 |
トロイの木馬は、色々な動作を行います。
共通していることは、通常のプログラムを装う悪意を持ったプログラムであるということです。
たとえば、パスワード検査のプログラムにトロイの木馬を仕込んだ場合を考えてみます。
UNIXシステムの管理者が定期的にユーザのパスワードを検査し解析されやすいパスワードを使用しているユーザが居ないかをチェックします。
ここまでは良性のプログラムですが、このプログラムが解析したパスワードに通知する機能を持っていたと考えるとどうでしょうか?
また、バックドアやリモートコントロールの項にも関係があります。
トロイの木馬は、バックドアやリモートコントロールモジュールとして機能するものもあります。
たとえば、UNIXのsuコマンドと置き換え、たとえば/tmp/.backdoorファイルに対して情報を書き込むものもあります。
|
|
やっかいなことは、suコマンドと置き換えられたものは、suコマンドとして動作するため、発見が遅れてしまうということにあります。
この他にも、コマンドと置き換えられたトロイの木馬の多くは正しいコマンドとして動作します。
また、セキュリティ検査のために動作させたプログラムも正しい結果を出力します。
ユーザのパスワードの中で類推されやすいものはないか検査し管理者に報告します。
しかし、その裏ではユーザ情報をはじめとする各種情報が格納され、攻撃者に提供されているのです。
特に、ネットワークを使用したトロイの木馬はリアルタイム、
または一定時刻に攻撃者の元へデータが届けられサイトは脅威に晒されます。
使用される代表的なポートは次の通りです。
もし、このポートが頻繁に使用されるようであれば、システム上に問題はないか、その日時に動かしたプログラムは何か等を検査する必要があります。
| ポート番号 |
IANAで指定されている本来のサービス |
トロイの木馬 |
|---|---|---|
| 21 |
FTP(データ) |
WinCrash, Back Construction |
| 23 |
telnet |
TTS |
| 25 |
SMTP |
Ajan, Email Password Sender Happy99 |
| 31 |
msg-auth |
Agent31, Masters Paradise |
| 41 |
graphics |
Deep Throat |
| 59 |
DMSetup |
|
| 80 |
HTTP |
Eecuter |
| 99 |
metagram |
Hidden Port |
| 113 |
ident |
Kiazimas |
| 119 |
NNTP |
Happy99 |
| 121 |
ERPC |
BO jammerkillah |
| 456 |
macon-udp |
Hackers Paradise |
| 531 |
conference |
Rasmin |
| 555 |
dsf |
Phase Zero, Stealth Spy |
| 666 |
mdps, doom |
Back Construction, Attack FTP |
| 911 |
xact-backup |
Dark Shadow |
| 999 |
garcon, applix |
Deep Throat |
| 1001 |
Silencer, WebEx |
|
| 1010 |
Doly |
|
| 1011 |
Doly |
|
| 1012 |
Doly |
|
| 1015 |
Doly |
|
| 1024 |
NetSpy |
|
| 1033 |
NetSpy |
|
| 1042 |
Bla |
|
| 1047 |
neod1 |
CateCrasher |
| 1090 |
ff-fms |
Xtreme |
| 1170 |
Streaming Audio Torojan, Psyber Stream Server |
|
| 1234 |
search-agent |
Ultors |
| 1243 |
serialgateway |
BackDoor-G, SubSeven |
| 1245 |
isbconference2 |
VooDoo Doll |
| 1269 |
watilapp |
Maverick's Matrix |
| 1492 |
stone-design-1 |
BackOrifice FTP, FTP99 |
| 1509 |
robcad-lm |
Psyber Streaming Server |
| 1600 |
issd |
Shvka Burka |
| 1807 |
fhsp |
SpySender |
| 1981 |
p2pq |
ShockRave |
| 1999 |
tcp-id-port |
Trojan Scout |
| 2000 |
callbook |
Trojan Scout |
| 2001 |
dc |
Trojan Cow |
| 2002 |
globe |
Trojan Scout |
| 2003 |
Trojan Scout |
|
| 2004 |
mailbox |
Trojan Scout |
| 2005 |
berknet |
Trojan Scout |
| 2023 |
xinuexpansion3 |
Pass Ripper |
| 2115 |
KDM |
Bugs |
| 2140 |
IAS-REG |
Deep Throat |
| 2155 |
Illusion Mailer |
|
| 2283 |
lnvstatus |
HVL Rat5 |
| 2565 |
MosaixCC |
Striker |
| 2583 |
Wincrash |
|
| 2801 |
igcp |
Phineas Phucke |
| 2989 UDP |
ZARKOV |
RAT |
| 3129 |
Master Paradise |
|
| 3150 |
nm-asses-admin |
Deep Throat |
| 3459 |
integral |
Eclips2000 |
| 3801 UDP |
Eclips |
|
| 4321 |
rwhois |
BoBo |
| 4567 |
tram |
FileNail |
| 4950 |
ICQ Trojan |
|
| 5000 |
commplex-main |
Bubbel, Blazer |
| 5001 |
commplex-link |
BackDoor Server |
| 5011 |
telelpathattack |
OOTLT |
| 5031 |
NetMetro |
|
| 5321 |
Filehotcker |
|
| 5400 |
Blade Runner, Back Construction |
|
| 5401 |
excerpts |
Blade Runner, Back Construction |
| 5402 |
