Nói lời vĩnh biệt với Trojan!

Mình có sưu tầm được 1 bài viết rất hay, tuy đã lâu nhưng kiến thức còn rất bổ ích, hi vọng bài viết sẽ giúp các bạn hiểu rõ hơn về Trojan!.

Trojan được Hackers "thả" vào máy hoặc hệ thống của nạn nhân, để thưc hiện các nhiệm vụ chủ yếu sau:

1.  Mở 1 hay vài cổng (Port) của hệ thống nhằm tạo điều kiện cho Hackers thâm nhập vào hệ thống qua các cửa này. Khi thâm nhập qua cửa, Hackers phải có khả năng khai thác các lỗ hổng bảo mật của chính hệ điều hành (OS) hoặc các Application liên quan đến các cổng đươc mở nói trên. (Mỗi loại Trojan chỉ có khả năng mở 1 hay môt vài cửa đã xác định, đó là các cổng được gọi là default port cho Trojan ấy. Ví dụ đối với Virus - Trojan Bugbear và Bugbear b thì cổng default là TCP 1080).

2. Cài trong hệ thống 1 chương trình Keylogger, nhằm ghi lại mọi thao tác của nạn nhân đánh trên bàn phím ( trong đó đương nhiên có cả Password, username hay số thẻ tín dụng... vv ). Các thông tin lấy cắp này đươc tự động ghi vào môt file. DLL và lưu trữ tại 1 thư mục trong hệ thống, đã đươc Hackers dự kiến sẵn. Thông tin có thể đươc mã hóa hay không mã hóa. Sau khi thâm nhập đươc vào hệ thống thì Hackers sẽ copy file này hoặc chuyển file này về máy của mình, giải mã (nếu cần) và khai thác các thông tin lấy cắp.

3. Với các Trojan đươc soạn thảo môt cách tinh vi với kỹ thuật cao, thì trong Trojan có sẵn môt SMTP engine (cơ cấu SMTP) của chính mình. Trojan dùng nó để gửi nội dung lưu trữ trong các file. DLL nói trên (từ các máy, hệ thống đươc chọn lựa) ra ngoài bằng đường email, đến các địa chỉ nhận email đã đươc Hacker dự kiến sẵn. Việc chọn lưa máy hay hệ thống như nói trên đây cũng do chính Trojan thưc hiện môt cách tinh vi, gây cho ta môt sư ngạc nhiên và khâm phục.

Không phải mọi Trojan đều có thể thưc thi đầy đủ các " nhiệm vụ quan trọng" trên. Có những Trojan chỉ làm được 1 việc (thường là việc thứ nhất). Môt số Trojan được soạn thảo bởi các Hackers cao cấp có thể thưc hiện cùng 1 lúc nhiệm vụ 1 và 2. Chỉ có môt, hai siêu Trojan như Virus-Trojan Bugbear b, xuất hiện mới đây, mới có khả năng hoàn thành cả 3 nhiệm vụ kể trên. 

Để khắc phục, loại trừ nguy cơ do mọi loại Trojan (nghĩa là bất kỳ loại Trojan nào) gây ra, điều cốt lõi là ngăn cản Trojan không thể thưc hiện được các nhiệm vụ kể trên hay phải rất khó khăn để thực hiện chúng. Trong trường hơp này, diệt (cleaning) từng loại Trojan bằng các chương trình Antivirus hay Trojan removing không phải là giải pháp triệt để. Vì muốn diệt sạch đươc 1 loại Trojan một cách chính xác và hiệu qủa thì chưong trình Antivirus, Trojan removing phải có 1 VirusData File dùng để kiểm tra chính Trojan đó. Bởi vì khi quét các File trong hệ thống, các chương trình nói trên phải so sánh các file nghi ngờ nhiễm Trojan với các VirusData File sẵn có trong chương trình. Nếu thấy "trùng lắp" thì chương trình mới phát hiện ra virus và gởi các đề nghị đến người sử dụng máy ra quyết định (clean, rename...vv ). Như vậy rõ ràng là các chương trình trên không diệt đươc các Virus, Trojan mới xuất hiện hay các virus, Trojan không có VirusData File tương ứng trong chương trình.

