Trojans e Backdoors
Il Trojan Horse ha ottenuto il relativo nome dalla
vecchia storia mythical circa come i Greci hanno dato al loro nemico
un cavallo di legno enorme come regalo durante la guerra.
Il nemico ha accettato questo regalo e lo hanno introdotto
nel loro regno e durante la notte, i soldati greci hanno strisciato
dal cavallo ed hanno attacato la città, completamente sormontante lo.
Un Trojan Horse è un programma non autorizzato contenuto
nell'ambito di un programma legittimo. Questo programma non
autorizzato effettua le funzioni sconosciute dall'utente. Un
programma legittimo che è stato alterato tramite la disposizione del
codice non autorizzato all'interno di esso; questo codice
effettua le funzioni sconosciute dall'utente.
Funzionamento:
Trojans viene in due parti, in una parte del cliente ed in
una parte dell'assistente. Quando la vittima fa funzionare
l'assistente sulla relativa macchina, il attacker allora userà il
cliente per collegare all'assistente e per cominciare usando il
Trojan. Il protocollo di TCP/IP è il tipo usuale di protocollo
usato per le comunicazioni, ma alcune funzioni del Trojans usano il
protocollo del UDP pure. Quando l'assistente sta facendo
funzionare sul calcolatore della vittima, (solitamente) proverà a
nascondersi in qualche luogo sul calcolatore, inizio che ascolta su un
certo port(s) i collegamenti ricevuti dal attacker, modifica la
registrazione e/o usa un certo altro metodo cominciante auto.
È necessario per il attacker da conoscere il IP address della
vittima per collegare alla sua macchina. Molto Trojans ha
caratteristiche come spedire il IP per posta della vittima, così come
messaging il attacker via ICQ o il IRC. Ciò è usata quando la
vittima ha IP dinamico che significa che sempre collegate al Internet
ottenete un IP differente (più degli utenti di accesso telefonico
abbia questo).
La maggior parte dei metodi d'Avviamento di uso di Trojans
in modo da anche quando interrompete il vostro calcolatore possono
ricominciare ed ancora dare al attacker l'accesso alla vostra
macchina. I nuovi metodi d'avviamento ed altri trucchi sono
scoperti tutto il tempo. La varietà comincia "dall'unire" il
Trojan in una certa lima che eseguibile usate molto spesso come
explorer.exe, per esempio e va ai metodi conosciuti come la
modificazione le lime di sistema o della registrazione di Windows.
Le lime di sistema sono situate nell'indice di Windows e qui
sono spiegazioni corte del loro abuso dai attackers:
- dispositivo di piegatura auto di inizio - il dispositivo
di piegatura auto di inizio è situato in C:\Windows\Start
Menu\Programs\startup e come il suo nome suggerisce automaticamente
inizia tutto disposto là.
- Win.ini - Lima di sistema di Windows usando
load=Trojan.exe e run=Trojan.exe per eseguire il Trojan
- System.ini - Usando Shell=Explorer.exe
trojan.exe provoca l'esecuzione di ogni lima dopo Explorer.exe
- Wininit.ini - I Messa a punto-Programmi lo
usano principalmente; funzioni una volta, esso automobile-sta
cancellando, che è molto pratico affinchè Trojans ricominci
- Winstart.bat - Fungere da una lima normale
Trojan del blocco è aggiunta come @trojan.exe per nascondere la
relativa esecuzione dall'utente
- Autoexec.bat - È una lima d'avviamento
del DOS ed è usato come metodo d'avviamento come questo - >
c:\Trojan.exe
- Config.sys - Ha potuto anche essere usato
come metodo automobile-avviare per Trojans
- la partenza dell'esploratore - è un metodo
automobile-avviare per Windows95, 98, ME e se c:\explorer.exe esiste,
sarà iniziato anziché il c:\Windows\Explorer.exe usuale, che è il
percorso comune alla lima.
La registrazione è usata spesso in vari metodi d'avviamento.
