Alles over een Trojan Horse

Wat is een Trojan Horse, wat doet een Trojan Horse, hoe kom ik er weer van af en hoe kom ik er achter dat ik een Trojan Horse heb. Dit allemaal wordt besproken in deze artikel. Als er na het lezen van dit artikel nog vragen zijn stel ze gerust.

Uitleg van een Trojan Horse (Trojaans paard)


Deze uitleg behoort tot een reeks van artikelen over verschillende soorten virussen en andere pc besmettingen. Doordat er veel misverstanden zijn over virussen ga ik stuk voor stuk uitleggen wat ze zijn, wat ze doen, hoe kom je er weer vanaf en hoe kun je ze voorkomen.

Wat is een Trojan Horse precies

Wat is nu eigenlijk een Trojan Horse, omdat te begrijpen gaan we terug in de 12e eeuw voor Christus. Toen gebruikte de Grieken een cadeau aan de Trojanen om de strijdt te winnen. Ze deden alsof ze zich gewonnen gaven en gaven dus een houten paard cadeau. Het grote Trojan Horse, toen de Trojanen dit cadeau binnen haalde en dus binnen de stadspoorten was. Kwamen de Grieken er 's nachts uit en deden de poorten open en het Griekse leger kon naar binnen. Als we dit nu projecteren op de computer. Iemand stuurt jou een programma of een bestand. Jij denkt dat het leuk is ( soort van cadeau ) jij opent het. Jij ziet dan ook daadwerkelijk wat je denkt dat het is maar op de achtergrond is het met hele andere dingen bezig. Stiekem zonder dat jij het weet zet de computer de poorten open voor hackers.

Technische uitleg

Wat gebeurt er nu precies. Jij krijgt een bestand of een programma toegestuurd. Je opent het en de Trojan Horse installeert zich. Hij maakt van jouw computer een server. Hij opent de poorten zodat iedereen naar binnen kan. Het is dus geen virus wat de meeste mensen denken. Het breidt zich niet uit, hij verspreidt dus niet, hij tast geen bestanden aan, hij vernielt niks. Eigenlijk is het een onschuldig stukje software wat alleen een deurtje los zet. Nu moet je niet gaan denken "ohw laat dan maar zitten" het gevaar schuilt dus dat het deurtje los is. Nu kan iedereen met de benodigde kennis in jouw pc komen.

Het gevaar daarvan is je weet niet wat de "vreemdeling" van plan is. Is het gewoon een nieuwsgierig iemand, is het oude man wie opzoek is naar pikante foto's, is het een bekende die je wil pesten of is het misschien een hacker die je pc gaat gebruiken voor criminele doeleinden. We weten het niet. Daarom willen we alles gesloten houden. Het mag niet zo zijn dat andere mensen onze computer gaan beheersen en al helemaal niet dingen gaat doen wat wij niet willen.

Hoe kom ik er dan weer vanaf?

Ja, dat is dus een belangrijk punt, je moet je wel beseffen dat als je een doelwit bent van een hacker ( dan praten we over een echte ) dat het lastig wordt, want een echte hacker schrijft zijn tooltjes zelf. Het is dus geen standaard programmaatje, dus dan wordt het opsporen lastig. Hoe je dat oplost leg ik later uit. We gaan er dus vanuit dat we het slachtoffer zijn geworden van een standaard Torjan Horse. Dan is het belangrijk dat je een goede virusscanner hebt en regelmatig update. Zelf persoonlijk vind ik dat je ongeveer 1x per week moet updaten en dan direct even moet scannen. Zo voorkom je veel virussen en andere tools dus ook een Torjan Horse.

Stel je hebt dus wel te maken met een zelf gemaakte tool. Hoe je daar achterkomt vertel ik later dan behandel ik de mogelijkheden van een Torjan Horse. Wat we nu willen weten is hoe we er af komen, omdat een regulier programma het niet detecteert moeten we dus wat dieper in de pc zoeken. Om precies te zien wat de computer aan het doen is maken we gebruik van het programma HijackThis deze kun je downloaden op de officiële site namelijk "http://www.merijn.org/programs.php#hijackthis" ( aanhalingstekens wel weg doen wanneer u de site invoert )

