Introdução aos cavalos de Troia

Janeiro 2017

Os Cavalos de Troia


O "Cavalo de troia" (em inglês, Trojan horse) é um programa informático que efetua operações maliciosas sem o conhecimento do usuário. O nome Cavalo de troia provém de uma lenda narrada na Ilíada (do escritor Homero) a propósito do cerco da cidade de Troia pelos Gregos.

A lenda conta que os Gregos, que não conseguiam penetrar nas fortificações da cidade, tiveram a ideia de dar de presente um enorme cavalo de madeira como oferenda à cidade, abandonando o cerco.

Os Troianos (o povo da cidade de Troia), apreciaram esta oferenda, a priori inofensiva, e levaram-na para dentro dos muros da cidade. Contudo, o cavalo estava cheio de soldados escondidos que saíram ao cair da noite, enquanto a cidade inteira dormia, para abrir as portas da cidade e dar acesso ao resto do exército...


Um Cavalo de Troia (informático) é por um programa escondido noutro, que executa comandos dissimulados, e que geralmente dá acesso ao computador no qual é executado, abrindo uma porta escondida (em inglês backdoor). Por extensão, às vezes é designado troiano, por analogia com os habitantes da cidade de Troia.

Como os vírus, o Cavalo de Troia é um código (programa) prejudicial colocado num outro programa (imaginem um falso comando de listagem dos arquivos, que os destrói ao invés de mostrar a lista).



Um Cavalo de Troia pode, por exemplo, roubar uma senha; copiar dados sensíveis; executar qualquer outra ação prejudicial, etc.

Backdoor

Pior, tal programa pode criar, do interior da sua rede, uma brecha voluntária na segurança para autorizar o acesso a partes protegidas da rede a pessoas que se conectam do exterior.

Os principais cavalos de Troia são programas que abrem portas na máquina, ou seja, que permitem ao seu programador introduzir-se na sua máquina, pela rede, abrindo uma porta escondida. É a razão pela qual se fala geralmente de (literalmente, porta de trás) ou de backorifice (termo figurado grosseiro que significa "orifício de trás" [...]).

Um Cavalo de Troia não é um vírus na medida em que o seu objetivo não é reproduzir-se para infectar outras máquinas. Em contrapartida, certos vírus podem igualmente ser cavalos de Troia, ou seja propagar-se como um vírus e abrir uma porta nas máquinas infectadas!

Detectar tal programa é difícil, porque é preciso saber se a ação do programa (o Cavalo de Troia) foi voluntária ou não pelo usuário.

Os sintomas de uma infecção

Uma infecção causada por um Cavalo de Troia acontece geralmente depois da abertura de um arquivo contaminado, que contém o Cavalo de Troia (ver o artigo sobre a proteção contra os vermes) e traduz-se pelos seguintes sintomas:

Atividade anormal do modem, da placa de rede ou dodisco: dados são carregados na ausência de atividade do usuário;
Reações curiosas do mouse;
Aberturas repentinas de programas;
Bloqueios repetidos.

Princípio do cavalo de Troia

O princípio dos cavalos de Troia é geralmente (e cada vez mais) abrir uma porta na sua máquina para permitir a um pirata tomar o controle (por exemplo, roubar dados pessoais armazenados no disco). O objetivo do pirata é inicialmente infectar a sua máquina, levando-o a abrir um arquivo infectado que contém o vírus, e depois acessar a sua máquina pela porta aberta.

Contudo, para poder infiltrar-se na sua máquina, o pirata deve geralmente conhecer o endereço IP. Assim, ou tem um endereço IP fixo (caso de uma empresa ou às vezes particulares conectados por cabo, etc.); neste caso, o endereço IP pode ser recuperado facilmente ou o seu endereço IP é dinâmico (atribuído a cada conexão), é o caso das conexões por modem; neste caso, o pirata deve varrer endereços IP aleatórios para detectar os endereços IP que correspondem às máquinas infectadas.

