Definição de Trojan

O nome trojan é uma alusão à história do antigo cavalo de tróia, em que o governante da cidade de Tróia na antiga Grécia foi presenteado com um cavalo de madeira no qual havia escondido soldados inimigos. Possui muitas características similares aos vírus, tais como: perda de arquivos, falhas na memória, erros em periféricos, etc... A grande diferença é que o trojan pode ser considerado um vírus inteligente, pois é controlado à distância pela pessoa que o instalou. Esse indivíduo então, consegue “enxergar” o seu computador, podendo realizar desde as mais simples tarefas como mexer o mouse à utilização do seu IP como ponte para outros ataques. Conseguem ficar escondidos em arquivos de inicialização do sistema operacional e se iniciam toda vez que a máquina é ligada.

Perigo real
A popularização da Internet e a facilidade de se criar um programa cavalo de tróia fazem com que esse método de invasão seja atualmente o mais perigoso de todos. Ele não depende de falhas no seu sistema, é quase indetectável e pela sua facilidade de uso pode ser operado por crianças de 6 anos. Pode-se esconder um trojan em fotos, arquivos de música, aplicativos e jogos. Sendo assim, nunca abra arquivos executáveis enviados por estranhos ou pegos em sites duvidosos. Existem muitas técnicas para se instalar um trojan em uma máquina. Um bom exemplo no Windows 98/ME é mapeando a unidade desse computador (netbios), copiar o programa e alterar o arquivo win.ini Assim toda vez que você for jogar paciência ou mesmo abrir o bloco de notas, tome cuidado com o tamanho do arquivo executável. Se estiver muito grande, desconfie.

Tipos de cavalo de tróia

Invasão por portas TCP e UDP
Esse é o trojan mais comum existente na Internet hoje. Netbus, Back Orifice, SubSeven, Hack’a’tack, Girlfriend, Netsphere e muitos outros são facilmente encontrados pela rede. Possuem na sua maioria dois arquivos: um servidor para ser instalado no computador da vítima e um cliente com interface gráfica para manipular o servidor remotamente. As portas de um sistema variam entre 0 e 65535 e servem para identificar serviços rodando no sistema( como o servidor web que utiliza a porta 80). O servidor se torna mais um serviço ao escolher alguma porta para “escutar” as chamadas do cliente.O trojan que utiliza portas TCP, estabelece uma conexão com o servidor, atuando diretamente de dentro do sistema. Já o que utiliza portas UDP, comunica-se via pacotes de dados enviados ao host alvo. Não tão confiável como o TCP, não garante a entrega dos pacotes e o recebimento da resposta. Quase todos os trojans atuais são para a arquitetura Windows. Os poucos existentes em outros sistemas, tais como: Unix, Linux, Novell e Macintosh são chamados de backdoors. A diferença entre o trojan comum e o backdoor é que o último é muito mais difícil de se instalar. Em um sistema Unix por exemplo, para conseguir se instalar um backdoor é preciso possuir privilégios de super usuário (root).

Trojans de informação
Não é tão usado quanto o de portas mas igualmente (ou até mais) perigoso. Enquanto a maioria das funções dos trojans comuns é apenas para aborrecer( sumir com a barra de tarefas, apagar o monitor, desligar o Windows, etc...), o trojan de informação se concentra em ficar residente detectando todos os tipos de dados vitais do sistema. Ele consegue toda senha digitada no servidor junto ao endereço ip das máquinas e envia a informação para uma conta de e-mail configurada pelo invasor. Existem alguns programas mais sofisticados que além de enviar por e-mail, pode enviar a informação por icq ou qualquer outro tipo de messenger. Geralmente o programa envia a informação em um prazo de cada 5 a 10 minutos. Ao contrário do trojan de portas, possui apenas o arquivo servidor e um tamanho bem menor. Exemplo: o servidor do trojan de portas Netbus possui cerca de 490 kb de tamanho. Já o trojan de informações k2ps possui cerca de 17 kb.

Trojans de ponte
É um tipo não muito conhecido mas largamente usado por hackers e crackers do mundo inteiro. Consiste em instalar um servidor no seu computador que possibilite que através dele (e do seu endereço ip) o invasor possa realizar ataques de invasão e de recusa de serviço. Então, se um grande site for invadido e baterem na sua casa, procure pois deve haver algum desses no seu sistema. Um programa comum é o WinProxy, que pode ser instalado facilmente e não levanta nenhum tipo de suspeitas. Conheço alguém que o possui na sua máquina e jura que é um firewall. Leia mais sobre os trojans de ponte na seção anonimidade.

Rootkits
Esse tipo especial de backdoor é utilizado no Unix e Linux. Ao ser executado pelo operador do sistema ele substitui arquivos executáveis importantes (como o ps por exemplo) por versões “infectadas”. Essas versões podem ser tanto trojans de portas quanto de informação. Vão fornecer acesso irrestrito ao invasor com poderes de super-usuário, e o mais importante: os acessos não ficam registrados nos logs. Para conhecer alguns dos rootkits mais usados e o tipo de alteração causada por eles, visite o website: www.rootshell.com.

Trojans comerciais
Alguém já ouviu falar do PcAnywhere? Ou do terminal remoto do Windows 2000 e XP? Esses programas (além de muitos outros) possibilitam que você controle completamente a máquina de alguém, como se estivesse sentado ali. Quer jogar Quake no computador invadido? Clique no botão iniciar dele e faça tudo como se estivesse no seu próprio computador. A vantagem desses programas (já que são comerciais), é que o anti-vírus não pega. Tente também o excelente VNC (que pode ser pego em www.superdownloads.com.br), que é gratuito. Se você configurar direitinho um programa desses na vítima, seja piedoso.