Saiba o que é um cavalo de Tróia
Os Cavalos de Tróia
Cavalo de Tróia
O “Cavalo de tróia” (em inglês, Trojan horse) é um programa informático que efectua operações maliciosas sem o conhecimento do utilizador. O nome “Cavalo de tróia” provém de uma lenda narrada na Ilíada (do escritor Homero) a propósito do cerco da cidade de Tróia pelos Gregos.
A lenda conta que os Gregos, que não conseguiam penetrar nas fortificações da cidade, tiveram a ideia de dar de presente um enorme cavalo de madeira em oferenda à cidade, abandonando o cerco.
Os Troianos (o povo da cidade de Tróia), apreciaram esta oferenda, a priori inofensiva, e levaram-na para dentro dos muros da cidade. Contudo, o cavalo estava cheio de soldados escondidos que saíram ao cair da noite, enquanto a cidade inteira dormia, para abrir as portas da cidade e dar acesso ao resto do exército…
Um Cavalo de tróia (informático) é por conseguinte um programa escondido noutro, que executa comandos dissimulados, e que geralmente dá acesso ao computador no qual é executado, abrindo uma porta escondida (em inglês backdoor). Por extensão, às vezes é designado troiano, por analogia com os habitantes da cidade de Tróia.
Como os vírus, o Cavalo de tróia é um código (programa) prejudicial colocado num programa são (imaginem um falso comando de listagem dos ficheiros, que destrói os ficheiros em vez de mostrar a lista).
Um Cavalo de tróia pode por exemplo
- roubar uma senha;
- copiar dados sensíveis;
- executar qualquer outra acção prejudicial;
- etc.
backdoor
Pior, tal programa pode criar, do interior da sua rede, uma brecha voluntária na segurança para autorizar o acesso a partes protegidas da rede a pessoas que se conectam do exterior.
Os principais cavalos de tróia são programas que abrem portas da máquina, ou seja, que permitem ao seu programadaor introduzir-se na sua máquina pela rede abrindo uma porta escondida. É a razão pela qual se fala geralmente de (literalmente, porta de trás) ou de backorifice (termo figurado grosseiro que significa “orifício de trás” [...]).
Um Cavalo de tróia não é necessariamente um vírus, na medida em que o seu objectivo não é reproduzir-se para infectar outras máquinas. Em contrapartida, certos vírus podem igualmente ser cavalos de tróia, ou seja propagar-se como um vírus e abrir uma porta nas máquinas infectadas!
Detectar tal programa é difícil, porque é necessário detectar se a acção do programa (o Cavalo de tróia) foi desejada ou não pelo utilizador.
Os sintomas de uma infecção
Uma infecção por um Cavalo de tróia dá geralmente depois da abertura de um ficheiro contaminado que contém o Cavalo de tróia (ver o artigo sobre a proteção contra os vermes) e traduz-se pelos sintomas seguintes:
- actividade anormal do modem, da placa de rede ou do disco: dados são carregados na ausência de actividade por parte do utilizador;
- reacções curiosas do mouse;
- aberturas repentinas de programas;
- bloqueios repetidos.
Princípio do cavalo de Tróia
O princípio dos cavalos de tróia é geralmente (e cada vez mais) abrir uma porta na sua máquina para permitir a um pirata tomar o controlo (por exemplo, roubar dados pessoais armazenados no disco). O objectivo do pirata é inicialmente infectar a sua máquina, levando-o a abrir um ficheiro infectado que contém o troiano, e subsequentemente aceder à sua máquina pela porta que abriu.
Contudo, para poder infiltrar-se na sua máquina, o pirata deve geralmente conhecer o endereço IP. Assim:
- ou tem um endereço IP fixo (caso de uma empresa ou às vezes particulares conectados por cabo, etc.); neste caso, o endereço IP pode ser recuperado facilmente
- ou o seu endereço IP é dinâmico (atribuído a cada conexão), é o caso das conexões por modem; neste caso, o pirata deve varrer endereços IP aleatórios para detectar os endereços IP que correspondem a máquinas infectadas.
Proteger-se contra os Troianos
Para se proteger deste tipo de intrusão, basta instalar um firewall, ou seja, um programa que filtra as comunicações que entram e saem da sua máquina. Um firewall (literalmente parede de fogo) permite assim, por um lado, ver as comunicações que saem das suas máquinas (normalmente iniciadas por programas que utiliza), ou as comunicações que entram. Contudo, não se exclui a possiblidade de o firewall detectar conexões que provêm do exterior, sem você seja a vítima escolhida por um hacker. Com efeito, pode tratar-se de testes efectuados pelo seu fornecedor de acesso ou um hacker que varre aleatoriamente um intervalo de endereços IP.
