Classifications De Trojan

Share

|

Des chevaux de Trojan sont habituellement considérés comme représenter une attaque sur l'intimité (mener de vol de mot de passe, par exemple, à l'accès et probablement à la modification non autorisés), ou sur l'intégrité (Trojans destructif). C'est trop simplifié. Après tout, la modification non autorisée est une attaque sur l'intégrité. Un programme intimité-invahissant détruit souvent des dossiers afin de couvrir ses voies, et un attaquant pourrait vouloir accéder pour des buts spécifiquement destructifs. En outre, cette approche présuppose l'intention malveillante, qui, comme nous avons vu, n'est pas universellement acceptée comme caractéristique définissante. En conséquence, quelques types sont inclus ici qui ne sont pas souvent considérés dans ce contexte.

La sorte de charge utile que vous prévoyez un Trojan Horse (techniquement, je suppose que c'était un cheval grec) à porter pourrait refléter votre orientation de calcul. Pendant beaucoup d'années, les utilisateurs d'unité centrale et de mini-ordinateur ont tendu à penser en termes de programmes que des mots de passe d'étole ou intimité autrement ouverte une brèche, tandis que les utilisateurs de micro-ordinateur ont tendu à penser en termes de Trojans destructif qui a composé des disques ou trashed des systèmes de fichiers. Dans Trojans destructif et intimité-invahissant dans la réalité, ont été connus aux deux fins du grand spectre d'Iron/PC pendant beaucoup d'années. Cependant, les années récentes ont vu plus de croix-fertilisation.

Trojans Destructif

Trojans dont le but principal est destructif ont longtemps infesté des propriétaires de micro-ordinateur. Les douzaine listes sale, d'abord éditées par l'intermédiaire de FidoNet au milieu des années 80, à l'origine concentré sur de tels programmes, et en même temps la liste ont défini un Trojan en termes de dommages utiles. Naturellement, la liste a rapidement devenu trop grand pour les douzaine Trojans original et est passée par un certain nombre de changements par les années 80 et les années 90. Il pourrait encore être possible de la trouver sur quelques serveurs de miroir de Simtel dans la hiérarchie d'annuaire de DOS/virus, mais elle est vraiment seulement d'intérêt historique. Vieux Trojans du type a généralement énuméré dans DIRTYD*.ZIP sont presque invariablement de courte durée.

Malveillant, non-repliant des programmes ont également été a largement rendu compte des ers de comput de Macintosh, y compris Trojans destructif. L'information de virus prétendue pour contenir l'information de virus mais trashed réellement des disques. (elle ne devrait pas être confondue avec la référence informationnelle [ mais obsolescente ] de virus de pile de HyperCard.) Une entaille de post-scriptum qui pourrait efficacement rendre certains imprimeurs de Apple inutilisables en attaquant des progiciels également a excité beaucoup d'intérêt en même temps. NVP a modifié le dossier de tem de système de sorte qu'aucune voyelle n'ait pu être dactylographiée, et s'est à l'origine avéré masquerading en tant que nouveau regard, qui a remodelé l'affichage. Plus récemment, plus destructif et intimité-invahissant, compilé AppleScript Trojans ont été notés.

Cependant, l'impact social d'un tel Trojans est souvent disproportional à leur impact en termes d'incidents réels. Puisqu'ils pas art de l'auto-portrait-replicate, à la différence des virus et des vers, ils sont moins pour être écartés par les tiers d'innocent. Ils tendent à être crûment programmés. Les fichiers séquentiels simples en utilisant DEL, DELTREE, ou FORMAT sont toujours terrain communal, parfois compilé dans un dossier d'EXE ou de COM en utilisant un compilateur de groupe-dossier tel que BAT2COM. Ceci les rend plus durs pour identifier. Trojans sont habituellement action directe, c.-à-d., dès qu'un Trojan sera exécuté, il fait tout ses dommages immédiatement que ceci milite contre le leur écarté par les victimes précédentes. Il y a, cependant, de Trojans résident qui s'installent de sorte qu'ils soient courus pendant chaque session de calcul. Souvent, ceux-ci sont associés aux activités telles que le vol de mot de passe. Cependant, n'importe quel Trojan dont la charge utile n'est pas immédiatement et manifestement malveillante maximise ses propres chances de l'dépassement dessus.

