Um Cavalo de Troia (em inglês Trojan horse) é um malware (programa malicioso) que age como a lenda do cavalo de Troia, entrando no computador e liberando uma porta para uma possível invasão e é fácil de ser enviado, é só clicar no ID do computador e enviar para qualquer outro computador.
Surgimento e características
É um programa que simula fazer algo de bom, quando de fato faz um monte de outras coisas. Assim, um trojan é um programa que oculta o seu objetivo sob uma camuflagem de outro programa útil ou inofensivo.
"Trojan horse" (Cavalo de Tróia) é atribuído à Daniel Edwards da NSA (National Security Agency). Ele ajudou a identificar o ataque ocorrido em 1972, e reportou ao relatório "Computer Security Technology Planning Study". Este foi o primeiro relato de um ataque ocorrido por este malware, que mais tarde ficou conhecido por trojan horse, ou somente trojan.
O cavalo de Troia é um programa que tem um pacote de vírus que é usado geralmente para destruir um computador.
O conceito nasceu de um simples programa que se faziam passar por esquemas de autenticação, em que o utilizador era obrigado a inserir as senhas, pensando que estas operações eram legítimas. Por exemplo, na autenticação de uma shell, poderia ser um simples programa numa conta já aberta, e o utilizador que chegasse seria forçado a introduzir a sua password. O trojan iria então guardar o password e mascarar a conta (que seria do dono do trojan) para que parecesse legítima (a conta da vítima). Entretanto, o conceito evoluiu para programas mais completos.
Os trojans atuais são disfarçados de programas legítimos, embora, diferentemente de vírus ou de worms, não criam réplicas de si (e esse é o motivo pelo qual o Cavalo de Tróia não é considerado um vírus). São instalados diretamente no computador. De fato, alguns trojan são programados para se auto-destruir com um comando do cliente ou depois de um determinado tempo.
Os trojans ficaram famosos na Internet pela sua facilidade de uso, fazendo qualquer pessoa possuir o controle de um outro computador apenas com o envio de um arquivo. Por isso os trojans têm fama de ser considerados "ferramentas de script kid".
Os trojans atuais são divididos em duas partes:
O servidor se instala e se oculta no computador da vítima, normalmente dentro de algum outro arquivo. No momento que esse arquivo é executado, o computador pode ser acessado pelo cliente, que irá enviar instruções para o servidor executar certas operações no computador da vítima.
A direta tende a precisar do IP da vítima para funcionar, já a reversa tem o IP do dono do trojan, fazendo assim a conexão.
Geralmente um trojan é instalado com o auxílio de um ataque de engenharia social, com apelos para convencer a vítima a executar o arquivo do servidor, o que muitas vezes acaba acontecendo, dada a curiosidade do internauta, como um email atraindo a pessoa a ver fotos de um artista, pedindo a instalação de um plugin, onde o trojan fica "hospedado".
Tipos de cavalo de Troia
O Trojan horse é muito achado em computadores domésticos, a fim de roubar uma determinada senha para cometer certos crimes financeiros, no caso de um cliente que utiliza algum serviço de internet Banking.
Malware
Malware é uma categoria de código malicioso que inclui vírus, worms e Cavalos de Tróia. Os programas de malware destrutivos utilizam ferramentas de comunicação conhecidas para se espalharem. Por exemplo, worms enviados por e-mail e mensagens instantâneas, Cavalos de Tróia provenientes de websites e arquivos infectados com vírus obtidos por download de conexões ponto-a-ponto. O malware também tenta explorar as vulnerabilidades existentes nos sistemas, tornando sua entrada discreta e fácil.
Cavalos de Tróia
Muitos falam que o malware chamado de Cavalo de Tróia (Trojan Horse) é apenas um subconjunto de vírus (e vice-versa), mas há diferenças importantes que devem ser observadas cuidadosamente.
Um Cavalo de Tróia enquadra-se na definição de vírus que a maioria das pessoas usa, no sentido de que ele tenta invadir um computador sem o conhecimento e sem o consentimento do usuário. Um Cavalo de Tróia, semelhante a sua contraparte mitológica, apresenta-se freqüentemente de uma forma quando, na verdade, ele tem outra. Isto é, é apresentado aos futuros "usuários" como um utilitário, um crack, uma imagem pornográfica ou um jogo, mas na verdade ele irá executar operações completamente diferentes das esperadas, assim que for instalado por um usuário leigo ou desprevinido. Um exemplo recente de software mal-intencionado agindo com um Cavalo de Tróia é a versão de e-mail do vírus "Swen" que, de modo falso, passava-se como um aplicativo de atualização da Microsoft.
