|
Métodos
eficazes e os não tão eficazes de se retirar o programa
Basicamente existem quatro métodos de se retirar um cavalo de tróia.
Cada um possui suas vantagens e falhas. O ideal seria usar um pouco de
todos.
Detecção por portas
Esse é um método utilizado por programas como o Xôbobus,
o meu Anti-Trojans e muitos outros. Funciona do seguinte modo: os programadores
estudam as portas TCP e UDP utilizadas pelos trojans e criam um programa
que abre essas portas. Assim, quando um invasor vir a porta aberta e pensar
que é um cavalo de tróia que está instalado ali,
cairá em uma armadilha tendo o seu endereço IP detectado.
Esse método não é muito eficiente pois facilmente
podemos mudar as portas que os trojans utilizam. Mas ainda é um
método muito usado pois muitas pessoas não se lembrar de
trocar as portas.
Detecção pelo arquivo
Esse é o método usado pelos anti-vírus e o programa
The Cleaner. Ele detecta o trojan checando a sua estrutura. Se o arquivo
estiver renomeado (sem ser para executável) ou estiver comprimido,
esse método se torna inútil. Para ser realmente eficaz,
deve ser usado junto à detecção de portas. Assim,
mesmo que seu anti-vírus não encontrou um trojan, o Anti-Trojans
pode encontrar.
Detecção por string
Na minha opinião, o melhor método de todos. Pouco divulgado
publicamente, se torna a melhor garantia para se detectar um trojan sem
falhas. Isso porquê mesmo que o programa for comprimido ou mude
suas portas, ele ainda estará usando uma das 65535 portas do sistema
e se comunicará com o cliente. A comunicação entre
cliente e servidor se dá por uma string (texto) enviada. Por exemplo:
O Netbus 1.7 envia uma string assim “Netbus 1.7x” quando alguma
conexão é estabelecida. Se for o cliente, ele responderá
com outra string. Então para analisar todas as portas do seu sistema
e saber quais estão abertas e possuem strings, utilize um programa
como o Chaoscan ou algum outro scanner de porta que lhe dê essas
informações.
Detecção manual
Muito eficaz também, a checagem manual do sistema pelo operador
pode facilitar muito a vida. Olhando registro, arquivos de inicialização,
conferindo os programas carregados na memória, o tamanho dos arquivos,
etc... Todas essas precauções evitam dores de cabeça.
Essa política adotada junto aos outros tipos de detecção
faz com que você exclua em 100% a chance de uma invasão por
cavalos de tróia.
|