Trojans et Backdoors
Le Trojan Horse a obtenu son nom de la vieille
histoire mythique au sujet de la façon dont les Grecs ont donné à
leur ennemi un cheval en bois énorme comme cadeau pendant la guerre.
L'ennemi a accepté ce cadeau et ils l'ont introduit dans
leur royaume, et pendant la nuit, les soldats grecs ont rampé hors du
cheval et ont attaqué la ville, le surmontant complètement.
Un Trojan Horse est un programme non autorisé contenu dans un
programme légitime. Ce programme non autorisé exécute des
fonctions inconnues par l'utilisateur. Un programme légitime
qui a été changé par le placement du code non autorisé dans lui ;
ce code exécute des fonctions inconnues par l'utilisateur.
Fonctionnement :
Trojans viennent dans deux parts, une pièce de client et
une pièce de serveur. Quand la victime court le serveur sur sa
machine, l'attaquant emploiera alors le client pour se relier au
serveur et pour commencer à employer le Trojan. Le protocole de
TCP/IP est le type habituel de protocole utilisé pour des
communications, mais quelques fonctions du Trojans emploient le
protocole de UDP aussi bien. Quand le serveur est couru sur
l'ordinateur de la victime, il (habituellement) essayera de se cacher
quelque part sur l'ordinateur, début écoutant sur un certain port(s)
les raccordements entrants de l'attaquant, modifie l'enregistrement
et/ou emploie une autre méthode commençante automatique.
Il est que l'attaquant sache le IP address de la victime pour se
relier à sa machine. Beaucoup de Trojans ont des dispositifs
comme expédier l'IP de la victime, aussi bien que la transmission de
messages l'attaquant par l'intermédiaire d'ICQ ou d'IRC. Ceci
est employé quand la victime a l'IP dynamique qui signifie que chaque
fois vous vous reliez à l'Internet que vous obtenez un IP différent
(la plupart des utilisateurs d'appel téléphonique ayez ceci).
La plupart des méthodes Automobile-Commençantes
d'utilisation de Trojans ainsi même lorsque vous arrêtez votre
ordinateur ils peuvent remettre en marche et donner encore à
l'attaquant l'accès à votre machine. De nouvelles méthodes
automobile-commençantes et d'autres tours sont découverts toute
l'heure. La variété commence à partir de "joindre" le Trojan
dans un certain dossier exécutable que vous employez très souvent
comme explorer.exe, par exemple, et va aux méthodes connues comme
modifier les dossiers de système ou l'enregistrement de Windows.
Des dossiers de système sont localisés dans l'annuaire de
Windows et voici des explications courtes de leur abus par les
attaquants :
- chemise automatique de début - la chemise automatique
de début est située dans C:\Windows\Start Menu\Programs\startup et
commence comme son nom le suggère automatiquement tout placé là.
- Win.ini - Dossier de système de Windows en
utilisant load=Trojan.exe et run=Trojan.exe pour exécuter le Trojan
- System.ini - Employer Shell=Explorer.exe
trojan.exe a comme conséquence l'exécution de chaque dossier après
Explorer.exe
- Wininit.ini - Les Installation-Programmes
l'emploient la plupart du temps ; courez une fois, il
automobile-est supprimé, qui est très maniable pour que Trojans se
remette en marche
- Winstart.bat - Agir en tant qu'un dossier
normal Trojan de batte est ajouté comme @trojan.exe pour cacher son
exécution de l'utilisateur
- Autoexec.bat - C'est un dossier
automobile-commençant de DOS et il est employé en tant que méthode
automobile-commençante comme ceci - > c:\Trojan.exe
- Config.sys - A pu également être
employé comme méthode automobile-commencer pour Trojans
- démarrage d'explorateur - est une méthode
automobile-commencer pour Windows95, 98, J'ET si c:\explorer.exe
existe, il sera commencé au lieu du c:\Windows\Explorer.exe habituel,
qui est le chemin commun au dossier.
