Троянов и Backdoors
Данная троянская Horse получила свое название от старого мифический рассказ о том, как греки дали врага огромной деревянной лошади в качестве подарка во время войны.
Враг принял это дар, и они приняли его в свое царство, и в ночь, греческий солдат появилось из коня и напали на город, полностью преодолеть его.
А троянским конем является несанкционированной программы, содержащиеся в законную программу. Несанкционированный программа выполняет функции по неизвестным пользователем. А законные программы, которая была изменена путем размещения несанкционированного кода в ней; Этот код выполняет функции неизвестных на пользователя.
Рабочая:
Троянов бывают двух частей: часть клиентов, а сервер части. Когда жертва запускает сервер на своей машине, злоумышленник может затем использовать для подключения клиентов к серверу и начать использовать Троян. TCP / IP протокола - это тип протокола обычно используется для сообщений, но некоторые функции в Троянс использовать UDP протокол, а. Когда Server осуществляется на компьютер жертвы, он (обычно) скрывать где-то на компьютере, начать прислушиваться некоторые порт (ы) для входящих соединений от злоумышленника, модифицировать реестр и / или использование некоторых других авто начиная метод.
Это необходимо для злоумышленника знать жертвы, адрес, чтобы подключиться к его машине. Многие Троянс имеют дополнительные функции, такие как почтовый жертвы ИС, а также сообщений злоумышленник через ICQ или IRC. Это используется, когда потерпевший ИС динамического что означает каждый раз при подключении к Интернету вы получаете различных IP (большинство из пользователи dial-up предоставляют эту возможность).
Большинство из Троянс использования автоматической Начиная методы, так что, даже когда вы выключайте компьютер они смогли возобновить и вновь предоставить злоумышленнику доступ к вашей машине. Новые авто - начиная методы и приемы других обнаруживаются все время. Разнообразие начинается с "вхождения" в Троян в некоторых исполняемый файл вы пользуетесь очень часто, как explorer.exe, например, и доходит до известных методов, как изменение системных файлов или реестра Windows. Система файлы находятся в директории Windows, и здесь не хватает мотивов злоупотреблений со стороны нападавших:
- Авто начало папку - В начале Авто каталог находится в C: \ Windows \ Меню Пуск \ Программы \ запуска и как ее название автоматически запускает все в этой стране.
- Win.ini - Windows системы файл нагрузка = Trojan.exe и запустить = Trojan.exe выполнять Троян
- System.ini - Использование оболочки = Explorer.exe trojan.exe результатов в выполнении каждого файла после Explorer.exe
- Wininit.ini - Настройка программы - использовать его главным; раз перспективе, это автоматически удален, что очень удобно для Троянс перезапустить
- Winstart.bat - обязанности как обычный файл битой Троян добавляется as@trojan.exe скрыть его исполнения от пользователя
- Autoexec.bat - Это - DOS автоматически начала файла и он используется как автоматически, начиная метод, как это -> с: \ Trojan.exe
- Config.sys - Может также использоваться в качестве автоматического начиная метод Троянс
- Explorer Startup - Является автоматически начиная метод для Windows95, 98, ME, и если с: \ explorer.exe существует, он будет запущен вместо обычного с: \ Windows \ Explorer.exe, которое является общим путь к файл.
Реестр часто используется в различных авто, начиная методов. Вот некоторые известные способы:
[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ Текущая версия \ Run]
"Info" = "с: \ каталог \ Trojan.exe"
[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce]
"Info" = "с: \ каталог \ Trojan.exe"
[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ RunServices]
"Info" = "с: \ каталог \ Trojan.exe"
[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ RunServicesOnce]
"Инфо =" с: \ каталог \ Trojan.exe "
[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Текущая версия \ Run]
"Info" = "с: \ каталог \ Trojan.exe"
[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce]
"Info" = "с: \ каталог \ Trojan.exe"
регистрации открытого корпуса
[HKEY_CLASSES_ROOT \ exefile \ корпуса \ открыть \ команда]
[HKEY_LOCAL_MACHINE \ SOFTWARE \ классов \ exefile \ корпуса \ открыть \ команда]
А ключ значение "% 1% *" следует поместить там и, если есть некоторые в исполняемый файл, там будет выполняться каждый раз, когда Вы открываете двоичный файл. Она используется как: trojan.exe "% 1% *"; Это перезапустить Троян.
ICQ - чистый метод обнаружения
[HKEY_CURRENT_USER \ Software \ Mirabilis \ ICQ \ агент \ Apps \]
Эта клавиша включает все файлы, которые будут выполнены при обнаружении ICQ Интернет. Как можно понять, эта функция в ICQ очень удобна, но она часто злоупотребляли, а нападавших.
