Троян классификациям

Share

|

Троянских коней обычно рассматривается либо как покушение на личную жизнь (пароль кражу, например, ведущих к несанкционированного доступа и, возможно, модификация), или о целостности (деструктивных Троянс). Это чуть более упрощенная. В конце концов, несанкционированной модификации является посягательством на целостность. А конфиденциальности эндоскопических программы часто уничтожает файлы с тем чтобы охватить его направлениях, и злоумышленник может пожелать получить доступ к специально деструктивных целях. Кроме того, такой подход предполагает злого умысла, которая, как мы уже видели, не является общепризнанной в качестве определяющей характеристикой. Следовательно, некоторые типы здесь, что часто не считается в этом контексте.

На вид нагрузки вы ожидать троянского коня (технически, я полагаю, это был греческий лошадь) заниматься могут отражать компьютером ориентации. На протяжении многих лет ЭВМ и микрокомпьютерных пользователей, как с точки зрения программы, которые украли пароли или иным образом нарушил конфиденциальность, в то время как пользователей микрокомпьютеров с точки зрения разрушительной Троянс которых формат дисков или удаленной файловой системы. В реальной жизни, так и разрушительной конфиденциальности эндоскопических Троянс были известны на обоих концах Большой Железо / PC спектра в течение многих лет. Однако в последние годы все более взаимообогащения.

Деструктивные Троянс

Троянов основная цель которых состоит разрушительной давно преследуют владельцев микрокомпьютеров. В Dirty Дозен список, впервые опубликованный через FidoNet в середине 1980 - х годов, которые первоначально были сконцентрированы на таких программ, и одновременно список определяется Троян в плане целенаправленного повреждения. Конечно, этот список быстро outgrew подлинные десятка Троянс и прошел через ряд изменений, через 1980 - х годов и 1990 - е годы. Возможно, еще можно найти на некоторых Simtel зеркальных серверов в DOS / вирус каталоге иерархии, но это действительно только исторический интерес. Старый Троянс такого типа, как правило, перечисляются в DIRTYD *. ZIP почти всегда недолговечны.

Злостное, не тиражирования программ были также широко сообщалось о Macintosh comput веяниям, в том числе разрушительную Троянс. Virus информация якобы содержат вирус информации, но фактически удаленной дисков. (Его не следует путать с информационной, [но устаревших] HyperCard стека Virus ведения.) А взломать PostScript, которые могли бы эффективно оказывать определенные Apple принтеров непригодным, напав микропрограммы также рады большой интерес одновременно. NVP изменил Sys Пункт файл, чтобы не гласных может быть напечатан, и первоначально найдено выдавая себя новый стиль, в котором дизайн дисплея. Совсем недавно, разрушительной и конфиденциальность эндоскопических, составленная AppleScript Троянс были отмечены.

Однако социальные последствия таких Троянс часто несоразмерные их воздействие с точки зрения фактических инцидентов. Поскольку они не самостоятельной воспроизведения, в отличие от вирусов и червей, они менее вероятно, будет распространяться на ни в чем не повинных третьих сторон. Они, как правило, crudely программируются. Простые командные файлы, с помощью DEL, DELTREE, или ФОРМАТ еще общие, иногда составлен в. EXE или. COM файл с помощью пакетного файла компилятора, такие как BAT2COM. Это делает их труднее идентифицировать. Троянов, как правило, прямого действия, то есть как только троянского выполняется, это все его повреждения одновременно Это препятствует их распространению в предыдущих жертв. Есть, однако, проживающих Троянс установить, что сами так, что они функционируют на всех вычислительных сессии. Нередко они связаны с деятельностью таких, как кражи пароля. Однако любая троянская которого полезная нагрузка не сразу и открыто вредоносные максимизирует свои шансы быть принят.

Там было по меньшей мере две попытки пройти покинуть Троянс как обновление до PKZip, широко используемые утилиты сжатия файлов. Одним из последних примеров является файлы PKZ300.EXE и PKZ300B.ZIP представлены для скачивания на некоторых сайтах в Интернете.

Предыдущий Троян прошло, как сама покинуть версии 2,0. По этой причине, PKWare никогда не выпустила версию 2,0 от PKZip: предположительно, если они когда-либо сделать другой версии DOS версию (вряд ли, на сегодняшний день, на мой взгляд), он не будет иметь номер версии 3.0 (0) . [В действительности, последняя версия 2,50 на момент написания.]

По сути, едва ли известны случаи кто-то загрузки и ударов это Троян, который мало кто видел (хотя наиболее авторитетные вируса сканеров будет обнаруживать его). Насколько я знаю, эта троянская только когда-либо видел на варезом серверов (специализирующихся в пиратское).

Есть зарегистрированных случаев поддельный PKZIP против 3 найдены инфицированных реальную жизнь в самых диких файл вируса, но это тоже очень редко. Для Насколько мне известно, в последней версии PKZip является 2.04g [сейчас 2,50], или 2,50 для Windows [сейчас 2.60/2.70].

