آشنایی با تروجان ها یا اسب های تراوا (Trojan Horse )

یونانیان باستان پس از این که نتوانستند شهر تراوا رو پس از ده سال محاصره تسخیر کنند،یک کلک خیلی با حال زدن،اون ها یک اسب چوبی بسیار بزرگ ساختن و تعدادی از لشکریان خودشون رو در داخل اسب گذاشتن سپس بقیه لشکریان رو عقب کشدیدن،اهالی شهر تراوا هم فکر کردند که اون ها عقب نشینی کرده اند به همین دلیل اون اسب رو به عنوان غنیمت به شهر خودشون آوردن،شبانگاه افرادی که در داخل اسب بودن از اون خارج شدن و دروازه های شهر رو به روی لشکریان خودشون باز کردند واین طوری شهر سقوط کرد.

● اسب های تراوای اینترنتی
در برنامه های کامپیوتری و اصطلاحات کلمه Trojan مترادف برنامه های است که در ظاهری ساده اما باطنی خطر ناک دارن.

مثلا وقتی که شما یک نرم افزار را به گمان این که Screen Saver است از اینترنت دانلود می کنید.ولی در واقع بعد از اجرا شدن ،شروع به پاک کردن اطلاعات و یا غیر فعال کردن عوامل امنیتی دستگاه می کند تا هکر بتواند به راحتی وارد سیستم شما بشود.

این برنامه ها (تحت عنوان تروجان) می توانند به صورت هر نوع برنامه ایی ظاهر شوند و فعالیتی کاملا متفاوت از آن چه در انتظار می رود را انجام دهند،اونا ها می تونن به صورت بازی،اسکرین سیور ،اپدیت کننده نرم افزار های مختلف و حتی تحت عنوان برنامه های Anti Trojan ظاهر بشن.

● از چه راههایی می تونن وارد بشن؟
این برنامه های موذی از راه های بسیاری می تونن وارد بشن ولی مرسوم ترین راه این نوع برنامه ها دانلود کردن فایل های آلوده از از اینترنت است.

راه های دیگر وارد شدنشون به این صورته:

1) ضمیمه شدن(Attechment ) به یک EMAIL
2) جاسازی شدن در متن HTML
3) از طریق دیسکت ها
4) ضمیمه شدن به یک برنامه
5) در حال فرستادن یا دریافت فایلی از طریق IM

بلاخره یک هکر تمام سعی خودشو میکنه تا از سیستم دفاعی دستگاه شما عبور کنه.

و اما راه های مخفی شدن یک Trojan :

1) ربودن یک آیکن آشنا
2) تغییر نام دادن یک فایل
3) Packing
4) Binding

مرسوم ترین روش یک آیکون آشنا است که این برنامه های مخرب به کار می گیرن ،وقتی روی آیکن مورد نظر کلیک کنید.Trojan برنامه رو در حالت عادی اجرا میکند.تا شما شک نکنید ولی در همین حال مشغول انجام عملیات خرابکارانه خودشه.

راه دیگر تغییر نام فایل هاست. تروجان نام یکی از فایل هایی است که بسیار مورد استفاده شماست رو می گیره و به خود نامی آشنا میده.

راه دیگر Paching است به معنای انجام مراحلی است که باعث میشه برنامه فضای کمتری رودر هارد اشغال کند ،البته این کار باعث میشه که ساختار برنامه به طور کلی تغییر کنه. در نتیجه شناسایی اونها توسط آنتی ویروس ها و آنتی تروجان ها مشکل بشه.

راه دیگر Binding است یعنی ضمیمه کردن کدهای خرابکارانه به برنامه ها.این طوری وقتی برنامه اجرا می شود همزمان با آن Trojan هم شروع به فعالیت می کند.