Para os sistemas de tipo Windows, existem firewall gratuitos muito eficientes :
Em caso de infecção
Se um programa cuja origem desconhece tenta abrir uma conexão, o firewall pedir-lhe-á uma confirmação para iniciar a conexão. É essencial não autorizar a conexão aos programas que não conhece, porque pode muito bem tratar-se de um Cavalo de tróia.
Em caso de repetição, pode ser útil verificar se o seu computador não está infetacdo por um troiano, utilizando um programa que permite detectá-lo e eliminá-lo (chamado bouffe-troyen).
É o caso de The Cleaner, cujo download pode ser feito em http://www.moosoft.com.
Lista das portas utilizadas habitualmente pelos Troianos
Os cavalos de tróia abrem habitualmente uma porta da máquina infectada e esperam a abertura de uma conexão nesta porta para dar o controlo total a eventuais piratas. Eis a lista (não exaustiva) das principais portas utilizadas pelos cavalos de tróia (origem: Site de Rico):
| porta | Troyen |
|---|---|
| 21 | Back construction, Blade runner, Doly, Fore, FTP trojan, Invisible FTP, Larva, WebEx, WinCrash |
| 23 | TTS (Tiny Telnet Server) |
| 25 | Ajan, Antigen, Email Password Sender, Happy99, Kuang 2, ProMail trojan, Shtrilitz, Stealth, Tapiras, Terminator, WinPC, WinSpy |
| 31 | Agent 31, Hackers Paradise, Masters Paradise |
| 41 | Deep Throat |
| 59 | DMSetup |
| 79 | FireHotcker |
| 80 | Executor, RingZero |
| 99 | Hidden port |
| 110 | ProMail trojan |
| 113 | Kazimas |
| 119 | Happy 99 |
| 121 | JammerKillah |
| 421 | TCP Wrappers |
| 456 | Hackers Paradise |
| 531 | Rasmin |
| 555 | Ini-Killer, NetAdmin, Phase Zero, Stealth Spy |
| 666 | Attack FTP, Back Construction, Cain & Abel, Satanz Backdoor, ServeU, Shadow Phyre |
| 911 | Dark Shadow |
| 999 | Deep Throat, WinSatan |
| 1002 | Silencer, WebEx |
| 1010 à 1015 | Doly trojan |
| 1024 | NetSpy |
| 1042 | Bla |
| 1045 | Rasmin |
| 1090 | Xtreme |
| 1170 | Psyber Stream Server, Streaming Audio Trojan, voice |
| 1234 | Ultor trojan |
| porta 1234 | Ultors Trojan |
| porta 1243 | BackDoor-G, SubSeven, SubSeven Apocalypse |
| porta 1245 | roubeDoo Doll |
| porta 1269 | Mavericks Matrix |
| porta 1349 (UDP) | BO DLL |
| porta 1492 | FTP99CMP |
| porta 1509 | Psyber Streaming Server |
| porta 1600 | Shivka-Burka |
| porta 1807 | SpySender |
| porta 1981 | Shockrave |
| porta 1999 | BackDoor |
| porta 1999 | TransScout |
| porta 2000 | TransScout |
| porta 2001 | TransScout |
| porta 2001 | Trojan Cow |
| porta 2002 | TransScout |
| porta 2003 | TransScout |
| porta 2004 | TransScout |
| porta 2005 | TransScout |
| porta 2023 | Ripper |
| porta 2115 | Bugs |
| porta 2140 | Deep Throat, The Invasor |
| porta 2155 | Illusion Mailer |
| porta 2283 | HVL Rat5 |
| porta 2565 | Striker |
| porta 2583 | WinCrash |
| porta 2600 | Digital RootBeer |
| porta 2801 | Phineas Phucker |
| porta 2989 (UDP) | RAT |
| porta 3024 | WinCrash |
| porta 3128 | RingZero |
| porta 3129 | Masters Paradise |
| porta 3150 | Deep Throat, The Invasor |
| porta 3459 | Eclipse 2000 |
| porta 3700 | portal of Doom |
| porta 3791 | Eclypse |
| porta 3801 (UDP) | Eclypse |
| porta 4092 | WinCrash |
| porta 4321 | BoBo |
| porta 4567 | File Nail |
| porta 4590 | ICQTrojan |
| porta 5000 | Bubbel, Back Door Setup, Sockets de Troie |
| porta 5001 | Back Door Setup, Sockets de Troie |
| porta 5011 | One of the Last Trojans (OOTLT) |
| porta 5031 | NetMetro |
| porta 5321 | Firehotcker |
| porta 5400 | Blade Runner, Back Construction |
| porta 5401 | Blade Runner, Back Construction |
| porta 5402 | Blade Runner, Back Construction |