L'enregistrement est souvent employé dans diverses méthodes
automobile-commençantes. Voici quelques manières connues :
[ HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current
Version\Run ]
"Info"="c:\directory\Trojan.exe"
[
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce ]
"Info"="c:\directory\Trojan.exe"
[
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
]
"Info"="c:\directory\Trojan.exe"
[
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
]
"Info="c:\directory\Trojan.exe "
[ HKEY_CURRENT_USER\Software\Microsoft\Windows\Current
Version\Run ]
"Info"="c:\directory\Trojan.exe"
[
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce ]
"Info"="c:\directory\Trojan.exe"
- Coquille D'Enregistrement Ouverte
[ HKEY_CLASSES_ROOT\exefile\shell\open\command ]
[
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command ]
Une clef avec la valeur "%1 % *" devrait être
placé là et s'il y a un certain dossier exécutable placé là, il
sera exécuté chaque fois que vous ouvrez un dossier binaire.
Il est employé comme ceci : trojan.exe "%1 % *" ; ceci
remettrait en marche le Trojan.
- Le Filet d'ICQ Détectent La Méthode
[
HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps \ ]
Cette clef inclut tous les dossiers qui seront
exécutés s'ICQ détecte le raccordement d'Internet. Comme vous
pouvez comprendre, ce dispositif d'ICQ est très maniable mais il
fréquemment est aussi bien maltraité par des attaquants.
- Composant D'ActiveX
[ HKEY_LOCAL_MACHINE\Software\Microsoft\Active
Setup\Installed Components\KeyName ]
StubPath=C:\directory\Trojan.exe
Ce sont les méthodes Automobile-Commençantes les
plus communes en utilisant des dossiers de système de Windows, et
l'enregistrement de Windows.
Variations De Trojans
1.Remote Accès Trojans
Ce sont probablement le Trojans le plus publiquement
utilisé, juste parce qu'elles donnent aux attaquants la puissance de
faire plus de choses sur la machine de la victime que la victime
elle-même, tout en se tenant devant la machine. Les la plupart
de ces Trojans sont souvent une combinaison des autres variations que
vous lirez ci-dessous. L'idée des ces Trojans est de donner à
l'attaquant un accès COMPLET à quelqu'un machine, et accède donc
aux dossiers, aux entretiens privés, de données comptables, etc...
2. Mot de passe Envoyant Trojans
Le but des ces Trojans est de déchirer tous les mots de
passe cachés et rechercher également d'autres mots de passe que vous
entrez alors envoyez-les à une adresse spécifique de courrier, sans
utilisateur notant n'importe quoi. Des mots de passe pour ICQ,
IRC, et ftp, HTTP ou n'importe quelle autre application qui exigent
d'un utilisateur d'entrer un mot de passe d'ouverture sont envoyés de
nouveau à l'adresse du E-mail de l'attaquant, qui dans la plupart des
cas est située à un certain fournisseur de E-mail basé par
enchaînement libre. La plupart d'entre eux ne se remet pas en
marche quand Windows est chargé, car l'idée est recueillir autant
information au sujet de la machine de la victime que des mots de
passe, notations de marc, conversations d'ICQ et de les expédier ;
mais elle dépend des besoins de l'attaquant et de la situation
spécifique.
3. Keyloggers
Ces Trojans doivent noter les frappes de la victime et
ont puis laissé l'attaquant rechercher des mots de passe ou d'autres
données sensibles dans le dossier de notation. La plupart
d'entre eux vient avec deux fonctions comme l'enregistrement en ligne
et en différé. Naturellement elle pourrait être configurée
à
envoyez le dossier de notation à une adresse
spécifique de E-mail quotidiennement.
4. Destructif
La seule fonction des ces Trojans est détruire et
supprimer des dossiers. Ceci les rend très simples et faciles
pour employer. Ils peuvent automatiquement supprimer tous vos
dossiers de système de noyau (par exemple : le daune, l'in
ou l'exe classe, probablement d'autres) sur votre machine. Le
Trojan est activé par l'attaquant ou parfois travaille comme la bombe
de logique de A et commence un jour spécifique et à l'heure
spécifique.
5.Denial D'Attaque Trojans Du Service (DOS)
Ces Trojans deviennent très populaire de nos jours,
donnant à l'attaquant la puissance de commencer DDoS si ayant assez
de victimes naturellement. L'idée principale est que si vous
faites infecter 200 utilisateurs d'ADSL et commencez à attaquer la
victime simultanément, ceci produira de beaucoup du trafic (puis la
largeur de bande de la victime, dans la plupart des cas) et son
l'accès à l'Internet sera arrêté. WinTrinoo est un outil de
DDoS qui est devenu vraiment populaire récemment, et si l'attaquant a
infecté beaucoup d'utilisateurs d'ADSL, des sites Internet principaux
pourraient être arrêtés en conséquence, comme nous l'avons vu se
produire en derniers mois.
