Classificações De Trojan

Share

|

Os cavalos de Trojan são considerados geralmente como a representação de um ataque na privacidade (conduzir roubando da senha, por exemplo, a acesso e possivelmente a modificação desautorizados), ou na integridade (Trojans destrutivo). Este é demasiadamente simplificado pouco. Apesar de tudo, a modificação desautorizada é um ataque na integridade. Um programa privacidade-privacy-invasive destrói frequentemente limas para cobrir suas trilhas, e um atacante pôde querer ganhar o acesso para finalidades especificamente destrutivas. Além disso, esta aproximação presupposes a intenção maliciosa, que, como nós vimos, não é aceitada universal como uma característica definindo. Conseqüentemente, alguns tipos são incluídos aqui que não são considerados frequentemente neste contexto.

A sorte do payload que você espera um Trojan Horse (tècnica, eu suponho que era um cavalo grego) a carregar pôde refletir sua orientação computando. Por muitos anos, os usuários do mainframe e do minicomputer tenderam a pensar nos termos dos programas que roubaram senhas ou romperam de outra maneira a privacidade, visto que os usuários do microcomputer tenderam a pensar nos termos de Trojans destrutivo que formataram discos ou trashed sistemas de lima. Em Trojans destrutivo e privacidade-privacy-invasive real da vida, foram sabidos em ambos os fins do spectrum grande de Iron/PC por muitos anos. Entretanto, os anos recentes viram mais cruz-cross-fertilization.

Trojans Destrutivo

Trojans cuja a finalidade principal é destrutiva tem flagelado por muito tempo proprietários do microcomputer. As dúzia listas suja, publicadas primeiramente através de FidoNet nos mid-1980s, focalizados originalmente em tais programas, e em uma vez a lista definiram um Trojan nos termos dos danos purposeful. Naturalmente, a lista outgrew rapidamente os dúzia Trojans original e atravessou um número de mudanças com os 1980s e os 1990s. Pôde ainda ser possível encontrá-la em alguns usuários do espelho de Simtel na hierarquia do diretório de DOS/virus, mas é realmente somente do interesse histórico. Trojans velho do tipo alistou geralmente em DIRTYD*.ZIP é quase invariàvel short-lived.

Malicioso, non-non-replicating programas foram também relatou extensamente em ers do comput de Macintosh, including Trojans destrutivo. O vírus Info purported conter a informação do vírus mas trashed realmente discos. (não deve ser confundido com a referência informativa [ mas obsolescent ] do vírus da pilha de HyperCard.) Um corte do postScript que poderia eficazmente render determinadas impressoras de Apple unusable atacando firmware também excitou muito interesse em uma vez. NVP modificou a lima do tem do sistema de modo que nenhuma vogal pudesse ser datilografada, e foi encontrado originalmente masquerading como o olhar novo, que redesigned a exposição. AppleScript um mais recentemente, mais destrutivo e privacidade-privacy-invasive, compilado Trojans foi anotado.

Entretanto, o impacto social de tal Trojans é frequentemente disproportional a seu impacto nos termos de incidents reais. Desde que não self-self-replicate, ao contrário dos vírus e sem-fins, são mais menos prováveis ser espalhados partidos do innocent por terceiros. Tendem a ser programados crua. As limas de grupo simples usando DEL, DELTREE, ou FORMATO são ainda terra comum, compilada às vezes em uma lima do EXE ou do COM usando um compilador da grupo-lima tal como BAT2COM. Isto fá-los mais dura identificar. Trojans é geralmente ação direta, isto é, assim que um Trojan for executado, faz todos seus danos em uma vez que este militates de encontro ao seu que está sendo espalhado por vítimas precedentes. Há, entretanto, Trojans residente que se instala de modo que sejam funcionados durante cada sessão computando. Frequentemente, estes são associados com as atividades tais como roubar da senha. Entretanto, todo o Trojan cujo o payload não for imediatamente e overtly malicioso maximizes suas próprias possibilidades da passagem sobre.

Houve ao menos duas tentativas de passar fora de Trojans como um melhoramento a PKZip, a utilidade extensamente usada da compressão da lima. Um exemplo recente era as limas PKZ300.EXE e PKZ300B.ZIP fêz disponível para downloading em determinados locais de Internet.

