененный файл ("пропатчили").

  Теперь чтобы подключиться к серверу злоумышленнику необходимо зайти в клиентскую часть трояна, ввести IP адрес жертвы и порт, который был указан при настройке сервера, нажать Connect, и он получит контроль над компьютером жервы. Это были самые нужные настройки, которые есть у большинства Back Door троянов.

• Настройка E-mail троянов. Здесь все намного проще, так как соединения с сервером не производится. Здесь в настройках надо указывать только ваш e-mail, для получения паролей и т.д. и SMTP сервер для пересылки письма. Опять же необходимо проверить SMTP на работоспособность. Как и в случае с Back Door, после настройки необходимо изменить(пропатчить) программу сервер.

• Настройка Key Logger троянов. Здесь все аналогично e-mail трояну. Работает по такому же принципу - пересылка информации, так что я повторяться не буду. Но иногда в key logger троянах, LOG файл можно также забирать по FTP.

Выше были рассмотрены основные типы троянских программ и их главные настройки. О том как спровоцировать пользователя на запуск вредноносной программы или о том как написать подобную программу - ниже.

А сейчас зададимся вопросом: Что делать, если у пользователя стоит какой-нибудь антивирус, тот же самый KAV? И программа-троян, которую собирается использовать злоумышленник уже давно внесена в его антивирусные базы. Ведь тогда KAV даже не даст загрузить ее.

На самом деле есть несколько способов его обмануть, одним из них является использование так называемых программ-упаковщиков, например "ASProtect" фирмы "ASPack". Программы этого типа сжимают (упаковывают) машинный код целевой программы, и добавляют в начало файла процедуру распаковки. Не все дизассемблеры способны корректно обрабатывать такой код, а уж антивирусы и подавно. Поэтому скорее-всего антивирус выдаст предупреждение: "Неизвестный формат файла", которое будет проигнорировано пользователем.