مقدمه

با گسترش فرهنگ استفاده از كامپيوتر و راهيابي آن به ادارات، منازل، اين ابزار از حالت آكادميك و تحقيقاتي بدر آمد و مبدل به پاره اي از نيازهاي معمول زندگي شد. يكي از دستاوردهاي اين پيشرفت، ظهور شبكه اينترنت است كه به سرعت در كشورها توسعه يافته و به يك پديده اجتماعي مبدل گشته است.

اجتماع بزرگ كاربران اينترنت در سرتاسر دنيا از هر منطقه و نژادي كه باشند شامل افراد خوب و بد خواهند بود، عده اي در جهت كسب منافع براي خود و ديگران تلاش مي كنند و عده اي در جهت جذب منابع ديگران براي خود. با توجه به نو پا بودن اينترنت نمي توان انتظار داشت كه يك فرهنگ صحيح و غني بر آن حاكم شده باشد و لذا احتمال سرقت اطلاعات و يا دستكاري و انهدام آنها بنا به انگيزه هاي ناسالم، اهداف سياسي، جذب نامشروع ثروت مي رود.

اين مجموعه که قرار است بطور منظم در نشريه تخصصی IC منتشر گردد درباره چگونگي كار تروجان ها، انواع آنها و چگونگي تشخيص و مقابله با آنها به نكات مفيدي اشاره خواهد نمود. ضمناً در قسمت پاياني هر قسمت نيزآدرسهاي منابع تحقيق بصورت مستقيم در اختيار خواننده محترم قرار خواهد گرفت. همچنين علاقه مندان مي توانند براي دريافت اطلاعات بيشتر به سايت هاي معرفي شده مراجعه نموده و نرم افزارهاي مربوط را دريافت نمايند. ذکر اين نکته لازم است که به دليل گستردگي استفاده از سيستم عامل ويندوز در ايران، مطالب ارائه شده درباره تروجانهای تحت ويندوز می باشد.
يك Trojan Horse چيست؟

مي توان تعاريف زير را مطرح كرد:

يك برنامه ظاهراً بدون نويسنده يا به عبارتي با يك نويسنده غير مشخص که اعمال ناشناخته و حتي ناخواسته از طرف كاربر انجام دهد.

يك برنامه قانونی و معروف كه داخلش دگرگون شده است، بطوری که کدهای ناشناخته ای به آن اضافه گرديده و اعمال شناخته نشده اي بطور ناخواسته از طرف كاربر انجام مي دهند.

هر برنامه اي كه ظاهر مطلوب پسنديده اي به همراه برخي از اعمال مورد نياز داشته باشد بطوريكه كدهاي محقق شده اي كه از نظر كاربر مخفي است درون آن موجود مي باشد. يك سري اعمال نا شناخته و غير منتظره اي كه بطور حتم با نظر كاربر نبوده است را انجام مي دهد.

اسب تراوا نامي است كه از يك افسانه قديمي گرفته شده كه درباره چگونگي نفوذ يونانيان بر محل دشمنان خود از طريق ساختن يك اسب بزرگ و هديه دادن آن به دشمن كه نيروهايشان در داخل مجسمه اسب قرارگرفته بودند. هنگام شب سربازان يوناني اسب را شكستند و به دشمنانشان حمله نمودند و بطور كامل آنها غافلگير كردند و در جنگ فاتح ميدان شدند.


تروجان ها چگونه كار مي كنند؟

تروجان ها به دو قسمت تقسيم مي شوند. يك قسمت Client (خدمات گيرنده) و ديگری Server (خدمات دهنده). وقتي قرباني ندانسته قسمت Server را روي سيستم خودش اجرا مي كند. حمله كننده بوسيله قسمت Client با Server كه روي كامپيوتر قرباني است متصل مي شود و از آن پس مي تواند كنترل سيستم قرباني را در دست بگيرد . پروتكل TCP/IP كه استاندارد معمول براي برقراري ارتباطات است به اين تروجان آلوده ميشود و تروجان از طريق آن كارش را انجام مي دهد. البته لازم به ذكر است كه برخي اعمال تروجانها نيز از پروتكل UDP استفاده مي كنند. معمولاً زماني كه Server روي كامپيوتر قرباني اجرا مي شود. خود را در جايي از حافظه مخفي مي كند تا پيدا كردن يا تشخيص آن مشكل شود و به برخي درگاههاي خاص (Port) گوش مي دهد تا ببيند درخواست ارتباطي به سيستم از طرف حمله كننده آمده است يا نه، از طرفي رجيستري را نيز به گونه اي ويرايش مي كند كه برخي از اعمال بطور خودكار روي سيستم شروع به كار كنند.

