Glossario

Trojan Horse

La prima cosa che viene in mente leggendo la parola Trojan Horse (letteralmente Cavallo di Troia) sono i tool di amministrazione remota, le famose Back Door.
In realtà, con il termine Trojan Horse si intendono tutti quei programmi che, sotto le false spoglie di software "pacifici", si introducono nel sistema vittima e svolgono funzioni dannose, proprio come fece Ulisse per espugnare Troia. Pur essendo riconosciuti generalmente come "virus", differiscono da essi perché generalmente non hanno la capacità di autoreplicarsi.

Le Tipologie

I Trojan più conosciuti sono sicuramente le cosiddette Back Door (o R.A.T. "Remote Access Tool" o anche Trojan Client-Server) che permettono di gestire un sistema remoto tramite protocollo TCP/IP. Nati con lo scopo di facilitare il lavoro di chi ha la necessità di lavorare su macchine remote, permettono di avere il pieno controllo del sistema infetto.

I Trojan Distruttivi (Descructive Trojan) rappresentano una seconda tipologia di Trojan Horse. Vengono utilizzati per lo più da chi vuole far danni ad una sola macchina e vengono spesso confusi con i virus ma il loro unico punto in comune è l'azione distruttiva: infatti i Destructive Trojan non si replicano e sono composti da codici molto semplici. Non per questo sono da considerare innocui, anzi.

Un'altra distinzione all'interno della famiglia sono i Trojan Ladri di Password. Sono scarsamente utilizzati e dovrebbero permettere (dico dovrebbero perché spesso non funzionano) di rubare delle password (ad esempio quella della casella di posta).

Leggermente più conosciuti sono i Chat Trojan che, spesso non riconosciuti come veri e propri Trojan, sono dei programmi in grado di svolgere diverse funzioni tramite le chat.

Come difendersi

Prevenire. Che dire? Beh, sicuramente la prima regola per evitare infezioni è: non fidarti se non di te stesso (e in certi casi, non fidarti nemmeno di te stesso; non cedere mai alla curiosità di sapere che cosa c'è nell'allegato, anche se la mail viene dalla casella del tuo migliore amico, non è detto che sia stato lui a mandarla... Le stesse regole che evitano le infezioni di virus e worm, sono efficaci anche sul campo trojan. Da sole però non bastano, la mancanza di autoreplicazione infatti, se è un vantaggio da una parte, non lo è dall'altra: non dobbiamo difendere la nostra macchina da un programma (quindi da un qualcosa di ripetitivo, che esegue determinati comandi) ma da una persona che ragiona a modo suo, non seguendo determinati schemi o comandi, e questo rappresenta un pericolo. E' vero, è un ragionamento paranoico, la rete non è poi così piena di individui che aspettano solo di entrare nel nostro computer (anche perché non contiene informazioni così preziose), ma serve comunque a essere un pochino più cauti, risparmiandoci errori stupidi.

Inutile ricordare che un antivirus non aggiornato è un antivirus semi-inutile e che una scansione ogni tanto non nuoce. Importante è anche avere un CD o comunque delle copie dei dati importanti, custodite al di fuori del PC connesso alla rete, in modo da limitare gli eventuali danni. Nel campo dei trojan però, dobbiamo ricordarci che il rischio più grande non è quello di perdere dei dati (o anche tutti i dati): il pericolo reale è che un intruso può usare la nostra macchina per ridirezionare il flusso dei dati. In poche parole, l'intruso navigherà con il nostro IP e, se farà danni, i responsabili potremmo risultare noi.

Come evitarlo?

Come disse non mi ricordo più chi, "l'unico computer sicuro è quello sconnesso, spento e chiuso in una stanza schermata da due metri di piombo... e anche in questo caso ho dei dubbi" Ovviamente la situazione non è così grave, basterebbe essere sconnessi... già, ma così non potremo accedere alla rete... quindi ecco che ci vengono incontro i firewalls. Personalmente consiglio ATGuard e Conseal (utilizzati insieme danno una buona protezione, anzi veramente buona). Questi programmi controllano costantemente tutte le connessioni della macchina e chiedono conferma per ogni tipo di comunicazione, cosa che blocca i tentativi di lamer e simili ("per Hacker veri... speriamo che non facciano troppi danni").

