Introduzione al Trojan

Novembre 2016
Viene detto «Cavallo di Troia» (in inglese trojan horse) un programma informatico che effettua delle operazioni malintenzionate all'insaputa dell'utente.


I cavalli di Troia

Il nome «Cavallo di Troia» proviene da una leggenda relativa all'Iliade e citata nell'Odissea dello scrittore Omero e poi sviluppata anche nell'Eneide di Virgilio, sull'assedio della città di Troia da parte dei greci. La leggenda racconta che i Greci, non riuscendo a entrare dentro le mura delle città, ebbero l'idea di offrire in regalo un enorme cavallo di legno ai troiani in segno di resa. I troiani apprezzarono questo regalo apparentemente inoffensivo e lo portarono all'interno delle mura della città. Invece il cavallo accoglieva al suo interno dei soldati nascosti che, una volta calata la notte, uscirono e distrussero la città.

Un cavallo di Troia in (informatica) è quindi un programma nascosto in un altro che esegue dei comandi sornioni, e che generalmente da un accesso al computer su quale è eseguito aprendo una porta secondaria (in inglese backdoor, per estensione è detto talvolta trojan per analogia agli abitanti della città di Troia. Come un virus, il cavallo di Troia è un codice (programma) nocivo posto in un programma sano (immaginate un falso comando di elenco dei file, che distrugge i file invece di visualizzarli).

Un cavallo di Troia può ad esempio:

Rubare delle password;

Copiare dei dati sensibili;

Eseguire qualsiasi altra azione nociva;

Ecc.

Ancora peggio, un programma simile può creare all'interno della vostra rete, una falla volontaria nella sicurezza per autorizzare degli accessi a parti protette della rete a persone connesse dall'esterno. I principali cavalli di Troia sono dei programmi che aprono delle porte del terminale, cioè permettono al suo ideatore di introdursi nel vostro terminale attraverso la rete aprendo una backdoor. Questa è la ragione per la quale si parla generalmente di "backdoor" (letteralmente "porta posteriore") o "backorifice" (volgarmente "orifizio posteriore").

Nota Bene: un cavallo di Troia non è necessariamente un virus, dato che il suo scopo non è di infettare altri terminali. Invece alcuni virus possono essere anche dei cavalli di Troia, cioè diffondersi come un virus e aprire una porta su terminali infetti.

Trovare un virus simile è difficile dato che bisogna riuscire a rilevare se l'azione del software (il cavallo di Troia) è voluta o meno dall'utente.

I sintomi di un'infezione

Un'infezione da cavallo di Troia dipende solitamente dall'apertura di un file contaminato contenente il cavallo di Troia (vedere l'articolo sulla protezione da worm) e si traduce con i seguenti sintomi:

Attività anormale del modem, della scheda di rete o del disco. Alcuni dati possono essere caricati senza azione da parte dell'utente;

Reazioni curiose del mouse;

Aperture improvvise di programmi;

Blocchi a ripetizione.

Principio del cavallo di Troia

Il principio dei cavalli di Troia è solitamente (e sempre di più) di aprire una porta del vostro terminale per permettere ad un pirata di assumerne il controllo (ad esempio rubare dei dati personali stoccati sul disco). Lo scopo del pirata è in un primo momento quello di infettare il vostro terminale e farvi aprire un file infetto contenente il trojan e, poi in un secondo tempo di accedere ai vostri dati. Tuttavia, per potersi infiltrare sul vostro terminale, il pirata deve generalmente conoscerne l'indirizzo IP.

Questa entrare sul vostro sistema può risultare un'operazione semplice per l'hacker se avete un indirizzo IP fisso (nel caso di un'azienda oppure talvolta di privati connessi via cavo, ecc.) e questo può essere facilmente recuperato, oppure il vostro indirizzo IP è dinamico (attribuito ad ogni connessione), è il caso per le connessioni via modem; qui il pirata dovrà scannerizzare gli indirizzi IP a caso per trovare gli indirizzi IP corrispondenti ai terminali infetti.