Qui sono alcuni sensi conosciuti:
[ HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current
Version\Run ]
"Info"="c:\directory\Trojan.exe"
[
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
]
"Info"="c:\directory\Trojan.exe"
[
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
]
"Info"="c:\directory\Trojan.exe"
[
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
]
"Info="c:\directory\Trojan.exe "
[ HKEY_CURRENT_USER\Software\Microsoft\Windows\Current
Version\Run ]
"Info"="c:\directory\Trojan.exe"
[
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce ]
"Info"="c:\directory\Trojan.exe"
- Coperture Di Registrazione Aperte
[ HKEY_CLASSES_ROOT\exefile\shell\open\command ]
[
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command ]
Una chiave con il valore "%1 % *" dovrebbe essere
disposto là e se ci è una certa lima eseguibile disposta là, sarà
eseguita ogni volta aprite una lima binaria. È usata come
questa: trojan.exe "%1 % *"; questo ricomincerebbe il Trojan.
- La Rete di ICQ Rileva Il Metodo
[
HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps \ ]
Questa chiave include tutte le lime che saranno eseguite
se ICQ rileva il collegamento del Internet. Come potete capire,
questa caratteristica di ICQ è molto pratica ma è abusata
frequentemente dai attackers pure.
- Componente Di Activex
[ HKEY_LOCAL_MACHINE\Software\Microsoft\Active
Setup\Installed Components\KeyName ]
StubPath=C:\directory\Trojan.exe
Queste sono i metodi d'Avviamento più comuni
usando le lime di sistema di Windows e la registrazione di Windows.
Variazioni Di Trojans
1.Remote Accesso Trojans
Questi sono probabilmente il Trojans il più
pubblicamente usato, solo perchè danno ai attackers l'alimentazione
fare più cose sulla macchina della vittima che la vittima in se,
mentre levandosi in piedi davanti la macchina. La maggior parte
dei questi Trojans sono spesso una combinazione delle altre variazioni
che leggerete sotto. L'idea dei questi Trojans è dare al
attacker un accesso COMPLETO a qualcuno macchina e quindi accede a le
lime, le conversazioni riservate, i dati contabili, ecc.
2. Parola d'accesso Che Trasmette Trojans
Lo scopo dei questi Trojans è strappare tutte le parole
d'accesso nascoste ed anche cercare altre parole d'accesso che allora
state digitando trasmettale ad un indirizzo specifico della posta,
senza l'utente che nota qualche cosa. Le parole d'accesso per
ICQ, IRC e ftp, HTTP o qualunque altra applicazione che richiedono ad
un utente di digitare una parola d'accesso di inizio attività stanno
trasmettende di nuovo all'indirizzo di E-mail del attacker, che nella
maggior parte dei casi è situato ad un certo fornitore di E-mail
basato fotoricettore libero. La maggior parte di loro non
ricominciano quando Windows è caricato, poichè l'idea è di
riunire tant'Info circa la macchina della vittima quanto le
parole d'accesso, i ceppi della vinaccia, conversazioni di ICQ e
spedirla per posta; ma dipende dai bisogni del attacker e della
situazione specifica.
3. Keyloggers
Questo Trojans deve annotare le battiture della vittima
ed allora ha lasciato il attacker cercare le parole d'accesso o altri
dati sensibili nella lima di ceppo. La maggior parte di loro
vengono con due funzioni come la registrazione in linea e fuori linea.
Naturalmente potrebbero essere configurate a
_ trasmett ceppo lima un specifico E-mail indirizzo un
quotidiano base.
4. Distruttivo
L'unica funzione dei questi Trojans è di
distruggere e cancellare le lime. Ciò le rende molto
semplici e facili usare. Possono cancellare automaticamente
tutte le vostre lime di sistema di nucleo (per esempio: il dell,
il in o il exe archivia, possibilmente altri) sulla vostra macchina.
Il Trojan sta attivando dal attacker o a volte funziona come la
bomba di logica di A e comincia un giorno specifico ed all'ora
specifica.
5.Denial Dell'Attacco Trojans Di Servizio (DOS)
Questo Trojans sta ottenendo molto popolare attualmente,
dando al attacker l'alimentazione iniziare DDoS se avendo abbastanza
vittime naturalmente. L'idea principale è che se fate 200
utenti del ADSL infettare e cominciate attacare la vittima
simultaneamente, questa genererà il traffico molto (più allora
la larghezza di banda della vittima, nella maggior parte dei casi) e
relativo l'accesso al Internet si interromperà. WinTrinoo è un
attrezzo di DDoS che è diventato recentemente realmente popolare e se
il attacker ha infettato molti utenti del ADSL, i luoghi di Internet
importanti potrebbero interrompersi di conseguenza, come lo abbiamo
visto accadere nel passato pochi mesi.
