MỤC LỤC
I. MỞ ĐẦU
Trojan là một chương trình gây hại cho máy tính . Nó được sử dụng vào rất
nhiều mục đích như ăn cắp thông tin cá nhân, phá hoại máy tính, …. Gần đây,
Trojan còn được phát triển trong lĩnh vực tình báo.
Bài tìm hiểu này là một bài viết tìm hiểu về trojan, cách nó làm việc, sự thay
đổi của nó và dĩ nhiên, chiến lược để giảm thiểu nguy cơ nhiễm nó.
Trojan chỉ là 1 khía cạnh nhỏ của Window security nhưng chúng ta sẽ sớm
nhận ra sự nguy hiểm và khả năng phá hoại của nó lớn như thế nào sau khi đọc
những diều mà chúng tôi trình bày sau đây
II. NỘI DUNG
1. Trojan là gì?
Trước tiên chúng ta cần phải biết Trojan là gì? Trojan là:
- Một chương trình trái phép được chứa trong 1 chương trình hợp pháp . Các
chương trình này sẽ thực hiện các chức năng ẩn với người dùng (không
mong muốn)
- Đó cũng có thể là 1 chương trình hợp pháp nhưng đã được thay đổi bởi sự
bố trí của các đoạn mã trí phép. Khi chương trình khởi chạy, các đoạn mã
trái phép này sẽ thực hiện các chức năng ẩn với người dùng và nhiều khi là
các chức năng không mong muốn
- Bất cứ 1 chương trình nào xuất hiện nhằm thực hiện 1 chức năng cần thiết
của người sử dụng nhưng nó lại thực hiện các chức năng ẩn vời người dùng
và thường là không mong muốn vì bản thân code của chương trình sinh ra
nhằm thực hiện 1 mục đích nào đó của người viết( thường là mục đích xấu).
Như vậy Trojan là một chương trình ẩn, xâm nhập vào hệ thống và phá hoại từ
bên trong. Nó tương tự như câu chuyện thần thoại về con ngựa thành troy trong
thần thoại Hy Lạp. Và cái tên trojan bắt nguồn từ ý tưởng này. Lần đầu tiên Trojan
được biết đến là khi Cult of the Dead Cow tạo ra Back Orifice, một Trojan nổi
tiếng tấn công vào cổng 31337.
2. Đặc điểm trojan.
Không như Virus, Trojan không tự nhân bản. Trojan có 2 phần, Client và

Server. Kẻ tấn công sẽ gửi phần Server đến nạn nhân, khi Server được khởi chạy
trên máy tính nạn nhân, kẻ tấn công sẽ sử dụng các Client để kết nối với Server
trong máy nạn nhân và bắt đầu sử dụng các Trojan.
Giao thức TCP/IP thường được sử dụng cho truyền thông, nhưng một số
chức năng của Trojan sử dụng giao thức UDP. Khi Server khởi chạy trên máy tính
nạn nhân, nó thường ẩn ở một nơi nào đó trong máy tính, bắt đầu lắng nghe trên
một số cổng ( Listening), bắt đầu cho phép kẻ tấn công chỉnh sửa registry và tự
khởi động một số phương thức tấn công khác.
Một điều rất quan trọng trong tấn công mạng là kẻ tấn công phải biết IP của
nạn nhân. Vì thế Trojan được thiết kế có tính năng tự động gửi thư có nội dung là
IP của nạn nhân như một tin nhắn của kẻ tấn công. Điều này sẽ được sử dụng khi
máy tính nan nhân sử dụng IP động. Nếu người sử dụng ADSL dùng IP tĩnh sẽ dễ
dàng bị tấn công hơn vì IP này dễ bị các kẻ tấn công lợi dụng,
Hầu hết các Trojan sử dụng phương thức tự động khởi động (Auto-
Starting ), do đó ngay cả khi bạn tắt máy vẫn có khả năng bị kẻ tấn công sử dụng
Trojan khởi động lại và truy cập vào máy tính của bạn. Khả năng tự khởi động và
một số thủ đoạn khác hoạt động ở mọi thời điểm. Trojan bắt đầu xâm nhập máy
tính bằng cách gắn mình vào 1 số các ứng dụng thực thi thường dùng như
explorer.exe, và đi đến các phương thức thay đổi file hệ thống hoặc Window
Registry. Tập tin hệ thống đặt trong thư mục Windows và đây là nơi mà kẻ tấn
công tấn công vào hệ thống. Các thư mục kẻ tấn công có thể lợi dụng:
 Thư mục khởi động (Autostart Folder ):
Thư mục khởi động nằm ở C:\Windows\Start Menu\Programs\startup, và
như tên gọi của nó , các thành phần trong thư mục này sẽ được tự động khởi
động khi Windows khởi động
 Win.ini
File hệ thống của Window được tải => file Trojan.exe được khởi chạy =>