Um Trojan mais adiantado passou-se fora como a versão 2.0. Para esta razão, PKWare nunca liberou uma versão 2.0 de PKZip: presumably, se sempre liberarem uma outra versão do DOS (improvável, nesta data, em minha opinião), não será numerado a versão 3.0(0). [ no fato, a versão a mais atrasada é 2.50 na época da escrita. ]

No fato, há mal todos os exemplos sabidos de alguém que downloading e que está sendo batido por este Trojan, que poucos povos viram (though a maioria de varredores respeitáveis do vírus o detectarão). Tanto quanto eu sei, este Trojan foi visto somente sempre nos usuários do warez (que se especializam no software pirateado).

Há uns exemplos gravados de uma falsificação PKZIP contra. 3 encontrados infected com um vírus em-$$$-SELVAGEM vivo real da lima, mas este são demasiado muito raros. Ao mais melhor de meu conhecimento, a versão a mais atrasada de PKZip é 2.04g [ agora 2.50 ], ou 2.50 para Windows [ agora 2.60/2.70 ].

Havia uma versão 2.06 unida especificamente para o uso interno da IBM somente (confirmado por PKWare). Se você o encontrar na circulação, evite-a. É illicit ou uma falsificação potencial prejudicial.

O rash recente de resuscitated avisos sobre este é ao menos na parte um hoax. Não é um vírus, ele é um Trojan. (e não poderia) não danifica os modem, V32 ou de outra maneira, embora eu suponho que um vírus ou um Trojan puderam alterar os ajustes de um modem—se acontecer ser sobre e conectar….

Parece suprimir limas, para não destruir irrevogavelmente discos.

É certamente uma idéia boa evitar as limas que reivindicam ser PKZip contra. 3, mas o risco real justificam mal a largura de faixa que este alerta ocupou.

Por que é um history interessante do caso? Para uma coisa, o assunto do ataque é um alvo típico para um Trojan destrutivo que se passe fora porque algo ele não é. PKZip é uma utilidade popular e muito útil do shareware. Recentemente, overshadowed rather por outras utilidades usando o mesmo formato da compressão, que pôde explicar porque PKZip é um alvo mais menos atrativo para Trojanization hoje em dia. No seguinte, nós allude a uma utilidade similar para o mac cuja a identidade purloined também para lure vítimas incautious em funcionar um programa do imposter.

Em segundo, era um programa forjado que não fizesse nenhum esforço supor a aparência ou a funcionalidade do programa cuja a identidade reivindicou. Isto é característico da ação direta, Trojans destrutivo, mas não uma característica definindo.

Terceiro e o mais interessante, um programa que muito poucos povos vissem sempre transformou-se um incômodo principal por causa do número dos povos que receberam e passaram no "semi-hoaxified" advertir sobre o Trojan. No fato, o impacto da letra chain era mais sério do que o Trojan próprio era sempre provável ser. (este é um efeito lateral nao uncommon da ação direta Trojans, mas indica raramente tal impacto espectacular.)

Pelo semi-semi-hoax, nós consultamos a um alerta enganador baseado em um vírus ou em um Trojan real, mas em qual bastante misinformation foi introduzido para o render demasiado inaccurate para ser útil. Nós devemos provavelmente distinguir aqui entre um número de possibilidades:

• · Um alerta baseado no software malicioso real, mas demasiado imprecise para ser útil. (muitos alertas do vírus passaram sobre pela queda dos non-experts nesta categoria.)
• · Um alerta baseado no software malicioso real, mas rendido mais menos útil pelo misinformation baseado na compreensão imperfeita da tecnologia relevante. Mesmo os indivíduos knowledgeable podem inadvertidamente introduzir tal inaccuracy em um alerta.
• · Um alerta baseado no software real, malicioso, mas invalidated pela introdução de material deliberadamente enganador, de exaggeration, ou da fabricação completa dos atributos e do potencial para os danos.

Não é um aviso qualquer um um hoax ou não um hoax? Eu penso não. A intenção ao hoax (ou a falta dele) puderam ser absoluta, mas a mistura do fato e fiction são commonplace nos hoaxes, onde o fato empresta a sustentação circumstantial a uma afirmação essencialmente fictional.

Em 1997 atrasado, uma versão bogus do Stuffit deluxe foi distribuída. (o Stuffit é uma outra ferramenta archiving popular usada primeiramente em macs.) Durante a instalação, o programa limas de sistema da chave de supressão. Os sistemas de Aladdin, fabricantes do Stuffit, emitiram advisories difundidos sobre o Trojan naquele tempo.