- ActiveX компонент
[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Активный Setup \ Установленные компоненты \ KeyName]
StubPath = C: \ каталог \ Trojan.exe
Вот наиболее распространенные Auto - Начиная методами Windows системные файлы и реестр Windows.
Варианты троянов
1. Удаленный доступ троянов
Это, пожалуй, наиболее открыто используется Троянс только потому, что они дают нападавших право делать больше вещей на машине жертвы, чем жертва сама, а постоянно в передней части машины. Большинство этих Троянс зачастую сочетание других вариантов вы читайте ниже. Идея этих Троянс заключается в том, чтобы один атакующий ПОЛНЫЙ доступ к чьей-либо машине, и, следовательно, доступ к файлам, частные разговоры, данные бухгалтерского учета и т.д.
2. Пароль Отправка троянов
Цель этих Троянс является рипа все кэшированные пароли, а также искать другие пароли Вы вводите затем посылать их на конкретный адрес, без пользователь заметит ничего. Пароли для ICQ, IRC и FTP, HTTP или любого другого приложения, которые пользователю необходимо ввести пароль будут отправлены обратно в атакующего e-mail адрес, который в большинстве случаев находится на бесплатное веб электронной почта провайдера. Большинство из них не перезапустить, когда Windows загружается, как идея - собрать как можно больше информации о машине жертвы, как пароли, marc журналы, ICQ разговоров и почты них; , Но она зависит от потребностей злоумышленник и конкретные ситуации.
3. Keyloggers
Эти Троянс должны войти в символы принадлежности потерпевшего, а затем позволить злоумышленнику поиска паролей или других конфиденциальных данных в файл журнала. Большинство из них - выходцы с двумя функциями, как онлайн и в автономном режиме записи. Конечно, они могут быть настроены на
отправить файл на конкретный адрес электронной почты, на ежедневной основе.
4. Разрушительные
Единственная функция этих Троянс заключается в том, чтобы разрушить и удалить файлы. Это делает их очень простым и удобным в использовании. Они могут автоматически удалить все свои основные системные файлы (например:. Dell. Или. Exe- файлов, возможно, другие) на вашей машине. Данная троянская настоящее время действие злоумышленника или иногда действует как бомба А логика и начинается конкретный день и на конкретных час.
5. Отказ в обслуживании (отказ в обслуживании) атак троянов
Эти Троянс становятся очень популярны в эти дни, в результате чего злоумышленник власти начать DDoS достаточно, если есть жертвы, конечно. Основная идея заключается в том, что если у вас 200 ADSL пользователей инфицированных и начала нападения жертва одновременно, это будет создавать ЛОТ движения (более жертвы трафика, в большинстве случаев) и доступа в Интернет будут закрыты . WinTrinoo является DDoS инструмент, который стал действительно популярной в последнее время, и если злоумышленник инфицировал многих пользователей ADSL, крупных сайтах в Интернете может быть закрыта в результате, как мы уже видели это случилось в последние несколько месяцев.
Еще одна вариация на DoS - это троянский почте бомбу троянский, чья главная цель - инфицировать как машин много, как это возможно, и одновременно нападения конкретных электронный адрес / адреса с случайные темы и содержания, которые не могут быть отфильтрованы.
6. Прокси / Вингате троянов
Интересные функции осуществляются во многих троянов становится жертвой компьютер в прокси-сервер / wingate сервер для всего мира или только злоумышленник. Он используется для анонимных Telnet, ICQ, IRC и т.д., а также регистрировать домены с помощью украденных кредитных карт и многих других незаконных видов деятельности. Это дает злоумышленнику полную анонимность и возможность сделать все от ВАШЕГО компьютера и, если он попадает в след ведет обратно.
7. FTP Троянс
Эти троянов, вероятно, наиболее простых и рода устарели, как только, что они сделать, так это открыть порт 21 (порт для FTP передачи), и пусть КАЖДОГО соединения с вашей машиной или просто атакующий. Новые версии имеют защищенную паролем это только тот, который инфицированных можно подключить к компьютеру.
8. Программное обеспечение обнаружения убийцы
Есть такие функции встроены в некоторые троянов, но есть отдельные программы, которая будет убивать ZoneAlarm, Нортон Антивирусные и многие другие (популярные anti-virus/firewall) программ, обеспечивающих защиту вашего компьютера. Когда они отключены, злоумышленник может получить полный доступ к вашей машине, для выполнения некоторых незаконной деятельности, использовать компьютер для нападения на других и часто исчезают. Даже можно заметить, что эти программы не работают или работают нормально, это займет некоторое время вам удалить троянский, установить новое программное обеспечение, настроить его и вернуться в Интернете с некоторыми чувство безопасности.