Trojan bắt đầu hoạt động
 System.ini
 Wininit.ini

 Winstart.bat
 Autoexec.bat
Là một file DOS tự động khởi động và nó được sử dụng như 1 phương thức
tự động khởi động như sau: C;\Trojan.exe
 Config.sys
Được sử dụng như một phương thức tự động khởi chạy cho Trojan
 Explorer Startup
Registry thường được sử dụng cho nhiều phương thức tự động khởi động khác
nhau. Có thể kể đến 1 số cách sau:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Info"="c:\directory\Trojan.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Once] "Info"="c:\directory\Trojan.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunS
ervices] "Info"="c:\directory\Trojan.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunS
ervicesOnce] "Info="c:\directory\Trojan.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Info"="c:\directory\Trojan.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOn
ce] "Info"="c:\directory\Trojan.exe"
- Registry Shell Open
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
Một khóa có giá trị “%1%” được đặt vào đó và nếu có 1 số tập tin thực thi đặt ở
đó thì nó sẽ đưuọc thực hiện mỗi khi bạn mở một file nhị phân. Nó được sử dụng
như sau: Trojan.exe “%1%”, và nó sẽ khởi động trojan
- - ICQ Net Detect Method
[HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps\]
Khóa này gồm tất cả các file sẽ được thực hiện nếu ICQ phát hiện kết nối

Internet. Bạn có thể hiểu rằng,tính năng này rất tiện dụng nhưng lại dễ bị làm dụng
bởi các kẻ tấn công
- ActiveX Component
[HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed
Components\KeyName] StubPath=C:\directory\Trojan.exe
Đây là những phương thức tự động khởi động phổ biến nhất sử dụng file hệ
thống và Windows registry
3. Các dạng Trojan cơ bản
Có rất nhiều biến thể của Trojan được tạo ra và thật khó để kể tên và mô tả
hết chúng. Nhưng chung quy lại nó đều được tạo ra để thực hiện một số chức năng
liệt kê sau, và một số chức năng còn chưa được hoặc không bao giờ được công
khai.
a. Remote Access Trojans ( RAT ) – Cho kẻ tấn công kiểm soát toàn bộ hệ
thống từ xa
Đây có lẽ là loại Trojan được sử dụng nhiều nhất. Khi Trojan này được kích
hoạt, nó sẽ cung cấp cho kẻ tấn công sức mạnh làm việc trên máy tính của nạn
nhân hơn so với chính bản thân nạn nhân khi đứng trước thiết bị của họ. Hầu hết
các Trojan loại này thường được kết hợp với các loại khác được trình bày bên
dưới. Ý tưởng của những Trojan này là cung cấp cho kẻ tấn công truy nhập thành
công vào máy tính cua một ai đó, qua đó truy cập vào các tập tin quan trọng, thông
tin , dữ liệu cá nhân, thông tin các tài khoản của chủ nhân máy tính lưu trong thiết
bị… Các tính năng của RAT phát triển hàng ngày và tỏ ra nguy hiểm hơn.
Một ví dụ đơn giản của Trojan lọa này là trojan Girlfriend, trojan này khi được
kích hoạt trong máy nạn nhân sẽ không cho nạn nhân shutdow, hiển thị 1 đoạn text
trên màn hình, nhiều khi chúng còn chat với nạn nhân nữa. Các Hacker thwuognf
ngụy trang chúng dưới dạng file ảnh và giấu duôi .exe đi.
Cách thức làm việc của Trojan RAT cũng tương tự như các Trojan khác. Chúng
thường ẩn náu trong các chương trình lớn, khi bạn chạy chương trình này thì chúng
cũng được kích hoạt. Mỗi RAT thường chạy server với một cổng riêng biệt mà ở
đó hacker có thể được "mời vào !". Các trojan khi vào máy thường tạo ra một file

thực thi nào đó hoặc ghi thêm dòng lệnh tự kích hoạt vào trong file win.in. Có
nhiều lúc bạn biết nó là trojan nhưng cũng không thể vô hiệu nó bằng những cách
thông thường, vì chúng thường là mất chức năng "regedit" của Windows. Có nhiều
trojan kích hoạt những file mà ta thường nghĩ chúng là của hệ điều hành.
