ظهور اسب تراوا

Trojan , می تواند صدمات زیادی را شما و یا سیستمتان وارد كند و بدتر از همه اینكه , می تواند سیستم شما را به یك ماشین كشنده تبدیل سازد

Trojan horse ، یك برنامه با كد مخرب است كه وارد سیستم شده و به نظر داده یا برنامه ای بی ضرر می باشد ، اما می تواند كنترل سیستم را به دست گرفته و به آن صدمه برساند . صدماتی مثل خراب كردن یا پاك كردن داده ها از روی دیسك سخت Trojan horse ممكن است به صورت یك ویروس كامپیوتری خود را به مقدار زیادی تكثیر كند .

لغت Trojan horse ( اسب تراوا ) از داستان حماسی هرمر بنام ایلیاد گرفته شده است . در جنگ تراوا ، یونانیها یك اسب چوبی بزرگ را به ساكنان شهر تراوا ، هدیه دادند . آن ها داخل این اسب ، سربازان خود را مخفی كرده بودند . در طول شب ، سربازان از داخل اسب چوبی خارج شده و شهر را تصرف كردند .

Trojan ، می تواند صدمات زیادی را شما و یا سیستمتان وارد كند و بدتر از همه اینكه ، می تواند سیستم شما را به یك ماشین كشنده تبدیل سازد ! بیائید نظر دقیق تری به برنامه Back Orifice بیاندازیم تا به علت مخرب بودن این ابزار را وقتی روی سیستم شما نصب می شود ، دریابیم .

Back Orifice به این صورت است كه برنامه Client روی یك سیستم اجرا شده و برنامه Server روی سیستم دیگر اجرا می شود . سپس برنامه Server خود روی آن اجرا شده ، متصل می شود .

نكته عجیب اینجاست كه برنامه Server خود را روی سیستم قربانی نصب می كند . بیشتر مردم از این مسئله گیج می شوند ، زیرا منطقی به نظر نمی رسد ولی در حقیقت روش كار این برنامه اینگونه است تنها راهی كه برنامه Server مربوط به Back Orifice روی یك سیستم قرار گیرد این است كه عملا نصب شود . واضح است كه Trojan با نصب ویندوز ۲۰۰۰ ظاهر نمی شود .

بنابراین باید راهی را پیدا كنید كه سیستم قربانی آن را نصب كند . این مسئله مقدمه بحث قبلی ماست كه چگونه خانم بتی ، برنامه تصاویر متحرك Screen Saver را روی سیستم خود نصب كرد . در حالی كه ( برای شما ، نه برای او ) این برنامه در اصل همان سرور Bo۲k.exe بود .

● كار با پیكربندی سرور Bo۲k .

نسخه های جدید و قابل اجرای برنامه Server ، صرفاً مخفیانه است . فایل اجرایی خود را ظاهر نمی كند و به صورت ابزاری كاملاً آزاد و مخفی برای هر كسی كه به سیستم شما حمله كرده باقی می ماند تا او بتواند از سیستم شما سوء استفاده كند . شما نه تنها باید مواظب این ابزار ، بلكه هر Trojan دیگری مثل آن باشید .

Bo۲k یكی از معروفترین و متداولترین Trojan هاست . شكل بالا به شما نشان می دهد كه این ابزار ، كاملاً قابل پیكربندی بوده و درك آن بسیار ساده است . اصلاً نیازی به داشتن دانش برنامه نویسی C++ یا اسكریت Shell Scripting نیست !

● اضافه كردن Server ها به لیست .

از آنجایی كه ممكن است هر كسی فریب خورده و Trojan را نصب كند ، ما دقیقا می دانیم كه چگونه هكر ، كد لازم را روی سیستم قربانی پیدا خواهد كرد . هكر یا خودش برنامه Server را روی سیستم هدف نصب می كند و یا كاربر آن سیستم را ترغیب به نصب برنامه می كند . و به همین دلیل برنامه سرور ( Bo۲k.exe ) معمولا به عنوان یك ویروس Trojan horse به نظر نمی رسد .