| porta 5550 | Xtcp |
| porta 5512 | Illusion Mailer |
| porta 5555 | ServeMe |
| porta 5556 | BO Facil |
| porta 5557 | BO Facil |
| porta 5569 | Robo-Hack |
| porta 5742 | WinCrash |
| porta 6400 | The Thing |
| porta 6669 | Vampyre |
| porta 6670 | DeepThroat |
| porta 6771 | DeepThroat |
| porta 6776 | BackDoor-G, SubSeven |
| porta 6912 | Shit Heep (not port 69123!) |
| porta 6939 | Indoctrination |
| porta 6969 | GateCrasher, Priority, IRC 3 |
| porta 6970 | GateCrasher |
| porta 7000 | Remote Grab, Kazimas |
| porta 7300 | NetMonitor |
| porta 7301 | NetMonitor |
| porta 7306 | NetMonitor |
| porta 7307 | NetMonitor |
| porta 7308 | NetMonitor |
| porta 7789 | Back Door Setup, ICKiller |
| porta 8080 | RingZero |
| porta 9400 | InCommand |
| porta 9872 | portal of Doom |
| porta 9873 | portal of Doom |
| porta 9874 | portal of Doom |
| porta 9875 | portal of Doom |
| porta 9876 | Cyber Attacker |
| porta 9878 | TransScout |
| porta 9989 | iNi-Killer |
| porta 10067 (UDP) | portal of Doom |
| porta 10101 | BrainSpy |
| porta 10167 (UDP) | portal of Doom |
| porta 10520 | Acid Shivers |
| porta 10607 | Coma |
| porta 11000 | Senna Spy |
| porta 11223 | Progenic trojan |
| porta 12076 | Gjamer |
| porta 12223 | Hack´99 KeyLogger |
| porta 12345 | GabanBus, NetBus, Pie Bill Gates, X-bill |
| porta 12346 | GabanBus, NetBus, X-bill |
| porta 12361 | Whack-a-mole |
| porta 12362 | Whack-a-mole |
| porta 12631 | WhackJob |
| porta 13000 | Senna Spy |
| porta 16969 | Priority |
| porta 17300 | Kuang2 The Virus |
| porta 20000 | Millennium |
| porta 20001 | Millennium |
| porta 20034 | NetBus 2 Pro |
| porta 20203 | Logged |
| porta 21544 | GirlFriend |
| porta 22222 | Prosiak |
| porta 23456 | Evil FTP, Ugly FTP, Whack Job |
| porta 23476 | Donald Dick |
| porta 23477 | Donald Dick |
| porta 26274 (UDP) | Delta Source |
| porta 27374 | SubSeven 2.0 |
| porta 29891 (UDP) | The Unexplained |
| porta 30029 | AOL Trojan |
| porta 30100 | NetSphere |
| porta 30101 | NetSphere |
| porta 30102 | NetSphere |
| porta 30303 | Sockets de Troie |
| porta 30999 | Kuang2 |
| porta 31336 | Bo Whack |
| porta 31337 | Baron Night, BO client, BO2, Bo Facil |
| porta 31337 (UDP) | BackFire, Back Orifice, DeepBO |
| porta 31338 | NetSpy DK |
| porta 31338 (UDP) | Back Orifice, DeepBO |
| porta 31339 | NetSpy DK |
| porta 31666 | BOWhack |
| porta 31785 | Hack´a´Tack |
| porta 31787 | Hack´a´Tack |
| porta 31788 | Hack´a´Tack |
| porta 31789 (UDP) | Hack´a´Tack |
| porta 31791 (UDP) | Hack´a´Tack |
| porta 31792 | Hack´a´Tack |
| porta 33333 | Prosiak |
| porta 33911 | Spirit 2001a |
| porta 34324 | BigGluck, TN |
| porta 40412 | The Spy |
| porta 40421 | Agent 40421, Masters Paradise |
| porta 40422 | Masters Paradise |
| porta 40423 | Masters Paradise |
| porta 40426 | Masters Paradise |
| porta 47262 (UDP) | Delta Source |
| porta 50505 | Sockets de Troie |
| porta 50766 | Fore, Schwindler |
| porta 53001 | Remote Windows Shutdown |
| porta 54320 | Back Orifice 2000 |
| porta 54321 | School Bus |
| porta 54321 (UDP) | Back Orifice 2000 |
| porta 60000 | Deep Throat |
| porta 61466 | Telecommando |
| porta 65000 | Devil |
Conteúdos relacionados:
- BBB11 é uma ameaça na rede. Saiba porque Não há como evitar. Todas as atrações de grande audiência...
- Novo vírus ‘chantageia’ usuários que baixam conteúdo pornô Um novo tipo de vírus virtual infecta computadores que utilizam...
- Saiba como controlar a Internet na Empresa Não bloqueie, gerencie e controle sua empresa! http://www.wavecorporate.com ControleWeb Web...