Điển hình của Trojan RAT là Back Orifice, Net Bus, Remote Anything.
b. Data-Sending Trojans – Gửi những thông tin nhạy cảm cho kẻ tấn công
Mục đích của những Trojan này khi được kích hoạt là trích xuất tất cả mật khẩu
lưu trữ và cung có thể tìm kiếm các mật khẩu khác mà bạn đang nhập sau đó gửi
chúng vào 1 tài khoản e-mail của kẻ tấn công mà nạn nhân là bạn không hề nhận
thấy điều gì. Mật khẩu cho ICQ,IRC,FTP,HTTP hoặc bất kỳ một ứng dụng nào
khác mà yêu cầu người dùng phải nhập tên đăng nhập và mật khẩu sẽ được gửi đến
địa chỉ thư điện tử của kẻ tấn công, mà hầu hết các trường hợp là các địa chỉ mail
miễn phí. Hầu hết trong số chúng không khởi động lại khi Windows được nạp, và
như tên gọi của nó, Trojan loại này sẽ thu thập thật nhiều thông tin trong thiết bị
của nạn nhân như Password, nhật ký mIRC, các cuộc hội thoại ICQ và thư điện tử
của họ. Tuy nhiên nó cũng phụ thuộc vào nhu cầu của kẻ tấn công cũng như tình
hình cụ thể.
Điển hình cho Trojan loại này có thể kể đến Bari, Barok …
c. KeyLoggers
Trojan loại này rất đơn giản. Khi được khởi chạy trong máy của nạn nhân,
trojan này có nhiệm vụ tạo một nhật ký lưu lại tất cả các thao tác nạn nhân thao tác
trên bàn phím, dĩ nhiên không thể thiếu các thông tin nhạy cảm về account và
password của nạn nhân, sau đó gửi về một địa chỉ mail của kẻ tấn công. File nhật
ký (log) này cho phép kẻ tấn công tìm kiếm các thông tin cá nhân nhạy cảm của
nạn nhân nhằm mục đích chiếm đoạt các tài khoản cá nhân của nạn nhân.
Keyloggers thường hoạt động rất êm, sử dụng rất ít bộ nhớ, chạy như một chương
trình nền, nên rất khó nhận ra. Hầu hết các Trojan loại này đều được thiết lập để
hoạt động trực tuyến và ngoại tuyến (Online và offline). Và tất nhiên chúng sẽ
được thiết lập để gửi các thông tin thu thập được gửi về mail của kẻ tấn công theo
kế hoạch.

Điển hình của loại trojan này là Kuang Keylogger.
d. Destructive - Trojan phá hoại
Chức năng duy nhất của Trojan này là tiêu diệt và xóa các tập tin. Điều này
khiến chúng rất đơn giản và dễ sử dụng. Khi được kích hoạt chúng có thể tự động
xóa tất cả các tập tin hệ thống quan trọng trong máy tính nạn nhân ( Như các file
*.dll, *.ini hoặc các tập tin *.exe, và một số file khác ). Trojan được kích hoạt bởi
kẻ tấn công hoặc đôi khi nó hoạt động như 1 chiếc đồng hồ hẹn giờ, tự kích hoạt
vào 1 thời gian nhất định theo chu kỳ thiết lập bởi kẻ tấn công. Tuy đơn giản
nhưng đây lại là 1 loại Trojan vô cùng nguy hiểm và rất khó kiểm soát.
Ví dụ về Trojan lạo này là Goner worm. Nó được phát hiện năm 2001 với mục
đích xóa đi các phần mềm anti-virus và các file trên máy nhạn nhân
e. Denial Of Service (DoS) Attack Trojans – Từ chối dịch vụ
Trojan loại này đang dần trở nên phổ biến. Chúng đem lại sức mạnh cho kẻ tấn
công khi tập hợp đủ số nạn nhân. Ý tưởng chính của Trojan loại này là nếu bạn có
200 người dùng ADSL bị nhiễm và bắt đầu cùng tấn công nạn nhân đồng thời, điều
này sẽ tạo nên nhiều lượt truy nhập đến nạn nhân ( thường là vượt quá băng thông
của nạn nhân ) làm cho các truy nhập Internet của nạn nhân bị sập (đóng băng).
