Classificazioni Del Trojan
I cavalli di Trojan sono considerare solitamente come rappresentare un attacco alla segretezza (condurre rubante di parola d'accesso, per esempio, all'accesso e possibilmente alla modifica non autorizzati), o ad integrità (Trojans distruttivo). Ciò è poco troppo semplificato. Dopo tutto, la modifica non autorizzata è un attacco ad integrità. Un programma segretezza-privacy-invasive distrugge spesso le lime in modo da coprire le relative piste e un attacker ha potuto desiderare accedere per gli scopi specificamente distruttivi. Ancora, questo metodo presuppone l'intenzione cattiva, che, come abbiamo visto, non è accettato universalmente come caratteristica di definizione. Di conseguenza, alcuni tipi sono inclusi qui che non sono considerati spesso in questo contesto. La specie del carico utile prevedete un Trojan Horse (tecnicamente, suppongo che era un cavallo greco) da trasportare potrebbe riflettere il vostro orientamento di calcolo. Per molti anni, che gli utenti del minicomputer e dell'elaboratore centrale hanno teso a pensare in termini di programmi che parole d'accesso della stola o la segretezza al contrario aperta un varco, mentre gli utenti del microcomputer hanno teso a pensare in termini di Trojans distruttivo che ha formattato i disc o trashed i sistemi di lima. Nella realtà Trojans distruttivo che segretezza-privacy-invasive, sia sono stati conosciuti ad entrambe le conclusioni dello spettro grande di Iron/PC per molti anni. Tuttavia, gli anni recenti hanno visto più traversa-fertilizzazione. Trojans DistruttivoTrojans di cui lo scopo principale è distruttivo lungamente ha contagiato i proprietari del microcomputer. Le dozzina liste sporca, in primo luogo pubblicate via FidoNet nei mid-1980s, originalmente messi a fuoco su tali programmi e contemporaneamente la lista hanno definito un Trojan in termini di danni utili. Naturalmente, la lista ha diventato troppo grande per rapidamente i dozzina Trojans originale ed ha passato attraverso un certo numero di cambiamenti con gli anni 80 e gli anni 90. Potrebbe ancora essere possibile trovarla su alcuni assistenti dello specchio di Simtel nella gerarchia dell'indice di DOS/virus, ma è realmente soltanto di interesse storico. Vecchio Trojans del tipo ha elencato generalmente in DIRTYD*.ZIP è quasi invariabilmente di breve durata. Cattivo, non-ripiegando i programmi inoltre sono stati ampiamente ha segnalato sui ers del comput del Macintosh, compreso Trojans distruttivo. Il virus Info preteso per contenere le informazioni del virus ma realmente trashed i disc. (non dovrebbe essere confuso con il riferimento informativo [ ma obsolescent ] del virus della pila di HyperCard.) Un'incisione del postScript che potrebbe efficacemente rendere gli stampatori sicuri del Apple inutilizzabili attacando i firmware anche ha eccitato molto interesse contemporaneamente. NVP ha modificato la lima del tem del sistema in modo che nessuna vocale potesse essere scritta ed originalmente è stato trovato masquerading come nuovo sguardo, che ha riprogettato l'esposizione. AppleScript più recentemente, più distruttivo e segretezza-privacy-invasive, compilato Trojans è stato notato. Tuttavia, l'effetto sociale di tale Trojans è spesso disproportional al loro effetto in termini di avvenimenti reali. Poiché non auto-ripieghi, diverso dei virus e viti senza fine, sono meno probabili essere sparsi dai terzi del innocent. Tendono ad essere programmati crudamente. I file sequenziali semplici usando DEL, DELTREE, o la DISPOSIZIONE sono ancora terreno comunale, a volte compilato in una lima del COM o del EXE usando un compilatore della batch-lima quale BAT2COM. Ciò li rende più duri identificare. Trojans è solitamente azione diretta, cioè, non appena un Trojan è eseguito, fa tutti i relativi danni immediatamente che questo milita contro il loro che è sparso dalle vittime precedenti. Ci è, tuttavia, Trojans residente che si installa in moda da farli funzionare durante l'ogni sessione di calcolo. Spesso, questi sono associati con le attività come rubare di parola d'accesso. Tuttavia, tutto il Trojan di cui il carico utile non è immediatamente ed evidente cattivo eleva le relative proprie probabilità di essere passato sopra. Ci sono stati almeno due tentativi di passare fuori di Trojans come aggiornamento a PKZip, il programma di utilità ampiamente usato di compressione della lima. Un esempio recente era le lime PKZ300.EXE e PKZ300B.ZIP ha reso disponibile per il trasferimento dal sistema centrale verso i satelliti su