Trojans e Backdoors
O Trojan Horse começou seu nome da história
mythical velha sobre como os gregos deram a seu inimigo um cavalo de
madeira enorme como um presente durante a guerra.
O inimigo aceitou este presente e trouxeram-no em seu
reino, e durante a noite, os soldados gregos rastejaram fora do cavalo
e atacaram a cidade, superando completamente o.
Um Trojan Horse é um programa desautorizado contido dentro de
um programa legitimate. Este programa desautorizado executa
funções desconhecidas pelo usuário. Um programa legitimate
que fosse alterado pela colocação de código desautorizado dentro
dele; este código executa funções desconhecidas pelo
usuário.
Funcionamento:
Trojans vem em duas porções, em uma peça do cliente e
em uma peça do usuário. Quando a vítima funciona o usuário
em sua máquina, o atacante usará então o cliente conectar ao
usuário e começar usar o Trojan. O protocolo de TCP/IP é o
tipo usual do protocolo usado para comunicações, mas algumas
funções do Trojans usam o protocolo do UDP também. Quando o
usuário está sendo funcionado no computador da vítima, (geralmente)
tentará esconder em algum lugar no computador, começo que escuta em
algum port(s) conexões entrantes do atacante, modifica o registro
e/ou usa algum outro auto método começando.
É necessário que o atacante saiba o IP address da vítima para
conectar a his/her máquina. Muito Trojans tem características
como enviar o IP da vítima, as.well.as o messaging o atacante
através de ICQ ou de IRC. Isto é usado quando a vítima tem o
IP dinâmico que significa que todas as vezes você conecta ao
Internet que você começa um IP diferente (mais dos usuários dial-up
tenha isto).
A maioria dos métodos Automóvel-Iniciando do uso de
Trojans assim mesmo quando você os fecha abaixo seu computador podem
reiniciar e dar outra vez ao atacante o acesso a sua máquina.
Os métodos automóvel-iniciando novos e outros truques são
descobertos toda a hora. A variedade parte de "juntar" o Trojan
em alguma lima que executável você se usa muito frequentemente como
explorer.exe, para o exemplo, e vai aos métodos sabidos como
modificar as limas de sistema ou o registro de Windows. As limas
de sistema são ficadas situadas no diretório de Windows e são aqui
explanações curtas de seu abuso pelos atacantes:
- auto dobrador do começo - o auto dobrador do começo é
ficado situado em C:\Windows\Start Menu\Programs\startup e como o seu
nome o sugere começa automaticamente tudo colocado lá.
- Win.ini - Lima de sistema de Windows usando
load=Trojan.exe e run=Trojan.exe executar o Trojan
- System.ini - Usar Shell=Explorer.exe
trojan.exe resulta na execução de cada lima após Explorer.exe
- Wininit.ini - Os Instalação-Programas
usam-no na maior parte; funcione uma vez, ele automóvel-está
sendo suprimido, que é muito acessível para que Trojans reinicie
- Winstart.bat - Agir como uma lima normal
Trojan do bastão é adicionada como @trojan.exe para esconder sua
execução do usuário
- Autoexec.bat - É uma lima
automóvel-iniciando do DOS e é usado como o método
automóvel-iniciando como este - > c:\Trojan.exe
- Config.sys - Podia também ser usada como
um método automóvel-iniciar para Trojans
- partida do explorador - é um método
automóvel-iniciar para Windows95, 98, MIM e se c:\explorer.exe
existir, será começada em vez do c:\Windows\Explorer.exe usual, que
é o trajeto comum à lima.