WinTrinoo là 1 công cụ tấn công DDoS đang phổ biến hiện nay, và nếu kẻ tấn
công làm nhiều người sử dụng Internet nhiễm Trojan này thì việc các website lớn
bị đánh sập theo chủ đích của kẻ tấn công là một kết quả tất yếu, như chúng ta đã
thấy nó diễn ra trong thời gian qua (Một số trang Web lớn của Việt Nam cũng bị
tấn công dạng này như tình trạng từ chối dịch vụ của trang
thời gian qua)
Một biến thể khác của DoS trojan là mail-bomb trojan. Mục đích của trojan này
là lây lan càng nhiều máy tính càng tốt và đồng thời tấn công các địa chỉ email cụ
thể.
f. Proxy / Wingate Trojans
Một tính năng thú vị của nhiều loại trojan là biến máy tính của nạn nhân thành 1
máy chủ proxy/wingate mở cho toàn thế giới hoặc chỉ cho các kẻ tấn công. Nó
được sử dụng với các Telnet, ICQ,IRC,… ẩn danh hay cũng có thể đăng ký tên

miền với các thẻ tín dụng bị đánh cắp và nhiều hoạt động bất hợp pháp khác. Điều
này cho phép giấu thông tin kẻ tấn công, kẻ tấn công có thể làm mọi thứ từ máy
tính của nạn nhân và nếu bị phát hiện thì mọi dấu vết sẽ lưu lại trên máy của bạn.
Sẽ rất nguy hiểm cho người dùng Internet thường xuyên nếu bị nhiễm loại trojan
này. Kẻ tấn công sẽ dùng các máy này làm trạm trung gian để thực hiện các hoạt
động phạm pháp mà tránh được các biện pháp lần theo dấu vết của các cơ quan
chức năng.
g. FTP Trojans
Loại trojan này có lẽ là loại đơn giản nhất và là 1 loại lỗi thời. Điều duy nhất nó
thực hiện là mở cổng 21 ( cổng dùng cho việc truyền thông FTP ) và cho phép tất
cả mọi người hoặc chỉ mình kẻ tấn công kết nối với máy tính của bạn.Khi nhiễm
Trojan này, máy tính nạn nhân như ngôi nhà không cửa để các kẻ tấn công xâm
nhập máy tính của nạn nhân và tải các tài liệu từ máy của nạn nhân
h. Software Detection Killers
Chức năng này có thể được xây dựng trong 1 trojan hoặc tạo thành 1 chương
trình riêng biệt. Nó sẽ tìm và tiêu diệt các chương trình bảo vệ máy tính như phần
mềm diệt virus, tường lửa, …. Và khi chúng bị tiêu diệt, kẻ tấn công có thể tấn
công vào máy tính của bạn để thực hiện 1 số hoạt động bất hợp pháp, sử dụng máy
tính của bạn để tấn công người khác.
i. Trojan chiếm quyền điều khiển leo thang đặc quyền
Thường được sử dụng đối với các admin kém cỏi . Chúng có thể được “gắn”
vào trong một ứng dụng hệ thống . Một khi người quản trị hệ thống chạy chúng ,
chúng sẽ tạo cho hacker quyền cao hơn trong hệ thống và cho họ quyền xâm nhập
hệ thống .
Còn có 1 số loại trojan nữa trong đó bao gồm cả những chương trình tạo ra
chỉ để chọc ghẹo , chúng có thể ra một thông báo đại loại như máy tính của bạn đã
dính virus và ổ cứng của bạn sẽ bị format , password của bạn đã bị mất nhưng kì
thực đây có khi chỉ là trò đùa vô hại của nhóm lập trình viên chương trình đó .
4. Tương lai của Windows Trojan
Người dùng windows sẽ luôn là mục tiêu của những kẻ tấn công nguy hiểm

bởi vì hầu hết trong số họ đều không biết ý nghĩa thậy sự của từ bảo mật, và nghĩ
rằng tường lửa là giải pháp duy nhất mà họ cần để bảo vệ máy tính của họ nhưng
không hề hiểu làm thế nào để nó hoạt động và cấu hình nó như thế nào để nó chạy
đúng cách. Trojan Windows sẽ là một vấn đề bảo mật lớn trong tương lai và chúng
tôi tin chắc rằng nhiều chức năng độc đáo hơn sẽ được các Hacker đưa vào Trojan
của chúng và chủ yếu các chức năng ấy sẽ được sử dụng với các mục đích cá nhân
của kẻ tấn công. Khả năng lập trình được và chức năng tự động tấn công sẽ được
sử dụng để thực hiện các mục đích của kẻ tấn công bắt đầu từ 1 cổng vô danh,
kiểm tra và đi đến tấn công từ chối dich vụ.