بعد از نصب برنامه Server سیستم Client می تواند ارسال و دریافت فایل ها را از سیستم هدف را قفل و یا Reset كند . حتی می تواند كلید هایی كه روی Keyboard سیستم هدف فشار داده می شود را ثبت كند . تمام این اعمال برای شخص هكر ، ارزشمند است . برنامه Server ، یك فایل اجرایی ساده است كه فقط ۱۲۲ KB وزن دارد . این برنامه یك كپی از خودش را در دایركتوری ویندوز ایجاد كرده و كپی دیگر را با اسم فایل خودش ، به قسمت رجیستری ویندوز اضافه می كند :

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/Current Version/Runservices

نسخه كپی شده در رجیستری كه به برنامه Server اشاره می كند ، قابل پیكربندی است .

بنابراین هر وقت ویندوز اجرا می شود ، برنامه Server نیز شروع به كار می كند ( چون در رجیستری ویندوز قرار دارد .) یكی از خواص Orifice Back این است كه اسم برنامه در لیست برنامه های اجرایی ویندوز ظاهر نمی شود فقط بعد از معرفی و اجرا ، به صاحب خود لطف كرده و از جلوی چشم او دور می شود . موذیانه است یا نه ؟!

Back Orifice Trogan Horse برای هر شبكه ای جهنم به پا می كند .

البته برای كار با آن باید كمی دانش شبكه داشته باشید . سازندگان این ویروس آن را بعنوان ابزاری برای استثمار كردن سیستم عامل Windows به صورت ساده و راحت بیان كرده اند . خیلی ها در اوائل پیدایش این ویروس ، آن را چیزی بیشتر از یك ابزار دسترسی از راه دور نمی دانستند .

اما اگر در مورد كارایی و منبع ظهور آن كمی تعمیق كنید ، چیزی فراتر از یك ابزار دسترسی از راه دور خواهید یافت این ویروس در حقیقت زنگ خطری برای شركت میكروسافت است كه سیستم های آن مثل برنامه های Unix ، آسیب پذیر است . شما در حقیقت قربانی درك این نقطه ضعف خواهید شد .

البته در این میان محدودیت هایی نیز وجود دارد . مهمترین محدودیت ها برای Back Orifice Trogan Horse این است كه هكر باید آدرس IP سیستم هدف را داشته باشد . علاوه بر آن نباید Firewall بین هكر و سیستم هدف باشد .

فایروال مانع از برقراری ارتباط بین دو سیستم می شود . زیرا فایروال پورتی كه ویروس Trogan Horse روی آن كار می كند را می بندد .

البته نسخه های جدید این ابزار روی محدود وسیع تری از پورت ها عمل خواهد كرد . و این مسئله بر می گردد به بحث ابتدایی من كه متاسفانه بیشتر كمپانی ها روی امنیت شبكه ها سرمایه گذاری نكرده و یا به افرادی از بین كاركنانشان ، اطلاعات كافی در این زمینه نداده اند و مشكل از همین جا سرچشمه می گیرد .

از شكل زیر این طور استفاده می شود كه این ابزار شوخی بردار نبوده بلكه یك كابوس هك شده GUI است . حتی ویزاردهایی وجود دارد كه در نصب آن به شما كمك می كند . چه چیزی راحت تر از آن می خواهید ؟!

● ویزارد پیكر بندی Bo۲k

یك ویروس Trogan Horse متداول دیگر كه به صورت دسترسی از راه دور عمل می كند ، Subseven Trogan است . این Trogan بصورت پیوست با یك نامه Email ، فرستاده می شود و بعد از اجرا پیغامی شخصی ساز نمایش می دهد كه قربانی را گمراه می كند .

در حقیقت این پیغام مخصوصا برای گمراهی قربانی ساخته شده است . این برنامه ، به هكر اجازه می دهد كه كنترل كامپیوتر قربانی را در دست گرفته و فایل ها و پوسه های كامپیوتر او را پاك كند . یكی دیگر از امكانات آن ، نمایش دادن چیزی شبیه یك دوربین صفحه نمایش است كه به هكر اجازه می دهد تصاویر صفحه نمایش كامپیوتر قربانی را مشاهده كند .

به طور كلی ، مراقب ویروس ها و Malware ( مضر افزار ) ها و نحوه وارد شدن آن ها به سیستم خود باشید . همیشه مطمئن باشید كه از اهداف Malware ها و خساراتی كه ممكن است به سیستم میكروسافت شما وارد كنند آگاه هستید .

منبع: بزرگراه رایانه