اما برسیم به صدماتی که این برنامه های مخرب (Trojan ) می تونن به سیستم شما وارد کنن:

توجه داشته باشین که مهمترین فعالیت اونها این است که امکان دستیابی مستقیم به سیستم را فراهم می کنند (در این صورت به نام RAT شناخته میشوند).در اینرتنت هزاران RAT وجود دارد که اکثرشون مجانی هستن و کار با اونها این قدر آسونه که حتی افرادی که اطلاع کمی در زمینه کامپیوتر دارن می تونن اونها رو فعال کنند.RAT ها می تونن کنترل سیستم شما رو به دست بگیرن یا اینکه چند عمل زیر را انجام دهند:

● فایل ها رو کپی کنن،نام اونها رو تغییر بدن یا آنها رو پاک کنند
● نشانه گر موس رو مخفی کنن
● کامپیوتر رو Reboot کنن
● کلمات عبور شما رو بدزدند
● ارتباط شما رو به اینترنت وصل یا قطع کنن
● کنترل Webcam شما رو به دست بگیرن
● ایمیل های مختلفی بفرستند یا دریافت کنن (بدون این که شما بفهمید)
● قفل شدن ماوس و کیبورد
● باز و بسته شدن CD ROM خود به خود
● مرورگر تون به صفحه وب ناشناسی می رود
● غیب شدن نوار وظیفه یا غیب شدن دکمه START
● نصب خود به خود برنامه ها

اینها صماتی هستن که ترو جان ها می تونن به دستگاه شما بزنن ( البته نه همشون با هم)

نکاتی برای جلو گیری از ورود این برنامه های مخرب:

1. فایروال ویندوز رو فعال کنید (اگر XP دارید)
2. از فایروال های معروف و مستحکم استفاده کنید ( مثل:McAfee ، ZoneAlarm )
3ـ Patch های ماهیانه ماکروسافت رو حتما در یافت کنید (اونهایی رو هم که ماله ماههای پیش هستن و ندراین رو هم در صورت امکان بگیرین)
4ـ اگر ایمیل ناشناخته ایی در یافت می کنید که حاوی فایل ضمیمه ایی است.در صورت امکان پاکش کنید (زیاد کنجکاوی نکنید)
5ـ اگر ایمیل ناشناخته ایی در یافت کردید که درون آن لینکی قرار داشت و می خواست شما رو به اون صفحه هدایت کنه،بدون شک اون ایمیل رو پاک کنید.
6ـ از ویروس کش های قدرتمند استفاده کنید و سعی کنید هفته ایی یکبار یا دو هفته ایی یکبار اونها رو آپدیت کنید.
7ـ در کنار ویروس کش های قوی از Anti Spyware و Anti Trojan های معروف و قدرتمند هم استفاده کنید.
8ـ همیشه به اخبار و اطلاعات جدیدترین ویروس های که منتشر میشن گوش بدهید یا بخوانید.

آشنایی با نحوه عملکرد تروجان های اینترنتی

  ● مقدمه:
با گسترش فرهنگ استفاده از کامپیوتر و راهیابی آن به ادارات، منازل، این ابزار از حالت آکادمیک و تحقیقاتی بدر آمد و مبدل به پاره ای از نیازهای معمول زندگی شد. یکی از دستاوردهای این پیشرفت، ظهور شبکه اینترنت است که به سرعت در کشورها توسعه یافته و به یک پدیده اجتماعی مبدل گشته است.

اجتماع بزرگ کاربران اینترنت در سرتاسر دنیا از هر منطقه و نژادی که باشند شامل افراد خوب و بد خواهند بود، عده ای در جهت کسب منافع برای خود و دیگران تلاش می کنند و عده ای در جهت جذب منابع دیگران برای خود. با توجه به نو پا بودن اینترنت نمی توان انتظار داشت که یک فرهنگ صحیح و غنی بر آن حاکم شده باشد و لذا احتمال سرقت اطلاعات و یا دستکاری و انهدام آنها بنا به انگیزه های ناسالم، اهداف سیاسی، جذب نامشروع ثروت می رود.