5. Máy tính bị nhiễm Trojan như thế nào
Nhiều người nghĩ máy tính của họ không thể nhiễm Virus vì họ nghĩ chỉ có
thể lây nhiễm khi họ chạy file Server.exe và họ không bao giờ làm như vậy. Nhưng
họ lại không biết rằng có rất nhiều cách để máy tính của bạn bị lây nhiễm các phần
mềm độc hại. Và sau đây là một số con đường mà Trojan có thể lây nhiễm vào
máy tính của bạn
a. Yahoo Messenger và các phần mềm chat trực tuyến khác
Nhiều người vẫn không hiểu tại sao mình lại bị lây nhiễm các phần mềm độc
hại khi nói chuyện qua YM hoặc bất kỳ ứng dụng chat trực tuyến khác. Đó là khi
bạn tiếp nhận những file không rõ nguồn gốc và không biết người gửi, như vậy bạn
đã tự mở của cho mã độc đi vào máy tính của bạn.
Khi bạn nói chuyện với một người bạn, bạn không bao giờ có thể chắc chắn
100% người phía bên kia là bạn của bạn. Và khi bên phía bên kia là 1 hacker thì
điều đó thật nguy hiểm. Bạn sẽ tin tưởng khi nhận 1 tập tin từ người bạn của bạn
b. Qua file đính kèm
Đây cũng là một con đường lây nhiễm Trojan khá phổ biến . Thật sự ngạc
nhiên khi có những người vẫn hồn nhiên tải và chạy các file đính kèm không rõ
nguồn gốc được đính kèm trong thư điện tử gửi vào hòm thư của họ. Hầu hết
những người này đều là những người mới sử dụng Internet và còn khá hạn chế về
hiểu biết an ninh mạng. Khi nhận được 1 email, có chứa file đính kèm, nói rằng họ
sẽ nhận được 1 ấn phẩm khiêu dâm miễn phí, truy cập internet miễn phí hay trúng

thưởng trong 1 chương trình mà họ chưa bao giờ tham gia…, họ tải về và chạy nó
mà hoàn toàn không hiểu hiểm họa rủi ro cho máy tính của mình. Và thực sự
không chỉ có những người mới sử dụng Internet mới bị nhiễm Trojan loại này. Kể
cả những người có hiểu biết về tầm quan trọng của an ninh mạng cũng rất có thể bị
lây nhiễm theo dạng này. Ta thử lấy 1 ví dụ 1 kịch bản tấn công sau. Bạn và 1
nhóm người( bạn của bạn) đang thực hiện một dự án lập trình. Dự án săp hoàn
thành và bạn đang mong đợi các phần còn lại của dự án sẽ được gửi cho bạn. Và
Hacker biết được điều này. Thật dễ dàng khi họ có thể có địa chỉ mail của bạn và
bạn của bạn. Và bây giờ mọi việc thật đơn giản, kẻ tấn công sẽ sử dụng một số
phần mềm miễn phí và máy chủ mail chuyển tiếp để giả email trông có vẻ giống
của 1 người bạn của bạn, tất nhiên trong đấy có đính kèm 1 con Trojan. Bạn kiểm
tra Email và thật vui mừng khi thành quả của mình sắp được hoang thành. Bạn sẽ
tải về và chạy nó bởi vì nghĩ đó là file gửi từ người bạn của bạn và nó là an toàn.
Kết quả hiển nhiên là máy tính của bạn bị nhiễm Trojan
Như các bạn thấy, “Thông tin là sức mạnh”. Chỉ vì kẻ tấn công biết bạn đang
chờ đợi 1 tập tin cụ thể, và chọn thời điểm tấn công vào đúng lúc giả định là rất
quan trọng này. Và tất cả chỉ là sự mất cảnh giác của bạn.!
Một kịch bản nữa cũng rất dễ xảy ra. Đấy là khi bạn nhận được thư điện tử
của 1 tổ chức lớn nhử FBI, CIA hay giả dụ như thư điện tử từ Microsoft. Một ngày
bạn nhận được một là thư có đề tên người gửi là “Microsoft support” với nội dung
bạn sẽ nhận được bản update mới nhất từ Microsoft khi chạy bản cài đính kèm.
Nếu là một người có rất ít kiến thức về Internet sẽ thật vui mừng khi được là những
người đầu tiên sử dụng các bản cập nhật hay gói phần mềm mới này. Có một điều
chắc chắn Microsoft không bao giờ gửi cho bạn bản cập nhật phần mềm qua Email
mà 100% trong các bản đính kèm có chứa mã độc.
c. Truy cập vật lý
Hãy tưởng tượng 1 hacker có thể làm những gì khi có thể truy nhập vật lý
vào máy tính của bạn. Dưới đây sẽ là một số kịch bản thường được những hacker
sử dụng để lây nhiễm cho máy tính của bạn khi chiếm được quyền truy nhập vật lý
vào máy tính của bạn.

