Como funcionam os Trojans.

Após várias investigações, resolvi publicar este texto, mostrando a vocês como funcionam os trojans. Tomei como exemplo dois dos mais conhecidos trojans utilizados para invasões. Não ensinarei como invadir, apenas darei uma idéia de como isso pode ser feito de maneira simples e descomplicada, de forma que você possa entender melhor como eles funcionam.

O que são trojans?

O poema épico Ilíada, escrito pelo poeta Homero, narra a história da Guerra de Tróia, que após dez anos de combate sem sucesso, os gregos construíram um enorme cavalo de madeira e colocaram alguns soldados no interior deste, oferecendo aos troianos, que receberam pensando tratar-se de um presente. Mas durante a noite, os soldados saíram do interior do cavalo e abriram os portões da cidade para que o exército grego entrasse e massacrasse os troianos semi-adormecidos. Foi a partir desta história que surgiu o termo trojan, para os programas que abrem as portas de um micro e possibilitam a invasão. Até hoje, a história da guerra de Tróia, não possui autenticidade comprovada.
Os trojans são bem diferentes dos vírus, embora possuem algumas semelhanças, como, por exemplo, perda de arquivos. Mas eles (os tojans), não se tratam apenas de programinhas escritos para destruir ou para causar qualquer dano aos micros, como os vírus. Eles são programas muito mais inteligentes, que podem ser controlados de qualquer ponto do planeta, com uma facilidade incrível, podendo até mesmo serem controlados por crianças.
Os trojans possuem duas partes: o cliente e o servidor. O servidor, obviamente, deverá ser instalado no computador da vítima e o cliente deverá ser utilizado pelo invasor. Um bom exemplo de trojan seria o tão conhecido Netbus. Repare que todos os trojans possuem o servidor como um simples executável e o cliente com interface gráfica, e é justamente isto que garante a facilidade de uso destes programas, até mesmo por leigos.
Basicamente, a função do servidor será a de abrir as portas do micro, possibilitando a invasão. Uma vez abertas as portas, o invasor terá a possibilidade de invadir, obtendo total controle da máquina, podendo baixar, deletar, renomear arquivos e até mesmo, assustar ou brincar com a vítima abrindo o drive de CD-ROM, abrindo caixas de mensagens, enfim, uma infinidade de opções.
Além disso, muitos trojans também são Keylogers, programas que captam tudo o que é digitado no teclado, inclusive senhas de e-mail, senhas de contas bancárias, etc, enviando esses dados por e-mail ou até mesmo via mensageiros instantâneos, como o ICQ.
Mas e como se prevenir destes ataques? A resposta é simples: nunca execute um programa de origem desconhecida. Não pense você que ter instalado um antivírus resolverá o problema, pois a cada dia surgem novos trojans, muitos deles indetectáveis pelos antivírus. Existem também alguns programas chamados binders que têm a capacidade de unir dois ou mais executáveis num único programa. Você poderá estar instalando um jogo, por exemplo, e paralelamente um trojan estar sendo iniciado sem que você perceba.
Atualmente temos vários trojans Internet a fora, podendo ser baixados em vários sites, principalmente sites hacker. Aqui utilizarei como exemplo dois destes, os mais conhecidos: o Netbus e o Beast.

Netbus

Ao baixá-lo você obterá dois arquivos: um chamado Patch.exe e outro chamado Netbus.exe. O Patch é a parte servidor e ele deverá ser executado no computador da vítima. Após executado, basta você abrir o Netbus, digitar o IP do micro alvo e clicar em Connect!
index_html_34daff44
Para saber se a conexão foi realizada com sucesso, verifique a barra de status. Veja que na figura acima ainda não está conectado. Clicando em Connect!, veja o que aparece na barra de status.
index_html_m2d8b0138
Neste caso eu testei a invasão no meu próprio micro como exemplo, veja o IP 127.0.0.1. Uma vez estando conectado, você poderá fazer o que quiser com o micro.
Veja alguns botões e suas funções:
Server admin - clicando nele você terá a opção de fechar ou remover o servidor do micro da vítima.
Open CD-ROM - abre o drive de CD-ROM.
Show image - fornecendo o diretório, uma imagem será exibida. É preciso colocar a extensão (.bmp ou .jpg).
Swap mouse - o ponteiro do mouse é ocultado.
Start program - fornecendo o diretório, um programa será aberto.
Msg manager - aqui uma mensagem será exibida na tela. Você pode digitar o que quiser, escolher o tipo de mensagem e os botões que irão aparecer.
Screendump - clicado uma única vez, o programa fica aguardando um segundo clique para tirar uma foto do desktop da vítima. As imagens serão salvas no formato jpeg no diretório do Netbus. Geralmente deverão possuir os nomes temp1, temp2, etc.
Exit Windows - aqui você tem a opção de desligar, reiniciar ou fazer logoff.
App Redirect - esta é, sem dúvida, a função mais importante do programa. Se você der o diretório correto para o programa cmd.exe (promp de comando) e definir uma porta, vá no seu prompt de comando e digite telnet [IP da vítima] [Porta]. Fazendo isso, você poderá obter acesso aos arquivos via linha de comando.
Control mouse - como o próprio nome sugere, permite controlar o ponteiro do mouse no computador invadido.
Go to URL - redireciona para qualquer endereço. Exemplos: C:; www.google.com.br; etc...
O programa Netbus é um dos mais simples para este tipo de ataque. Além de possuir poucas funções, ele não serve para invadir computadores em redes privadas, como escolas, lan houses, etc. E o acesso aos arquivos só será possível via linha de comando, utilizando o programa telnet.
Como se trata de um programa já criado há muitos anos, o Netbus é praticamente detectado por todos os antivírus, tanto o patch como o próprio programa cliente. Testado no AVG, ele é detectado quase que instantaneamente e os dois arquivos são bloqueados. Já no AVAST, o antivírus só detecta se for feito um escaneamento no diretório que contém o trojan, mas mesmo assim os dois arquivos acabam sendo bloqueados.