luoghi di Internet determinati. Un Trojan più in anticipo si è passato fuori come versione 2.0. Per questo motivo, PKWare non ha liberato mai una versione 2.0 di PKZip: presumibilmente, se liberano mai un'altra versione del DOS (improbabile, a questa data, nel mio parere), non sarà numerato versione 3.0(0). [ infatti, l'ultima versione è 2.50 a periodo di scrittura. ] Infatti, ci sono appena tutti i casi conosciuti di qualcuno che trasferisce e che è colpito da questo Trojan, che poca gente ha visto (comunque la maggior parte dei dispositivi d'esplorazione stimabili del virus lo rileveranno). Per quanto so, questo Trojan è stato visto soltanto mai sugli assistenti del warez (che si specializzano nel software pirated). Ci sono casi registrati di una falsificazione PKZIP contro. 3 trovati infettati con un virus in-$$$-SELVAGGIO in tensione reale della lima, ma questo anche sono molto rari. Al la cosa migliore della mia conoscenza, l'ultima versione di PKZip è 2.04g [ ora 2.50 ], o 2.50 per Windows [ ora 2.60/2.70 ]. Ci era una versione 2.06 unita specificamente per uso interno dell'IBM soltanto (confermato da PKWare). Se lo trovate nella circolazione, evitila. È illecito o una falsificazione potenzialmente offensiva. L'eruzione recente di resuscitated gli avvertimenti circa questa è almeno in parte un hoax. Non è un virus, esso è un Trojan. (e non potrebbe) non danneggia i modem, V32 o al contrario, benchè supponga che un virus o un Trojan potrebbe alterare le regolazioni di un modem—se sembrasse essere sopra e collegasse…. Sembra cancellare le lime, per non distruggere irrevocabilmente i disc. È certamente una buona idea evitare le lime che sostengono essere PKZip contro. 3, ma il rischio reale appena giustificano la larghezza di banda che questo allarme ha occupato. Perchè è gli antecedenti interessanti? Per una cosa, l'argomento di attacco è un obiettivo tipico per un Trojan distruttivo che si passa fuori poichè qualcosa esso non è. PKZip è un programma di utilità popolare e molto utile dello shareware. Recentemente, piuttosto è stato oscurato da altri programmi di utilità usando la stessa disposizione di compressione, che potrebbe spiegare perchè PKZip è al giorno d'oggi un obiettivo meno attraente per Trojanization. In quanto segue, alludiamo ad un programma di utilità simile per il mac di cui l'identità inoltre purloined per lure le vittime incautious nel funzionamento del programma del imposter. In secondo luogo, era un programma falsificato che non ha fatto sforzo presupporre l'apparenza o la funzionalità del programma di cui l'identità ha esatto. Ciò è caratteristica di azione diretta, Trojans distruttivo, ma non una caratteristica di definizione. Terzo ed il più interessante, un programma che molto poca gente ha visto mai si è transformato in in un fastidio importante a causa del numero di gente che ha ricevuto e passato sull'"semi-hoaxified" avvertire circa il Trojan. Infatti, l'effetto della lettera chain era più serio di il Trojan in se era mai probabile essere. (questo è un effetto secondario non raro di azione diretta Trojans, ma visualizza raramente tale effetto spettacolare.) Dal semi-semi-hoax, ci riferiamo ad un allarme ingannevole basato su un virus o su un Trojan reale, ma in quale abbastanza informazione sbagliata è stata introdotta per renderla troppo inesatto per essere utile. Dovremmo probabilmente distinguersi qui fra un certo numero di possibilità:
Non è un avvertimento uno un hoax o non un hoax? Penso non. L'intenzione al hoax (o la mancanza di esso) potrebbe essere assoluta, ma la miscela del fatto e romanzo è ordinaria in hoaxes, in cui il fatto presta il supporto circostanziale ad un'asserzione essenzialmente fictional. Verso la fine del 1997, una versione bogus dello Stuffit deluxe è stata distribuita. (Stuffit è un altro attrezzo d'archiviatura popolare utilizzato soprattutto sui macs.) Durante l'installazione, il programma lime di sistema di chiave di cancellazione. I sistemi di Aladdin, creatori dello Stuffit, hanno pubblicato allora i advisories diffusi circa il Trojan. Trojans cattivo inoltre è stato conosciuto al masquerade come software del anti-virus. Un Trojan molto bene conosciuto che ha unito il sabotaggio e l'estorsione era il Trojan Horse del pc CYBORG, o AIDS Trojan. In 1989, circa 10.000 copie di un dischetto delle informazioni del AIDS sono state distribuite Europa, in Africa, in Scandinavia ed in Australia, molte alle imprese mediche. Dopo che il programma sia installato e funzionamento, un programma nascosto ha cifrato