Os Cavalos de Tróia normalmente executam uma destas ações: eles destroem ou modificam dados, como apagar uma unidade de disco rígido, no momento em que são ativados ou tentam descobrir ou roubar senhas, números de cartão de crédito e outras informações confidenciais. Os Cavalos de Tróia podem representar um problema maior que outros tipos de vírus, pois são desenvolvidos para serem destrutivos, de modo oposto aos vírus e aos worms, em que o invasor pode não ter a intenção de causar nenhum dano, só mostrar que é um gênio incompreendido. Entretanto em outros casos um Cavalo de Tróia é absolutamente um risco imenso, não para seus dados ou programas, mas para seu bolso. Isto acontece quando o trojan é do sub-tipo conhecido como BackDoor (um componente específico, que abre uma PORTA DOS FUNDOS no micro contaminado, e cujo objetivo maior é ficar coletando todas as teclas pressionadas pelo usuário (através de um componente "keylogger", cujo objetivo é transmitir as senhas bancárias e de cartões de crédito digitadas pelo usuário ao navegar por sites de compras, ou em Net-banking. Essencialmente, essas diferenças não são importantes na prática. Você pode considerar vírus, Cavalos de Tróia e Worms apenas como:"coisas que não quero - de jeito algum - no meu computador ou na minha rede".
Tipos de Cavalo de Tróia
Invasão por portas TCP e UDP
Esse é o trojan mais comum existente na internet hoje. Netbus, Back Orifice, SubSeven, Hack"a"tack, Girlfrend, Netsphere e muitos outros são facilmente encontrados pela rede. Possuem na sua maioria dos arquivos um servidor para ser instalado no computador da vítima e um cliente com interface gráfica para manipular o servidor remotamente. As portas de um sistema variam entre 0 e 65535 e servem para identificar serviços rodando no sistema (como o servidor web que utiliza a porta 80). O servidor se torna mais um serviço ao escolher alguma porta para "escuta" as chamadas do cliente. O trojan que utiliza portas TCP, estabelece uma conexão com o servidor, atuando diretamente de dentro do sistema. Já que utiliza portas UDP, comunica-se via pacotes de dados enviando ao host alvo. Não tão confiável como TCP, não garante a entrega dos pacotes recebidos da resposta. Quase todos os trojans atuais são para a arquitetura Windows. Os poucos existentes em outros sistemas, tais como: Unix, Linux, Novell e Macintosh são chamados de backdoors. A diferença entre o trojan comum e o backdoor é que o último é muito mais difícil de se instalar. Em um sistema Unix por exemplo, para conseguir se instalar um backdoor é preciso possuir privilégios de super-usuário (root).
Trojans de informação
Não é tão usado quando o de portas, mas igualmente (ou até mais) perigoso. Enquanto a maioria das funções dos trojans comuns é apenas para aborrecer (sumir com a barra de tarefas, apagar o monitor, desligar o windows, etc...), o trojan de informação se concentra em ficar residente detectando todos os tipos de dados vitais ao sistema. Ele consegue toda senha digitada no servidor junto ao endereço de IP das máquinas e envia a informação para uma conta de e-mail configurada pelo invasor. Existem alguns programas mais sofisticados que além de enviar por e-mail, pode enviar a informação por MSN ou qualquer outro tipo de Messenger. Geralmente o programa envia a informação em prazo de cada 5 a 10 minutos. Ao contrário do trojan de portas, possui apenas o arquivo servidor e um tamanho bem menor. Exemplo: O servidor do trojan de portas Netbus possui cerca de 490kb de tamanho. Já o trojan de informações K2ps possui cerca de 17kb.
Trojans de ponte
É um tipo não muito conhecido, mas largamente usado por hackers e crackers do mundo inteiro. Consiste em instalar um servidor no seu computador que possibilite que através dele (e do seu endereço ip) o invasor possa realizar ataques de invasão e de recusa de serviço. Um programa comum é o WinProxy, que pode ser instalado facilmente e não levanta nenhum tipo de suspeitas.
Rootkits
Esse tipo especial de backdoor é utilizado no Unix e Linus. Ao ser executado pelo operador do sistema ele substitui arquivos executáveis importantes (como os PS, por exemplo) por versões "infectadas". Essas versões podem ser tanto trojans de portas quanto de informação. Vão fornecer acesso irrestrito ao invasor com poderes de super-usuário, e o mais importante: os acessos não ficam registrados nos logs.