Beast

Ao contrário do Netbus, este programa, além de possuir muito mais funções, oferece a possibilidade de se criar um trojan servidor.
O primeiro passo, após abrí-lo, será criar este trojan, clique em Build Server. Você definirá primeiro o tipo de conexão, se é direta ou reversa. A conexão reversa é a melhor, pois não será necessário saber o IP da vítima. Vamos conhecer como funcionam os dois tipos de conexão:
Conexão Reversa
Esta é sem dúvida a melhor. Consiste em fazer o computador alvo se conectar ao seu, e não vice-versa. É muito útil quando o alvo se trata de um micro interligado em rede intranet. Os micros que fazem parte de uma rede geralmente recebem endereços IP como 192.168.x.x, o que torna impossível conectá-los diretamente.
Para criar o trojan para conexão reversa, siga os seguintes passos:
1º) Abra o Beast e clique em Build Server. Será exibida esta tela:
index_html_147d9db
2º) Selecione Reverse Conection. Você terá a opção de injetar no Internet Explorer, no Explorer, ou em qualquer outro programa do Windows. Assim, cada vez que o programa for aberto, o trojan servidor também será iniciado. Ou você pode ainda escolher a opção de não injetar em nenhum programa.
3º) No lado esquerdo, escolha Notifications.
index_html_m7060b84e
Clique em Get IP e o IP do seu micro irá aparecer. Este IP será utilizado para o computador da vítima se conectar ao seu.
Observação: se o seu micro estiver em uma rede privada, você não poderá utilizar o método de conexão reversa. Só será possível invadir via conexão direta micros que não estejam também em rede.
Clicando em E-Mail, você poderá colocar o seu e-mail para receber informações do PC invadido (pôr padrão o servidor de SMTP vem configurado para o yahoo, portanto você precisará de uma conta no yahoo, a não ser que você troque o endereço SMTP). Ainda tem a possibilidade de colocar o seu ICQ, caso possua, para receber informações em tempo real.
4º) Agora clique em AV-FW Kill.
index_html_3611ebc4
Aqui você tem a opção de desabilitar o firewall e o antivírus, assim que o trojan for executado.
5º) Por fim você pode escolher o ícone para o seu trojan, clicando em Exe Icon.
Terminado, clique em Save Server para criar o trojan e feche a janela.
Após enviá-lo para a vítima, com o Beast aberto, clique em Start Listening [SIN]. Quando a vítima executá-lo, deverá aparecer uma mensagem, próxima ao relógio, dizendo que há uma nova vítima encontrada. Agora basta clicar duas vezes no micro a ser invadido e pronto (o IP do micro deverá aparecer junto com o nome). A partir de agora, você terá uma infinidade de opções, tudo vai depender dos seus objetivos.

Conexão direta
Os passos para se conectar diretamente são os mesmos para conexão reversa, mas com uma exceção: quando for criar o trojan você deve selecionar conexão direta e não reversa. Veja:
index_html_4c0f40
Você ainda tem a opção de colocar uma senha.
Siga os mesmos passos de anteriormente para criar o trojan. Obviamente este também deverá ser enviado para a vítima e ela deverá executá-lo.
Na janela do Beast, coloque o IP do micro alvo e clique em Go BEAST!. Se o endereço IP estiver correto e o trojan for executado, a invasão será bem sucedida. Verifique sempre a barra de status, caso apareça disconnected, algo pode ter dado errado.
Veja agora algumas opções que o Beast oferece:
Managers: -Files: clicando aqui você obterá acesso aos arquivos de qualquer disco instalado no PC (C:, D:, A:, etc).
-Registry: utilizado para criar entradas no Registro do Windows.
-WebCam: caso a vítima tenha uma webcam instalada, será possível visualizar as imagens geradas pela câmera em tempo real.
-Processes: lista todos os processos ativos.
-Services: lista todos os serviços ativos.
Windows: aqui tem opções para desligar, reiniciar, fazer logoff, etc.
Lamer Stuff: -Hide Icons: esconde os ícones da área de trabalho.
-Hide Tray: esconde a barra de tarefas.
-Hide Start: esconde o botão do menu Iniciar.
-Open CD: abre o drive de CD-ROM.
-Hide clock: esconde o relógio.
Fun stuff: -Hide mouse: esconde o ponteiro do mouse.
-Go To URL: redireciona para uma url qualquer, como www.google.com.br.
-Chat: cria uma caixa de mensagens para comunica-se com a vítima.
Server: -Update: exibe opções para atualizar o trojan.
-Close Server: encerra o trojan.
-Kill Server: mata o trojan.
Misc: -Messages: exibe uma mensagem na tela definida por você.
São várias outras opções que o Beast oferece e cabe a você experimentar. Sugiro que você faça o teste com o seu próprio micro antes de querer invadir alguém, ou então combine com um amigo, e ambos aprendem juntos.
Lembre-se que não estou encorajando você a sair invadindo micros. Aliás, é pouco provável que você consiga isso sem que o trojan seja identificado pelo antivírus. Vale a pena desabilitar o antivírus temporariamente, pelo menos pra testar estes trojans.

Comentários