Hlavní navigace

FTP trojan podruhé

13. 5. 2009 19:42 (aktualizováno) | Tomáš Kavalek

Problém, se kterým jsem měl tu čest se setkat, jsem již popsal v předchozím zápise. V tomto zápise bych se chtěl věnovat hlubší analýze z praxe, tzn. nebudu rozebírat detaily trojana, po jakém pánovi se jmenuje, atd.

Postup, jak vše probíhá (IMHO a vše ve WIndows, i zde na Rootu jsou tací, kteří s tímto systémem pracují). Trojan se dostane do počítače (FW mi hlásí, že Firefox se snaží spustit Acrobat, nepovoluji mu to – samozřejmě; pokud jsem to povolil na testovacím stroji, který se reinstaluje téměř pravidelně, tak měl za okamžik bežící proces Acrobat.exe naalokováno 100MB – trošku moc, na to, že si neotevřel žádné PDFko). Co dál? Trojan si pěkně vytáhne, v tomto případě z Total Commandera, hesla na FTP účty. Ta hesla si odešla „někam“ do prostředí internetu, kde si žije jeho velký boss, trojan, který vše ovládá ne z cílového počítače. Tzn. že i přes to, že se trojana podáří z počítače odstranit (viz např. fórum na viry.cz), odstraní se uložená hesla k FTP účtům, tak není vůbec vyhráno. Trojan v síti totiž tato hesla stále má, a kdykoliv si může zaútočit znovu. Je tedy následně nezbytné změnit hesla na všechna naše FTP, která byla uložena v počítači.

Nově, na jednom testovacím FTP, nepřístupné jako WEB na portu 80 (aby to nikoho neohrozilo), napadá nejen soubory typu PHP, ale již i HTML a JS.

Takže, už nikdy neukládat hesla, a nebo opravdu pořádně, antivir je snad samozřejmost, ale určitě ani nepodcenit firewall.

Inspirováno komentářem [8]:

Má zkušenost o chování trojana je následující (věřím však, že tento výčet není konečný):

  • do druhého zanoření
  • napadá všechny JS
    • vkládá nakonec souboru
  • PHP
    • index.php, main.php, config.php, login.php, default.php
    • vkládá na záčátek a konec souboru
  • HTML
    • index.html, default.html
    • vkládá mezi </head> a <body>
  • ve složce, je-li do druhého zanoření, a jmenuje-li se images, vytváří images.php, soubor, který neobsahuje nic, jen nepřátelský kód