O registro é usado frequentemente em vários métodos
automóvel-iniciando. Estão aqui algumas maneiras sabidas:
[ HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current
Version\Run ]
"Info"="c:\directory\Trojan.exe"
[
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
]
"Info"="c:\directory\Trojan.exe"
[
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
]
"Info"="c:\directory\Trojan.exe"
[
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
]
"Info="c:\directory\Trojan.exe "
[ HKEY_CURRENT_USER\Software\Microsoft\Windows\Current
Version\Run ]
"Info"="c:\directory\Trojan.exe"
[
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce ]
"Info"="c:\directory\Trojan.exe"
- Escudo Do Registro Aberto
[ HKEY_CLASSES_ROOT\exefile\shell\open\command ]
[
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command ]
Uma chave com o valor "%1 % *" deve ser colocado
lá e se houver alguma lima executável colocada lá, será executada
cada vez que você abre uma lima binária. É usada como esta:
trojan.exe "%1 % *"; isto reiniciaria o Trojan.
- A Rede de ICQ Detecta O Método
[
HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps \ ]
Esta chave inclui todas as limas que serão executadas
se ICQ detectar a conexão do Internet. Como você pode
compreender, esta característica de ICQ é muito acessível mas é
abusada freqüentemente por atacantes também.
- Componente De ActiveX
[ HKEY_LOCAL_MACHINE\Software\Microsoft\Active
Setup\Installed Components\KeyName ]
StubPath=C:\directory\Trojan.exe
Estes são os métodos Automóvel-Iniciando os
mais comuns usando limas de sistema de Windows, e o registro de
Windows.
Variações De Trojans
1.Remote Acesso Trojans
Estes são provavelmente o Trojans o mais publicamente
usado, apenas porque dão aos atacantes o poder fazer mais coisas na
máquina da vítima do que a vítima próprias, ao estar na frente da
máquina. A maioria dos estes Trojans são frequentemente uma
combinação das outras variações que você lerá abaixo. A
idéia dos estes Trojans é dar ao atacante um acesso COMPLETO a
alguém máquina, e alcança conseqüentemente às limas, às
conversações confidenciais, aos dados de contabilidade, etc..
2. Senha Que Emite Trojans
A finalidade dos estes Trojans é rasgar todas as senhas
cached e para procurar também outras senhas que você está
incorporando então emita-as a um endereço específico do correio,
sem o usuário que observa qualquer coisa. As senhas para ICQ,
IRC, e ftp, HTTP ou toda a outra aplicação que requererem um
usuário incorporar uma senha do início de uma sessão estão sendo
emitidas para trás ao endereço do E-mail do atacante, que em a
maioria de casos é ficado situado em algum correia fotorreceptora
livre fornecedor baseado do E-mail. A maioria delas não
reiniciam quando Windows é carregado, porque a idéia é recolher
tanto info sobre a máquina da vítima quanto senhas, registros do
marc, conversações de ICQ e as enviar; mas depende das
necessidades do atacante e da situação específica.
3. Keyloggers
Este Trojans deve registrar os keystrokes da vítima e
deixa então o atacante procurarar por senhas ou por outros dados
sensíveis na lima de registro. A maioria deles vêm com duas
funções como a gravação em linha e fora de linha.
Naturalmente poderiam ser configurarados a
emita a lima de registro a um endereço específico do
E-mail em uma base diária.
4. Destrutivo
A única função dos estes Trojans é destruir e
suprimir limas. Isto fá-los muito simples e fácil usar-se.
Podem automaticamente suprimir todas suas limas de sistema do
núcleo (para o exemplo: o dell, o in ou o exe arquivam,
possivelmente outra) em sua máquina. O Trojan está sendo
ativado pelo atacante ou às vezes trabalha como a bomba da lógica de
A e começa em um dia específico e na hora específica.
5.Denial Do Ataque Trojans Do Serviço (DoS)
Este Trojans está começando muito popular estes dias,
dando ao atacante o poder começar DDoS se tendo bastante vítimas
naturalmente. A idéia principal é que se você tiver 200
usuários do ADSL infected e os começar atacar a vítima
simultaneamente, esta gerará muitos do tráfego (mais então a
largura de faixa da vítima, em a maioria de casos) e seu o acesso ao
Internet será fechado para baixo. WinTrinoo é uma ferramenta
de DDoS que se torne realmente popular recentemente, e se o atacante
infected muitos usuários do ADSL, os locais de Internet principais
poderiam ser fechados abaixo em conseqüência, como nós o vimos
acontecer no passado poucos meses.