Trojans comerciais
Programas como PcAnuwhere ou terminal remoto no windows XP dentre outros da mesma natureza, são programas que possibilitam o controle completo sobre a máquina de alguém, como se estivesse sentado ali, no próprio computador. A vantagem desse programas (já que são comerciais), é que o antivírus não pega.
Como evitar um ataque
Antes de mais nada, para evitar que máquina seja vítima de um ataque do cavalo de tróia, evite rodar qualquer arquivo executável encontrado na rede ou recebido por e-mail. Mesmo que você receba um executável de um conhecido ou amigo, procure saber antes a procedência do mesmo.
O controle deve começar pela identidade digital do usuário. Login e senha são identificações particulares que merecem o máximo cuidado e sigilo. A troca periódica da senha é um bom começo para quem não quer dar chance ao azar. A maioria dos provedores de acesso oferece esse serviço online. Para maior segurança, o usuário deve utilizar senhas relativamente complexas. No mínimo, utilize uma senha alfanumérica com 6 caracteres. Mantenha o hábito de conferir o extrato detalhado da utilização da sua conta de acesso. Ao notar qualquer alteração no número de horas utilizadas, entre em contato com administração do seu provedor. Isso evita alguns problemas, mas não funciona se o seu computador já tiver um cavalo de Tróia instalado. Isso porque alguns desses programas permitem ao hacker roubar a sua senha do seu próprio micro. Nesse caso, é necessário desinstalar o troiano de sua máquina, antes de mais nada. Para saber se há algum cavalo de Tróia instalado em sua máquina, você precisa de um programa detector.
Além da troca de senha, o usuário precisa manter seus softwares sempre atualizados. Tanto o navegador da Netscape quanto o da Microsoft (Internet Explorer) já apresentaram bugs de segurança em quase todas as suas versões. Tão logo estes bugs são descobertos, as respectivas fabricantes oferecem patches de correção para os problemas. Visitas regulares ao site da fabricante do seu navegador preferido o ajudarão na coleta de informações sobre os bugs e suas respectivas correções.
Os métodos para lidar com Cavalos de Tróia são geralmente os mesmos usados para lidar com vírus. A maioria dos programas anti-vírus combate alguns dos Cavalos de Tróia comuns, com vários graus de sucesso. Há também programas "anti-cavalos de Tróia" - software bastante específicos - disponíveis, mas a sua melhor arma ainda é o bom-senso e o "conhecimento".
Danos causados pelo Cavalo de Tróia
Esse tipo de malware geralmente é escrito para causar danos ao sistema, porém existem algum trojans que seu principal objetivo não é causar danos ao sistema do host, e sim executar alguma tarefa alternativa como: copiar dados, tirar screenshots, abrir e fechar a tampa do driver de CD/DVD-ROM.
Quando instalado no computador permite o total controle do terminal. O cavalo de tróia pode obter informações de arquivos, descobrir senhas, introduzir novos programas, formatar o disco rígido, ver a tela e até ouvir a voz, caso o computador tenha um microfone instalado. Como a boa parte dos micros é dotada de microfones ou câmeras de áudio e vídeo, o trojan permite fazer escuta clandestina, o que é bastante utilizado entre os criminosos que visam à captura de segredos industriais;
Conclusão
O Cavalo de Tróia ou Trojan Horse constitui se de um programa que simula fazer algo de bom, quando de fato traz para o computador infectado danos irrecuperáveis como: obtenção das informações de arquivos, introdução de novos programas, e até ouvir a voz, caso o computador tenha um microfone instalado.
Existem vários tipos de cavalo de tróia como: Invasores por portas TCP e UDP, trojans de informação, trojans de ponte, rootkits e trojans comerciais todos, todos estes tipos visam o acesso às informações do computador hospedeiro, bem como trazer uma série de danos ao computador como, por exemplo: lentidão, desligamento sem solicitação por parte do usuário e etc. Algumas medidas podem ser tomadas afim de que um computador não seja infectado como por exemplo: evitar rodar qualquer arquivo executável encontrado na rede ou recebido por e-mail, troca periódica da senha, hábito de conferir o extrato detalhado da utilização da sua conta de acesso, antivírus dentre outras.
As conseqüências do cavalo de tróia são grandes, por isso conhecimento, bom senso e qualquer outra forma de proteção são indispensáveis quando se trata de informações pessoais.