Trường hợp này khó xảy ra và chúng ta thường thấy trong phim ảnh hơn
nhưng không phải không thể xảy ra. Vào một ngày đẹp trời nào đây, bạn có một
người bạn đến chơi và 2 người đang sử dụng máy tính trong phòng của bạn. Bạn
của bạn yêu cầu 1 ly nước và bạn sẽ ra khỏi phòng trong vòng 2-3 phút. Như thế là
quá đủ để 1 chương trình Trojan được cài đặt vào máy của bạn mà bạn không hề
nghi ngờ gì. Hay đơn giản hơn khi chiếc Laptop của bạn được mang đến một nơi
công cộng và có một người lạ đến nhờ bạn cho sử dụng để check mail. Một tập tin
Trojan.exe được tải xuống và máy của bạn bị lây nhiễm. Như chúng ta thấy, thật
quá đơn giản để bị lây nhiễm Trojan.
Một cách khác để Trojan có thể lây nhiễm vật lý là từ những chiếc đĩa
CD(hay USB ) với chức năng auto-run của Windows. Khi bạn đặt CD vào CD-
ROM, nó sẽ tự đông khởi chạy . VD cho tập tin Autorun.inf được đặt trên đĩa
[autorun]
open=setup.exe
icon=setup.exe
Và bạn có thể tưởng tượng rằng khi đặt đĩa CD vào ổ đĩa hay kết nối với
USB bạn cũng dễ dàng bị lây nhiễm Trojan
Trên đây chỉ là những ví dụ vui và như chúng ta đều thấy, thật sự rất đơn
giản để có thể có 1 cuộc tấn công vật lý vào máy tính của bạn. Vì vậy chúng ta
phải nhìn nhận lại về vấn đề an ninh thông tin cho máy tình của mình và nâng cao
cảnh giác.
d. Xâm nhập qua các lỗ hổng trình duyệt Web và Email
Đây cũng là một con đường khiến máy tính của bạn bị lây nhiễm Trojan.
Khi người sử dụng không thường xuyên update các bản vá lỗi các trình duyệt của
mình. Giả định bạn đang sử dụng Internet Explorer và bạn ghé thăm 1 trang web
độc hại, nó sẽ tự động kiểm tra các lỗi(bug ) của trình duyệt và tự động lây nhiễm
vào máy bạn mà bạn không cần phải tải bất cứ cái gì về máy tính của bạn.
e. Netbios(File Sharing)
Nếu cổng 139 trên máy tính của bạn được mở ra bạn có thể chia sẻ tập tin và
đây là một cách khác để một người nào đó có thể truy nhập máy tính của bạn, cài

đặt Trojan và sửa đổi một số tập tin hệ thống, do đó, nó sẽ chạy lần sau khi bạn
khởi động lại máy tính. Đôi khi những kẻ tấn công có thể sử dụng DoS (từ chối tấn
công dịch vụ) để tắt máy của bạn buộc bạn phải khởi động lại và Trojan có thể tự
khởi động ngay lập tức
6. Kẻ tấn công dùng Trojan tìm kiếm những gì?
Có lẽ nhiều người chỉ nghĩ đơn giản Trojan chỉ có thể gây hại cho hệ thống máy
tính của họ. Đúng là như thế nhưng không phải là tất cả. Trojan còn được sử dụng
với nhiều mục đích khác nữa, ví dụ hoạt động như 1 gián điệp trong máy tính của
bạn, theo dỗi thu thập các thông tin nhạy cảm gửi lại cho kẻ tấn công. Các mục tiêu
của kẻ tấn công có thể liệt kê ra một số ý như sau:
- Thông tin thẻ tín dụng (Credit Card): thường được sử dụng để giao dịch trực
tuyến, mua sắm,…
- Thông tin về các tài khoản (accounting data): E-mail password,
WebServices password…
- Địa chỉ Email: có thể được sử dụng để gửi thư rác như đã được trình bày ở
trên
- Các dữ liệu cá nhân: hình ảnh riêng tư, các dự án trong công việc của bạn,
thông tin về gia đình, các giấy tờ tùy thân của bạn (nhằm mục tiêu giả mạo
nạn nhân)
- Ngoài ra, cũng có một số loại Trojan chỉ được tạo ra với mục đích đùa
nghịch với nạn nhân như tự động đóng mở khay đĩa CD, hiện lên thông báo
trên máy của bạn hay đùa nghịch với con chuột của bạn. Điều này không gây
thiệt hại cho bạn nhưng cũng đem lại không ít phiền toái
Một mục đích khác của Trojan đang rất phát triển hiện nay đó là dùng trong
công tác tình báo. Thật dễ dàng để các tổ chức tội phạm hay cả chính quyền các
quốc gia có thể theo dõi và tìm kiếm các thông tin tình báo từ người sử dụng
Internet.( Ví dụ như sự kiện Chính quyền Đức vùng Bavaria cùng một số bang
khác của nước này sử dụng Trojan R2D2 để do thám người dân qua phần mềm
Skype). Hãy thử tự nhẩm lại xem trong 1 ngày bạn sử dụng bao nhiêu thời gian
bên chiếc máy vi tính và mọi hoạt động của bạn đều bị theo dõi trong 1 thời gian

dài. Họ có thể đọc được thư điện tử của bạn, theo dõi các địa chỉ liên lac, các trang
web bạn hay truy nhập hay đọc các dữ liệu cá nhân của bạn, theo dõi thu thập mọi
thứ về bạn. Điều này thật sự khủng khiếp. Hãy thử tưởng tượng một ngày nào đó
các thông tin cá nhân của bạn được công khai trên Internet hay bị sử dụng vào các
mục đích bất hợp pháp khác. Chắc chắn điều này sẽ ngoài mong muốn của bạn và
đem lại cho bạn những sự phiền toái hay thiệt hại nhất định.
