PHẦN I:GIỚI THIỆU CHUNG Hooker thực chất là một loại Trojan mã nguồn mở.Trojan là một chương trình bất hợp pháp được chứa bên trong một chương trình hợp pháp.Chương trình không hợp pháp
Trang 1PHẦN I:GIỚI THIỆU CHUNG
Hooker thực chất là một loại Trojan mã nguồn mở.Trojan là một chương trình bất hợp pháp được chứa bên trong một chương trình hợp pháp.Chương trình không hợp pháp này thực hiện những hàm bí mật mà người dùng
không biết hay không dùng đến.Về chức năng của Trojan chúng tôi sẽ đề cập đến trong phần sau.Mặt khác Trojan cũng có thể được gọi là một con chuột hay là những công cụ quản trị từ xa
Ngày nay Trojan luôn luôn là một vấn đề lớn trong vấn đề bảo mật và an toàn trên mạng.Nhiều người không biết Trojan là gì và họ tải xuống những file mà không biết rõ nguồn gốc.Hiện nay có hơn 1000 trojan và có thể nhiều hơn nữa, vì mỗi hacker, mỗi lập trình viên hay mỗi nhóm hacker đều viết Trojan riêng cho mình và những con Trojan này không được công bố lên mạng cho đến khi nó được phát hiện
Trojan: một chương trình máy tính trông có vẻ là hữu dụng nhưng thật ra
nó gây phá hủy.Trojan bị phát tán khi mọi người bị lôi kéo bởi một chương trình bởi vì họ nghĩ nó đến từ một nguồn hợp pháp.Trojan cũng có thể chứa trong phần mềm mà bạn tải xuống miễn phí
Khác với virus,Trojan là một đoạn mã chương trình hoàn toàn không có tính chất lây lan.Nó chỉ có thể được cài đặt bằng cách người tạo ra nó “lừa” nạn nhân,còn virus thì tự động tìm kiếm nạn nhân để lây lan
Phần mềm có chứa Trojan thường là có dạng chương trình tiên ích, phần mềm mới hấp dẫn nhằm dễ thu hút người sử dụng
Trong bài viết này chúng tôi sẽ trình bày với các bạn về Trojan và
Hooker.Những khái niệm cơ bản,cơ chế ly bám ,cách thức mở trộm tài khoản người dùng và làm sao nó có thể xâm nhập vào máy của bạn được?
Trang 2PHẦN II:NỘI DUNG
I.Sơ lược về virus Hooker:
1.Hooker là gì?
Thực ra gọi con Hooker này là virus thì cũng không đúng lắm vì đặc trưng nhất của virus là phải tự lây lan được Nó chỉ được xếp vào lọại Trojan thôi
2.Lịch sử của virus Hooker :
2.1.Version 1.0:
Đây mới chỉ là một chương trình thử nghiệm với khả năng hoạt động rất yếu (chỉ là một keylog đơn giản) Và nó đã được viết lại hoàn toàn trong phiên bản kế tiếp
2.2.Version 2.0:
Bây giờ nó gửi đi một keylog và sao chép mật khẩu dưới tệp (*.pwl) Sau đó nó thiết lập một đăng kí xác định đường dẫn cho người sử dụng Nó
có thể xác định kích thước tối đa của một tập tin log-file Sau khi gửi file-log
đi thì nó xoá file đó và lập file-log mới
Hooker sẽ thêm vào trước các từ mã trong tiêu đề và lưu trữ các tính năng này
2.3.Version 2.1:
Thêm các từ được gửi về sau khi đăng nhập tràn
2.4.Version 2.2 beta 1:
Cố định các lỗi rất lớn trong keylogging và móc nối các chức năng trong keylogdll khiến trojan trở nên ổn định hơn với nhiều chức năng hơn
Trang 32.5.Version 2.2 beta 2:
Cố đinh lỗi trong chức năng cho biết ngày giờ của hệ thống
2.6.Version 2.3 beta 1…4:
Nó phát hiện thêm lỗi kết nối RAS và cố định lỗi này.Đôi khi nó cũng xung đột với một vài chủ đề.Khi đó keyloggingDll được chứa trong LZW
2.7.Version 2.3 beta 5:
Hooker gửi đi các keylog Nếu trong cửa sổ chỉ có “.” điều đó có nghĩa
là trojan không thể gửi thư đi (Hooker chỉ cần làm đầy hộp thư với một lượng lớn các thư)
2.8.Version 2.3 beta 6:
Chỉ cần một chút thay đổi trong thủ tục gửi mail là hooker có thể bắt đầu trên máy mà không cần rasapi32.dll
2.9.Version 2.4:
Không có thêm phiên bản,đây là bản phát hành.Cố định ít lỗi trong tên người dùng và tên máy chủ phát hiện.Có thêm một vài tính năng:
Keylog đầy đủ: nếu không được kiểm tra Hoocker sẽ chỉ đăng nhập cửa sổ, nơi mà đã được keystrokes
Nâng cao đăng nhập: nếu không được kiểm tra, Hoocker sẽ không đăng nhập phím khoá mở rộng như shift,alt…
Ngoài ra còn cố định lỗi trong kết nối IP
II.Cách thức để virus tiếp cận vào máy:
Bạn có thể bị nhiễm từ rất nhiều nguồn:
Từ ICQ
Từ IRC
Từ file đính kèm trong mail
Truy cập trực tiếp
Mánh khóe
1.1 Từ ICQ
Trang 4Mọi người đều biết rằng ICQ không an toàn như thế nào và đó
là lý do vì sao vài người sử dụng nó
Nhưng nhiều người lại nghĩ rằng Trojan không thể lây lan trong khi họ đang nói chuyện có thể gửi cho họ một chú Trojan
Có thể bạn biết đến ICQ cho bạn một bug cho phép bạn gửi một file exe tới người khác nhưng khi đó người nhận nhìn như
có vẻ bạn đang gửi một file âm thanh, hình ảnh…
Ví dụ: Có người nào đó sẽ thay đổi biểu tượng của file.exe thành file.bmp, và nói với bạn rằng đây là hình của anh Bạn
sẽ download nó về và bum bum bum !!! Nhưng nếu người gửi file đổi tên file.exe thành bmp thì bạn đã an toàn, vì khi file.exe đổi tên thành bmp thì file.exe không thể thực hiện Nhưng khi file gửi đến bạn đúng là một con Trojan được kẹp chung với file hình ảnh và người gửi đã thay đổi icon của file.exe, khi đó
Trojan sẽ bắt đầu chay mà bạn không hề nghi ngờ, vì khi đó
nó vẫn hiện hình ảnh của một ai đó Đó là lý do mà hầu hết người dùng nói họ không chạy bất kỳ file nào trong khi họ đã lỡ lầm truyền vào mà không biết
1.2 Từ IRC:
Cũng giống như phương pháp lây truyền từ ICQ phương pháp lây truyền qua IRC cũng là lừa nạn nhân để chạy Trojan trong máy của mình
1.3.Từ mail:
Trojan được lây lan bằng mail và tốc đọ của nó rất nhanh Một cách đơn giản và thường dùng là Trojan sẽ lấy địa chỉ mail trong address book để phát tán cho những người bạn của bạn
Vì thế để đè phòng con virus này chúng ta hãy cài ngay
chương trình có thể kiểm tra mail trước khi download về và kiểm tra những mail đã được gửi đi
Trang 51.4 Từ truy cập trực tiếp:
Trong quá trình sử dụng máy tính thì có thể do lỗi truy nhập mà
họ có thể bị dính Trojan, hoặc do một người nào đó đã xâm nhập vào máy của mình và đã làm cho máy của ta bị Trojan tấn công
1.5 Một số thủ thuật và mánh khóe khác:
Trên các máy Microsoft Windows, người tấn công có thể đính kèm một Trojan vào một cái tên có vẻ lương thiện vào trong một thư điện tử với việc dụ người đọc mở tệp đính kèm ra Trojan thường là các tệp khả thi trên Windows và do đó sẽ có các đuôi như là exe, .com, bat, src hay pif Trong nhiều ứng dụng của Windows đã có cấu hình mặc định không cho phép hiển thị các đuôi này Do đó, nếu trojan có tên chẳng hạn là “Readme.txt.exe” thì tệp này sẽ hiển thị một cách mặc định thành “Readme.txt” và nó sẽ đánh lừa người dùng rằng đây chỉ là một loại hồ sơ văn bản không thể gây hại
Các biểu tượng cũng có thể được gán với các loại tệp khác nhau và có thể được đính kèm và thư điện tử Khi người này dùng , mở các biểu tượng thì các Trojan ẩn dấu sẽ tiến hành những tác hại bất ngờ.Hiện nay các Trojan không chỉ xóa các tệp , bí mật điều chỉnh cấu hình của máy tính bị nhiễm mà còn dùng máy này như là một cơ sở để tấn công các máy khác trong mạng
Lợi dụng một số lỗi của trình duyệt web, chẳng hạn như Internet
Explorer, để nhúng Trojan vào một trang web, khi người dùng xem trang này sẽ bị nhiễm Người dùng nên cập nhật các bản vá lỗi thường xuyên và dùng một trình duyệt web có độ bảo mật cao như Firefox
III.Cách thức hoạt động:
1 Sau khi trojan được kích hoạt chúng sẽ làm những việc như sau
Trang 6- Tìm vị trí an toàn để ẩn thân: Đoạn mã chính có thể tự tạo ra từ 2
đến 3 file và có thể nhiều hơn nữa để tìm một vị trí tốt mà ẩn , những nơi mà chúng thích nhất là sytem, system32, trong đó có một file gọi là kích hoạt thường là các file thi hành với đuôi có thể là com, .exe, bat, inf , 1 file dùng để lưu các hàm hoặc thư viện hoặc thông tin, nếu như file chứa thư viện thường có đuôi là dll, còn file chứa thông tin thường có đuôi là dat hoặc là tmp
- Giành quyền khởi động : Sau khi ẩn thân an toàn chúng bắt đầu
giành quyền khởi động bằng một số cách - đây là những nơi mà win
ưu tiên khởi động trước :
- Trong các Autostart Folder: ví dụ file khởi động của trojan là
trojan.exe thì
C:\Windows\Start Menu\Programs\startup\trojan.exe
Trong file C:\windows\Win.ini tại dòng lệnh
load=Trojan.exe
hoặc run=Trojan.exe
- Trong file c:\windows\system.ini sau dòng lệnh shell
Shell=Explorer.exe trojan.exe
Trojan sẽ tự động chạy khi file Explorer.exe chạy
- Trong Autoexec.bat
c:\ \Trojan.exe
- Explorer Startup
c:\explorer.exe,c:\ \trojan.exe
- Tạo một khóa trong Registry :
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run]
"trojan"="c:\ \Trojan.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\RunOnce]
"trojan"="c:\ \Trojan.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current
Trang 7"trojan"="c:\ \Trojan.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\RunServicesOnce]
"trojan"="c:\ \Trojan.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Run]
"trojan"="c:\ \Trojan.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\RunOnce]
"trojan"="c:\ \Trojan.exe"
- Trong Registry Shell Open với key là "%1 %*"
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\ope n\command]
trojan.exe "%1 %*"
- Trong 1 số ứng dụng mà cho phép một số chương trình chạy: ví dụ ICQ
[HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps\]
- Trong ActiveX
[HKEY_LOCAL_MACHINE\Software\Microsoft\Active