Un'altra variazione di un DOS Trojan è la posta-bomba Trojan,
di cui lo scopo principale è di infettare altretante macchine come
possibile ed attacare simultaneamente il E-mail specifico
address/addresses con gli oggetti ed il soddisfare casuali che non
possono essere filtrati.
6.Proxy/Wingate Trojans
La caratteristica interessante effettuata in molti
trojans sta trasformando nel calcolatore della vittima un assistente
di proxy/wingate disponibile verso il mondo intero o verso il attacker
soltanto. È usata per il telnet anonimo, ICQ, il IRC, ecc. ed
anche registrare i dominii con le carte di credito rubate e per molte
altre attività illegali. Ciò dà al attacker l'anonimato
completo e la probabilità fare tutto dal VOSTRO calcolatore e se
he/she ottiene ha interferito i cavi della traccia di nuovo voi.
7.FTP Trojans
Questi trojans sono probabilmente più semplici quei e
sono genere per quanto l'unica cosa che sia di antiquato di aprire
l'orificio port 21(the per i trasferimenti del ftp) ed ha lasciato
TUTTO collegare alla vostra macchina o appena al attacker. Le
più nuove versioni sono parola d'accesso protetta così la soltanto
una che li ha infettati può collegare al vostro calcolatore.
Assassini Di Rilevazione 8.Software
Ci sono tali funzionalità sviluppate in alcuni trojans,
ma ci sono inoltre programmi separati che uccideranno ZoneAlarm, il
Anti-Virus di Norton e molti altri programmi (anti-virus/firewall
popolare), che proteggono la vostra macchina. Quando sono
disabled, il attacker avrà accesso completo alla vostra macchina, per
effettuare una certa attività illegale, utilizza il vostro
calcolatore per attacare altri e per sparire spesso. Anche se
potete notare che questi programmi sono non funzionanti o non
funzionanti correttamente, vi occorrerà un certo tempo rimuovere il
Trojan, installare il nuovo software, configurarlo ed ottenere
indietro in linea con un certo senso di sicurezza.
Come Posso Ottenere Infettato
Segue sensi ottenere infettato con Trojans:
1 ICQ
IRC 2
3 collegamenti
Un Accesso Di 4 Fisici medici
Errori di programmazione Del Browser 5 E Di E-mail
6 Netbios(FileSharing)
Programmi Del Trojan: Trojans
può essere classificato come:
1.Backdoors
2.General Trojans
3.PSW Trojans
4.Trojan Clickers
downloaders 5.Trojan
contagocce 6.Trojan
procure 7.Trojan
spie 8.Trojan
notificatori 9.Trojan
10.ArcBombs
Backdoors
Oggi i backdoors sono il tipo più pericoloso di
Trojans ed il più diffuso. Questo Trojans è programmi di
utilità a distanza della gestione che macchine infettate aperte a
controllo esterno via una lan o il Internet. Funzionano come
programmi a distanza legali della gestione usati dai coordinatori di
sistema. Ciò li rende difficili alla differenza di detect.The
soltanto fra un attrezzo legale della gestione e un backdoor è che i
backdoors sono installati e lanciati senza la conoscenza o il consenso
dell'utente della macchina della vittima. Il backdoor è
lanciato una volta, esso controlla il sistema locale senza la
conoscenza dell'utente; il backdoor non sarà spesso visibile
nel ceppo dei programmi attivi.
Una volta che una gestione a distanza utilitiy con successo è
stata installata e lanciato stata, la macchina della vittima è
spalancata.
Le funzioni backdoor possono includere:
1.Sending/ che riceve le lime
2.Launching/ che cancella le lime
lime 3.Executing
notifica 4.Displaying
dati 5.Deleting
6.Rebooting la macchina
Cioè i backdoors sono usati dai produttori del
virus per rilevare e trasferire le informazioni dal sistema centrale
verso i satelliti confidenziali, esegua il codice cattivo,
distruggono i dati, includono la macchina nelle reti del BOT e
così via. In breve, i backdoors uniscono la funzionalità della
maggior parte degli altri tipi di Trojans in un pacchetto.
