Vedle počítačových virů, červů, spyware a dalších nečistot, kterými si zanášíme počítače, existuje již poměrně dlouhou dobu řada nástrojů, které slouží ke skrytému ovládání počítače na dálku – takzvané trojské koně.
Označení trojské koně získaly podloudné prográmky podle starověkých řeckých bájí, kdy se Řekové rozhodli dobýt město Trója úskočnou lstí – darovali tamějším obyvatelům dřevěného koně, v jehož útrobách byli skryti vojáci. Paralela s novodobými elektronickými verzemi trojských koňů je nabíledni, protože oproti klasickým virům se trojské koně nejčastěji šíří tak, že se vydávají za na první pohled neškodný, nebo dokonce nadmíru užitečný, případně zábavný prográmek.
Základní klasifikace trojských koňů
Trojské koně jsou tedy zvláštní sortou záškodníků, díky nimž má útočník (hacker, zlomyslný kolega se zvrhlým smyslem pro humor či někdo jiný) možnost monitorovat či ovládat činnost systému na vzdáleném počítači. Od klasických počítačových virů se drtivá většina trojských koňů liší především tím, že se nesnaží o samovolné kopírování a šíření sebe sama. Nejčastějším způsobem nákazy trojským koněm je otevření neznámé přílohy v e-mailu, která se vydává za regulérní aplikaci – podobně jako zmiňovaný dřevěný kůň.
Zástupci škodlivých trojských koňů obsahují široké spektrum nekalé činnosti, takže lze rozlišit několik jejich typů. Mezi nejznámější patří trojské koně pro síťové ovládání vzdáleného systému. Pokud jste se někdy setkali s aplikacemi pro vzdálenou správu systémů, například Remote Administrator nebo Remote PC, pak si můžete udělat dobrý obrázek o tom, co vše může útočník s pomocí podobného trojského koně způsobit nic netušící oběti.
Do určité míry odlišný způsob záškodnické činnosti charakterizuje trojské koně zasílající získaná hesla. Je-li takovýto prográmek spuštěn na systému nic netušícího uživatele, snaží se nalézt všechna možná dostupná hesla (kupříkladu z cache) a následně je odeslat předem určenému cíli – například na útočníkův e-mail. Trojské koně pro ovládání vzdáleného systému se většinou spouštějí na pozadí při každém startu napadeného počítače, naproti tomu trojské koně pro získávání hesel většinou plní svou funkci pouze jednou, když je spuštěn odpovídající soubor.
Třetí kategorii trojských koňů mohou tvořit klasické keyloggery, tedy aplikace zaznamenávající uživatelem stisknuté klávesy. Ty se často spouštějí po každém startu systému a všechny stisknuté klávesy ukládají do určeného souboru nebo výsledek rovnou posílají útočníkovi (podobně jako v případě získaných hesel). V přehledu nejvýznamnějších druhů trojských koňů samozřejmě nelze nezmínit čistě destruktivní varianty, které se po spuštění snaží smazat vše, co na disku oběti najdou, nebo útočí přímo na některé vybrané soubory.
Zajímavým případem jsou také trojské koně, které na počítači oběti aktivují klasickou FTP službu na portu 21 a dovolují útočníkovi přenášet soubory. Některé trojské koně rovněž slouží k provedení takzvaného DDoS útoku (Distributed Denial of Service). Nejjednodušší schéma vypadá tak, že několik (desítky, stovky, ale třeba i tisíce)stanic napadených trojským koněm zaútočí (například na povel útočníka) na cílový server, který se pod návalem požadavků zhroutí a přestane poskytovat své služby – odtud původní anglický název.
Základní schéma DDoS útoku
Stará láska nerezaví
Mezi nejznámější zástupce trojských koňů pro ovládání počítače oběti bezesporu patří BackOrifice, NetBus nebo Sub7. Autorem oblíbené, prvně jmenované aplikace je skupina Cult of the Dead Cow a s pomocí jejich výtvoru lze provádět například následující kousky:
- zjistit některá hesla (například automaticky ukládaná hesla webového prohlížeče)
- procházet soubory a složky, manipulovat s nimi
- ovládat běžící procesy
- procházet registr
- procházet sdílené síťové prostředky
- keylogger
NetBus oproti BackOrifice nabízí pohodlnější uživatelské rozhraní, takže jej ihned dokáže ovládat každý, kdo umí stisknout tlačítko myši, respektive klávesu. Jeho autoři mají pravděpodobně smysl pro humor, protože nechybí ani možnost prohození tlačítek myši ovládaného vzdáleného počítače. Jak BackOrifice, tak Netbus již díky bohu snad mají svá zlatá léta za sebou, protože v dnešní době si naštěstí drtivá většina uživatelů uvědomuje hrozby zasíťovaného světa a brání se vhodným antivirem, případně firewallem.