Uma outra variação de um DoS Trojan é a correio-bomba Trojan,
cujo o alvo principal é infect tantas como máquinas como possível e
atacar simultaneamente o E-mail específico address/addresses com
assuntos e índices aleatórios que não podem ser filtrados.
6.Proxy/Wingate Trojans
A característica interessante executada em muitos
trojans está girando o computador da vítima em um usuário de
proxy/wingate disponível para o mundo inteiro ou para o atacante
somente. É usada para o telnet anonymous, o ICQ, o IRC, etc., e
para registar também domínios com os cartões de crédito roubados e
para muitas outras atividades ilegais. Isto dá ao atacante o
anonymity completo e a possibilidade fazer tudo de SEU computador e se
he/she começasse travou-lhe as ligações do traço para trás.
7.FTP Trojans
Estes trojans são provavelmente os mais simples e são
tipo de por mais outdated que a única coisa que seja abrir o porto
21(the portuário para transferências do ftp) e deixe TODOS conectar
a sua máquina ou apenas ao atacante. Umas versões mais novas
são senha protegida assim a somente o uma que infected o pode
conectar a seu computador.
Assassinos Da Deteção 8.Software
Há tais funcionalidades construídas em alguns trojans,
mas há também os programas separados que matarão ZoneAlarm,
Anti-Vírus de Norton e muitos outros (anti-virus/firewall popular)
programas, que protegem sua máquina. Quando são disabled, o
atacante terá o acesso cheio a sua máquina, para executar alguma
atividade ilegal, usa seu computador atacar outro e desaparecer
frequentemente. Mesmo que você possa observar que estes
programas são não trabalhando ou não funcionando corretamente,
far-lhe-á exame de algum tempo para remover o Trojan, para instalar o
software novo, para configurará-lo e começá-lo para trás em linha
com algum sentido da segurança.
Como Posso Eu Começar Infected
Seguir é maneiras começar infected com Trojans:
1 ICQ
IRC 2
3 acessórios
Acesso De 4 Exames
Erros De Software Do Browser 5 E Do E-mail
6 Netbios(FileSharing)
Programas De Trojan: Trojans
pode ser classificado como:
1.Backdoors
2.General Trojans
3.PSW Trojans
4.Trojan Clickers
downloaders 5.Trojan
droppers 6.Trojan
proxies 7.Trojan
espiões 8.Trojan
notificadores 9.Trojan
10.ArcBombs
Backdoors
Hoje os backdoors são o tipo o mais perigoso de
Trojans e os mais difundidos. Este Trojans é as utilidades
remotas da administração que máquinas infected abertas ao controle
externo através de um LAN ou do Internet. Funcionam na mesma
maneira que os programas remotos legais da administração usaram por
administradores de sistema. Isto fá-los difíceis à diferença
de detect.The somente entre uma ferramenta legal da administração e
um backdoor é que os backdoors estão instalados e lançados sem o
conhecimento ou o consentimento do usuário da máquina da vítima.
O backdoor é lançado uma vez, ele monitora o sistema local sem
o conhecimento do usuário; frequentemente o backdoor não será
visível no registro de programas ativos.
Uma vez que uma administração remota utilitiy com sucesso foi
instalada e lançada, a máquina da vítima está largamente aberta.
As funções backdoor podem incluir:
1.Sending/ que recebe limas
2.Launching/ que suprime limas
limas 3.Executing
notificação 4.Displaying
dados 5.Deleting
6.Rebooting a máquina
Ou seja os backdoors são usados por escritores do
vírus detectar e para download a informação confidential, execute o
código malicioso, destroem dados, incluem a máquina em redes do bot
e assim por diante. No short, os backdoors combinam a
funcionalidade de a maioria outros de tipos de Trojans em um pacote.