Setup\Installed Components\KeyName]
StubPath=C:\ \Trojan.exe
- Tiêu diệt các Phần mền antivirus và các firewall tức là những
chương trình chống lại nó bằng cách kiểm tra bộ nhớ và phát hiện nếu như 1 số file nào mà giống như list nằm trong file dữ liệu thì remove hoặc ngăn chặn lại :
Một số file có thể như sau :
ZONEALARM.EXE
WFINDV32.EXE
WEBSCANX.EXE
Trang 8VSHWIN32.EXE
VSECOMR.EXE
VSCAN40.EXE
VETTRAY.EXE
VET95.EXE
NT.98.EXET
CA.EXE
TBSCAN.EXE
SWEEP95.EXE
SPHINX.EXE
SMC.EXE
SERV95.EXE
SCRSCAN.EXE
SCANPM.EXE
SCAN95.EXE
SCAN32.EXE
SAFEWEB.EXE
RESCUE.EXE
RAV7WIN.EXE
RAV7.EXE
PERSFW.EXEP
CFWALLICON.EXE
PCCWIN98.EXE
PAVW.EXE
PAVSCHED.EXE
PAVCL.EXE
PADMIN.EXE
OUTPOST.EXE
NVC95.EXE
NUPGRADE.EXE
NORMIST.EXE
NMAIN.EXE
NISUM.EXE
NAVWNT.EXE
NAVW32.EXE
NAVNT.EXE
NAVLU32.EXE
NAVAPW32.EXE
Trang 9MPFTRAY.EXE
MOOLIVE.EXE
LUALL.EXE
LOOKOUT.EXE
LOCKDOWN2000.EXE
JEDI.EXE
IOMON98.EXE
IFACE.EXE
ICSUPPNT.EXE
ICSUPP95.EXEI
CMON.EXE
ICLOADNT.EXE
ICLOAD95.EXE
IBMAVSP.EXE
IBMASN.EXE
IAMSERV.EXE
IAMAPP.EXE
FRW.EXEFPROT.EXE
FP-WIN.EXE
FINDVIRU.EXE
F-STOPW.EXE
F-PROT95.EXE
F-PROT.EXE
FAGNT95.EXE
ESPWATCH.EXE
ESAFE.EXE
ECENGINE.EXE
DVP95_0.EXE
DVP95.EXE
CLEANER3.EXE
CLEANER.EXE
CLAW95CF.EXE
CLAW95.EXE
CFINET32.EXE
CFINET.EXE
CFIAUDIT.EXE
CFIADMIN.EXE
BLACKICE.EXE
BLACKD.EXE
Trang 10AVWIN95.EXE
AVSCHED32.EXE
AVPUPD.EXE
AVPTC32.EXE
AVPM.EXE
AVPDOS32.EXE
AVPCC.EXEAVP32.EXE
AVP.EXE
AVNT.EXE
AVKSERV.EXE
AVGCTRL.EXE
AVE32.EXE
AVCONSOL.EXE
AUTODOWN.EXE
APVXDWIN.EXE
ANTI-TROJAN.EXE
ACKWIN32.EXE
_AVPM.EXE
_AVPCC.EXE_
AVP32.EXE
2.Cách thức ngụy trang :
Do việc phân chia làm nhiều phần giúp Trojan rất nhiều trong việc ngụy trang nghĩa là những đoạn mã chính được nằm trong các thư viện dạng động có đuôi là dll với một phần tên có vẽ rất giống một thư viện của win làm cho rất khó phá hiện và được nẳm tại những nơi
có các file cùng kiểu với nó thường là thư mục C: \system , còn đoạn
mã có nhiệm vụ boot thì rất nhỏ có thể được mã hoá và hide khiến cho
ta nhẳm tưởng một file vô hại Để chống việc theo dõi của các phần mền anti chúng có thể tự thêm một số lệnh mà những lệnh này không ảnh hưởng tới phần logic của chương trình (chống lại việc mô phỏng hoá ) khiến cho nó có thể thay đổi kích thước file mỗi lần khởi động , hoặc có thể ẩn thân dưới một số chương trình mà mọi người thường dùng bẵng cách nối một dòng lệnh vào chương trình nào đó với các kiểu ( chèn đầu , chèn giữa hay chèn cuối mà không ảnh hưởng đến chương trình chủ ) , với cách này đoạn mã boot không dể dàng gì phát hiện , nếu có del đoạn mã boot trên disk thì khi chạy chương trình chủ thì đoạn mã boot vẫn hoạt động trở lại một cách bình thường Để tăng
Trang 11thêm việc ngụy trang chúng phải ẩn dưới taskbar nghĩa là nhấn
CTRL+ALT+DEL thì đoạn mã vẫn không hiện ra , hoặc tiến hành phá hủy dòng lệnh msconfig là dòng lệnh hiện các file khởi động của win Ngoài ra sau khi đoạn mã chính được kích hoạt thì đoạn mã boot vừa tạo thành lại có dòng lệnh kiểm tra xem và del luôn cả chương trình chính khiến cho việc ẩn thân càng kín đáo hơn Chính vì nhiệm vụ lấy thông tin cần phải kín đáo nên trojan lấy việc kín đáo và ẩn thân là rất quan trọng