7. Các cổng được sử dụng bởi các Trojan phổ biến
Trojan sử dụng các cổng cụ thể để giao tiếp với Client. Trước đây, các
Trojan nổi tiếng sử dụng các cổng nhất định, nhưng ngày nay với sự phát triển
vượt bậc, các Trojan có thể thay đổi các cổng hoạt động mỗi lần được khởi động
lại. Một số cổng mà các Trojan nổi tiếng đã sử dụng:
- Back Orifice – Sử dụng UDP protocol – Sử dụng Port 31337 và 31338
- Deep Throat – Sử dụng UDP protocol – Sử dụng Port 2140 và 3150
- NetBus – Sử dụng TCP Protocol – Sử dụng Port 12345 và 12346
- Whack-a-mole – Sử dụng TCP – Qua Port 12361 và 12362
- Netbus 2 Pro – Sử dụng TCP – Qua Port 20034
- GrilFriend - Sử dụng Protocol TCP – Qua Port 21544
- Masters Paradise - Sử dụng TCP Protocol qua Port – 3129, 40421,40422,
40423 và 40426.
Ngoài ra còn rất nhiều cổng khác được các Trojan sử dụng. Chúng ta có thể
tham khảo thêm ở địa chỉ :
/>8. Làm thế nào để biết máy tính đã bị nhiễm Trojan
Đôi khi bạn nghĩ các hoạt động của máy tính của bạn bình thường khi HDD của
bạn bị mất đi vài tram MB hay thậm chí hàng GB, bởi vì bạn nghĩ một số phần
mềm đang dùng nó, hoặc bạn đã cài một phần mềm nào đó mà bạn quên. Hay khi
máy tính của bạn có những hiện tượng là nhưng các phần mềm Anti Virus trên
máy bạn đều báo không có nguy hiểm. Bạn hãy cẩn thận vì có thể máy tính của
bạn đã nhiễm Trojan. Dưới đây sẽ là một số triệu chứng mà máy tín của bạn có thể
gặp phải. Khi có những triệu chứng này, hãy cẩn thận và xem xét kỹ lại bằng các
phương pháp khác hay các phần mềm chuyên dụng khác để loại bỏ một cách tốt

nhất mã độc ra khỏi máy của bạn nhằm bảo vệ máy tính của bạn
- Bình thường khi bạn truy cập vào 1 website, sẽ có nhiều đường dẫn để bạn
đến thăm những địa chỉ khác. Tuy nhiên trong trường hợp bạn không làm gì
cả nhưng trình duyệt Web lại tự động đưa bạn đến 1 trang web bạn hoàn
toàn không biết.Hãy cẩn thận với trường hợp này vì rất dễ các trang web kia
sẽ chứa mã độc và lây nhiễm cho máy tính của bạn
- Máy tính của bạn đang hoạt động bình thường bỗng nhiên xuất hiện một hộp
thoại kỳ lạ hỏi bạn một số thông tin cá nhân
- Windows tự động thay đổi các thiết lập của bạn, con chuột của bạn tự động
dịch chuyển hay khay đĩa CD – ROM tự động đóng mở
Tuy nhiên bạn cũng nên lưu ý, những biểu hiện trên chỉ là những hành động của
những mã độc được viết ra để đùa nghịch. Đa phần các kẻ tấn công có mục đích
xấu, chúng sẽ cho phần mềm độc hại, cụ thể ở đây sẽ là Trojan tấn công máy tính
của bạn 1 cách bí mật không gây ra một hoạt đông đáng ngờ nào khiến bạn không
thể nhận ra sự hiện diện của nó. Điều này khiến nó càng nguy hiểm hơn.