BackOrifice * NetBus * Sub7
Aktivní obrana nejen před trojskými koni
Pokud se chcete podívat na seznam známých trojských koňů a jimi zneužívaných implicitních portů, můžete tak učinit například na stránkách G-Lock Software, kde naleznete základní informace o nejčastěji používaných trojských koních. Podobná databáze se nachází také na stránkách http://www.anti-trojan.com v sekci Removal Database. Neprůstřelnost portů svého systému si každý může otestovat na stránkách společnosti Agerit – zajímavá je i zde udávaná statistika špatně zabezpečených počítačů. V době psaní tohoto článku bylo napadnutelných přes 60 tisíc z téměř 180 tisíc testovaných počítačů.
Některé nepříliš promyšlené a nedokonalé trojské koně můžete po spuštění vidět v seznamu běžících aplikací či procesů, nicméně ve většině případů se na metodu Ctrl+Alt+Del nelze spoléhat. Preventivní způsob obrany představuje odolání pokušení spustit zajímavý soubor, který přišel e-mailem a díky jedinému poklepání na ikonu v příloze slibuje hromadu zábavy – pokud budete mít často takovéto choutky, zkuste si vzpomenout na příhodu o daru Řeků zmiňovanou v úvodu článku.
Jakmile už se vám nějaký trojský kůň do počítače dostal, můžete jej detekovat a v některých případech odstranit antivirovým programem nebo povolat na pomoc specializované aplikace. Reprezentantem posledně jmenované kategorie je například Anti-Trojan Shield, jehož databáze v současné době obsahuje sekvence přibližně deseti tisíc škůdců. Dále tato aplikace poskytuje klasický rezidentní štít, který umožňuje monitorování dat v reálném čase. Z řady dalších utilit podobného zaměření stojí za zmínku také Trojan Guarder od společnosti Your-Soft, která pomocí svého procesu Guard Ghost v reálném čase skenuje operační paměť, soubory na disku a porty na přítomnost známých trojských koňů a červů.
Dobře zpracovaným grafickým rozhraním se může pochlubit utilita The Cleaner od společnosti MooSoft, na jejíž domovské stránce lze nalézt také online databázi známých škůdců. Po stažení této aplikace není na škodu provést ihned update databáze, protože ta v ní obsažená je bezmála rok stará. Současná, pravidelně aktualizovaná databáze se řadí mezi ty nejobsáhlejší. Všechny doposud uvedené aplikace patří mezi placené, takže si jich užijete maximálně měsíc a pak si případně musíte obstarat plnou verzi.
Naproti tomu společnost MinuteGroup volí strategii, která je typická například pro výrobce firewallů – svůj produkt vCatch totiž nabízí ve dvou verzích Basic a Premium. Prvně jmenovanou verzi můžete získat zcela zdarma, což je vykompenzováno zobrazováním reklamy při jejím používání. Zajímavou vlastností je možnost nastavení citlivosti skeneru, který poskytuje tři úrovně bezpečnosti – Low, Medium, High. Soubor je přitom označen za škodlivý při hranicích analyzovaného rizika po řadě 75, 50 a 25 procent.
Ze seznamu představovaných aplikací mírně vybočuje Anti Keylogger od společnosti Spydex, která, jak již sám její název napovídá, slouží k detekci programů monitorujících stisknuté klávesy. K dispozici je ve dvou verzích – Advanced Keylogger a Advanced Keylogger Lite, kdy první z nich nabízí jemnější nastavování pravidel pro důvěryhodné programy a ty ostatní.
Ochrana především
Trojské koně představují další z řady hrozeb, které na uživatele číhají a často skrytě čekají na správný čas útoku. Dodržováním základních pravidel při práci s neznámými emailovými přílohami, pomocí správně nakonfigurovaného firewallu a nikdy nespícího antivirového systému se jim však každý může do velké míry bránit. A pokud se vám někdy někdo bude snažit podstrčit nějaký ten softwarový dáreček, zkuste si vzpomenout na starou Tróju.