Ngăn cản Trojan thưc hiện nhiệm vụ thứ 1 (mở 1 hay vài cổng default) thì chúng ta có thể sử dụng các chương trình firewall (bức tường lửa) như McAfee Firewall, Zone Alarm Pro hay cao cấp hơn là Check point…vv. Điểm vô cùng quan trọng ở đây là chương trình Firewall, nếu đươc sử dụng 1 cách đúng đắn, chính xác là nó có thể đóng tất cả các cửa mà trojan cố ý kích mở, bất kể đó là Trojan nào. Do vậy Trojan sẽ hết "cửa " hoạt động. Nếu Trojan nào sử dụng chính cửa mà các Application đang dùng để hoạt đông, theo lệnh của người quản trị hệ thống,thì chế độ "Filter” trong Firewall sẽ được quản trị viên áp dụng, gây khó khăn rất lớn cho Trojan thưc hiện nhiệm vụ được giao. Tuy nhiên chúng ta cũng thấy rằng sử dụng Firewall đúng cách khó hơn các chương trình Antivirus rất nhiều, đòi hỏi người dùng phải có 1 kiến thức sâu và đầy đủ về mạng, OS, Application và Virus,Trojan. . . (vì không khéo chúng ta sẽ đóng cả các cửa mà lẽ ra cần mở để thưc hiện các dich vụ cần thiết cho mình. . .)

Còn để ngăn cản Trojan thực hiện nhiệm vụ thứ 2 ( lấy cắp các thông tin nạn nhân đã từng gõ trên bàn phím, lưu trữ vào 1 file. DLL) thì mới đây môt vài chuyên gia bảo mật cao cấp đã soạn thảo vài chương trình "Anti-Keylogger" ( Chống lại chương trình Keylogger của Trojan ). Thí dụ chương trình Advanced Anti-KeyLogger ( http://www.download.com.vn/advanced-anti-keylogger/download ) Chương trình Antilogger đươc viết ra trên cơ sở áp dụng các thuật toán rất cao cấp kết hợp với những kiến thức về module áp dụng trong các OS hay application. Chưong trình này không kiểm soát bản thân Trojan mà kiểm soát "việc chúng làm". Khi Trojan bắt đầu "móc nối" ( hooking ) hệ thống bàn phím của nạn nhân, thì chương trình Anti-Keylogger nói trên lập tức phát hiên hành đông can thiệp này và kip thông báo cho user tên file thưc thi hành đông ( thường là file. exe ) đừong dẫn và tên file. DLL dùng để lưu trữ thông tin lấy từ thao tác trên bàn phím cũng như vị trí của nó trong hệ thống. Người dùng có thể ra lệnh là "cho phép" (Allow ) hay "cấm" (Prohibit) là xong. Khi đã ra lệnh "cấm " thì chương trình KeyLogger trong Trojan không thể ghi bất cứ thông tin nào vào file lưu trữ. DLL nói trên. Người dùng có thể yên tâm đánh trên bàn phím các thông tin nhạy cảm, bí mật cá nhân.  (Người dùng cao cấp - Advanced - có thể dễ dàng Delete file thực thi và file.  DLL liên quan đến Trojan mà chương trình Anti-Keylogger đã chỉ ra. Như vậy thưc chất đã vô hiệu hóa Trojan này).

Điều rất quan trọng ở đây, tôi muốn nhấn mạnh lại, là chương trình Anti-Keylogger ngăn cản đươc mọi Trojan thưc thi "nhiệm vu" lấy cắp thông tin, bất kể đó là loại Trojan nào. Cũng giống như chương trình Firewall ngăn cản mọi Trojan mở các cổng Default.

Khi chúng ta đã dùng Anti-Keylogger ngăn cản đựoc Trojan thưc thi được nhiệmm vụ thứ 2 rôi, thì dù Trojan có làm đươc hay không nhiệm vụ thứ 3 ( gửi nôi dung File. DLL ra ngoài bằng email ) cũng là điều không cần quan tâm. Vì Trojan chỉ gửi ra ngoài các File. DLL trống rỗng, không có dữ liệu gì.

Với Firewall và Anti-KeyLogger trong tay. có các chương trình Antivirus,Trojan remover trợ lưc, đươc trang bị môt kiến thức tin học sâu và đầy đủ, chúng ta hoàn toàn chặn đứng đươc mọi loại Trojan xuất hiện trong thời kỳ trước đây và hiện nay thực thi các nhiệm vụ nguy hiểm nói trên.

From Viet hacker forum 

Thanks!.