Jak działa serwer trojana?

Chciałbym żeby ktoś mi dał mniej więcej obraz na to jak odbywa się komunikacja w trojanie miedzy klientem a serwerem. Bo załóżmy że na komputerze ofiary uruchomiony został serwer na 127.0.0.1 i porcie 1234, oczekujący na połączenie, ale przecież serwer ten nie jest widoczny poza sieć lokalną, więc jak klient trojana łączy się z serwerem?

Prędzej bym zrozumiał gdyby komputer ofiary łączył się np. z serwerem IRC i oczekiwał na komendy (zmodyfikowany klient IRC), ale wtedy to już nie jest serwer na maszynie zarażonej, tylko klient.

a kto powiedzial ze to ma byc serwer? zazwyczaj jest to klient wlasnie

często mówi się właśnie o serwerach instalowanych na zainfekowanej maszynie, np. w przypadku trojanów: netbus, czy też njRat. Trojan, który działa tylko w sieci LAN kompletnie mija się z celem. To tak jakbym poszedł do galerii handlowej, usiadł obok Mc Donaldsa, podłączył się do ich sieci, i widząc, że osoba 10 metrów obok mnie również jest podpięta do tej samej sieci powiedział jej:
"- Ej, koleś, odpal ten plik na swoim komputerze :)"

O ile się orientuje w czasach świetności netbusa czy prosiaka, dużo osób korzystało z dialupów albo miała stałe, publiczne adresy ip, nie będąc za NAT'em. Nie analizowałem tutejszych trojanów, ale pewnie większośc działa na zasadzie wchodzenia na serwery ircowe publiczne albo dedykowane, gdzie znajduje się kanał. Na którym ktoś ma swoje C&C. I zarządza maszynami przez msg'i.

Nie zapominajcie też o protokole GaduGadu;

Z siedem-osiem lat temu bawiłem się z kumplem takim trojanem, któremu trzeba było podać dane do logowania do GaduGadu (założyć dodatkowe konto dla niego) oraz określić numer, z którego nadchodzić będą komendy do jego sterowania;

Muszę przyznać, że całkiem dobrze to działało; Jedynym problemem była tylko instalacja trojana w systemie ofiary.