Как я могу получить инфицированных
После пути, чтобы получить инфицированных Троянс:
1 ICQ
2 IRC
3 Приложения
4 физической Доступ
5 браузера и электронной почты Software Bugs
6 Netbios (FileSharing)
Троянские программы: Троянс могут быть классифицированы как:
1. Backdoors
2. Общие Троянс
3. PSW Троянс
4. Троян Clickers
5. Троян Даунлоадерс
6. Троян Дропперс
7. Троян прокси-серверов
8. Троян Спиес
9. Троян Notifiers
10. ArcBombs
Backdoors
Сегодня backdoors являются наиболее опасных типа Троянс и наиболее распространенной. Эти Троянс являются утилиты удаленного администрирования, что открытые инфицированных машинах для внешнего контроля через ЛВС или Интернет. Они функционируют так же, как юридические удаленного администрирования программ, используемых системных администраторов. Это делает их трудно detect.The Единственное различие между правовым инструментом управления и backdoor, что backdoors установки и начато без ведома или согласия пользователя на машине жертвы. После запуска backdoor, она контролирует местная система без пользователя знаний; Часто backdoor не будут видны в журнале активных программ.
После удаленного администрирования utilitiy успешно установлен и запущен, жертва машина широко открыты.
Backdoor функции могут включать:
1. Отправка / получение файлов
2. Начало / удаление файлов
3. Выполнение файлов
4. Отображение уведомления
5. Удаление данных
6. перезагрузка компьютера
Иными словами, backdoors используются писателями вирусов для обнаружения и загрузки конфиденциальной информации, выполнить вредоносный программный код, уничтожить данные, включить машину в бот сетей и так далее. Короче, backdoors сочетают функциональность и большинство других типов Троянс в одном пакете.
Backdoors один особо опасных югу от класса: варианты, которые могут распространять как черви. Единственная разница заключается в том, что черви запрограммированы на пропаганду постоянно, то эти "мобильные" backdoors распространение только после конкретных команду из "ремонта".
Общие Троянс
Это потерять категорию входят разнообразные Троянс что ущерб жертве машины или угрожают целостности данных, или ухудшить функционирование жертвой машины.
Многоцелевого назначения Троянс также включены в эту группу, как некоторые писатели создать вирус мультифункциональных Троянс вместо троянского пакетов.
PSW Троянс
Это семьи Троянс похищает пароли, как правило, система паролей с машины жертвы. Они поиска системные файлы, которые содержат конфиденциальную информацию, такую как пароли и доступ в Интернет телефоны, а затем направить эту информацию на адрес электронной почты код в самом Троян. Затем он будет возвращен на "мастер" или пользователь незаконных программ.
Некоторые PSW Троянс украсть других видов информации, такой как:
Детали системы (памяти, дискового пространства, операционная система подробнее)
Местные почтового клиента
IP- адреса
Регистрационные детали
Пароли для электронных игр
Троян - AOL являются PSW Троянс что украсть пароли для aol (Американская Интернет) они содержатся в подгруппах, поскольку они столь многочисленны.
Троян Clickers
Это семьи Троянс переадресации жертва машины к определенным веб-сайтам или другими Интернет ресурсами. Clickers либо направить необходимые команды для браузера или заменить системные файлы, где стандарт Интернет ссылки хранятся (например, "хосты" файл в MS Windows).
Clickers используются:
1. Чтобы поднять попаданий, о конкретной площадке для целей рекламы
2. организовать DoS нападение на указанный сервер или сайт
3. Чтобы привести пострадавшего ресурсов зараженной машины, где будут атакованы другими вредоносными программами (вирусы или Троянс)
Троян Даунлоадерс
Это семьи Троянс загрузки и установки новой вредоносной программы или вредоносным на машине жертвы. В downloader затем либо запуск новой вредоносной программы или регистров она чтобы автозапуска по местному операционной системе требований. Все это делается без ведома или согласия пользователя.
Наименования и местонахождения вредоносного ПО для загрузки, либо закодированы в Троян или загрузить с указанного сайта или другие Интернет месте.
Троян Дропперс
Эти Троянс они используются для установки вредоносной программы на другие жертвы машин без ведома пользователя. Дропперс установить их нагрузки либо без отображения уведомлений, или показывая ложное сообщение об ошибке в файл или архив в операционной системе. В новой вредоносной программы сбросили на указанное место на локальном диске, а затем начала.