Trojans malicioso foi conhecido também ao masquerade como o software do anti-vírus.

Um Trojan conhecido muito bom que combinasse o sabotage e o extortion fosse o Trojan Horse do PC CYBORG, ou AIDS Trojan. Em 1989, umas 10.000 cópias de um diskette da informação do AIDS foram distribuídas em Europa, em África, em Escandinávia, e em Austrália, muitas aos estabelecimentos médicos. Depois que o programa foi instalado e funcionamento, um programa escondido cifrou o disco duro após um número do jogo dos reboots. A idéia era que a vítima teria que emitir de "uma taxa licença" ao endereço panamanian do PC Cyborg para começar a chave do decryption. Felizmente, um investigador do vírus no Reino Unido rachou o encryption.

Trojans Privacidade-Privacy-Invasive

Trojans Privacidade-privacy-invasive executa geralmente alguma função que revela à informação vital e privilegiada do programador sobre um sistema ou de outra maneira os acordos que sistema. As senhas são, para razões óbvias, um alvo muito comum.

Lata também (ou preferivelmente) escondem alguma função que qualquer uma revela à informação vital e privilegiada do programador sobre um sistema ou os acordos que sistema.

Algumas companhias do anti-vírus diferenciaram-se entre Trojans privacidade-privacy-invasive PC-ESPECÍFICO e Trojans destrutivo restringindo o uso do termo Trojan aos programas destrutivos. Usam os stealers da senha do termo para os programas privacidade-privacy-invasive os mais comuns. Ao último meio dos 1990s, senha-roubar os programas apontados especificamente em usuários de AOL pareceu tornar-se muito comum (algumas estimativas no número de tais programas se levantaram a muitas centenas). Algum software do anti-vírus usa um identificador do APS para tais programas, estando provavelmente para a senha Stealer de AOL. Entretanto, AOL não é e nunca não era o único serviço vulnerável. Em seu papel onde há fumo, lá está espelhos, Sarah Gordon e o chess de David descreve funcionar simulações do usuário em AOL sobre um período seven-month. Quando as tentativas foram feitas de ganhar seu manequim users'screen as senhas, estas técnicas sociais diretas geralmente usadas da engenharia das tentativas pelos correspondentes que masquerading como a equipe de funcionários de AOL, melhor que indiretamente com programas roubando da senha.

Porta Traseira Trojans

Trojans tem, do tempo ao tempo, plantado em aplicações legitimate. Ken Thompson descreve nas reflexões em confiar na confiança um número de scenarios (não inteiramente hipotéticos) interessando, ser o mais famoso o scenario do compilador de Trojanized. Neste caso, o software da produção oferece aos meios de acesso privilegiado a qualquer um saber da porta traseira ou do trapdoor descrita.

As portas traseiras e os trapdoors que oferecem acesso desautorizado (e talvez modificação) não são os únicos exemplos de código desautorizado introduzidos em programas legitimate, entretanto. Muitos proprietários do mac que compraram um determinado tipo do teclado third-party com um Trojan hardcoded na microplaqueta da ROM encontraram que o texto "boa vinda Datacomp" estêve introduzido em seus originais em intervalos aparentemente aleatórios. Os cartões-matrizes do PC com um BIOS de Trojanized foram caracterizados "pelo feliz aniversario" jogado através do loudspeaker do sistema no carregador-acima, aparentemente no aniversário do programador.

Ferramentas Do Acesso Remoto (Ratos)

Embora poucos vendedores do anti-vírus reivindicariam detectar todo o Trojans conhecido, mais detecte ao menos algum nas plataformas para que tem produtos, especial aquelas Trojans que dirige os danos. As ferramentas do acesso remoto (ratos) como Netbus e o orifício traseiro, entretanto, escarrancham uma linha entre a administração legitimate dos sistemas (similar àquela realizada por programas tais como o PC em qualquer lugar) e o acesso desautorizado secreto. Quando o proprietário do sistema é persuadido funcionar o programa da instalação, um programa do usuário está instalado que possa ser alcançado de um programa do cliente em uma máquina remota sem o conhecimento do usuário. O usuário é usado manipular a máquina da vítima.

