7. august 2006		Hva er en trojansk hest? Trojanske hester er et utbredt virus som i stadig større grad rammer vanlige hjemmebrukere. Her skal vi førsøke å forklare hva disse virusene er, hvordan de blir brukt, og hvilke skader de kan gjøre.

Trojanske hester i dataverdenen ligner litt på trehesten fra historien om slaget om Troj. De sniker seg inn i datamaskinene våre, eller blir bragt inn av eieren, ofte i skjul av å være nytteprogrammer eller uskyldige morro-filer, og når de først har fått tilgang tar de gjerne over hele maskinen. Trojanske hester er i prinsippet små programmer som tillater at utenforstående kan styre all aktiviter på maskinen, eller små selvstendige programmer med forhåndinnstilte funksjoner. En Remote Administrator Trojan (RAT) kan bruke maskinen til å utføre banktjenester, logge all aktivitet, laste opp/ned filer til/fra nettet, åpne CD-skuffen, spre andre virus og tilogmed avlytte og filme rommet maskinen står i...

Dette er trojanske hester: Et uaotorisert program skjult i et legitimt program. Dette uatoriserte programmet gjør ting mot den affisertes viten og vilje. Et legitimt program som har blitt endret ved plassering av uatorisert kode i programmet. Denne koden gjør ting uten den affisertes viten og vilje. Ethvert program som tilsynelatende utfører ønskede og/eller nødvendige funksjoner, men som (på grunn av uautorisert kode i programmet, ukjent for brukeren) utfører skjulte funksjoner mot den affisertes viten og vilje.

Remote Administrator Trojans - aka RATs
De mest utbredte trojanske hester kalles RATs, eller "Remote Administration Trojans/Remote Administration Tools/Remote Accsess Trojans/Remote Accsess Tools".

RATs består av både en klient/client og en tjener/server. Det er server-delen man blir infisert av, og det er denne uatoriserte serveren som åpner en port på datamaskinen din. For at man skal kunne koble seg opp mot denne serveren, må en angriper vite hvilken IP-adresse du har, og hvilken port serveren er koblet til (lytter til). Det finnes mange måter å finne noens IP-adresse på, og alle trojanske servere har porter som de defaulter til. Hvis inntrengeren har et klient-program for f.eks. Trojaneren SubSeven2.2, er han kun interessert i å finne IP-adresser med porten: 27374 åpen. Man kan enkelt og greit scanne etter denne porten på bestemte IP-adresse, f.eks. fra IP: 198.0.0.0 til 198.255.255.255. En million scanninger trenger ikke ta mer enn minutter, og man sitter igjen med en liste over IP-adresser (datamaskiner) som sannsynligvis er infisert med SubSeven2.2. Dette blir kalt PortScanning. Flere RATs har portsanning-funksjoner innebygget, og andre servere har automatisk varsling av IP-adressen til maskinen de har infisert. Dette betyr i praksis at serveren sender ut informasjon til en bestemt destinasjon på nettet, og at inntrengeren kan hente denne informasjonen fra f.eks. en bestemt e-mail-konto, en IRC-kanal e.l.

!!! - Hvis du ønsker å få tak i noens IP-adresse via ICQ, er det bare å sjekke deres info, eller å skrive "netstat" i kommandovinduet i dos. Hvis brukeren er på IRC, er det bare å skrive /dns nickname, med brukerens nickname - !!!

Hver enkelt RAT har egne funksjoner. De fleste har en "file manager" tilgjengelig. Ved bruk av denne, kan inntrengeren se, slette, flytte, laste opp/ned eller eksekvere hvilken som helst fil/program på offerets harddisk. File manageren er derfor en av de største farene ved trojanere, ettersom den tillater stort sett hva som helst. Det kan lastes ned nye virus eller Trojanere, åpnes FTP-kataloger med diverse uønskede/ulovlige filer som hvem som helst kan gis tilgang til. Enkelte har innebygde funksjoner for å slette hele offerets C:/ disk, de fleste kan hente ut passord og brukernavn, mange kan logge tastetrykk, og noen kan forandre Windows oppstartsregister. I tillegg har mange av dem ufarlige funksjoner, som skjuling av musepeker, åpning av CD-skuff, restarte maskinen, sende offer til URLer, vise bilder og tekst eller lage lyder. Mulighetene er egentlig ubegrensede når man først er smittet. Flere av de største Trojanerene har støtte for Plug-Ins, som gjør at inntrengeren kan avlytte via maskinens mikrofon og filme via evt. installert kamera/webkamera.

Hva er den praktiske faren ved Trojanske hester?
Det vanligste en innbruddstyv vil se etter inkluderer (men utelukker ikke annet):

• Kredittkort opplysninger
  
• Kredittopplysninger
  
• Alle kontoopplysninger
  
• Informasjon om databaser
  
• Mail-lister
  
• Adresser
  
• E-mail adresser
  
• Passord og brukernavn
  
• Personlige opplysninger (CV, familiemedlemmer, etc.)
  
• Opplysninger om firmaer
  
• Private brev
  
• Bilder
  

Ingen ønsker at denne type informasjon skal være tilgjengelig for uvedkommende. Trojanske virus blir stadig oppdatert for å ikke bli oppdaget av Antivirus programmer, og nye blir utviklet daglig. Informasjonen presentert ovenfor begrenser på ingen måte omfanget til nevnte punkter, da den største trusselen er de virus som ikke er laget enda, som vi kanskje ikke kan forestille oss omfanget av.

Trojanere sprer seg oftest via andre programmer eller filer fra nettet. Med haugevis av nye programmer tilgjengelige daglig, og særlig gratis-programmer, er det ekstra viktig å praktisere "safe hex". I nett-verdenen er det nyttig å anta at alt og alle er skyldige, til det motsatte er bevist. Et snev av paranoja er å foretrekke fremfor en infisert maskin.