Une autre variation d'un DOS Trojan est la courrier-bombe
Trojan, dont le but principal est infecter autant de machines comme
possible et d'attaquer simultanément le E-mail spécifique
address/addresses avec les sujets et le contenu aléatoires qui ne
peuvent pas être filtrés.
6.Proxy/Wingate Trojans
Le dispositif intéressant mis en application dans
beaucoup de trojans transforme l'ordinateur de la victime en serveur
de proxy/wingate disponible au monde entier ou à l'attaquant
seulement. Il est employé pour le telnet anonyme, l'ICQ, l'IRC,
etc., et enregistrer également des domaines avec les cartes volées
de degré de solvabilité et pour beaucoup d'autres activités illégales.
Ceci donne à l'attaquant l'anonymat complet et la chance de
faire tout à partir de VOTRE ordinateur et si he/she obtient a
attrapé les fils de trace de nouveau à vous.
7.FTP Trojans
Ces trojans sont probablement les plus simples et sont
genre de tout périmé que la seule chose qu'ils est d'ouvrir le port
21(the gauche pour des transferts de ftp) et a laissé CHACUN se
relier à votre machine ou juste à l'attaquant. De plus
nouvelles versions sont mot de passe protégé ainsi seulement un qui
vous a infecté peut se relier à votre ordinateur.
Tueurs De la Détection 8.Software
Il y a de telles fonctionnalités établies dans
quelques trojans, mais il y a également des programmes séparés qui
tueront ZoneAlarm, Anti-Virus de Norton et beaucoup d'autres
(anti-virus/firewall populaire) programmes, qui protègent votre
machine. Quand ils sont handicapés, l'attaquant aura plein
accès à votre machine, pour exécuter une certaine activité
illégale, utilise votre ordinateur pour attaquer d'autres et pour
disparaître souvent. Quoique vous puissiez noter que ces
programmes sont ne travaillant pas ou ne fonctionnant pas
correctement, cela vous prendra un certain temps d'enlever le Trojan,
d'installer le nouveau logiciel, de cela configurer et de revenir en
ligne avec un certain sens de sécurité.
Comment Peux J'obtenir Infecté
Suivre des manières d'obtenir infecté avec
Trojans :
1 ICQ
IRC 2
3 attachements
Accès De 4 Examens médicaux
Erreurs De Programmation Du Navigateur 5 Et Du E-mail
6 Netbios(FileSharing)
Programmes De Trojan : Trojans
peut être classifié comme :
1.Backdoors
2.General Trojans
3.PSW Trojans
4.Trojan Clickers
déchargeurs 5.Trojan
compte-gouttes 6.Trojan
procurations 7.Trojan
espions 8.Trojan
avis 9.Trojan
10.ArcBombs
Backdoors
Aujourd'hui les backdoors sont le type le plus
dangereux de Trojans et les plus répandus. Ces Trojans sont des
utilités à distance d'administration qui les machines infectées
ouvertes à la commande externe par l'intermédiaire d'un LAN ou de
l'Internet. Ils fonctionnent comme des programmes à distance
légaux d'administration employés par des interfaces gestionnaire.
Ceci les rend difficiles à la différence de detect.The
seulement entre un outil légal d'administration et un secret est que
des backdoors sont installés et lancés sans connaissance ou
consentement de l'utilisateur de la machine de victime. Une fois
le secret est lancé, il surveille le système local sans connaissance
de l'utilisateur ; souvent le secret ne sera pas évident dans
la notation des programmes en cours d'utilisation.
Une fois qu'une administration à distance utilitiy a été avec
succès installée et lancée, la machine de victime est grande
ouverte.
Les fonctions secrètes peuvent inclure :
1.Sending/ recevant des dossiers
2.Launching/ supprimant des dossiers
dossiers 3.Executing
avis 4.Displaying
données 5.Deleting
6.Rebooting la machine
En d'autres termes, des backdoors sont employés
par des auteurs de virus pour détecter et télécharger l'information
confidentielle, exécutez le code malveillant, détruisent des
données, incluent la machine dans des réseaux de BOT et ainsi de
suite. En bref, les backdoors combinent la fonctionnalité de la
plupart des autres types de Trojans en un paquet.