Il y a eu au moins deux tentatives de passer outre de Trojans comme mise à niveau à PKZip, l'utilité largement répandue de compression de dossier. Un exemple récent était les dossiers PKZ300.EXE et PKZ300B.ZIP a rendu disponible pour télécharger sur certains sites Internet.

Un Trojan plus tôt s'est passé au loin comme version 2.0. Pour cette raison, PKWare n'ont jamais libéré une version 2.0 de PKZip : vraisemblablement, s'ils jamais libèrent une autre version de DOS (peu probable, à cette date, à mon avis), ce ne sera pas numéroté la version 3.0(0). [ en fait, la dernière version est 2.50 à la période de l'écriture. ]

En fait, il y a à peine tous les cas connus de quelqu'un qui télécharge et qui est frappé par ce Trojan, que peu de gens ont vu (cependant la plupart des modules de balayage honorables de virus le détecteront). Dans la mesure où je sais, ce Trojan seulement a été jamais vu sur des serveurs de warez (se spécialisant dans le logiciel piraté).

Il y a des exemples enregistrés d'un article truqué PKZIP contre. 3 trouvés atteints d'un vrai virus dans-le-sauvage de phase de dossier, mais c'est aussi très rare. Au meilleur de ma connaissance, la dernière version de PKZip est 2.04g [ maintenant 2.50 ], ou 2.50 pour Windows [ maintenant 2.60/2.70 ].

Il y avait une version 2.06 remontée spécifiquement pour l'usage interne d'IBM seulement (confirmé par PKWare). Si vous le trouvez dans la circulation, évitez-la. C'est illicite ou un article truqué potentiellement préjudiciable.

L'éruption récente des avertissements ressuscités à ce sujet est au moins en partie un canular. Ce n'est pas un virus, il est un Trojan. Il (et ne pourrait pas) n'endommage pas les modems, V32 ou autrement, bien que je suppose que un virus ou un Trojan pourrait changer les arrangements d'un modem—s'il s'avérait justement être allumé et se reliait….

Il semble supprimer des dossiers, pour ne pas détruire des disques irrévocablement.

C'est certainement une bonne idée d'éviter des dossiers prétendant être PKZip contre. 3, mais le vrai risque justifie à peine la largeur de bande que cette alerte a occupée.

Pourquoi est-ce des antécédents intéressants ? Pour une chose, le sujet de l'attaque est une cible typique pour un Trojan destructif qui se passe au loin car quelque chose il n'est pas. PKZip est une utilité populaire et très utile de shareware. Récemment, il a été plutôt éclipsé par d'autres utilités en utilisant le même format de compression, qui pourrait expliquer pourquoi PKZip est une cible moins attrayante pour Trojanization de nos jours. Dans le suivant, nous faisons référence à une utilité semblable pour l'imper dont l'identité a été également volée pour leurrer les victimes imprudentes dans exécuter un programme d'imposter.

En second lieu, c'était un programme contrefait qui n'a fait aucun effort d'assumer l'aspect ou la fonctionnalité du programme dont l'identité il a réclamée. C'est caractéristique de l'action directe, Trojans destructif, mais pas une caractéristique définissante.

Troisième et le plus intéressant, un programme que très peu de gens ont jamais vu est devenu un ennui important en raison du nombre de personnes qui ont reçu et ont passé sur un "semi-finale-hoaxified" avertissant au sujet du Trojan. En fait, l'impact de la lettre à chaînes était plus sérieux que le Trojan lui-même était susceptible jamais d'être. (c'est un effet secondaire non rare d'action directe Trojans, mais il montre rarement un tel impact spectaculaire.)