● یک Trojan Horse چیست؟
می توان تعاریف زیر را مطرح کرد:

یک برنامه ظاهرا بدون نویسنده یا به عبارتی با یک نویسنده غیر مشخص که اعمال ناشناخته و حتی ناخواسته از طرف کاربر انجام دهد.
یک برنامه قانونی و معروف که داخلش دگرگون شده است، بطوری که کدهای ناشناخته ای به آن اضافه گردیده و اعمال شناخته نشده ای بطور ناخواسته از طرف کاربر انجام می دهند.
هر برنامه ای که ظاهر مطلوب پسندیده ای به همراه برخی از اعمال مورد نیاز داشته باشد بطوریکه کدهای محقق شده ای که از نظر کاربر مخفی است درون آن موجود می باشد. یک سری اعمال نا شناخته و غیر منتظره ای که بطور حتم با نظر کاربر نبوده است را انجام می دهد.

اسب تراوا نامی است که از یک افسانه قدیمی گرفته شده که درباره چگونگی نفوذ یونانیان بر محل دشمنان خود از طریق ساختن یک اسب بزرگ و هدیه دادن آن به دشمن که نیروهایشان در داخل مجسمه اسب قرارگرفته بودند. هنگام شب سربازان یونانی اسب را شکستند و به دشمنانشان حمله نمودند و بطور کامل آنها غافلگیر کردند و در جنگ پیروز شدند.

تروجان ها چگونه کار می کنند؟
تروجان ها به دو قسمت تقسیم می شوند. یک قسمت Client (خدمات گیرنده) و دیگری Server (خدمات دهنده). وقتی قربانی ندانسته قسمت Server را روی سیستم خودش اجرا می کند. حمله کننده بوسیله قسمت Client با Server که روی کامپیوتر قربانی است متصل می شود و از آن پس می تواند کنترل سیستم قربانی را در دست بگیرد . پروتکل TCP/IP که استاندارد معمول برای برقراری ارتباطات است به این تروجان آلوده میشود و تروجان از طریق آن کارش را انجام می دهد. البته لازم به ذکر است که برخی اعمال تروجانها نیز از پروتکل UDP استفاده می کنند. معمولا زمانی که Server روی کامپیوتر قربانی اجرا می شود. خود را در جایی از حافظه مخفی می کند تا پیدا کردن یا تشخیص آن مشکل شود و به برخی درگاههای خاص (Port) گوش می دهد تا ببیند درخواست ارتباطی به سیستم از طرف حمله کننده آمده است یا نه، از طرفی رجیستری را نیز به گونه ای ویرایش می کند که برخی از اعمال بطور خودکار روی سیستم شروع به کار کنند.

برای نفوذ کننده لازم است که IP قربانی را بداند برای اینکه بتواند به سیستم او متصل شود. اکثر قریب به اتفاق تروجانها بصورتی برنامه ریزی شده اند که IP قربانی را برای حمله کننده ارسال می کنند همانند سیستم پیغام گذار از طریق ICQ یا IRS . این زمانی اتفاق می افتد که قربانی IP دینامیک داشته باشد بدین معنی که هر زمان به اینترنت متصل میشود و یک IP متفاوت از قبل داشته باشد که اغلب سیستم هایی که به روش dial up به اینترنت متصل می شوند از این قانون پیروی می کنند. کاربران ASDL معمولا IP های ثابت دارند به همین علت IP آلوده شده همواره برای حمله کننده شناخته شده است و این حالت باعث تسهیل درامر اتصال به سیستم قربانی می گردد.

اغلب تروجانها از روش شروع اتوماتیک استفاده می کنند. بصورتی که اگر شما کامپیوترتان را خاموش کنید آنها قادر خواهند بود  که فعالیتهایشان را مجددا ً آغاز کنند و دسترسی لازم به حمله کننده را روی سیستم شما بدهند و ساختن تروجانها با قابلیت شروع روشهایی هستند که همیشه مورد استفاده قرار می گیرند. یکی از این روشها، محلق کردن تروجان به یک فایل اجرایی که کاربرد زیادی دارد می باشد، به عبارت دیگر محلق نمودن تروجان به یک برنامه پرکاربرد ، موجب عملی شدن تفکرات حمله کننده خواهد شد. روشهای شناخته شده نیز همانند دستکاری فایلهای ریجستری ویندوز می تواند به عملی شدن افکار حمله کننده بیانجامد. فایلهای سیستمی ویندوز قرار دارند که می توانند بهترین انتخابهای حمله کنندگان باشند.