Introduzione ai cavalli di Troia

I cavalli di Troia

Viene detto « :Cavallo di Troia » (in inglese trojan horse) un programma informatico che effettua delle operazioni malintenzionate all'insaputa dell'utente. Il nome « :Cavallo di Troia » proviene da una leggenda narranta nell'Iliade (dello scrittoreOmero) sull'assedio della città di Troia da parte dei Greci.

La leggenda racconta che i Greci, non riusciendo a sfondare le fortificazioni delle città, ebbero l'idea di offrire in regalo un enorme cavallo di legno alla città levando l'assedio.

I Troiani (popolazione della città di Troia) apprezzarono questo regalo apparentemente inoffensivo e lo portarono all'interno delle mura della città. Invece il cavallo accoglieva al suo interno dei soldati nascosti che, una volta calata la notte, uscirono

Un cavallo di Troia (informatica) è quindi un programma nascosto in un altro che esegue dei comandi sornioni, e che generalmente da un accesso alcomputer su quale è eseguito aprendo una porte dérobée (en anglais backdoor, per estensione è detto talvolta troiano per analogia agli abitanti della città di Troia.

Come un virus, il cavallo di Troia è un codice (programma) nocivo posto in un programma sano (immaginate un falso comando di elenco dei file, che distrugge i file invece di visualizzarli).

Un cavallo di Troia può ad esempio

rubare delle password;
copiare dei dati sensibili;
eseguire qualsiasi altra azione nociva;
ecc.

Ancora peggio, un programma simile può creare, dall'interno della vostra rete, una breccia volontaria nella sicurezza per autorizzare degli accessi a parti protette della rete a persone connesse dall'esterno.

I principali cavalli di Troia sono dei programmi che aprono delle porte del terminale, cioè permettono al suo ideatore di introdursi nel vostro terminale attraverso la rete aprendo una backdoor. C'est la raison pour laquelle on parle généralement de backdoor (littéralement porte de derrière) ou de backorifice (terme imagé vulgaire signifiant "orifice de derrière" [...]).

Un cavallo di Troia non è necessariamente un virus, dato che il suo scopo non è di infettare altri terminali. Invece alcuni virus possono essere anche dei cavalli di Troia, cioè diffondersi come un virus e aprire una porta su terminali infetti!

Rilevare un programma simile è difficile dato che bisogna riuscire a rilevare se l'azione del programma (il cavallo di Troia) è voluta o meno dall'utente.

I sintomi di un'infezione

Un'infezione da cavallo di Troia dipende solitamente dall'apertura di un file contaminato contenente il cavallo di Troia (vedere l'articolo sulla protezione da worm) e si traduce con i seguenti sintomi :

attività anormale del modem, della scheda di rete o del disco: alcuni dati possono essere caricati senza azione da parte dell'utente;
reazioni curiose del mouse ;
aperture improvvise di programmi;
blocchi a ripetizione;

Principio del cavallo di Troia

Il principio dei cavalli di Troia è solitamente (e sempre di più) di aprire una porta del vostro terminale per permettere ad un pirata di assumerne il controllo (ad esempio rubare dei dati personali stoccati sul disco), e lo scopo del pirata è in un primo momento di infettare il vostro terminale e farvi aprire un file infetto contenente il troyan e, poi in un secondo tempo di accedere a

Tuttavia per potersi infiltrare sul vostro terminale, il pirata deve generalmente conoscerne l'indirizzo IP. Quindi :

o avete un indirizzo IP fisso (nel caso di un'azienda oppure talvolta di privati connessi via cavo, ecc.) e questo può essere facilmente recuperato
oppure il vostro indirizzo IP è dinamico (attribuito ad ogni connessione), è il caso per le connessioni via modem; qui il pirata dovrà scannerizzare gli indirizzi IP a caso per trovare gli indirizzi IP corrispondenti ai terminali infetti.