il disco rigido dopo un numero dell'insieme di reboots. L'idea era che la vittima dovrebbe trasmettere "una tassa di autorizzazione" all'indirizzo panamanian del pc Cyborg per ottenere la chiave di decryption. Fortunatamente, un ricercatore del virus nel Regno Unito ha spezzato la crittografia. Trojans Segretezza-Privacy-InvasiveTrojans Segretezza-privacy-invasive effettua generalmente una certa funzione che rivela alle informazioni vitali e privilegiate del programmatore su un sistema o al contrario sui compromessi che sistema. Le parole d'accesso sono, per gli ovvi motivi, un obiettivo molto comune. Latta inoltre (o preferibilmente) celano una certa funzione che una rivela alle informazioni vitali e privilegiate del programmatore su un sistema o sui compromessi che sistema. Alcune aziende del anti-virus hanno differenziato fra PC-specifico Trojans segretezza-privacy-invasive e Trojans distruttivo limitando l'uso del termine Trojan ai programmi distruttivi. Usano gli stealers di parola d'accesso di termine per i programmi segretezza-privacy-invasive più comuni. A metà posteriore degli anni 90, parola d'accesso-rubare i programmi mirati specificamente agli utenti del AOL ha sembrato diventare molto comune (alcune valutazioni al numero di tali programmi sono aumentato a molte centinaia). Un certo software del anti-virus usa un contrassegno di APS per tali programmi, probabilmente levantesi in piedi per la parola d'accesso Stealer del AOL. Tuttavia, AOL non è e mai non era l'unico servizio vulnerabile. In loro carta in cui ci è fumo, là è specchi, Sarah Gordon e gli scacchi di David descrivono fare funzionare le simulazioni dell'utente su AOL su un periodo di sette mesi. Mentre i tentativi sono stati fatti di guadagnare il loro manichino users'screen le parole d'accesso, queste tecniche sociali dirette generalmente usate di ingegneria di tentativi dai corrispondenti che masquerading come personale del AOL, piuttosto che indirettamente con i programmi rubanti di parola d'accesso. Portello Posteriore TrojansTrojans, di tanto in tanto, è stato piantato nelle applicazioni legittime. Ken Thompson descrive nelle riflessioni sul fidarsi della fiducia un certo numero di piani d'azione (non interamente ipotetici) interessanti, essere più famoso il piano d'azione del compilatore di Trojanized. In questo caso, il software di produzione offre ai mezzi di accesso privilegiato a chiunque sapere del portello posteriore o del trapdoor descritto. I portelli posteriori ed i trapdoors che offrono l'accesso non autorizzato (e forse modifica) non sono gli unici casi del codice non autorizzato introdotti nei programmi legittimi, tuttavia. Molti proprietari del mac che hanno comprato una determinata marca della tastiera di terzi con un Trojan hardcoded nel circuito integrato della ROM hanno trovato che il testo "il benvenuto Datacomp" è stato inserito nei loro documenti a intervalli apparentemente casuali. Le cartoline base del pc con un ESSERE VIVENTE di Trojanized sono state caratterizzate "dal buon compleanno" giocato tramite l'altoparlante del sistema al caricamento del sistema-in su, apparentemente sul compleanno del programmatore. Attrezzi Di Accesso A distanza (Ratti)Benchè pochi fornitori del anti-virus sostengano rilevare tutto il Trojans conosciuto, più rilevi almeno alcuno sulle piattaforme per cui hanno prodotti, in particolare quelle Trojans che dirige danni. Gli attrezzi di accesso a distanza (ratti) quali Netbus e l'orifizio posteriore, tuttavia, cavalcano una linea fra la gestione legittima dei sistemi (simile a quella effettuata dai programmi quale il pc dovunque) e l'accesso non autorizzato segreto. Quando il proprietario del sistema è persuaso di fare funzionare il programma dell'installazione, un programma dell'assistente è installato che può essere raggiunto da un programma del cliente su una macchina a distanza senza la conoscenza dell'utente. L'assistente è utilizzato per maneggiare la macchina della vittima. Dal punto di vista funzionale, non ci ha potuto essere differenza fra un RATTO e un attrezzo "legittimo". La differenza si trova non nella funzionalità, ma nella facilitazione della disponibilità segreta di quella funzionalità agli individui non autorizzati. Come con le ventose ed i dispositivi d'esplorazione della rete, non è che cosa il programma fa così tanto mentre il motivo esso sta usando. Tuttavia se il software del RATTO è installato disposto, aprente il sistema ad un attacco l'utente non prevede, quello gli rende un Trojan? Usando la parola del