Backdoors ont une particulièrement sous-classe dangereuse :
variantes qui peuvent propager comme des vers. La seule
différence est que des vers sont programmés propager constamment,
tandis que ces backdoors 'mobiles 'écartent seulement après une
commande spécifique du 'maître '.
Le Général Trojans
Cette catégorie lâche inclut une variété de
Trojans qui endommagent les machines de victime ou menacent la
intégrité des données, ou altère le fonctionnement de la machine
de victime.
Trojans universel sont également inclus dans ce groupe, car
quelques auteurs de virus créent les paquets multifonctionnels de
Trojans plutôt que de Trojan.
PSW Trojans
Cette famille de Trojans vole les mots de passe,
normalement mots de passe de système des machines de victime.
Elles recherchent les dossiers de système, qui contiennent
l'information confidentielle telle que des numéros de téléphone de
mots de passe et d'accès d'Internet et puis envoient cette
information à un email address codé dans le corps du Trojan.
Il sera alors recherché par l''maître 'ou l'utilisateur du
programme illégal.
Quelques PSW Trojans volent d'autres types d'information
comme :
Détails de système (mémoire, espace disque, détails de
logiciel d'exploitation)
Client local d'email
IP-ADRESSEZ
Détails d'enregistrement
Mots de passe pour les jeux en ligne
Trojan-AOL sont PSW Trojans qui volent des mots de
passe pour AOL (en ligne américain) qu'ils sont contenus dans des
sous-groupes parce qu'ils sont si nombreux.
Trojan Clickers
Cette famille de Trojans réoriente des machines
de victime aux sites Web indiqués ou à d'autres ressources
d'Internet. Clickers envoient les commandes nécessaires au
navigateur ou remplacent des dossiers de système où des urls
standard d'Internet sont stockés (par exemple 'a accueilli le dossier
à MS Windows).
Clickers sont employés :
l'augmenter 1.To frapper-comptent d'un emplacement spécifique
pour annoncer des buts
2.To organisent une attaque de DOS sur un serveur ou un
emplacement indiqué
fil 3.To la victime à une ressource infectée où la
machine sera attaquée par l'autre malware (des virus ou Trojans)
Déchargeurs De Trojan
Cette famille de Trojans télécharge et installe
le nouvel malware ou adware sur la machine de victime. Le
déchargeur alors lance le nouveau malware ou l'enregistre pour
permettre l'autorun selon les conditions locales de logiciel
d'exploitation. Toute la ceci est faite sans connaissance ou
consentement de l'utilisateur.
Les noms et les endroits du malware à télécharger sont codés
dans le Trojan ou téléchargés d'un site Web indiqué ou de tout
autre endroit d'Internet.
Compte-gouttes De Trojan
Ces Trojans sont employés pour installer l'autre
malware sur des machines de victime sans connaissance de
l'utilisateur. Les compte-gouttes installent leur charge utile
sans montrer n'importe quel avis, ou montrer un message faux au sujet
d'une erreur dans un dossier archivé ou dans le logiciel
d'exploitation. Le nouveau malware est lâché à un endroit
indiqué sur un disque local et puis lancé.
Des compte-gouttes sont normalement structurés de la
façon suivante :
La fonctionnalité de compte-gouttes contient le code pour
installer et exécuter tous les dossiers de charge utile.
Dans la plupart des cas, la charge utile contient l'autre
Trojans et au moins un canular : plaisanteries, jeux, graphiques
et ainsi de suite. Le canular est censé pour distraire
l'utilisateur ou pour montrer que l'activité provoquée par le
compte-gouttes est inoffensive, tandis qu'elle sert réellement à
masquer l'installation de la charge utile dangereuse.
Les intrus employant de tels programmes atteignent deux
objectifs:
Installation cachée ou masquée d'autres Trojans ou virus
Dupant les solutions d'antivirus, qui ne peuvent pas
analyser tous les composants
Procurations De Trojan
Ces la fonction de Trojans comme proxy server et
fournissent l'accès anonyme à l'Internet des machines de victime.