Als u het programma gedraaid heeft krijgt u bijvoorbeeld z'n log file

Voorbeeldlog

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:46:51, on 11-3-2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32Ati2evxx.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:Program FilesGrisoftAVG Anti-Spyware 7.5guard.exe
c:program filesmcafee.comagentmcdetect.exe
c:PROGRA~1mcafee.comvsomcshield.exe
c:PROGRA~1mcafee.comagentmctskshd.exe
C:PROGRA~1McAfee.comPERSON~1MpfService.exe
C:WINDOWSsystem32Ati2evxx.exe
C:WINDOWSExplorer.EXE
C:Program FilesCyberLinkShared FilesRichVideo.exe
C:WINDOWSsystem32tcpsvcs.exe
C:WINDOWSSystem32snmp.exe
C:Program FilesAnalog DevicesSoundMAXSMAgent.exe
C:WINDOWSsystem32svchost.exe
C:Program FilesATI TechnologiesATI Control Panelatiptaxx.exe
C:Program FilesAnalog DevicesSoundMAXSMax4PNP.exe
C:Program FilesAnalog DevicesSoundMAXsmax4.exe
C:Program FilesLogitechiTouchiTouch.exe
C:PROGRA~1LogitechMOUSEW~1SYSTEMEM_EXEC.EXE
C:Program FilesJavajre1.6.0_03binjusched.exe
C:WINDOWSSystem32spoolDRIVERSW32X863fpdisp5a.exe
C:WINDOWSSystem32spoolDRIVERSW32X863fppdis3a.exe
C:Program FilesCommon FilesMicrosoft SharedWorks SharedWkUFind.exe
C:Program FilesThomson SpeedTouchSpeedTouch 120g Wireless USB MonitorPRISMSVR.EXE
C:Program FilesMcAfee.comVSOmcvsshld.exe
C:Program FilesMcAfee.comVSOoasclnt.exe
C:PROGRA~1mcafee.comagentmcagent.exe
c:progra~1mcafee.comvsomcvsescn.exe
C:PROGRA~1McAfee.comPERSON~1MpfTray.exe
C:Program FilesCyberLinkPowerDVDPDVDServ.exe
C:WINDOWSsystem32ctfmon.exe
C:PROGRA~1McAfee.comPERSON~1MpfAgent.exe
C:Program FilesThomson SpeedTouchSpeedTouch 120g Wireless USB Monitorst120g.exe
C:Program FilesKeirNetK9K9.exe
C:Program FilesMessengermsmsgs.exe
c:progra~1mcafee.comvsomcvsftsn.exe
C:Program FilesInternet Exploreriexplore.exe
C:Program FilesTrend MicroHijackThisHijackThis.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.google.nl/
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Local Page =
R1 - HKCUSoftwareMicrosoftInternet Connection Wizard,ShellNext = http://www.kpn.com/
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Window Title = Microsoft Internet Explorer
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Koppelingen
O2 - BHO: Adobe PDF Reader Help bij koppelingen - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesCommon FilesAdobeAcrobatActiveXAcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:Program FilesJavajre1.6.0_03binssv.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:progra~1mcafee.comvsomcvsshl.dll
O4 - HKLM..Run: [ATIPTA] "C:Program FilesATI TechnologiesATI Control Panelatiptaxx.exe"
O4 - HKLM..Run: [SoundMAXPnP] C:Program FilesAnalog DevicesSoundMAXSMax4PNP.exe
O4 - HKLM..Run: [SoundMAX] "C:Program FilesAnalog DevicesSoundMAXsmax4.exe" /tray
O4 - HKLM..Run: [zBrowser Launcher] C:Program FilesLogitechiTouchiTouch.exe
O4 - HKLM..Run: [EM_EXEC] C:PROGRA~1LogitechMOUSEW~1SYSTEMEM_EXEC.EXE
O4 - HKLM..Run: [SetDefPrt] C:Program FilesBrotherBrmfl04gBrStDvPt.exe
O4 - HKLM..Run: [ControlCenter2.0] C:Program FilesBrotherControlCenter2brctrcen.exe /autorun
O4 - HKLM..Run: [SunJavaUpdateSched] "C:Program FilesJavajre1.6.0_03binjusched.exe"
O4 - HKLM..Run: [FinePrint Dispatcher v5] "C:WINDOWSSystem32spoolDRIVERSW32X863fpdisp5a.exe" /source=HKLM
O4 - HKLM..Run: [pdfFactory Pro Dispatcher v3] "C:WINDOWSSystem32spoolDRIVERSW32X863fppdis3a.exe" /source=HKLM
O4 - HKLM..Run: [Microsoft Works Update Detection] C:Program FilesCommon FilesMicrosoft SharedWorks SharedWkUFind.exe
O4 - HKLM..Run: [PRISMSVR.EXE] "C:Program FilesThomson SpeedTouchSpeedTouch 120g Wireless USB MonitorPRISMSVR.EXE" /APPLY
O4 - HKLM..Run: [VSOCheckTask] "C:PROGRA~1McAfee.comVSOmcmnhdlr.exe" /checktask