Microsoft inoltre rende l'utente vulnerabile agli attacchi che non potrebbe prevedere. Era, per esempio, gli anni prima di alcuni utenti del calcolatore hanno realizzato letteralmente che quello usando le versioni della parola e di altre applicazioni dell'ufficio del Microsoft che sostengono le lingue a macroistruzione ha reso loro vulnerabile ai virus a macroistruzione ed a Trojans. Quello rende a Bill Gates un autore del Trojan? No, perché la funzionalità in questo caso ugualmente è generalizzata per essere descritta come portello posteriore. Tuttavia, un RATTO che trasmette per radio la relativa presenza ad un hacker, che sonda una gamma caratteristica di numeri port, può certamente essere descritto come portello posteriore Trojan. Promuove le intenzioni dell'autore e subverts le aspettative della vittima. Ciò è un'edizione seria—non minimi in quanto "i tipi difettosi" alludono frequentemente alle imperfezioni di software legittimo (particolarmente Microsoft) come se gli insetti imprevisti in ufficio abbiano giustificato il loro propri premeditated le attività. Ciò nonostante, alcuni autori del RATTO hanno sfruttato questa ambivalenza producendo le versioni "professionali" di tale software ed addebitando loro. Ciò permette che gli autori si lamentino del anti-capitalista, comportamento anticompetitivo dei fornitori di sicurezza che rilevano il loro programma come un Trojan (o, tutto troppo spesso ed inesatto, un virus). Funziona, anche. Parecchi fornitori del anti-virus hanno caduto la rilevazione della versione professionale di Netbus, malgrado il murkiness dei relativi antecedenti e del relativo potenziale continuo per l'abuso. Altri hanno uscito del loro senso distinguersi fra le pro installazioni standard di Netbus e le installazioni di Trojanized. ContagocceUn contagoccia è un programma che non è in se un virus, ma è inteso installare un virus. Stranamente, dato l'associazione popolare di Trojans e dei virus, i contagocce sono un punto di entrata comparativamente raro per i virus nel selvaggio. Nel mondo del pc, i programmi del contagoccia sono il più comunemente collegati con il trasporto dei virus del settore del caricamento del sistema attraverso le reti e possono essere usati per quello scopo sia ricercatori del anti-virus che dai pro. Possono essere usati come mezzi segreti di introduzione del virus su un sistema, se la vittima può essere persuasa mediante tecniche sociali di ingegneria di fare funzionare il programma del contagoccia. I contagocce sono stati utilizzati sorprendentemente frequentemente nel mondo del mac, comunque. Il virus di MacMag è stato introdotto via una pila di HyperCard denominata prodotti del New Apple. Il gioco di Tetracycle è stato implicato nella diffusione originale di MBDF. ExtensionConflict è supposto per identificare i conflitti fra le estensioni (ora ci è una sorpresa), ma installa il virus di SevenDust. Sia SevenDust che MBDF ancora stanno segnalandi nel campo. Indietro nel mondo del pc, l'allarme rosso della squadra muddied le acque fissando un contagoccia del virus dichiarate per essere una difficoltà per un virus che non e non potrebbe possibilmente esistere. ScherziI programmi di scherzo sono quasi vecchi quanto computando. Un esempio venerable è il programma del biscotto di PDP, che ha schioccato in su ed ha chiesto alla vittima un biscotto. Gli utenti del mac e del pc sia lungamente si sono dilettati o irritato stati da tali programmi. La confusione ha presentato dovuto l'abitudine del software del anti-virus di avvisamento (che usando il virus di parola) non soltanto sui virus e su Trojans, ma sui programmi di scherzo quale CokeGift. Questo programma ampiamente distribuito offre alla vittima il loro vassoio del CD come un supporto per la loro bevanda fizzy (o possibilmente polvere bianca per ingestione nasale o combustibile fossile carbonifero). Cute per alcuno, irritando per altri, ma non esattamente life-threatening. Tuttavia, la pratica di avvisamento sui programmi di scherzo potrebbe presentare in risposta ai programmi presunti di scherzo che minacciano di formattare i disc, o sostiene fare così, ma non fa tale tentativo reale. Effettivamente, ci sono stati casi quando, che cosa un fornitore ha segnalato come Trojan, un altro fornitore segnalato come scherzo. BombeLe bombe di logica sono programmi cattivi che eseguono il loro carico utile quando uno stato preprogrammato è riempito. Quando lo stato di innesco è un tempo o una data, la bomba a orologeria di termine può essere usata. Un prespegnimento è una bomba