Backdoors tem um especial sub-class perigoso: variants que
podem propagar como sem-fins. A única diferença é que os
sem-fins estão programados propagar constantemente, visto que estes
backdoors ' móveis ' espalham somente após um comando específico '
do mestre '.
General Trojans
Esta categoria frouxa inclui uma variedade de
Trojans que danificam as máquinas da vítima ou ameaçam a
integridade de dados, ou danifica funcionar da máquina da vítima.
Trojans multi-purpose é incluído também neste grupo, porque
alguns escritores do vírus críam blocos multi-functional de Trojans
melhor que de Trojan.
PSW Trojans
Esta família de Trojans rouba as senhas,
normalmente senhas do sistema das máquinas da vítima.
Procuraram pelas limas de sistema, que contêm a informação
confidential tal como números de telefone das senhas e do acesso do
Internet e emitem então esta informação a um email address
codificado no corpo do Trojan. Será recuperado então ' pelo
mestre ' ou pelo usuário do programa ilegal.
Alguns PSW Trojans roubam outros tipos de informação
como:
Detalhes do sistema (memória, espaço de disco, detalhes
do sistema se operando)
Cliente local do email
IP-DIRIJA-SE
Detalhes do registo
Senhas para jogos em linha
Trojan-AOL é PSW Trojans que rouba senhas para AOL (em
linha americano) que são contidas no subgrupos porque são assim
numerosas.
Trojan Clickers
Esta família de Trojans dirige de novo máquinas
da vítima aos Web site especificados ou aos outros recursos de
Internet. Clickers emite os comandos necessários ao browser ou
substitui as limas de sistema onde os urls padrão do Internet são
armazenados (por exemplo ' hospedou a lima em MS Windows).
Clickers é usado:
o aumento 1.To bat-conta de um local específico para anunciar
finalidades
2.To organizam um ataque do DoS em um usuário ou em um
local especificado
ligação 3.To a vítima a um recurso infected onde a
máquina seja atacada pelo outro malware (vírus ou Trojans)
Downloaders De Trojan
Esta família de Trojans downloads e instala o
malware ou o adware novo na máquina da vítima. O downloader
então lança o malware novo ou regista-o para permitir o autorun de
acordo com as exigências locais do sistema operando-se. Toda a
esta é feita sem o conhecimento ou o consentimento do usuário.
Os nomes e as posições do malware a downloaded são
codificados no Trojan ou downloaded de um Web site especificado ou da
outra posição do Internet.
Droppers De Trojan
Este Trojans é usado instalar o outro malware em
máquinas da vítima sem o conhecimento do usuário. Os droppers
instalam seu payload sem indicar nenhuma notificação, ou indicar uma
mensagem falsa sobre um erro em uma lima archived ou no sistema
operando-se. O malware novo é deixado cair a uma posição
especificada em um disco local e lançado então.
Os droppers são estruturados normalmente na seguinte
maneira:
A funcionalidade do dropper contem o código para instalar e
executar todas as limas do payload.
Em a maioria de casos, o payload contem o outro Trojans e ao
menos o um hoax: gracejos, jogos, gráficos e assim por diante.
O hoax é significado distract o usuário ou provar que a
atividade causada pelo dropper é harmless, visto que serve realmente
mascarar a instalação do payload perigoso.
Os hackers que usam tais programas conseguem dois
objetivos:
Instalação escondida ou mascarada de outros Trojans ou vírus
Enganando as soluções do antivirus, que são
incapazes de analisar todos os componentes
Proxies De Trojan
Este a função de Trojans como um proxy server e
fornece o acesso anonymous ao Internet das máquinas da vítima.
Hoje este Trojans é muito popular com spammers que necessitam
sempre máquinas adicionais para enviamentos maciços. Os
codificadores do vírus frequentemente incluirão
Trojan-trojan-proxies em blocos de Trojan e venderão redes de
máquinas infected aos spammers.