Backdoors ha una particolarmente sottoclasse pericolosa:
varianti che possono propagarsi come le viti senza fine.
L'unica differenza è che le viti senza fine sono programmate
propagarsi costantemente, mentre questi backdoors 'mobili 'si spargono
solo dopo un ordine specifico 'dal padrone '.
General Trojans
Questa categoria allentata include una varietà di
Trojans che danneggiano le macchine della vittima o minacciano
l'integrità di dati, o altera il funzionamento della macchina della
vittima.
Trojans multi-purpose inoltre è incluso in questo gruppo,
poichè alcuni produttori del virus generano i pacchetti
multifunzionali del Trojan piuttosto che di Trojans.
PSW Trojans
Questa famiglia di Trojans ruba le parole
d'accesso, normalmente parole d'accesso del sistema dalle macchine
della vittima. Cercano le lime di sistema, che contengono le
informazioni confidenziali quali i numeri di telefono di accesso del
Internet e di parole d'accesso ed allora trasmettono queste
informazioni ad un email address codificato nel corpo del Trojan.
Allora sarà richiamato 'dal padrone 'o dall'utente del
programma illegale.
Alcuni PSW Trojans rubano altri tipi di informazioni come:
Particolari del sistema (memoria, spazio di disc,
particolari del sistema operativo)
Cliente locale del email
IP-RICHIAMI
Particolari di registro
Parole d'accesso per i giochi in linea
Trojan-AOL è PSW Trojans che ruba le parole d'accesso
per AOL (in linea americano) che sono contenute in sottogruppi perché
sono così numerose.
Trojan Clickers
Questa famiglia di Trojans riorienta le macchine
della vittima ai Web site specificati o ad altre risorse di Internet.
Clickers trasmette gli ordini necessari al browser o sostituisce
le lime di sistema in cui i urls standard del Internet sono
memorizzati (per esempio 'ha ospitato la lima in MS Windows).
Clickers è usato:
l'aumento 1.To colp-conta di un luogo specifico per la
pubblicità degli scopi
2.To organizzano un attacco del DOS ad un assistente o
ad un luogo specificato
cavo 3.To la vittima ad una risorsa infettata in cui la
macchina sarà attacata dall'altro malware (virus o Trojans)
Downloaders Del Trojan
Questa famiglia di Trojans trasferisce ed
installa il nuovo malware o adware dal sistema centrale verso i
satelliti sulla macchina della vittima. Il downloader allora
lancia il nuovo malware o lo registra per permettere il autorun
secondo i requisiti locali del sistema operativo. Tutto il
questo è fatto a meno di la conoscenza o il consenso dell'utente.
I nomi e le posizioni di malware da trasferire sono codificati
nel Trojan o sono trasferiti da un Web site specificato o dall'altra
posizione del Internet.
Contagocce Del Trojan
Questo Trojans è usato per installare l'altro
malware sulle macchine della vittima senza la conoscenza dell'utente.
I contagocce installano il loro carico utile senza visualizzare
alcuna notifica, o visualizzare un messaggio falso circa un errore in
una lima archiviata o nel sistema operativo. Il nuovo malware è
caduto ad una posizione specificata su un disc locale ed allora è
lanciato.
I contagocce sono strutturati normalmente nel modo
seguente:
La funzionalità del contagoccia contiene il codice per
installare ed eseguire tutte le lime del carico utile.
Nella maggior parte dei casi, il carico utile contiene l'altro
Trojans ed almeno un hoax: scherzi, giochi, grafici e così via.
Il hoax è significato per distract l'utente o per dimostrare
che l'attività causata dal contagoccia è inoffensiva, mentre
realmente serve a mascherare l'installazione del carico utile
pericoloso.
I hackers che usando tali programmi realizzano due
obiettivi:
Installazione nascosta o mascherata di altri Trojans o virus
Ingannando le soluzioni di antivirus, che non possono
analizzare tutti i componenti
Procure Del Trojan
Questo funzione di Trojans come proxy server e
fornisce l'accesso anonimo al Internet dalle macchine della vittima.
Oggi questo Trojans è molto popolare con gli spammers che hanno
bisogno sempre delle macchine supplementari per le spedizioni totali.