Par semi-finale-hoax, nous nous référons à une alerte fallacieuse basée sur un vrai virus ou Trojan, mais dans ce qu'assez d'information fausse a été présentée pour le rendre trop imprécis pour être utile. Nous devrions distinguer probablement ici un certain nombre de possibilités :

• · Une alerte basée sur le vrai logiciel malveillant, mais trop imprécise pour être utile. (beaucoup d'alertes de virus ont passé dessus par entrer de non experts dans cette catégorie.)
• · Une alerte basée sur le vrai logiciel malveillant, mais rendue moins utile par l'information fausse basée sur l'arrangement imparfait de la technologie appropriée. Même les individus bien informés peuvent par distraction présenter une telle inexactitude dans une alerte.
• · Une alerte basée sur le vrai, malveillant logiciel, mais infirmée par l'introduction du matériel délibérément fallacieux, de l'exagération, ou de la fabrication complète des attributs et du potentiel pour des dommages.

Un avertissement n'est-il pas l'un ou l'autre un canular ou pas un canular ? Je pense pas. L'intention au canular (ou le manque de lui) pourrait être absolu, mais le mélange du fait et fiction est banal dans les canulars, où le fait prête l'appui circonstanciel à une affirmation essentiellement fictive.

Vers la fin de 1997, une version fausse de Stuffit de luxe a été distribuée. (le Stuffit est un autre outil d'archivage populaire utilisé principalement sur des impers.) Pendant l'installation, le programme des dossiers de système de touche d'effacement. Les systèmes d'Aladdin, fabricants de Stuffit, ont publié des bulletins de renseignements répandus au sujet du Trojan alors.

Trojans malveillant ont été également connus à la mascarade comme logiciel d'anti-virus.

Un Trojan très bien connu qui a combiné le sabotage et l'extorsion était le Trojan Horse du PC CYBORG, ou SIDA Trojan. En 1989, environ 10.000 copies d'une disquette de l'information de SIDA ont été distribuées en Europe, l'Afrique, la Scandinavie, et Australie, beaucoup aux établissements médicaux. Après que le programme ait été installé et course, un programme caché a chiffré le disque dur après un nombre d'ensemble de réinitialisations. L'idée était que la victime devrait envoyer une "redevance" à l'adresse panaméenne de PC Cyborg pour obtenir la clef de déchiffrage. Heureusement, un chercheur de virus au R-U a fendu le chiffrage.

Trojans Intimité-Invahissant

Trojans Intimité-invahissant exécutent généralement une certaine fonction qui indique aux informations essentielles et privilégiées de programmeur sur un système ou autrement les compromis qui système. Les mots de passe sont, pour des raisons évidentes, une cible très commune.

Ils bidon également (ou à la place) cachent une certaine fonction que l'un ou l'autre indique aux informations essentielles et privilégiées de programmeur sur un système ou les compromis qui système.

Quelques compagnies d'anti-virus ont différencié entre Trojans intimité-invahissant PC-SPÉCIFIQUE et Trojans destructif en limitant l'utilisation de la limite Trojan aux programmes destructifs. Elles emploient les stealers de mot de passe de limite pour les programmes intimité-invahissants les plus communs. Dans la dernière moitié des années 90, le mot de passe-vol des programmes visés spécifiquement des utilisateurs d'AOL a semblé devenir très commun (quelques évaluations au nombre de tels programmes ont monté à centaines). Du logiciel d'anti-virus emploie une marque d'aps pour de tels programmes, se tenant probablement pour le mot de passe Stealer d'AOL. Cependant, AOL n'est pas et n'était jamais le seul service vulnérable. En leur papier où il y a de fumée, là est des miroirs, Sarah Gordon et les échecs de David décrivent courir des simulations d'utilisateur sur AOL sur une période de sept mois. Tandis que des tentatives étaient faites de gagner leur simulacre users'screen les mots de passe, ces techniques sociales directes généralement utilisées de technologie de tentatives par des correspondants masquerading comme personnel d'AOL, plutôt qu'indirectement avec des programmes de vol de mot de passe.