Một cách thủ công nữa để xác định Trojan nữa đó là kiểm tra các cổng được sử
dụng trên máy của bạn. Để nhận biết những Port nào trên máy tính đang Active
chúng ta dùng câu lệnh: Netstat –an
Sau đó kiểm tra các cổng được các Trojan sử dụng (Xem lại phần 7) Các
cổng được sử dụng bởi các Trojan phổ biến). Nếu các cổng ấy đang được sử
dụng nhiều khả năng máy của bạn đã bị nhiễm Trojan.
Ngoài ra bạn cũng có thể sử dụng các phần mềm Scan Trojan để phát hiện
Trojan trong thiết bị của mình.
9. Cách phát hiện các chương trình Trojan
Có ba nguyên lý của bất kỳ chương trình Trojan nào:
- Một trojan muốn hoạt động phải lắng nghe các request trên một cổng nào đó
- Một chương trình đang chạy sẽ phải có TÊN trong Process List
- Một chương trình Trojan sẽ luôn chạy cùng lúc khi máy tính khởi động.
a) Phát hiện Port sử dụng bởi Trojans
- Dùng câu lệnh Netstat –an trong windows để biết hệt thống đang lắng nghe

trên các port nào
+ Hình dưới ta thấy có port 7777 – à thì ra là port của Tini Trojan
+ Máy của tôi đâu có sử port nào là 8800 sao lại đang để chế độ nghe và có máy
đang kết nối đến nhỉ ồ đó chắc là của Trojans
- Dùng phần mềm Fport
- Dùng phần mềm TCPView
Thật may là chúng ta có thể xem toàn bộ các port đang sử dụng và chương
trình gì đang sử dụng port nào, từ đây tôi có thể kiểm tra các dịch vụ mạng của tôi
với những Port nghi ngờ tôi có thể dùng Firewall đóng lại.
b) Cách phát hiện các chương trình đang chạy
- Dùng phần mềm Process Viewer tất cả các Process sẽ được hiển thị dù có
đang chạy chế độ ẩn và không hiện trên Task Manager của Windows.
c) Tìm một chương trình chạy lúc khởi động
- Trong Satup
- Trong Registry: Đa số sẽ nằm tại đây: Chúng ta sử dụng câu lệnh Msconfig
trong Table Starup chương trình nào muốn chạy tự động sẽ phải nằm tại đây.
Trong ví dụ này tôi thấy có file nc.exe chạy lúc khởi động vị trí của nó là tại
folder c:\vnexperts.net
10. Sử dụng một số loại Trojan
Với mục đích của bài viết để chúng ta hiểu về Trojan, sử dụng Trojan là một
trong những nội dung cơ bản của nghiên cứu về bảo mật. Khi biết cách sử dụng và
cách hoạt động của các loại Trojan bạn có thể từ đó đưa ra các giải pháp an ninh
mạng cho doanh nghiệp của mình cũng như những dữ liệu quan trọng của chúng
ta. Trong phần này tôi giới thiệu với các bạn những loại Trojan sau:
- Tini
- iCmd
- Netcat
- HTTP RAT
a) Trojan Tini
Bất kỳ một máy tính nào nếu bị nhiễm Trojan này đều cho phép Telnet qua

Port 7777 không cần bất kỳ thông tin xác thực nào.
- Để Trojan này nhiễm vào hệ thống thì chỉ cần chạy một lần hoặc Enter file
đó là OK mọi thứ đã hoàn tất và đợi những thông tin Telnet tới port 7777.
- Trên máy 192.168.1.33 đã chạy file tini.exe giờ tôi đứng trên bất kỳ máy
nào cũng có thể dùng lệnh: Telnet 192.168.1.33 7777 là có thể console vào được
máy đó.
b) iCmd Trojan
Tương tự như Tini Trojan nhưng khác một điều đó là cho phép lựa chọn port
để telnet và Password truy cập vào máy bị nhiễm trojan này.
VD: Máy bị nhiễm Trojan chạy file iCmd.exe với câu lệnh
- iCmd.exe vne 8080
Có nghĩa máy này enable telnet trên port 8080 và password là "vne". Trong
ví dụ này tôi để file: iCmd.exe tại thư mục vnexperts.net trên ổ C:\
- Trên máy khác tôi có thể telnet tới máy này với câu lệnh:
- Telnet port
- Như ví dụ trên tôi gõ: telnet 192.168.1.33 8080
- Hệ thống bắt tôi nhập password tôi gõ vne vào và Enter
Và kết quả