Aujourd'hui ces Trojans sont très populaire avec les
inondateurs qui ont besoin toujours des machines additionnelles pour
les envois de masse. Les codeurs de virus souvent incluront des
Trojan-procurations dans des paquets de Trojan et vendront des
réseaux des machines infectées aux inondateurs.
Espions De Trojan
Cette famille inclut une variété de programmes
d'espion et d'enregistreurs principaux, qui dépistent et sauvent
l'activité d'utilisateur sur la machine de victime et puis en avant
cette information au maître.
les Trojan-espions rassemblent une gamme d'information
comprenant :
1.Keystrokes
2.Screenshots
3.Logs des applications actives
actions de l'utilisateur 4.Other
Ces Trojans le plus souvent sont employés pour
voler des opérations bancaires et toute autre information financière
pour soutenir la fraude en ligne.
Avis De Trojan
Ces Trojans informent l''maître 'au sujet d'une
machine infectée. Les avis confirment qu'une machine a été
avec succès infectée, et envoient des informations sur IP-ADRESSENT,
les nombres gauches ouverts, le email address etc. de la machine de
victime. Cette information peut être envoyée par l'email, au
site Web du maître, ou par ICQ.
Des avis sont habituellement inclus dans un Trojan 'paquet 'et
employés pour informer seulement le maître qu'un Trojan a été avec
succès installé sur la machine de victime.
ArcBombs
Ces Trojans sont les dossiers archivés codés
pour saboter le décompresseur quand il essaye d'ouvrir le dossier
archivé infecté. La machine de victime ralentira ou se brisera
quand la bombe de Trojan éclate, ou le disque sera rempli de données
de non-sens. ArcBombs sont particulièrement dangereux pour des
serveurs, en particulier quand des données entrantes sont au
commencement traitées automatiquement : dans ces cas-ci, un
ArcBomb peut se briser le serveur.
Il y a trois types d'ArcBombs :
en-tête 1.incorrect dans les archives,
données 2.repeating
série 3.a de dossiers identiques dans les archives.
Un en-tête d'archives incorrect ou des données corrompues
mettent en boîte tous les deux font briser le décompresseur en
ouvrant et en déballant les archives infectées.
Un grand dossier contenant répétant des données peut être
emballé dans des archives très petites : 5 gigaoctets seront
de 200 KBS quand emballé en utilisant RAR et de 480 KBS dans le
format de FERMETURE ÉCLAIR.
D'ailleurs, les technologies spéciales existent pour emballer
un énorme nombre de dossiers identiques dans une archives sans
affecter de manière significative la taille des archives elle-même :
par exemple, il est possible d'emballer 10100 dossiers
identiques dans 30 un dossier du KB RAR ou un dossier de FERMETURE
ÉCLAIR de 230 KBS.
Spyware et adware :
Spyware et adware sont des formes d'un Trojan Horse.
Les programmes de Spyware exécutent une fonction utile, et
installent également un programme cette utilisation de moniteurs de
l'ordinateur de la victime afin du marketing sur l'utilisateur.
Les programmes d'Adware sont semblables pour remarquer des
programmes d'articles, à moins que le logiciel additionnel ils
installent des messages de publicité d'expositions directement sur
l'utilisateur.
Byline :
Suhas Desai fonctionne avec Mahindra Ltd. Pune, Inde de
technologie comme réalisateur de logiciel.
Il a contribué le travail définitif dans le domaine de
sécurité de biométrie et son travail de projet sur “la
carte Bio-futée pour RFID sur le faisceau de Linux” a
été largement identifié par -
1. le 11ème IEEE en temps réel et a inclus le
colloque de systèmes tenu chez la Californie.
2. L'EXPO 2004 d'ISA, une conférence de
sécurité s'est tenue chez le Texas.
3. E-SMART 2005, un colloque futé d'innovation de carte,
France.
Il a écrit beaucoup de papiers de recherches, articles et
dispositifs pour des conférences internationales et nationales
réputées, journaux, démarches et portails de Web. Son
travail sur RFID a été honoré pour “l'InTech”, un journal global
d'automation chez le Texas. Il peut atteint à desai.suhas@gmail.com ou à suhasde@techmahindra.com
c'est un article supplémentaire par Suhas Desai