Il Troyan (cavallo di Troia) contiene programmi che aprono una porta d'accesso nel sistema remoto: Backdoor. Questi software sono nati originariamente per far compiere comode operazioni a persone che avevano il loro computer in un luogo lontano geograficamente, raggiungibile solo via Internet. Col tempo lo strumento è divenuto anche appetibile ai cosiddetti hacker per usi poco ortodossi. E' notorio l'accaduto di Microsoft USA che nel 1998 fu infettata da Back Orifice; furono quindi i mezzi di comunicazione di massa a pubblicizzare il fenomeno che si sparse a macchia d'olio, incoraggiando newbie a scrivere trojan sempre nuovi con caratteristiche differenziate.

Tutti i trojan hanno caratteristiche comuni come l'esistenza di un Server ed un Client. Il primo dev'essere obbligatoriamente installato sulla macchina da controllare mentre il Client serve da driver sul sistema controllante. Il Server consente l'apertura di una certa porta per dare accesso ai comandi impartiti dal Client. Per la teoria le porte di un sistema Windows vanno da 0 a 65536, ma solo 256 possono essere in funzione contemporaneamente (socket). Ne scaturisce che il Server di un trojan può adoperare una porta qualsiasi nell'intervallo citato, anche se solitamente quella adoperata è la preimpostata dal programma. Un Server può dare agio ad un numero determinato di funzioni e la sua dimensione (da 5 Kb a 1 Mb) è generalmente proporzionale alla sua capacità operativa.

I Server sono frequentemente dei file con estensione .exe che vanno ad installarsi in una directory già molto piena (Windows o Windows\System) con nomi particolari, simili a file del sistema operativo ed con icone poco risaltanti. Tali applicazioni partono ad ogni avvio della macchina grazie a chiamate messe in apposite locazioni che ne permettono l'auto-partenza (file System.ini, Cartella di Esecuzione Automatica e soprattutto Chiavi del Registro di Configurazione). Una volta avviato, il Server mette in ascolto una certa porta in attesa di ricevere ordini dal Client. A volte l'accesso al Server è protetto da password.

Il Server deve essere eseguito per poter funzionare ed ha estensione .exe; in molti casi si adoperano particolari strategie per ingannare la potenziale vittima. Le principali sono: nascondere il server accanto ad un altro "innocente" file eseguibile o nascondere l'estensione .exe. Riguardo il primo archibugio, esistono software appositi che uniscono due eseguibili in un unico file: i più noti sono Silk Rope e ExeJoiner. L'estensione del fine resta .exe ma può essere modificata in scr (si...avete inteso bene! Uno screen saver ha le stesse modalità d'apertura di un classico eseguibile, quindi funzionano allo stesso modo...però l'icona del file 'scr' cambia e ciò inganna il malcapitato).Il secondo metodo sfrutta invece una limitazione di Windows. Si rinomina solitamente il file server.exe in server.jpg …200 caratteri blank…. .exe; il file viene quindi visualizzato nelle finestre come server.jpg, nascondendo la sua vera estensione! I più smaliziati cambiano anche l'icona con programmi tipo Microangelo….ed il pacco è fatto! Chi esiterebbe ad aprire un file Pamela.jpg ? ;-)

Il Client è relativamente semplice da usare. Si immette l'IP (indirizzo numerico assegnato dal Provider all'atto della connessione) di chi ospita il Server e ci si connette ad esso. Questo induce a capire come sia IRC il luogo più naturale per la diffusione dei trojan, in quanto gli IP sono risolvibili col domando '/dns'. Esistono Client per lo più visuali con le opzioni ben chiare (Gestione Risorse, Upload, Download, Key Logger, Shotdown, etc..), più o meno evoluti o semplici da utilizzare.

Innanzitutto è fondamentale sapere se il proprio computer è infetto ancor prima della connessione. A tal fine esistono ottimi prodotti che identificano le backdoor. Con molti script per mIRC si possono analizzare alcune porte topiche per capire se si è potenzialmente infetti, ma questo tipo di analisi è poco affidabile per due buone ragioni: 1) se una porta è attiva non necessariamente si tratta di un trojan; 2) è possibile che il trojan abbia aperto una porta che non osserviamo. Perciò consiglio l'uso di programmi specializzati per la ricerca a 360 gradi e rimozione di backdoor.

I Troyans sono programmi che date le loro funzioni possono essere classificati come dei virus, quindi è normale che il vostro antivirus li riconosca come tali, ma se volete utilizzarli non dovete ripulirli ne provare a ripararli ... se diffidate di tali programmi e avete paura di combinare qualche casino semplicemente lasciate perdere e fate dell'altro ;-))