Cara kerja trojan adalah dengan menggunakan protokol TCP/IP atau adapula beberapa varian trojan yang menggunakan protokol UDP. Ketika server mulai dijalankan pada komputer korban, trojan akan menyembunyikan diri didalam sistem. Biasanya trojan akan bersembunyi pada lokasi:
1. Start-Up Directory
2. Registry -
HKLM\Software\Windows\Microsoft\CurrentVersion\Run
HKLM\Software\Windows\Microsoft\CurrentVersion\RunServices
HKLM\Software\Windows\Microsoft\CurrentVersion\RunOnce
HKLM\Software\Windows\Microsoft\CurrentVersion\RunServicesOnce
HKEY_CLASSES_ROOT\exefile\shell\open\command"%1"%*
3. Batch File
4. Initialization File
5. C:\Explorer.exe
Selain lokasi-lokasi diatas, ada kemungkinan trojan bersembunyi ditempat lain seperti yang dilakukan oleh SubSeven 2.2 yang bersembunyi di:
HKEY_LOCAL_MACHINE\Software\Microsoft\ActiveSetup\Installed Component
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer|Usershell folders
Salah satu contoh trojan yang memiliki fitur cukup mumpuni dan masih banyak digunakan hingga saat ini adalah NetBus. Beberapa fitur tersebut, diantaranya:
- fungsi keylogger
- download dan menghapus file komputer korban
- shutdown sistem
- screendump (fitur ini membutuhkan koneksi cepat)
- menonaktifkan keyboard
- mengalihkan data pada port TCP tertentu ke host atau port lain
- konfigurasi server.exe dengan pilihan port TCP dan notifikasi email
- dll
Seiring dengan perkembangan, trojanpun terus memperbaiki diri. Salah satu trojan yang telah berevolusi adalah AWRC (atelier Web Remote Commander). Trojan yang satu ini dikatakan telah berevolusi karena ia tidak lagi membutuhkan file server untuk ditanam di komputer korban, artinya trojan ini hanya memiliki satu file client dan itu cukup untuk mengendalikan komputer korban.
Beberapa hal yang bisa dilakukan untuk meminimalisir agar tidak menjadi korban trojan, antara lain:
* Pasanglah Freezer : Freezer akan mengembalikan sistem pada keadaan semula seperti saat pertama kali freezer ini diaktifkan.
* Update Antivirus : Sebagian besar antivirus yang beredar mampu memblokir kerja trojan.
* Tasklist : Mendeteksi dengan cara melihat daftar program yang sedang berjalan atau anda bisa membuka msinfo32.exe (C:\Program Files\common files\microsoft shared\msinfo) untuk melihat daftar program yang sedang running tapi menyembunyikan diri dari tasklist.
* Netstat : Perintah ini berfungsi untuk membuka koneksi ke dan dari komputer seseorang, dengan menjalankan perintah ini, akan menampilkan IP address dari komputer tersebut ke komputer lain yang terhubung.
* TCP View: Free utility dari sysinternals, utility ini dapat menampilkan IP address dan menampilkan program yang digunakan oleh orang lain untuk melakukan koneksi dengan komputer kita.