Proteger-se contra os Troianos

Para se proteger deste tipo de intrusão, basta instalar um firewall, ou seja, um programa que filtra as comunicações que entram e saem da sua máquina. Um firewall (literalmente parede de fogo) permite assim, por um lado, de ver as comunicações que saem das suas máquinas (normalmente iniciadas por programas que utiliza), ou as comunicações que entram. Contudo, não se exclui a possibilidade de o firewall detectar conexões que provêm do exterior, sem você seja a vítima escolhida por um hacker. Com efeito, pode tratar-se de testes efetuado pelo seu fornecedor de acesso ou um hacker que varre aleatoriamente um intervalo de endereços IP.

Para os sistemas de tipo Windows, existem firewall gratuitos muito eficientes: ZoneAlarm e Tiny personal firewall

Em caso de infecção

Se um programa, cuja origem desconhecida, tentar abrir uma conexão, o firewall solicitará uma confirmação para iniciar a conexão. É essencial não autorizar a conexão aos programas que não conhece, porque pode muito bem tratar-se de um Cavalo de Troia.

Em caso de repetição, pode ser útil verificar se o seu computador não está infestado por um troiano, utilizando um programa que permite detectá-lo e eliminá-lo (chamado bouffe-troyen). É o caso de The Cleaner, cujo download pode ser feito aqui.

Lista das portas utilizadas habitualmente pelos Troianos

Os cavalos de Troia abrem habitualmente uma porta da máquina infectada e esperam a abertura de uma conexão, nesta porta, para dar o controle total a eventuais piratas. Eis a lista (não exaustiva) das principais portas utilizadas pelos cavalos de Troia (origem: Site de Rico):