Proteggersi dai Trojan

Per proteggersi da questo genere di intrusioni, basta installare un firewall, cioè un programma che filtra le comunicazioni in entrata e in uscita dal vostro terminale. Un firewall (letteralmente taglia-fuoco) permette quindi da una parte di vedere le comunicazioni in uscita dal vostro terminale (solitamente iniziate dai programmi utilizzati) oppure le comunicazioni in entrata. Tuttavia, non è da escludere che il firewall rilevi delle connessioni provenienti dalla vittima prescelta di un hacker. In effetti, si può trattare di test effettuati dal vostro service provider oppure di un hacker che sta scannerizzando a caso un elenco di indirizzi IP. Per i sistemi di tipo Windows, esistono dei firewall gratuiti molto performanti:

ZoneAlarm;

Tiny personal firewall.

In caso di infezione

Se un programma di cui non conoscete l'origine cerca di aprire una connessione, il firewall vi chiederà una conferma per iniziare la connessione. È essenziale non autorizzare la connessione di programmi che non conoscete, dato che potrebbe trattarsi di un virus. In alcuni casi può essere utile verificare che il vostro computer non sia stato infettato da un trojan che utilizza un programma che permette di rilevarli e di eliminarli (detto mangia-trojan). È il caso di The Cleaner, scaricabili su Moosoft.

Lista di porte utilizzabili abitualmente dai trojan

I cavalli di Troia aprano abitualmente una porta del terminale infetto e aspettano l'apertura di una connessione su questa porta per dare un controllo totale agli eventuali pirati. Ecco la lista (non esaustiva) delle principali porte usate dai cavalli di Troia sul sito di Rico):