Proteggersi dai Troyan

Per proteggersi da questo genere di intrusioni, basta installare un firewall, cioè un programma che filtra le comunicazioni in entrata e in uscita dal vostro terminale. Un firewll (letteralmentetaglia-fuoco) permette quindi da una parte di vedere le comunicazioni in uscita dal vostro terminale (solitamente iniziate dai programmi utilizzati) oppure le comunicazioni in entrata. Tuttavia, non è da escludere che il firewll rilevi delle connessioni provenienti dvittima prescelta di un hacker. In effetti, si può trattare di test effettuati dal vostro service provider oppure di un hacker che sta scannerizzando a caso un elenco di indirizzi IP.

Per i sistemi di tipo Windows, esistono dei firewall gratuiti molto performanti :

In caso di infezione

Se un programma di cui non conoscete l'origine cerca di aprire una connessione, il firewall vi chiederà una conferma per iniziare la connessione. E' essenziale non autorizzare la connessione di programmi che non conoscete, dato che potrebbe trattarsi di u

In casi recidivi, può essere utile verificare che il vostro computer non sia stato infettato da un troyan che utilizza un programma che permette di rilevarli e di eliminarli (detto mangia-troyan).
E' il caso di The Cleaner, scaricabili su http://www.moosoft.com.

Lista di porte utilizzabili abitualmente dai troyan

I cavalli di Troia aprano abitualmente una porta del terminale infetto e aspettano l'apertura di una connessione su questa porta per dare un controllo totale agli eventuali pirati. Ecco la lista (non esaustiva) delle principali porte usate dai cavalli di Sito di Rico) :