Дропперс обычно структурирована следующим образом:
В dropper функциональность содержит код для установки и исполнения всех полезной нагрузки файлов.
В большинстве случаев, полезная нагрузка содержит другие Троянс и по меньшей мере одна ложная тревога: шутки, игры, графики и так далее. В ложной тревоге должна отвлекать пользователя или доказать, что деятельность, вызванных dropper не вреден, то она действительно служит маской установки опасные нагрузки.
Хакеры с помощью таких программ достижения двух целей:
Скрытые или замаскированы установки других Троянс или вирусов
Заставить антивирус решений, которые не в состоянии проанализировать все компоненты
Троян прокси-серверов
Эти Троянс функции прокси-сервера и анонимный доступ к Интернету из машины потерпевшего. Сегодня эти Троянс очень популярен среди спамеров, которые всегда нужны дополнительные машины для массовых почтовых рассылок. Virus кодировщиков часто включают Троян - Троянский сателлитов в пакеты и продавать сетей зараженных машин для спамеров.
Троян Спиес
Эта семья включает в себя целый ряд шпионских программ и ключевых лесорубов, которые все отслеживать и сохранять действия пользователя на компьютере жертвы и затем довести эту информацию до сведения капитана.
Троян - шпионов собрать круг информации, в том числе:
1. Нажатие клавиш
2. Скриншоты
3. Журналы активных заявок
4. Другие действия пользователя
Эти Троянс наиболее часто используется для кражи банковских и других финансовых информации для поддержки онлайн мошенничества.
Троян Notifiers
Эти Троянс информирует "капитана" о зараженном компьютере. Уведомители подтверждают, что машина успешно заражены, и направить информацию об IP- адреса, номера портов открыты, адрес электронной почты и т.д. жертвой машины. Эта информация может быть отправлена по электронной почте, на магистра сайте, или ICQ.
Уведомители, как правило, входят в Троян "пакет" и используется только сообщить капитану, что Троян был успешно установлен на компьютере жертвы.
ArcBombs
Эти Троянс хранятся файлы закодированы саботировать де - компрессора при попытке открыть зараженный файл в архиве. Потерпевший машина медленно или катастрофы, когда троянская бомба взрывается, или диск будет заполнен нонсенс данных. ArcBombs Особенно опасны для серверов, особенно если входящие данные сначала обрабатываются автоматически: в таких случаях, один ArcBomb может крушения сервера.
Есть три вида ArcBombs:
1. неправильный заголовок в архив,
2. повторения данных
3. ряд одинаковых файлов в архиве.
В архив неправильный заголовок или порчу данных могут привести к де - компрессор сбой при открытии и распаковки архива инфицированных.
А большой файл, содержащий повторения данных может быть упакован в очень небольшой архив: 5 гигабайт будет 200 KB при использовании упакованы RAR и 480 Кб в формате ZIP.
Кроме того, существуют специальные технологии для упаковки огромное количество одинаковых файлов в одном архиве без существенно влияющих на размер архива себя: например, можно упаковать 10100 идентичных файлов в 30 KB RAR файл или 230 КБ ZIP файл.
Spyware и рекламное программное обеспечение:
Spyware и рекламное программное обеспечение являются формами в троянский конь.
Spyware программы выполнять полезную функцию, а также установить программу, которая отслеживает использование жертвой компьютера для целей маркетинга для пользователя.
Adware программы похожие на шпиона продовольственный программ, за исключением дополнительного программного обеспечения они установить показывает рекламные сообщения непосредственно для пользователя.
-------------------------------------------------- ---------------------------------------
Автор сообщения:
Сухас Десаи работает с Технология Махиндра ООО Пуне, Индия в качестве разработчика программного обеспечения.
Он способствовал окончательному работы в области биометрической безопасности проекта и его работы над "Био - смарт-карта для RFID на Linux кластере" было широко признано -
1. 11 - й IEEE реального времени и встроенные системы симпозиума, проведенного в Калифорнии.
2. ISA EXPO 2004, Безопасности конференции, проведенной в Техасе.
3. Е SMART 2005, A Smart карты инновациям симпозиум, Франция.
Он является автором многих научных документов, статей и функции для известных международных и национальных конференций, журналы, материалы и Интернет порталов. Его работы по RFID было честью для "InTech", Глобальная автоматизация журнал в Техасе. Он может, достигнутых на desai.suhas @ gmail.com или suhasde@techmahindra.com
это статья добавлена Сухас Десаи