PortaTrojan
21Back construction, Blade runner, Doly, Fore, FTP trojan, Invisible FTP, Larva, WebEx, WinCrash
23TTS (Tiny Telnet Server)
25Ajan, Antigen, Email Password Sender, Happy99, Kuang 2, ProMail trojan, Shtrilitz, Stealth, Tapiras, Terminator, WinPC, WinSpy
31Agent 31, Hackers Paradise, Masters Paradise
41Deep Throat
59DMSetup
79FireHotcker
80Executor, RingZero
99Hidden port
110ProMail trojan
113Kazimas
119Happy 99
121JammerKillah
421TCP Wrappers
456Hackers Paradise
531Rasmin
555Ini-Killer, NetAdmin, Phase Zero, Stealth Spy
666Attack FTP, Back Construction, Cain & Abel, Satanz Backdoor, ServeU, Shadow Phyre
911Dark Shadow
999Deep Throat, WinSatan
1002Silencer, WebEx
1010 a 1015Doly trojan
1024NetSpy
1042Bla
1045Rasmin
1090Xtreme
1170Psyber Stream Server, Streaming Audio Trojan, voice
1234Ultor trojan
port 1234Ultors Trojan
port 1243BackDoor-G, SubSeven, SubSeven Apocalypse
port 1245VooDoo Doll
port 1269Mavericks Matrix
port 1349 (UDP)BO DLL
port 1492FTP99CMP
port 1509Psyber Streaming Server
port 1600Shivka-Burka
port 1807SpySender
port 1981Shockrave
port 1999BackDoor
port 1999TransScout
port 2000TransScout
port 2001TransScout
port 2001Trojan Cow
port 2002TransScout
port 2003TransScout
port 2004TransScout
port 2005TransScout
port 2023Ripper
port 2115Bugs
port 2140Deep Throat, The Invasor
port 2155Illusion Mailer
port 2283HVL Rat5
port 2565Striker
port 2583WinCrash
port 2600Digital RootBeer
port 2801Phineas Phucker
port 2989 (UDP)RAT
port 3024WinCrash
port 3128RingZero
port 3129Masters Paradise
port 3150Deep Throat, The Invasor
port 3459Eclipse 2000
port 3700portal of Doom
port 3791Eclypse
port 3801 (UDP)Eclypse
port 4092WinCrash
port 4321BoBo
port 4567File Nail
port 4590ICQTrojan
port 5000Bubbel, Back Door Setup, Sockets di Troia
port 5001Back Door Setup, Sockets di Troia
port 5011One of the Last Trojans (OOTLT)
port 5031NetMetro
port 5321Firehotcker
port 5400Blade Runner, Back Construction
port 5401Blade Runner, Back Construction
port 5402Blade Runner, Back Construction
port 5550Xtcp
port 5512Illusion Mailer
port 5555ServeMe
port 5556BO Facil
port 5557BO Facil
port 5569Robo-Hack
port 5742WinCrash
port 6400The Thing
port 6669Vampyre
port 6670DeepThroat
port 6771DeepThroat
port 6776BackDoor-G, SubSeven
port 6912Shit Heep (not port 69123!)
port 6939Indoctrination
port 6969GateCrasher, Priority, IRC 3
port 6970GateCrasher
port 7000Remote Grab, Kazimas
port 7300NetMonitor
port 7301NetMonitor
port 7306NetMonitor
port 7307NetMonitor
port 7308NetMonitor
port 7789Back Door Setup, ICKiller
port 8080RingZero
port 9400InCommand
port 9872portal of Doom
port 9873portal of Doom
port 9874portal of Doom
port 9875portal of Doom
port 9876Cyber Attacker
port 9878TransScout
port 9989iNi-Killer
port 10067 (UDP)portal of Doom
port 10101BrainSpy
port 10167 (UDP)portal of Doom
port 10520Acid Shivers
port 10607Coma
port 11000Senna Spy
port 11223Progenic trojan
port 12076Gjamer
port 12223Hack'99 KeyLogger
port 12345GabanBus, NetBus, Pie Bill Gates, X-bill
port 12346GabanBus, NetBus, X-bill
port 12361Whack-a-mole
port 12362Whack-a-mole
port 12631WhackJob
port 13000Senna Spy
port 16969Priority
port 17300Kuang2 The Virus
port 20000Millennium
port 20001Millennium
port 20034NetBus 2 Pro
port 20203Logged
port 21544GirlFriend
port 22222Prosiak
port 23456Evil FTP, Ugly FTP, Whack Job
port 23476Donald Dick
port 23477Donald Dick
port 26274 (UDP)Delta Source
port 27374SubSeven 2.0
port 29891 (UDP)The Unexplained
port 30029AOL Trojan
port 30100NetSphere
port 30101NetSphere
port 30102NetSphere
port 30303Sockets di Troia
port 30999Kuang2
port 31336Bo Whack
port 31337Baron Night, BO client, BO2, Bo Facil
port 31337 (UDP)BackFire, Back Orifice, DeepBO
port 31338NetSpy DK
port 31338 (UDP)Back Orifice, DeepBO
port 31339NetSpy DK
port 31666BOWhack
port 31785Hack'a'Tack
port 31787Hack'a'Tack
port 31788Hack'a'Tack
port 31789 (UDP)Hack'a'Tack
port 31791 (UDP)Hack'a'Tack
port 31792Hack'a'Tack
port 33333Prosiak
port 33911Spirit 2001a
port 34324BigGluck, TN
port 40412The Spy
port 40421Agent 40421, Masters Paradise
port 40422Masters Paradise
port 40423Masters Paradise
port 40426Masters Paradise
port 47262 (UDP)Delta Source
port 50505Sockets de Troie
port 50766Fore, Schwindler
port 53001Remote Windows Shutdown
port 54320Back Orifice 2000
port 54321School Bus
port 54321 (UDP)Back Orifice 2000
port 60000Deep Throat
port 61466Telecommando
port 65000Devil

Potrebbe anche interessarti :

Introduction to Trojan horses
Introduction to Trojan horses
Introducción a los Troyanos
Introducción a los Troyanos
Chevaux de Troie - Informatique
Chevaux de Troie - Informatique
Introdução aos cavalos de Troia
Introdução aos cavalos de Troia
Il documento intitolato « Introduzione al Trojan » da CCM (it.ccm.net) è reso disponibile sotto i termini della licenza Creative Commons. È possibile copiare, modificare delle copie di questa pagina, nelle condizioni previste dalla licenza, finché questa nota appaia chiaramente.