porta	Troyan
21	Back construction, Blade runner, Doly, Fore, FTP trojan, Invisible FTP, Larva, WebEx, WinCrash
23	TTS (Tiny Telnet Server)
25	Ajan, Antigen, Email Password Sender, Happy99, Kuang 2, ProMail trojan, Shtrilitz, Stealth, Tapiras, Terminator, WinPC, WinSpy
31	Agent 31, Hackers Paradise, Masters Paradise
41	Deep Throat
59	DMSetup
79	FireHotcker
80	Executor, RingZero
99	Hidden port
110	ProMail trojan
113	Kazimas
119	Happy 99
121	JammerKillah
421	TCP Wrappers
456	Hackers Paradise
531	Rasmin
555	Ini-Killer, NetAdmin, Phase Zero, Stealth Spy
666	Attack FTP, Back Construction, Cain & Abel, Satanz Backdoor, ServeU, Shadow Phyre
911	Dark Shadow
999	Deep Throat, WinSatan
1002	Silencer, WebEx
1010 a 1015	Doly trojan
1024	NetSpy
1042	Bla
1045	Rasmin
1090	Xtreme
1170	Psyber Stream Server, Streaming Audio Trojan, voice
1234	Ultor trojan
port 1234	Ultors Trojan
port 1243	BackDoor-G, SubSeven, SubSeven Apocalypse
port 1245	VooDoo Doll
port 1269	Mavericks Matrix
port 1349 (UDP)	BO DLL
port 1492	FTP99CMP
port 1509	Psyber Streaming Server
port 1600	Shivka-Burka
port 1807	SpySender
port 1981	Shockrave
port 1999	BackDoor
port 1999	TransScout
port 2000	TransScout
port 2001	TransScout
port 2001	Trojan Cow
port 2002	TransScout
port 2003	TransScout
port 2004	TransScout
port 2005	TransScout
port 2023	Ripper
port 2115	Bugs
port 2140	Deep Throat, The Invasor
port 2155	Illusion Mailer
port 2283	HVL Rat5
port 2565	Striker
port 2583	WinCrash
port 2600	Digital RootBeer
port 2801	Phineas Phucker
port 2989 (UDP)	RAT
port 3024	WinCrash
port 3128	RingZero
port 3129	Masters Paradise
port 3150	Deep Throat, The Invasor
port 3459	Eclipse 2000
port 3700	portal of Doom
port 3791	Eclypse
port 3801 (UDP)	Eclypse
port 4092	WinCrash
port 4321	BoBo
port 4567	File Nail
port 4590	ICQTrojan
port 5000	Bubbel, Back Door Setup, Sockets di Troia
port 5001	Back Door Setup, Sockets di Troia
port 5011	One of the Last Trojans (OOTLT)
port 5031	NetMetro
port 5321	Firehotcker
port 5400	Blade Runner, Back Construction
port 5401	Blade Runner, Back Construction
port 5402	Blade Runner, Back Construction
port 5550	Xtcp
port 5512	Illusion Mailer
port 5555	ServeMe
port 5556	BO Facil
port 5557	BO Facil
port 5569	Robo-Hack
port 5742	WinCrash
port 6400	The Thing
port 6669	Vampyre
port 6670	DeepThroat
port 6771	DeepThroat
port 6776	BackDoor-G, SubSeven
port 6912	Shit Heep (not port 69123!)
port 6939	Indoctrination
port 6969	GateCrasher, Priority, IRC 3
port 6970	GateCrasher
port 7000	Remote Grab, Kazimas
port 7300	NetMonitor
port 7301	NetMonitor
port 7306	NetMonitor
port 7307	NetMonitor
port 7308	NetMonitor
port 7789	Back Door Setup, ICKiller
port 8080	RingZero
port 9400	InCommand
port 9872	portal of Doom
port 9873	portal of Doom
port 9874	portal of Doom
port 9875	portal of Doom
port 9876	Cyber Attacker
port 9878	TransScout
port 9989	iNi-Killer
port 10067 (UDP)	portal of Doom
port 10101	BrainSpy
port 10167 (UDP)	portal of Doom
port 10520	Acid Shivers
port 10607	Coma
port 11000	Senna Spy
port 11223	Progenic trojan
port 12076	Gjamer
port 12223	Hack´99 KeyLogger
port 12345	GabanBus, NetBus, Pie Bill Gates, X-bill
port 12346	GabanBus, NetBus, X-bill
port 12361	Whack-a-mole
port 12362	Whack-a-mole
port 12631	WhackJob
port 13000	Senna Spy
port 16969	Priority
port 17300	Kuang2 The Virus
port 20000	Millennium
port 20001	Millennium
port 20034	NetBus 2 Pro
port 20203	Logged
port 21544	GirlFriend
port 22222	Prosiak
port 23456	Evil FTP, Ugly FTP, Whack Job
port 23476	Donald Dick
port 23477	Donald Dick
port 26274 (UDP)	Delta Source
port 27374	SubSeven 2.0
port 29891 (UDP)	The Unexplained
port 30029	AOL Trojan
port 30100	NetSphere
port 30101	NetSphere
port 30102	NetSphere
port 30303	Sockets di Troia
port 30999	Kuang2
port 31336	Bo Whack
port 31337	Baron Night, BO client, BO2, Bo Facil
port 31337 (UDP)	BackFire, Back Orifice, DeepBO
port 31338	NetSpy DK
port 31338 (UDP)	Back Orifice, DeepBO
port 31339	NetSpy DK
port 31666	BOWhack
port 31785	Hack´a´Tack
port 31787	Hack´a´Tack
port 31788	Hack´a´Tack
port 31789 (UDP)	Hack´a´Tack
port 31791 (UDP)	Hack´a´Tack
port 31792	Hack´a´Tack
port 33333	Prosiak
port 33911	Spirit 2001a
port 34324	BigGluck, TN
port 40412	The Spy
port 40421	Agent 40421, Masters Paradise
port 40422	Masters Paradise
port 40423	Masters Paradise
port 40426	Masters Paradise
port 47262 (UDP)	Delta Source
port 50505	Sockets de Troie
port 50766	Fore, Schwindler
port 53001	Remote Windows Shutdown
port 54320	Back Orifice 2000
port 54321	School Bus
port 54321 (UDP)	Back Orifice 2000
port 60000	Deep Throat
port 61466	Telecommando
port 65000	Devil