portaTrojan
21Back construction, Blade runner, Doly, Fore, FTP trojan, Invisible FTP, Larva, WebEx, WinCrash
23TTS (Tiny Telnet Server)
25Ajan, Antigen, Email Password Sender, Happy99, Kuang 2, ProMail trojan, Shtrilitz, Stealth, Tapiras, Terminator, WinPC, WinSpy
31Agent 31, Hackers Paradise, Masters Paradise
41Deep Throat
59DMSetup
79FireHotcker
80Executor, RingZero
99Hidden port
110ProMail trojan
113Kazimas
119Happy 99
121JammerKillah
421TCP Wrappers
456Hackers Paradise
531Rasmin
555Ini-Killer, NetAdmin, Phase Zero, Stealth Spy
666Attack FTP, Back Construction, Cain & Abel, Satanz Backdoor, ServeU, Shadow Phyre
911Dark Shadow
999Deep Throat, WinSatan
1002Silencer, WebEx
1010 à 1015Doly trojan
1024NetSpy
1042Bla
1045Rasmin
1090Xtreme
1170Psyber Stream Server, Streaming Audio Trojan, voice
1234Ultor trojan
porta 1234Ultors Trojan
porta 1243BackDoor-G, SubSeven, SubSeven Apocalypse
porta 1245roubeDoo Doll
porta 1269Mavericks Matrix
porta 1349 (UDP)BO DLL
porta 1492FTP99CMP
porta 1509Psyber Streaming Server
porta 1600Shivka-Burka
porta 1807SpySender
porta 1981Shockrave
porta 1999BackDoor
porta 1999TransScout
porta 2000TransScout
porta 2001TransScout
porta 2001Trojan Cow
porta 2002TransScout
porta 2003TransScout
porta 2004TransScout
porta 2005TransScout
porta 2023Ripper
porta 2115Bugs
porta 2140Deep Throat, The Invasor
porta 2155Illusion Mailer
porta 2283HVL Rat5
porta 2565Striker
porta 2583WinCrash
porta 2600Digital RootBeer
porta 2801Phineas Phucker
porta 2989 (UDP)RAT
porta 3024WinCrash
porta 3128RingZero
porta 3129Masters Paradise
porta 3150Deep Throat, The Invasor
porta 3459Eclipse 2000
porta 3700portal of Doom
porta 3791Eclypse
porta 3801 (UDP)Eclypse
porta 4092WinCrash
porta 4321BoBo
porta 4567File Nail
porta 4590ICQTrojan
porta 5000Bubbel, Back Door Setup, Sockets de Troie
porta 5001Back Door Setup, Sockets de Troie
porta 5011One of the Last Trojans (OOTLT)
porta 5031NetMetro
porta 5321Firehotcker
porta 5400Blade Runner, Back Construction
porta 5401Blade Runner, Back Construction
porta 5402Blade Runner, Back Construction
porta 5550Xtcp
porta 5512Illusion Mailer
porta 5555ServeMe
porta 5556BO Facil
porta 5557BO Facil
porta 5569Robo-Hack
porta 5742WinCrash
porta 6400The Thing
porta 6669Vampyre
porta 6670DeepThroat
porta 6771DeepThroat
porta 6776BackDoor-G, SubSeven
porta 6912Shit Heep (not port 69123!)
porta 6939Indoctrination
porta 6969GateCrasher, Priority, IRC 3
porta 6970GateCrasher
porta 7000Remote Grab, Kazimas
porta 7300NetMonitor
porta 7301NetMonitor
porta 7306NetMonitor
porta 7307NetMonitor
porta 7308NetMonitor
porta 7789Back Door Setup, ICKiller
porta 8080RingZero
porta 9400InCommand
porta 9872portal of Doom
porta 9873portal of Doom
porta 9874portal of Doom
porta 9875portal of Doom
porta 9876Cyber Attacker
porta 9878TransScout
porta 9989iNi-Killer
porta 10067 (UDP)portal of Doom
porta 10101BrainSpy
porta 10167 (UDP)portal of Doom
porta 10520Acid Shivers
porta 10607Coma
porta 11000Senna Spy
porta 11223Progenic trojan
porta 12076Gjamer
porta 12223Hack'99 KeyLogger
porta 12345GabanBus, NetBus, Pie Bill Gates, X-bill
porta 12346GabanBus, NetBus, X-bill
porta 12361Whack-a-mole
porta 12362Whack-a-mole
porta 12631WhackJob
porta 13000Senna Spy
porta 16969Priority
porta 17300Kuang2 The Virus
porta 20000Millennium
porta 20001Millennium
porta 20034NetBus 2 Pro
porta 20203Logged
porta 21544GirlFriend
porta 22222Prosiak
porta 23456Evil FTP, Ugly FTP, Whack Job
porta 23476Donald Dick
porta 23477Donald Dick
porta 26274 (UDP)Delta Source
porta 27374SubSeven 2.0
porta 29891 (UDP)The Unexplained
porta 30029AOL Trojan
porta 30100NetSphere
porta 30101NetSphere
porta 30102NetSphere
porta 30303Sockets de Troie
porta 30999Kuang2
porta 31336Bo Whack
porta 31337Baron Night, BO client, BO2, Bo Facil
porta 31337 (UDP)BackFire, Back Orifice, DeepBO
porta 31338NetSpy DK
porta 31338 (UDP)Back Orifice, DeepBO
porta 31339NetSpy DK
porta 31666BOWhack
porta 31785Hack'a'Tack
porta 31787Hack'a'Tack
porta 31788Hack'a'Tack
porta 31789 (UDP)Hack'a'Tack
porta 31791 (UDP)Hack'a'Tack
porta 31792Hack'a'Tack
porta 33333Prosiak
porta 33911Spirit 2001a
porta 34324BigGluck, TN
porta 40412The Spy
porta 40421Agent 40421, Masters Paradise
porta 40422Masters Paradise
porta 40423Masters Paradise
porta 40426Masters Paradise
porta 47262 (UDP)Delta Source
porta 50505Sockets de Troie
porta 50766Fore, Schwindler
porta 53001Remote Windows Shutdown
porta 54320Back Orifice 2000
porta 54321School Bus
porta 54321 (UDP)Back Orifice 2000
porta 60000Deep Throat
porta 61466Telecommando
porta 65000Devil

Veja também


Introduction to Trojan horses
Introduction to Trojan horses
Introducción a los Troyanos
Introducción a los Troyanos
Chevaux de Troie - Informatique
Chevaux de Troie - Informatique
Introduzione al Trojan
Introduzione al Trojan
Este documento, intitulado 'Introdução aos cavalos de Troia', está disponível sob a licença Creative Commons. Você pode copiar e/ou modificar o conteúdo desta página com base nas condições estipuladas pela licença. Não se esqueça de creditar o CCM (br.ccm.net) ao utilizar este artigo.