Funcionalmente, não pôde haver nenhuma diferença entre um RATO e uma ferramenta "legitimate". A diferença encontra-se não na funcionalidade, mas no facilitation da disponibilidade secreta dessa funcionalidade aos indivíduos desautorizados. Como com tubos aspiradores e varredores da rede, não é o que o programa faz assim muito como a razão ele está sendo usada. Contudo se o software do RATO for instalado disposta, abrindo o sistema a um ataque o usuário não espera, isso faz-lhe um Trojan? Usar a palavra de Microsoft faz também o usuário vulnerável aos ataques que não pôde ter antecipado. Era, por exemplo, literalmente os anos antes de alguns usuários do computador realizaram que aquele usar versões da palavra e das outras aplicações do escritório de Microsoft que suportam línguas macro lhes fêz vulnerável aos vírus macro e ao Trojans. Isso faz a Bill Gates um autor de Trojan? No., porque a funcionalidade neste caso é generalizada demasiado para ser descrita como uma porta traseira. Entretanto, um RATO que transmite sua presença a um hacker, que sonde uma escala característica dos números portuários, pode certamente ser descrito como uma porta traseira Trojan. Promove as intenções do autor e subverts as expectativas da vítima.

Esta é uma edição séria—não menos que "os guys maus" allude freqüentemente aos shortcomings do software legitimate (especial Microsoft) como se os erros unforeseen no escritório justificaram seus próprios premeditated atividades.

Nonetheless, alguns autores do RATO exploraram este ambivalence produzindo versões "profissionais" de tal software e carregando para elas. Isto permite que os autores queixem-se do anti-capitalista, comportamento anti-competitive dos vendedores da segurança que detectam seu programa como um Trojan (ou, tudo demasiado frequentemente e inaccurately, um vírus). Trabalha, demasiado. Diversos vendedores do anti-vírus deixaram cair a deteção da versão profissional de Netbus, apesar do murkiness de seus antecedentess e de seu potencial continuando para o emprego errado. Outros saíram de sua maneira distinguir entre instalações pro padrão de Netbus e instalações de Trojanized.

Droppers

Um dropper é um programa que não seja próprio um vírus, mas é pretendido instalar um vírus. Curiosa, dado a associação popular de Trojans e de vírus, os droppers são um ponto de entrada comparativamente raro para vírus no selvagem. No mundo do PC, os programas do dropper são o mais geralmente associados com transportar vírus do setor do carregador através das redes, e podem ser usados para essa finalidade por investigadores pro- e do anti-vírus. Podem ser usados como meios secretos de introduzir um vírus em um sistema, se a vítima puder ser persuadida por técnicas sociais da engenharia funcionar o programa do dropper.

Os droppers foram usados surprisingly freqüentemente no mundo do mac, though. O vírus de MacMag foi introduzido através de uma pilha de HyperCard chamada produtos de Novo Apple. O jogo de Tetracycle foi implicado na propagação original de MBDF. ExtensionConflict é suposto para identificar conflitos entre extensões (agora há uma surpresa), mas instala o vírus de SevenDust. SevenDust e MBDF estão sendo relatados ainda no campo. Para trás no mundo do PC, o alerta vermelho da equipe muddied as águas unindo um dropper do vírus alegadas para ser um reparo para um vírus que não e não pudesse possivelmente existir.

Gracejos

Os programas do gracejo são quase tão velhos quanto computando. Um exemplo venerable é o programa do bolinho de PDP, que estalou acima e pediu à vítima um bolinho. Os usuários do PC e do mac por muito tempo têm sido deleitados ou irritated por tais programas. A confusão tem levantado devido ao hábito do software do anti-vírus de alertar (que usa o vírus da palavra) não somente em vírus e em Trojans, mas em programas do gracejo tais como CokeGift. Este programa extensamente distribuído oferece à vítima sua bandeja do CD como um suporte para sua bebida fizzy (ou possivelmente o pó branco para o ingestion nasal ou o combustível fossil carboniferous). Cute para algum, irritating para outro, mas não exatamente life-threatening. Entretanto, a prática de alertar em programas do gracejo pôde ter-se levantado em resposta aos programas supostos do gracejo que ameaçam formatar discos, ou reivindica ter feito assim, mas não faz nenhuma tal tentativa real. Certamente, houve os exemplos quando, o que um vendedor relatou como um Trojan, um outro vendedor relatado como um gracejo.