I codificatori del virus spesso includeranno le Trojan-procure
nei pacchetti del Trojan e venderanno le reti delle macchine infettate
agli spammers.
Spie Del Trojan
Questa famiglia include una varietà di programmi
della spia e di registratori di dati atmosferici chiave, che
rintracciano e conservano l'attività dell'utente sulla macchina della
vittima ed allora in avanti su queste informazioni al padrone.
le Trojan-spie raccolgono una gamma di informazioni
compreso:
1.Keystrokes
2.Screenshots
3.Logs delle applicazioni attive
azioni dell'utente 4.Other
Questo Trojans è usato il più spesso per rubare
le operazioni bancarie ed altre informazioni finanziarie per sostenere
la frode in linea.
Notificatori Del Trojan
Questo Trojans informa 'il padrone 'circa una
macchina infettata. I notificatori confermano che una macchina
è stata infettata con successo e trasmettono le informazioni su
IP-RICHIAMANO, numeri port aperti, il email address ecc. della
macchina della vittima. Queste informazioni possono essere
trasmesse dal email, al Web site del padrone, o da ICQ.
I notificatori solitamente sono inclusi in un Trojan 'pacchetto
'e sono usati per informare soltanto il padrone che un Trojan è stato
installato con successo sulla macchina della vittima.
ArcBombs
Questo Trojans è lime archiviate codificate per
sabotare il decompressore quando tenta di aprire la lima archiviata
infettata. La macchina della vittima ritarderà o si arresterà
quando la bomba del Trojan esplode, o il disc sarà riempito di dati
di assurdità. ArcBombs è particolarmente pericoloso per gli
assistenti, specialmente quando i dati ricevuti inizialmente sono
proceduti automaticamente: in tali casi, un ArcBomb può
arrestare l'assistente.
Ci sono tre tipi di ArcBombs:
intestazione 1.incorrect nell'archivio,
dati 2.repeating
serie 3.a di lime identiche nell'archivio.
Un'intestazione di archivio errata o i dati corrotti inscatola
entrambe induce il decompressore a arrestarsi quando apre e
disimballando l'archivio infettato.
Una grande lima che contiene ripetendo i dati può essere
imballata in un archivio molto piccolo: 5 gigabytes saranno di
200 Kb una volta imballati usando RAR e di 480 Kb nella disposizione
della CHIUSURA LAMPO.
Inoltre, le tecnologie speciali esistono per imballare un numero
enorme di lime identiche in un archivio senza significativamente
interessare il formato dell'archivio in se: per esempio, è
possibile imballare 10100 lime identiche 30 in una lima del Kb RAR o
in una lima di CHIUSURA LAMPO dai 230 Kb.
Spyware ed adware:
Spyware ed il adware sono forme di un Trojan Horse.
I programmi di Spyware effettuano una funzione utile ed inoltre
installano un programma quell'uso dei video del calcolatore della
vittima a scopo dell'introduzione sul mercato all'utente.
I programmi di Adware sono simili spiare i programmi degli
articoli, a meno che il software supplementare installi i messaggi di
pubblicità di esposizioni direttamente all'utente.
Byline:
Suhas Desai sta funzionando con Mahindra Ltd. Pune, India di
tecnologia come sviluppatore del software.
Ha contribuito il lavoro definitivo nel dominio di sicurezza di
biometria e suo di progetto di lavoro “sulla scheda
Bio--astuta per RFID sulla serie di ingranaggi di Linux” ampiamente è stato riconosciuto vicino -
1. undicesimo IEEE in tempo reale & ha incluso il
simposio dei sistemi tenuto alla California.
2. Il EXPO 2004 di ISA, un congresso di sicurezza ha
tenuto al Texas.
3. E-SMART 2005, un simposio astuto dell'innovazione della
scheda, Francia.
Ha creato molti pubblicazioni, articoli e caratteristiche per i
portals internazionali e nazionali reputati di congressi, delle
pubblicazioni, di atti e di fotoricettore. Il suo lavoro su RFID
honored per “il
InTech”, un giornale globale di automazione al Texas.
Può raggiunto a desai.suhas@gmail.com o a suhasde@techmahindra.com
ciò è un articolo aggiunto da Suhas Desai