O4 - HKLM..Run: [VirusScan Online] C:Program FilesMcAfee.comVSOmcvsshld.exe
O4 - HKLM..Run: [OASClnt] C:Program FilesMcAfee.comVSOoasclnt.exe
O4 - HKLM..Run: [MCAgentExe] c:PROGRA~1mcafee.comagentmcagent.exe
O4 - HKLM..Run: [MCUpdateExe] c:PROGRA~1mcafee.comagentmcupdate.exe
O4 - HKLM..Run: [MPFExe] C:PROGRA~1McAfee.comPERSON~1MpfTray.exe
O4 - HKLM..Run: [SSBkgdUpdate] "C:Program FilesCommon FilesScansoft SharedSSBkgdUpdateSSBkgdupdate.exe" -Embedding -boot
O4 - HKLM..Run: [RemoteControl] "C:Program FilesCyberLinkPowerDVDPDVDServ.exe"
O4 - HKLM..Run: [LanguageShortcut] "C:Program FilesCyberLinkPowerDVDLanguageLanguage.exe"
O4 - HKLM..Run: [IndexSearch] C:Program FilesScanSoftPaperPortIndexSearch.exe
O4 - HKCU..Run: [ctfmon.exe] C:WINDOWSsystem32ctfmon.exe
O4 - HKCU..Run: [kava] C:WINDOWSsystem32kavo.exe
O4 - HKCU..Run: [tava] C:WINDOWSsystem32tavo.exe
O4 - HKUSS-1-5-19..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'Lokale service')
O4 - HKUSS-1-5-20..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'Netwerkservice')
O4 - HKUSS-1-5-18..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'SYSTEM')
O4 - HKUS.DEFAULT..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'Default user')
O4 - Startup: Launch K9.lnk = C:Program FilesKeirNetK9K9.exe
O4 - Global Startup: Adobe Reader Snelle start.lnk = C:Program FilesAdobeReader 8.0Readerreader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:Program FilesAdobeReader 8.0ReaderAdobeCollabSync.exe
O4 - Global Startup: SpeedTouch 120g Wireless USB Monitor.lnk = C:Program FilesThomson SpeedTouchSpeedTouch 120g Wireless USB Monitorst120g.exe
O6 - HKCUSoftwarePoliciesMicrosoftInternet ExplorerControl Panel present
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:PROGRA~1MICROS~2OFFICE11EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.6.0_03binssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.6.0_03binssv.dll
O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:PROGRA~1MICROS~2OFFICE11REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O15 - Trusted Zone: http://*.mcafee.com
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - http://www.eset.eu/buxus/docs/OnlineScanner.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1189156332734
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1201528522296
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/mcgdmgr/nl/1,0,0,23/mcgdmgr.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5241/mcfscan.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:WINDOWSsystem32Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:Program FilesGrisoftAVG Anti-Spyware 7.5guard.exe
O23 - Service: Symantec pcAnywhere Host Service (awhost32) - Symantec Corporation - C:Program FilesSymantecpcAnywhereawhost32.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:Program FilesCommon FilesSymantec SharedccSvcHst.exe (file missing)
O23 - Service: iPod-service (iPod Service) - Apple Inc. - C:Program FilesiPodbiniPodService.exe
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:program filesmcafee.comagentmcdetect.exe
O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - c:PROGRA~1mcafee.comvsomcshield.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:PROGRA~1mcafee.comagentmctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:PROGRA~1McAfee.comAgentmcupdmgr.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:PROGRA~1McAfee.comPERSON~1MpfService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:Program FilesCyberLinkShared FilesRichVideo.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:Program FilesWinPcaprpcapd.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:Program FilesAnalog DevicesSoundMAXSMAgent.exe