Curare il nostro antivirus di fiducia (aggiornato) dovrebbe eliminare il problema, ma non è sempre così. Se il risultato della scansione non ci soddisfa, dobbiamo innanzitutto sapere il più possibile su che tipo di trojan è installato sul nostro PC: la "port list" potrebbe tornarci utili qualora con il comando "netstat" (ne parleremo più sotto) scoprissimo comunicazioni sospette su una determinata porta. Una volta scoperto di che si tratta, possiamo seguire diverse strategie: la più facile penso sia procurarsi il client e chiudere il server per poi eliminarlo manualmente. Altro metodo consiste nel controllare manualmente il registro di configurazione, eliminando comandi sospetti nella chiave
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run",
stando ovviamente attenti a non cancellare cose utili (o vitali).

Una volta eliminata la chiamata "maligna" potremo eliminare il server dal nostro sistema solo dopo aver riavviato; infatti non potremo cancellare il file poichè questo risulta in esecuzione. In rete si possono trovare dei tool (Netbuster e simili) per eliminare i server dei trojan più famosi. Queste applicazioni sono efficaci la maggior parte delle volte, però spesso hanno il brutto difetto di nascondere altri server di altri trojan... quindi valutatene voi la validità. Dimenticavo: spesso i server sono accompagnati da un file con estensione dll. Questo è il file dedicato al keylogger... di per se non è pericoloso perchè, una volta eliminato il server, cade in disuso: prima di rischiare di eliminare una dll utile, è meglio pensarci due volte; comunque i nomi delle dll possono essere cambiati (non nella configurazione dei server ma in hex) quindi... forse è meglio lasciarle dove sono.

Netstat, ovvero il miglior amico di chi non si sente al sicuro. Netstat si trova in c:\windows ed è un programma MS-DOS, quindi per lanciarlo bisogna prima aprire il prompt dos e poi digitarne il nome. Netstat è in grado di visualizzare e monitorare tutte le connessioni e le porte in ascolto della nostra macchina, quindi può anche dirci se c'è qualche demone in ascolto su qualche porta. Il comando netstat è seguito da diversi parametri, in questo modo: NETSTAT [-a] [-e] [-n] [-s] [-p XX] [-r] [intervallo]-a: Visualizza tutte le connessioni e le porte di ascolto. -e: Visualizza le statistiche Ethernet. L'opzione può essere associata al parametro -s. -n: Visualizza gli indirizzi e i numeri di porta in forma numerica. -p
XX visualizza connessioni del protocollo specificato da "XX" questo può essere TCP o UDP. Se usato con l'opzione -s per le statistiche, "XX" può essere TCP, UDP, o IP. -r: Visualizza la tabella di routing. -s: Visualizza le statistiche per protocollo. Per impostazione predefinita, le statistiche sono visualizzate per TCP, UDP e IP; l'opzione -p può essere utilizzata per specificare un sottoinsieme dell'impostazione predefinita.

Intervallo rivisualizza le statistiche selezionate, interrompendo per un numero di secondi pari a "intervallo" tra ogni visualizzazione. Premere CTRL+C per fermare la visualizzazione delle statistiche. Se omesso, netstat stamperà le informazioni di configurazione correnti una sola volta. Quindi, lanciando "NETSTAT -an 20" avremo un rapporto aggiornato ogni 20 secondi sulle connessioni della macchina, le porte in ascolto, gli indirizzi (in formato numerico) e le porte delle macchine a cui siamo connessi. Da tenere sott'occhio sono le porte remote, sapendo che la 80 (o anche 8080) è usata dai server web (non dei trojan ma da quelli che ospitano i siti), la 21 dal protocollo ftp, la 23 da telnet, la 25 per SMPT e la 110 per POP3 e che generalmente le porte dalla 1 alla 1024 vengono usate da programmi conosciuti e non bellicosi, se ci troviamo connessi a una porta remota più alta di 1024 e non dovrebbe essere così... bhè, allora sapremo su che porta comunica il trojan e, con ogni probabilità, avremo l'IP dell'intruso...

Oggi, giovedě 9 settembre 2010

[25/08/2007]
Prezzi energia elettrica - Rapporto di Confartigianato

Per imprese italiane bolletta elettrica più cara di 6 miliardi/anno rispetto a media Ue Maggiori costi in Lombardia (+ 1,4 mld), Veneto (+ 663...

 continua
[28/05/2007]
Lo Stato decide il numero dei lavoratori delle imprese

Confartigianato: "Lo Stato decide il numero dei lavoratori delle imprese. Inaccettabile invasione di stampo ‘sovietico' in economia, inutile pe...

 continua
[28/05/2007]
La giustizia-lumaca costa alle imprese 2,3 miliardi.

Gli imprenditori italiani, per avere giustizia in una causa civile, devono attendere in media 1.765 giorni (4 anni, 10 mesi e 5 giorni) tra primo e se...

 continua