Porte Arrière Trojans

Trojans, de temps en temps, ont été plantés dans des applications légitimes. Ken Thompson décrit dans les réflexions sur faire confiance à la confiance un certain nombre de scénarios (pas entièrement hypothétiques) intéressants, être le plus célèbre le scénario de compilateur de Trojanized. Dans ce cas-ci, le logiciel de production offre aux moyens de l'accès privilégié à n'importe qui savoir de la porte arrière ou de la trappe décrite.

Les portes arrières et les trappes offrant l'accès non autorisé (et peut-être la modification) ne sont pas les seuls exemples du code non autorisé présentés dans des programmes légitimes, cependant. Beaucoup de propriétaires d'imper qui ont acheté une certaine marque de tiers clavier avec un Trojan hardcoded dans le morceau de ROM ont constaté que le texte "bienvenue Datacomp" a été inséré dans leurs documents à intervalles apparent aléatoires. Des cartes mères de PC avec un BIOS de Trojanized ont été caractérisées par le "joyeux anniversaire" joué par le haut-parleur de système à initialisation-up, apparemment sur l'anniversaire du programmeur.

Outils D'Accès À distance (Rats)

Bien que peu de fournisseurs d'anti-virus prétendent détecter tout le Trojans connu, plus en détectez au moins sur les plateformes pour lesquelles elles ont des produits, en particulier ces Trojans qui dirigent des dommages. Les outils d'accès à distance (rats) comme Netbus et orifice arrière, cependant, écartent les jambes une ligne entre l'administration légitime de systèmes (semblable à cela effectuée par des programmes tels que le PC n'importe où) et l'accès non autorisé secret. Quand le propriétaire de système est persuadé d'exécuter le programme d'installation, on installe un programme de serveur qui peut être consulté d'un programme de client sur une machine à distance sans connaissance de l'utilisateur. Le serveur est utilisé pour manoeuvrer la machine de victime.

Fonctionellement, il ne pourrait y avoir aucune différence entre un RAT et un outil "légitime". La différence se situe pas dans la fonctionnalité, mais dans la facilitation de la disponibilité secrète de cette fonctionnalité aux individus non autorisés. Comme avec des renifleurs et des modules de balayage de réseau, n'est pas il ce que le programme fait tellement pendant que la raison il est employée. Est-ce que pourtant si le logiciel de RAT est volontairement installé, ouvrant le système à une attaque l'utilisateur, cela ne prévoit pas lui fait un Trojan ? Employer Microsoft Word rend également l'utilisateur vulnérable aux attaques qu'il ne pourrait pas avoir prévues. Il était, par exemple, littéralement les années avant quelques utilisateurs d'ordinateur ont réalisé que cela employer des versions du mot et d'autres applications de Microsoft Office soutenant de macro langues leur a fait vulnérable à de macro virus et à Trojans. Est-ce que cela fait à Bill Gates un auteur de Trojan ? Non, parce que la fonctionnalité dans ce cas-ci est trop généralisée pour être décrite comme porte arrière. Cependant, un RAT annonçant sa présence à un intrus, qui sonde une gamme caractéristique des nombres gauches, peut certainement être décrit comme porte arrière Trojan. Il favorise les intentions d'auteur et renverse les espérances de la victime.

C'est une issue sérieuse—pas mineurs parce que les "mauvais types" font référence fréquemment aux imperfections du logiciel légitime (particulièrement Microsoft) comme si les bogues imprévus dans le bureau ont justifié leurs propres activités préméditées.

