Tzv. 'winhelper' mIRC Takeover Trojan zpracovala Melinda Thompson aka habit originalní verze dokumentu je na Řecký překlad je na updatováno 17/01/98 CO JE TO? Okolo 10. Ledna roku 1998 mnoho uživatelů klienta IRC - mIRC pro Windows začalo trpět přejímáním kanálů, jež bylo výsledkem nového programu typu trojský kůň (soubor který předstírá že je neškodný, přestože je tomu právě naopak). Jakmile jste nakaženi, klient může provádět něco nebo všechno z následujících akcí: 1. Zvaní zlých zákeřníků na kterýkoli kanál, kde máte flag +o (OPerátor), 2. Mnohonásobný deOP (odebrání flagu +o) všem ostatním OPům, 3. OPování zlých zákeřníků 4. deOPování vás samých nebo dokonce ukončení vašeho IRC klienta Výsledek se pak de facto rovná převzetí kanálu (TakeOver), ovšem nevyžaduje techniky zahlcení serverů timestampy (TS), využití splitů, ani žádné podobné hackerské praktiky. JAK JSEM SE NAKAZIL? Účinek takového útoku je označován jako něco co může být chtěné, jako např. šetřič obrazovky, krek, nebo nějaký jiný .exe soubor (jako např. spoof.exe, land.exe, atd.). Takový soubor jste mohli obdržet přes IRC prostřednictvím DCC get, nebo z prostoru webu. Zkrátka jste se nějak nakazili od někoho (pokud máte bláhově nastaveno automatické přijímání souborů - mIRC auto dcc get, v tom případě vám může kdokoli zaslat kdykoli cokoli). Když se pokoušíte spouštět trojan je navržen tak aby skončil s chybovou zprávou nebo se objeví systémová zpráva o chybě přenosu, zatímco ve skutečnosti program způsobí např. modifikaci win.ini a dalších 2 souborů. Pravděpodobně se budete domnívat, že přenos neproběhl v pořádku a že buď byl originální soubor byl tímto nahrazen nebo na něj bylo zapomenuto. Ať už tak či tak, v tomto stadiu je již vir nainstalován. Nový konfigurační soubor mIRC.ini je umístěn na nejvyšší úrověň bootovacího disku (obvykle C:\) a evidentně je pak vždy loadován tento pozměněný ini soubor místo správného ini souboru, který je v podadresáři mirc. JAK TROJAN FUNGUJE? Útočníci se shromažďují na určitém kanále a čekají na signály o tom, že jste nakaženi. Budete posílat /notice na jejich kanál když se přihlásíte na IRC, když změníte nick, a především pokud se stanete OPerátorem nějakého kanálu. Útočníci se pak objeví na vašem kanále a způsobí že jim kanál "předáte" (viz. 4 kroky uvedené výše). Příkazy, kterými vás ovládají jsou zasílány přes /msg ! aniž byste je mohli zaznamenat. Nakonec vás přinutí kanál opustit, opět aniž byste si byli vědomi že vás ovládají. JAK SE VYLÉČIT? Postup při léčbě je následující: odstraňte soubor winhelper.exe, soubor C:\mIRC.ini a smažte řádek ve win.ini, který se odkazuje na winhelper.exe... jinými slovy, řádek ve win.ini, kde je zmínka typu running c:\windows\system\winhelper.exe, nebo např.: run=C:\windows\winhelper.exe. Přesný formát/umístění řádku ve win.ini se případ od případu liší ale určitě obsahuje odkaz na soubor winhelper.exe. V soušasnosti existuje mnoho variant tohoto originálního trojan ale všechny se chovají přibližně stejně: vytvářejí nebo mění originální inicializační soubory jako mirc.ini, win.ini, nebo script.ini. POUČENÍ *NIKDY* nestahujte soubory (přes DCC, WWW, FTP, nebo jinak) od lidí nebo webových stránek kterým nedůvěřujete, jakkoli vám takové soubory připadají lákavé a neškodné. Tam venku je velmi mnoho lamerů, kteří dychtí vás využít a důsledky se mohou přecházet od poměrně neškodných, jako takeovery na IRC, až k relativně nebezpečným, jako přístup/smazaní vašeho pevného disku, zjištění vašich hesel, nebo i horším. Více na: http://www.irchelp.org/irchelp/mirc/si.html kde se dozvíte něco o dalším "populárním" trojském koni pro mIRC. Neuvádíme to zde pro nic za nic - takové věci se stávají každý den!