Bombas

As bombas da lógica são os programas maliciosos que executam seu payload quando uma condição preprogrammed é encontrada com. Quando a condição do disparador é uma hora ou uma data, a bomba de tempo do termo pode ser usada. Um intervalo de parada é uma bomba da lógica usada às vezes reforçar termos do contrato. Caracterìstica, o programa para de funcionar a menos que alguma ação for feita exame para indicar (por exemplo) que a taxa de licença estêve pagada, ou o contratante que escreveu o código foi pagado. Não é desconhecida para que um contratante introduza alguma bomba de tempo mais drástica a ser provocada se um pagamento excedente da disputa se levantar.

O uso da bomba da palavra sugere um payload destrutivo, mas esta necessidade, no fato, seja o caso. As bombas do correio e as bombas da subscrição são ataques do DoS (Negação-$$$-Serviço) pretendidos incomodar a vítima golpeando sua ou sua caixa postal com um barrage do correio. Isto é feito frequentemente subscrevendo a vítima a um grande número listas enviando. O email Trojans existe certamente, embora o email seja mais geralmente um vetor da infecção para vírus e sem-fins.

O ANSI do termo bombardeia consulta geralmente a uma mensagem do correio ou à outra lima de texto que faz exame da vantagem de um realce ao excitador do MS-DOS ANSI.SYS. Isto permite que as chaves sejam redefinidas com uma seqüência de escape, neste caso, para ecoar algum comando potencial destrutivo ao console. Tais programas realizavam-se em uma vez relataram completamente freqüentemente em Fidonet. Entretanto, hoje em dia poucos sistemas funcionam os programas que requerem a emulation terminal do ANSI, e ANSI.SYS não é instalado normalmente em Windows 9x ou mais tarde.

Há umas alternativas a ANSI.SYS que não suportam o redefinition do teclado, ou permite que seja desligado.

Rootkits

Um rootkit é um exemplo de um jogo de trojanized programas de sistema que um intruder que controle o raiz-acordo um sistema pôde poder substituir para os equivalentes do commands'standard. Os exemplos incluem versões modificadas de utilidades de sistema tais como o alto e o picosegundo, permitindo que os processos illegitimate funcionem despercebido; daemons modificados para comprometer entradas do registro ou para esconder conexões; as utilidades gimmicked para permitir o escalation de enraizar privilégios ou de esconder limas componentes do rootkit ou a outra funcionalidade backdoor (senhas secretas para permitir acesso privilegiado, por exemplo). Os programas associados incluem os tubos aspiradores de pacote e os editores de utmp/wtmp (usados medicar limas de registro).

Rootkits existe para um número de sabores de UNIX, e está aparecendo em versões do NT. Entretanto, as versões one-off de Trojanized do início de uma sessão (isto é, versões não incluídas em um suite dos programas tais como um rootkit) foram usadas, por exemplo, colher senhas desde que Pontius programado no PILOTO.

A publicação de papel de Sarah Gordon dos vulnerabilities e da ferramenta (continuações da twelfth conferência do mundo sobre o computador Segurança, Exame e Controle, 1995) inclui uma análise técnica de alguns componentes do rootkit.

Agentes De DDoS

As ferramentas de DDoS (Negação-$$$-Serviço distribuído) gostam de Stacheldraht, TFN2K, e Trinoo é Trojans projetado com uma finalidade muito específica. São pretendidos trazer para baixo usuários do Internet remotamente coordenando ataques do pacote-packet-flooding das máquinas múltiplas. Tipicamente, o intruder controla um número de máquinas mestras. Estes, por sua vez, controlam daemons em máquinas remotas. Instalado secretamente, sua presença é escondida frequentemente pela instalação dos rootkits. Os daemons podem ser instalados em muitas centenas de máquinas remotas, todos os ataques de direção do flooding no sistema da vítima.

A instalação e a presença de uma ferramenta do ataque de DDoS podem ser detectadas pelos mesmos meios que o outro malware. Isto é, recognition de uma corda específica da busca (sabida algo deteção), da exploração heurística, e da deteção da mudança. Os varredores do vírus detectam geralmente ferramentas sabidas de DDoS. O tráfego da rede pode ser monitorado para características tais como pacotes do IP com spoofed endereços da fonte. Os sistemas da deteção do intrusion podem ser configurarados para fazer a varredura para os testes padrões característicos das comunicações entre o software mestre e o software do daemon.