Néanmoins, quelques auteurs de RAT ont exploité cette ambivalence en produisant des versions "professionnelles" d'un tel logiciel et la facturation elles. Ceci permet aux auteurs de se plaindre du l'anti-capitaliste, comportement anticompétitif des fournisseurs de sécurité qui détectent leur programme en tant qu'un Trojan (ou, tous trop souvent et inexactement, un virus). Cela fonctionne, aussi. Plusieurs fournisseurs d'anti-virus ont laissé tomber la détection de la version professionnelle de Netbus, en dépit du murkiness de ses antécédents et de son potentiel continu pour l'abus. D'autres sont sortis de leur manière de distinguer de pro installations standard de Netbus et installations de Trojanized.

Compte-gouttes

Un compte-gouttes est un programme qui n'est pas lui-même un virus, mais est prévu pour installer un virus. Curieusement, donné l'association populaire de Trojans et de virus, les compte-gouttes sont un point d'entrée comparativement rare pour des virus dans le sauvage. Dans le monde de PC, les programmes de compte-gouttes sont le plus généralement associés à transporter des virus de secteur d'initialisation à travers des réseaux, et peuvent être employés dans ce but par chercheurs de pro- et d'anti-virus. Ils peuvent être employés en tant que des moyens secrets de présenter un virus sur un système, si la victime peut être persuadée par des techniques sociales de technologie d'exécuter le programme de compte-gouttes.

Des compte-gouttes ont été utilisés étonnamment fréquemment dans le monde d'imper, cependant. Le virus de MacMag a été présenté par l'intermédiaire d'une pile de HyperCard appelée les produits de New Apple. Le jeu de Tetracycle a été impliqué dans la diffusion originale de MBDF. ExtensionConflict est censé identifier des conflits entre les prolongements (il y a maintenant une surprise), mais installe le virus de SevenDust. SevenDust et MBDF sont encore rapportés dans le domaine. En arrière dans le monde de PC, l'alerte rouge d'équipe muddied les eaux en attachant un compte-gouttes de virus alléguées pour être une difficulté pour un virus qui pas et ne pourrait pas probablement exister.

Plaisanteries

Les programmes de plaisanterie sont presque aussi vieux que calculant. Un exemple vénérable est le programme de biscuit de PDP, qui a sauté vers le haut et a demandé à la victime un biscuit. Des utilisateurs de PC et d'imper ont été longtemps enchantés ou irrités par de tels programmes. La confusion a en raison surgi de l'habitude du logiciel d'anti-virus d'alerter (employant le virus de mot) non seulement sur des virus et Trojans, mais sur des programmes de plaisanterie tels que CokeGift. Ce programme largement distribué offre à la victime leur plateau de CD en tant qu'un support pour leur boisson fizzy (ou probablement poudre blanche pour l'ingestion nasale ou le combustible fossile carbonifère). Mignon pour certains, irritant pour d'autres, mais pas exactement représentant un danger pour la vie. Cependant, la pratique d'alerter sur des programmes de plaisanterie pourrait avoir surgi en réponse aux programmes supposés de plaisanterie qui menacent de composer des disques, ou prétendent avoir fait ainsi, mais ne font aucune une telle tentative réelle. En effet, il y a eu des exemples quand, ce qu'un fournisseur a rapporté comme Trojan, un autre fournisseur rapporté comme plaisanterie.

Bombes

Les bombes de logique sont des programmes malveillants qui exécutent leur charge utile quand un état préprogrammé est réuni. Quand l'état de déclenchement est l'heure ou la date, la bombe à retardement de limite peut être employée. Un arrêt est une bombe de logique parfois employée pour imposer des conditions de contrat. Caractéristiquement, le programme cesse de fonctionner à moins qu'une certaine mesure soit prise pour indiquer (par exemple) que la redevance a été payée, ou l'entrepreneur qui a écrit le code a été payé. Elle n'est pas inconnue pour qu'un entrepreneur présente encore plus de bombe à retardement énergique à déclencher si un paiement fini de conflit surgit.