براي نفوذ كننده لازم است كه IP قرباني را بداند براي اينكه بتواند به سيستم او متصل شود. اكثر قريب به اتفاق تروجانها بصورتي برنامه ريزي شده اند كه IP قرباني را براي حمله كننده ارسال مي كنند همانند سيستم پيغام گذار از طريق ICQ يا IRS . اين زماني اتفاق مي افتد كه قرباني IP ديناميك داشته باشد بدين معني كه هر زمان به اينترنت متصل ميشود و يك IP متفاوت از قبل داشته باشد كه اغلب سيستم هايي كه به روش dial- up به اينترنت متصل مي شوند از اين قانون پيروي مي كنند. كاربران ASDL معمولا IP هاي ثابت دارند به همين علت IP آلوده شده همواره براي حمله كننده شناخته شده است و اين حالت باعث تسهيل درامر اتصال به سيستم قرباني مي گردد.

اغلب تروجانها از روش شروع اتوماتيك استفاده مي كنند. بصورتي كه اگر شما كامپيوترتان را خاموش كنيد آنها قادر خواهند كه فعاليتهايشان را مجددا ً آغاز كنند و دسترسي لازم به حمله كننده را روي سيستم شما بدهند و ساختن تروجانها با قابليت شروع روشهايي هستند كه هميشه مورد استفاده قرار مي گيرند. يكي از اين روشها، محلق كردن تروجان به يك فايل اجرايي كه كاربرد زيادي دارد مي باشد، به عبارت ديگر محلق نمودن تروجان به يك برنامه پركاربرد ، موجب عملي شدن تفكرات حمله كننده خواهد شد. روشهاي شناخته شده نيز همانند دستكاري فايلهاي ريجستري ويندوز مي تواند به عملي شدن افكار حمله كننده بيانجامد. فايلهاي سيستمي ويندوز قرار دارند كه مي توانند بهترين انتخابهاي حمله كنندگان باشند.


به جهت اينکه دوستان بتوانند سيستم خود را در برابر اين حمله ها محافظت نمايند، قسمتهای مختلف ويندوز که می توان از آن استفاده نمود را در اينجا بررسی می کنيم.

پوشه شروع خودكار

پوشه اي كه بصورت خودكار در شروع كار ويندوز فراخواني مي شود و فايلهاي داخل آن بصورت اتوماتيك اجرا مي شوند در آدرس زير قرار دارند.


C:\ windows\ start Menu \ programs \startup



البته فرض براي اين است كه سيستم عامل ويندوز در درايو C و در شاخه windows نصب شده باشد.


فايل Win.ini

فرمت شروع خودكار در اين فايل بصورت زير مي باشد :


Load = Trojan.exe

Run = Trojan.exe




فايل System.ini

فرمت بكارگيري تروجان در اين فايل سيستمي بصورت زير است:


Shell = explorer.exe Trojan.exe



كه باعث مي شود بعد از هر بار اجراي Explorer فايل Trojan.exe اجرا شود.


فايل Wininit.ini

اين فايل توسط Setup.exe برنامه هاي نصب شوند مورد استفاده قرار مي گيرد.

بدين صورت كه يك بار اجرا شود، قابليت حذف خودكار را نيز دارد كه براي تروجان ها بسيار سهل مي باشد.


Winstart.bat

اين فايل دسته اي هم در ابتداي شروع به كار ويندوز فراخواني شده و فرامين داخل آن به ترتيب اجراي مي شوند كه تروجان مي تواند با افزودن خط زير خود را در حافظه بار كند.


@ Trojan.exe




فايل Autoexec.bat

اين فايل دسته اي هم از فايلهاي معروف فراخواني شده در ابتداي كار سيستم عامل مي باشد كه مي توان با دستكاري و اضافه نمودن خط زير بر آن تروجان مورد نظر را در سيستم قرباني اجرا نمود:


C:\ Trojan.exe




فايل Config.sys

اين فايل نيز از معروفترين فايلهاي پيكر بندي سيستم است و مي تواند در امر اجراي تروجان كاربرد داشته باشد.