di logica a volte usata per fare rispettare i termini del contratto. Tipicamente, il programma smette di funzionare a meno che una certa azione sia intrapresa per indicare (per esempio) che la tassa di autorizzazione è stata pagata, o l'appaltatore che ha scritto il codice è stato pagato. Non è sconosciuta affinchè un appaltatore introduca un po'più di bomba a orologeria drastica da innescare se un pagamento eccessivo di disputa presenta. L'uso della bomba di parola suggerisce un carico utile distruttivo, ma questo bisogno, infatti, è il caso. Le bombe della posta e le bombe di abbonamento sono attacchi del DOS (Smentita-de-Servizio) progettati per disturbare la vittima carattere la sua cassetta postale con una diga di posta. Questo è fatto spesso abbonandosi la vittima a tantissime liste spedenti. Il email Trojans certamente esiste, anche se il email è più conunemente un vettore di infezione per i virus e le viti senza fine. L'ANSI di termine bombarda solitamente si riferisce ad un messaggio della posta o all'altra lima di testo che approfitta di un aumento al driver di MS-DOS ANSI.SYS. Ciò permette che le chiavi siano ridefinite con una sequenza di fuga, in questo caso, per echeggiare un certo ordine potenzialmente distruttivo alla sezione comandi. Tali programmi erano contemporaneamente abbastanza frequentemente hanno segnalato su Fidonet. Tuttavia, al giorno d'oggi pochi sistemi fanno funzionare i programmi che richiedono l'emulazione di un terminale dell'ANSI ed ANSI.SYS non è installato normalmente in Windows 9x o più successivamente. Ci sono alternative a ANSI.SYS che non sostengono la definizione nuova della tastiera, o permettono che sia spenta. RootkitsUn rootkit è un esempio di un insieme di trojanized i programmi di sistema che un intruso che riesce il radice-compromesso un sistema potrebbe potere sostituire gli equivalenti di commands'standard. Gli esempi includono le versioni modificate dei programmi di utilità di sistema quali la parte superiore e lo ps, permettendo che i processi illegitimate facciano funzionare inosservato; daemons modificati per compromettere le entrate del ceppo o per nascondere i collegamenti; i programmi di utilità gimmicked per permettere all'escalation di sradicare i privilegi o di nascondere le lime componenti del rootkit o l'altra funzionalità backdoor (parole d'accesso segrete per permettere accesso privilegiato, per esempio). I programmi collegati includono le ventose di pacchetto ed i redattori di utmp/wtmp (usati per aggiustare le lime di ceppo). Rootkits esiste per un certo numero di sapori di UNIX e sta comparendo nelle versioni del NT. Tuttavia, le versioni prodotte su commissione di Trojanized dell'inizio attività (cioè versioni non incluse in un suite dei programmi quale un rootkit) sono state usate, per esempio, per raccogliere le parole d'accesso poiché Pontius programmato in PILOTA. La pubblicazione relaziona di Sarah Gordon delle vulnerabilità e dell'attrezzo (atti del twelfth congresso del mondo sul calcolatore Security, Audit e Control, 1995) include un'analisi tecnica di alcuni componenti del rootkit. Agenti Di DDoSGli attrezzi di DDoS (Smentita-de-Servizio distribuito) gradiscono Stacheldraht, TFN2K e Trinoo è Trojans progettato con uno scopo molto specifico. Sono intesi per portare giù gli assistenti del Internet a distanza coordinando gli attacchi di pacchetto-packet-flooding dalle macchine multiple. Tipicamente, l'intruso controlla un certo numero di macchine matrici. Questi, a loro volta, controllano i daemons sulle macchine a distanza. Installato segretamente, la loro presenza è celata spesso tramite l'installazione dei rootkits. I daemons possono essere installati su molte centinaia delle macchine a distanza, tutti gli attacchi dirigenti di flooding al sistema della vittima. L'installazione e la presenza di un attrezzo di attacco di DDoS possono essere rilevate attraverso gli stessi mezzi dell'altro malware. Cioè riconoscimento di una stringa specifica di ricerca (conosciuta qualcosa rilevazione), dell'esame euristico e della rilevazione del cambiamento. I dispositivi d'esplorazione del virus rilevano solitamente gli attrezzi conosciuti di DDoS. Il traffico della rete può essere controllato per le caratteristiche quali i pacchetti del IP con spoofed gli indirizzi di fonte. I sistemi di rilevazione di intrusione possono essere configurati per esplorare per i modelli caratteristici delle comunicazioni fra software matrice ed il software del daemon. ciò è un articolo aggiunto da Marcel Baldwin
|
|||
|