2.1.Tiến hành việc lấy thông tin :
Tuỳ theo người thiết kế ra trojan mà thông tin lấy có nhiều kiểu khác nhau nhưng chủ yếu là làm những nhiệm vụ sau :
+ Lấy thông tin về password của các loại webmail , các ứng dụng có kiểu là login+password, ICQ, IRC, FTP, HTTP
+ Lấy thông tin tất cả các file có kiểu:.DBX; TBB; EML; MBX; .NCH; MMF; INBOX; ODS với mục đích tra lấy tất cả các nội dung mail của vistim
+ Lấy về một số file mà do yêu cầu người thiết kế viết , đa số là các file ứng dũng và dữ liệu cũng như login thường có dạng: doc; dbf; .sxl; pwl; log
+ Chiếm tất cả tài nguyên , chúng có thể mở port , tạo ra giao thức để gíup cho chúng có khả năng lấy thêm dữ liệu ở các máy khác hoặc giúp cho chủ nhân của nó có thể truy cập từ xa hay kết nối vào máy vistim để lấy thông tin hoặc giành quyền điểu khiển máy vistim như : del, upload, down , chiếm HTTP, FPT, SMTP giúp cho việc liên
hệ với chủ nhân của nó được dể dàng
2.2.Tiến hành liên hệ với chủ nó :
Người chế ra trojan chỉ mong được yêu cầu cuối cùng này tức là phải liên hệ được với mình , đây là bước mà chủ nhân nó mong chờ nhất
Để liên lạc được với chủ nhân nó trojan thực hiện theo những con đường sau :
Trang 12+ dùng thông qua SMTP port 25 pop3 tức là thông qua một server mail là nơi mà chủ nhân nó có khả năng nhận Nhưng để dùng được SMTP thì cấn phải kết nối mạng , nếu như gởi mail đi mà không kết nối thì tất nhiên là máy vistim sẽ cảnh báo chính vì vậy mà trojan sẽ lưu một số địa chỉ vào phần dữ liệu của mình và kiểm tra giá trị của url nếu như thấy sự thay đổi trên trang web và trên url thì tất nhiên mạng đã được kết nối , hoặc -dùng google.com để kiểm tra sự kết nối
+ dùng ftp port port 21, HTTP fort 80 , 23 , để có thề gởi dữ liệu hay cho chủ nó Có thể tạo ra một port nào đó rồi nằm chờ đợi chủ nhân của nó kết nối vào máy vistim
Đa số các trojan đời sau nó tận dụng tất cả các kiểu truyền thông tin nhưng mà càng về sau thì càng khai thác triệt để hơn tài nguyên , chúng đang thiên về loại mở port nẳm chờ đợi hơn , cái này thì giúp chủ nhân của nó khai thác được nhiều thông tin hơn Để giúp cho việc kết nối giữa trojan nằm ở máy vistim và chủ nhân của thì phần dữ liệu của trojan còn lưu thêm 2 phần để tra tên vả pass
2.3.Cách thức Config Trojan :
Sau khi tải về một trojan cần thực hiện các bước :
+ File exe chứa mã cần kết nối thông tin
+ Địa chỉ người nhận hay gọi là địa chỉ liên hệ của chủ nhân nó , nếu không có cái này thì rất là khó + SMTP mail tức là mượn một server mail để lưu mail từ trojan gởi về
+ Tên file xuất ra sau khi điền thông tin và kết nối với file exe
Sau khi tiến hành xong nó sẽ tạo ra một file , fine này chính là file đã được hòan thiện và có thể hoạt động
III.Làm sao để bạn tự bảo vệ mình ?
+Một số chương trình diệt virus có thể giúp bạn một phần nào đó với antitrojan, antivirus chẳng hạn
+Sử dụng chương trình scan port xem mình có mở cổng nào lạ lạ