Nu ga ik niet helemaal uitleggen wat alles precies inhoud en hoe je kunt zien wat er niet klopt. Dat kost simpel weg te veel tijd. Gelukkig zijn er veel fora's waar je je scan kunt posten en wie even voor je mee kijken. Een voorbeeld van een forum is "http://www.hijackthis.nl/forum/" als je hier je log post zijn er genoeg mensen wie de verkeerde processen er uit zoeken en vertellen hoe je er van af komt.

Oke allemaal leuk en aardig maar dit wil je natuurlijk niet voor niets doen. Je moet daarom ook wel het vermoeden hebben dat je een torjan op de pc hebt staan. Daarom is het wel handig om te weten wat een torjan allemaal kan doen,

Kenmerken

  1. De lade van de dvd/cd speler kan plotseling open gaan
  2. Een plaatje kan vertoond worden op je scherm
  3. De linkermuis knop kan dienen als rechtermuis knop of anders om
  4. Programma's die in 1 keer opstarten zonder dat jij iets doet
  5. Zomaar een geluids fragment horen
  6. De muis gaat in een keer bewegen
  7. Er kunnen vragen in beeld komen
  8. Als je aan het typen bent dat er zomaar wat anders komt of dat er zomaar letters bij komen
  9. Je internet verbinding kan zomaar weg vallen
  10. Je pc kan zomaar opnieuw opstarten
  11. Je toetsenbord kan in 1 keer niet meer werken
  12. Bestanden toevoegen aan je pc of zelfs leten crachen

Wat kleinere details zijn:
  1. Je muis blijft af en toe hangen
  2. Sommige vensters komen plotseling te voorschijn net als een popup
  3. als je op een knop drukt en hij reageert niet goed

Merkt je dit dus op, dan moet je je eens achter de oren krabben en misschien het bovenstaande uit proberen.

Ik hoop je voldoende te hebben ingelicht over trojan horse, als er nog vragen of andere onduidelijkheden zijn vraag ze gerust.
© 2008 - 2024 Rhblubben, het auteursrecht van dit artikel ligt bij de infoteur. Zonder toestemming is vermenigvuldiging verboden. Per 2021 gaat InfoNu verder als archief, artikelen worden nog maar beperkt geactualiseerd.
Gerelateerde artikelen
Wat is een Trojan Horse?Wat is een Trojan Horse?De Trojan Horse is vernoemd naar het Trojaanse paard wat de stadsport van de stad Troje werd binnengehaald. Het paard za…
Een virusvrije computerEen virusvrije computerHelaas kan je er tegenwoordig niet meer om heen, virussen op internet. Je computer wordt aangevallen door verschillende…
Paardenras: Quarter horsePaardenras: Quarter horseDe Quarter horse is gefokt met paarden uit Spanje maar is afkomstig uit Amerika. De Quarter horse bredere schenkels en d…
Singlefooting en Racking horseEr zijn enkele paardenrassen waarvan geen stamboom beschilbaar is. Deze rassen kan je enkel registreren omdat ze enkel d…

AVG Anti-Virus Free Edition virusscannerAVG Anti-Virus Free Edition virusscannerDe nieuwste versie van het populaire antivirus-programma AVG Anti-Virus Free is 8 en volgt daarmee 7 op. De nieuwste ver…
Reactie

Gerwin, 28-08-2008
Hoi, leuke uitleg. Zeer begrijpelijk voor een mensen die niets van deze materie weten. Ik hoop alleen niet dat je Hijackthis rapport van je eigen pc hebt gemaakt wan dan ben je besmet met twee trojans, namelijk:
O4 - HKCU.Run: [kava] C:WINDOWSsystem32kavo.exe
O4 - HKCU.Run: [tava] C:WINDOWSsystem32tavo.exe

Of heb je dit alleen gedaan als voorbeeld?
Groetjes Gerwin Reactie infoteur, 29-08-2008
De log was een voorbeeld van het internet, ik post liever niet mijn eigen log openlijk.

Rhblubben (8 artikelen)
Gepubliceerd: 15-03-2008
Rubriek: Pc en Internet
Subrubriek: Anti virus
Per 2021 gaat InfoNu verder als archief. Het grote aanbod van artikelen blijft beschikbaar maar er worden geen nieuwe artikelen meer gepubliceerd en nog maar beperkt geactualiseerd, daardoor kunnen artikelen op bepaalde punten verouderd zijn. Reacties plaatsen bij artikelen is niet meer mogelijk.