mftp |
Blade Runner, Back Construction |
| 5512 |
Illusion Mailer |
|
| 5550 |
Xtcp |
|
| 5555 |
personal-agent |
ServeMe |
| 5556 |
udpplus |
BO Facil |
| 5557 |
BO Facil |
|
| 5569 |
RoboHack |
|
| 5714 |
prosharevideo |
Wincrash3 |
| 5742 |
ida-discover2 |
Wincrash |
| 6400 |
info-aps |
The Thing |
| 6669 |
ircu |
Vampire |
| 6670 |
vocaltec-gold |
Deep Throat |
| 6671 |
Deep Throat |
|
| 6767 |
bmc-perf-agent |
NT Remote Control |
| 6776 |
SubSeven, BackDoor-G |
|
| 6883 |
DeltaSource |
|
| 6912 |
Shit Heep |
|
| 6939 |
Indoctrination |
|
| 6969 |
acmsoda |
GateCrasher |
| 6970 |
GateCrasher |
|
| 7000 |
afs3-fileserver |
Remote Grab |
| 7300 |
swx |
NetMonitor |
| 7301 |
swx |
NetMonitor |
| 7306 |
swx |
NetMonitor |
| 7306 |
swx |
NetMonitor |
| 7307 |
swx |
NetMonitor |
| 7308 |
swx |
NetMonitor |
| 7789 |
ICQ Killer |
|
| 8080 |
http-alt |
RingZero |
| 9400 |
InCommand |
|
| 9872 |
Portal Of Doom |
|
| 9873 |
Portal Of Doom |
|
| 9874 |
Portal Of Doom |
|
| 9875 |
Portal Of Doom |
|
| 9876 |
sd |
Cyber Attacker |
| 9878 |
TransScout |
|
| 9989 |
iNi-Killer |
|
| 10067 UDP |
Portal Of Doom |
|
| 10101 |
BrainSpy |
|
| 10167 UDP |
Portal Of Doom |
|
| 11000 |
irisa |
Senna Spy Trojan |
| 11223 |
Progenic Trojan |
|
| 12076 |
Gjamer |
|
| 12223 |
Hack99 KeyLogger |
|
| 12345 |
NetBus |
|
| 12346 |
NetBus |
|
| 12631 |
WhackJob |
|
| 13000 |
SennaSpy |
|
| 16969 |
Priority |
|
| 17300 |
Kuang2 |
|
| 20000 |
dnp |
Millenium2 |
| 20001 |
Millenium2 |
|
| 20034 |
NetBus2 |
|
| 20203 |
Loged |
|
| 20331 |
Bla |
|
| 21554 |
GirlFriend |
|
| 22222 |
Schwindler |
|
| 23476 |
Donald Dick |
|
| 23477 |
Donald Dick |
|
| 23456 |
Whack Job, Evil FTP |
|
| 26274 (UDP) |
Delta Source |
|
| 29891 |
The Unexplained |
|
| 29891 (UDP) |
The Unexplained |
|
| 30029 |
AOL Trojan |
|
| 30101 |
NetSphere |
|
| 30102 |
NetSphere |
|
| 30100 |
NetSphere |
|
| 30303 |
Socket23 |
|
| 30999 |
Kuang2 |
|
| 31336 |
BO Whack |
|
| 31337 (UDP) |
BackOrifice |
|
| 31338 (UDP) |
BackOrifice |
|
| 31339 |
NetSpy |
|
| 31666 |
Whackmole |
|
| 31789 (UDP) |
Hack a tack |
|
| 31791 (UDP) |
Hack a tack |
|
| 32771 |
Solaris rcpbind vulnerability |
|
| 33333 |
Prosiak |
|
| 33911 |
Trojan Spirit |
|
| 34324 |
TN |
|
| 34324 |
Tiny Telnet Server |
|
| 40412 |
The Spy |
|
| 40421 |
Master Paradise |
|
| 40423 |
Master Paradise |
|
| 47262 (UDP) |
Delta Source |
|
| 50766 |
Fore |
|
| 53001 |
Remote Shutdown |
|
| 54321 (UDP) |
Back Orifice 2000 |
ここまでは主にUNIXシステムにおける手法でした。
Windowsでは、固有の実装を利用したトロイの木馬があります。
たとえば、ActiveXコントロールを使用したものです。
これは、ActiveXコントロールをダウンロードさせ、特定のポートを通じて相手のホストを操作するといったことや、リモートコントロールのモジュールを送り込むという手法です。
| ActiveXのモジュールを相手にダウンロードさせる |
相手のホストに入り操作を行う |
|---|---|
 |
 |
トロイの木馬は、ウィルスとしてもにも使用されています。
W32/Ska(Happy99)
がその一つと言えるでしょう。
ウィルスの情報はウィルス対策室のページを参照願います。
また、リモートコントロールのモジュールとして機能する場合もあります。
リモートコントロールの機能以外にも、システムの情報を取得することや、
コンソールで使用されたキーボード操作をロギングするということも行われます。
リモートコントロール機能のに関してはリモートコントロールのページを参照してください。
 |
Copyright(C) 2001 Information-technology Promotion Agency, Japan. All rights reserved.