Espiões De Trojan
Esta família inclui uma variedade dos programas
do espião e dos loggers chaves, que seguem e conservam a atividade do
usuário na máquina da vítima e então para a frente nesta
informação ao mestre.
os Trojan-espiões coletam uma escala de informação
including:
1.Keystrokes
2.Screenshots
3.Logs de aplicações ativas
ações do usuário 4.Other
Este Trojans é usado o mais frequentemente
roubar a operação bancária e a outra informação financeira para
suportar o fraud em linha.
Notificadores De Trojan
Este Trojans informa ' o mestre ' sobre uma
máquina infected. Os notificadores confirmam que uma máquina
infected com sucesso, e emitem a informação sobre IP-DIRIGEM-SE, os
números portuários abertos, o email address etc. da máquina da
vítima. Esta informação pode ser emitida pelo email, ao Web
site do mestre, ou por ICQ.
Os notificadores geralmente são incluídos em um Trojan ' bloco
' e usados informar somente o mestre que um Trojan estêve instalado
com sucesso na máquina da vítima.
ArcBombs
Este Trojans é limas archived codificadas para
sabotage o de-compressor quando tenta abrir a lima archived infected.
A máquina da vítima retardará ou deixará de funcionar quando
a bomba de Trojan explode, ou o disco estará enchido com os dados do
absurdo. ArcBombs é especial perigoso para usuários,
particularmente quando os dados entrantes são processados
inicialmente automaticamente: nesses casos, um ArcBomb pode
deixar de funcionar o usuário.
Há três tipos de ArcBombs:
encabeçamento 1.incorrect no arquivo,
dados 2.repeating
série 3.a de limas idênticas no arquivo.
Um encabeçamento de arquivo incorreto ou uns dados corrupted
enlatam ambos fazem com que o de-compressor deixe de funcionar ao
abrir e ao desembalar o arquivo infected.
Uma lima grande que contem repetindo dados pode ser embalada em
um arquivo muito pequeno: 5 gigabytes serão 200 KB quando
embalados usando RAR e 480 KB no formato do FECHO DE CORRER.
Além disso, as tecnologias especiais existem para embalar um
número enorme de limas idênticas em um arquivo sem
significativamente afetar o tamanho do arquivo próprio: por
exemplo, é possível embalar 10100 limas idênticas 30 em uma lima do
KB RAR ou em uma lima de FECHO DE CORRER de 230 KB.
Spyware e adware:
Spyware e o adware são formulários de um Trojan Horse.
Os programas de Spyware executam uma função útil, e instalam
também um programa esse uso dos monitores do computador da vítima
com a finalidade do marketing ao usuário.
Os programas de Adware são similares espiar programas dos ware,
a não ser que o software adicional eles instale mensagens anunciando
das mostras diretamente ao usuário.
Byline:
Suhas Desai está trabalhando com Mahindra Ltd. Pune do tech,
India como um colaborador do software.
Contribuiu o trabalho definitive no domínio da segurança do
biometrics e seu trabalho de projeto “no cartão
Bio-esperto para RFID no conjunto de Linux” foi
reconhecido extensamente perto -
1. a 11a vez real de IEEE & encaixou o symposium dos
sistemas prendido em Califórnia.
2. A EXPO 2004 de ISA, uma conferência da segurança
prendeu em Texas.
3. E-SMART 2005, um symposium esperto da inovação do
cartão, France.
Foi o autor de muitos papéis, artigos e características de
pesquisa para portals internacionais e nacionais reputed das
conferências, dos jornais, das continuações e da correia
fotorreceptora. Seu trabalho em RFID foi honrado para “o InTech”, um
jornal global da automatização em Texas. Pode alcançado em desai.suhas@gmail.com ou em suhasde@techmahindra.com
este é um artigo adicionado por Suhas Desai