L'utilisation de la bombe de mot suggère une charge utile destructive, mais ce besoin, en fait, soit le cas. Les bombes de courrier et les bombes d'abonnement sont des attaques de DOS (Démenti-de-Service) prévues pour gêner la victime en battant sa boîte aux lettres avec un barrage de courrier. Souvent ceci est fait en souscrivant la victime à un grand nombre de listes d'expédition. Email Trojans existent certainement, bien que l'email soit généralement un vecteur d'infection pour des virus et des vers.

La norme ANSI de limite bombardent se rapporte habituellement à un message de courrier ou à tout autre dossier des textes qui tire profit d'un perfectionnement au conducteur du MS-DOS ANSI.SYS. Ceci permet à des clefs d'être redéfinies avec un ordre d'évasion, dans ce cas-ci, pour faire écho une certaine commande potentiellement destructive à la console. De tels programmes étaient en même temps ont tout à fait fréquemment rendu compte de Fidonet. Cependant, de nos jours peu de systèmes exécutent les programmes qui exigent l'émulation terminale de norme ANSI, et ANSI.SYS n'est pas normalement installé dans Windows 9x ou plus tard.

Il y a des solutions de rechange à ANSI.SYS qui ne soutiennent pas la redéfinition de clavier, ou lui permettent d'être arrêtée.

Rootkits

Un rootkit est un exemple d'un ensemble de trojanized des programmes système qu'un intrus qui contrôle le racine-compromis un système pourrait pouvoir remplacer les équivalents de commands'standard. Les exemples incluent des versions modifiées des utilités de système telles que le dessus et la picoseconde, permettant à des processus illégitimes de courir inaperçu ; démons modifiés pour compromettre des entrées de notation ou pour cacher des raccordements ; les utilités gimmicked pour permettre à l'escalade d'enraciner des privilèges ou de cacher les dossiers composants de rootkit ou toute autre fonctionnalité secrète (mots de passe secrets pour permettre l'accès privilégié, par exemple). Les programmes associés incluent des renifleurs de paquet et des rédacteurs d'utmp/wtmp (employés pour soigner des dossiers de notation).

Rootkits existent pour un certain nombre de saveurs d'UNIX, et apparaissent dans des versions de NT. Cependant, des versions uniques de Trojanized de l'ouverture (c'est-à-dire, versions non incluses dans une suite des programmes tels qu'un rootkit) ont été employées, par exemple, pour moissonner des mots de passe puisque Pontius programmé dans le PILOTE.

La publication article de Sarah Gordon des vulnérabilités et de l'outil (démarches de la Douzième conférence du monde sur ordinateur Security, Audit et Control, 1995) inclut une analyse technique de quelques composants de rootkit.

Agents De DDoS

Les outils de DDoS (Démenti-de-Service distribué) aiment Stacheldraht, TFN2K, et Trinoo sont Trojans conçu avec un but très spécifique. Ils sont prévus pour réduire des serveurs d'Internet en coordonnant à distance des attaques de packet-inondation à partir des machines multiples. Typiquement, l'intrus commande un certain nombre de machines principales. Celles-ci, à leur tour, commandent des démons sur les machines à distance. Secrètement installé, leur présence est souvent cachée par l'installation des rootkits. Des démons peuvent être installés sur centaines de machines à distance, toutes les attaques dirigeantes d'inondation au système de victime.

L'installation et la présence d'un outil d'attaque de DDoS peuvent être détectées par les mêmes moyens que l'autre malware. C'est-à-dire, identification d'une corde spécifique de recherche (connue quelque chose détection), du balayage heuristique, et de la détection de changement. Les modules de balayage de virus détectent habituellement les outils connus de DDoS. Le trafic de réseau peut être surveillé pour des caractéristiques telles que des paquets d'IP avec des adresses charriées de source. Des systèmes de détection d'intrusion peuvent être configurés pour balayer pour des modèles caractéristiques des communications entre le logiciel principal et le logiciel de démon.