Был вариант 2,06 воедино IBM специально для внутреннего использования (подтверждается PKWare). Если вы найдете его в оборот, избежать. Это либо незаконного или потенциально опасные поддельные.

Последние сыпь на реанимировано предупреждений об этом по крайней мере в части ложным. Это не вирус, что это троянский. Он не (и не может) ущерб, модемы, V32 или иначе, но я полагаю, вирус или троянский могут изменить параметры модема, если это случилось быть на связи и….

Как удалить файлы, диски не уничтожить окончательно.

Это, безусловно, хорошая идея, чтобы избежать файлы утверждают, что PKZip против 3, но реальная опасность вряд ли оправдывает пропускной это оповещение занимает.

Почему интересный случай истории? С одной стороны, предметом нападения является типичным объектом разрушительной Троян, который проходит вне себя как нечто это не так. PKZip - популярный и очень полезный shareware утилиты. Недавно он был омрачен, а также другие утилиты используя тот же формат сжатия, который может объяснить, почему PKZip является менее привлекательным объектом Trojanization сегодня. В следующем, мы упомянуть аналогичную утилиту для Mac личность которых также purloined вовлечь incautious жертв в текущих мошеннику программы.

Во-вторых, она является контрафактной программы, которые сделали никаких усилий для себя вид или функциональность программы личность которых он утверждал. Это характеристика прямого действия, разрушительные Троянс, но не определяющая характеристика.

Третий и наиболее интересно, программы, что очень немногие люди когда-либо видел стала одним из основных неудобств из-за большого числа людей, которые получены и переданы на "полуфабрикатов hoaxified" предупреждение о том, Троян. По сути, влияние цепи письмо было более серьезным, чем Троян сам все может быть. (Это не редкость побочный эффект прямого действия Троянс, но редко показывает таких впечатляющих результатов.)

В полузасушливых ложным, мы имеем в виду вводит в заблуждение оповещения на основе реальных вирус или Троян, но в достаточно дезинформации, которая была внедрена, чтобы сделать ее слишком неточным быть полезным. Мы должны здесь, вероятно, различие между ряд возможностей:

• · В оповещения на основе реального вредоносного программного обеспечения, но слишком расплывчатыми быть полезным. (Многие вируса сигналы попадают на экспертов, не относится к этой категории.)
• · В оповещения на основе реального вредоносного программного обеспечения, но вынес менее полезными дезинформацией основе несовершенной понимание соответствующих технологий. Даже опытных может невольно ввести такую неточность в боевой готовности.
• · В оповещения на основе реальных, вредоносное программное обеспечение, но недействительным введение намеренно вводит в заблуждение материал, преувеличение, или полное изготовление атрибутов и возможности нанесения ущерба.

Не предупреждение либо ложным или не ложная тревога? Думаю, что нет. Намерение ложным (или отсутствие таковой) может быть абсолютным, но смесь фактов и фикции является обычным в мистификации, где факт придает косвенных поддержку в основном вымышленных утверждения.

В конце 1997 года фальшивые версии StuffIt Делюкс был распространен. (StuffIt - это еще один популярный инструмент для архивации используется в основном на Mac.) Во время установки, программа будет удалять ключевые системные файлы. Аладдин системы, создатели StuffIt, опубликованное широко рекомендательные о Троян в то время.

Злостное Троянс были также известны маскарадом, как антивирусное программное обеспечение.

А хорошо известно, что в сочетании Троян саботажа и вымогательства является PC CYBORG троянского коня, или СПИД Троян. В 1989, примерно 10.000 экземпляров СПИДа информации на дискете были распространены в Европе, Африке, Скандинавии и Австралии, многие медицинские учреждения. После программы было установлено и запущено, скрытая программа зашифрованном диске после определенного числа перезагрузок. Идея состояла в том, что жертва будет направить "Плата за лицензию" на ПК Сиборг в панамский адрес получить ключ дешифрования. К счастью, вирус исследователь в Великобритании трещины шифрования.

Конфиденциальность эндоскопических троянов

Конфиденциальность эндоскопических Троянс как выполнять некоторые функции, что свидетельствует с программистом жизненно важной и конфиденциальной информации о системе или иным компромиссам, что системы. Пароли являются, по очевидным причинам, очень общие цели.

Они могут также (или вместо) скрывать некоторые функции, что свидетельствует либо на программиста важно и конфиденциальной информации о системе или о том, что система компромиссов.

Некоторые антивирусные компании различие между PC конкретных конфиденциальности эндоскопических Троянс и разрушительной Троянс, ограничивая использование термина Троян разрушительной программы. Они используют термин пароль stealers для наиболее распространенных конфиденциальности эндоскопических программ. Во второй половине 1990 - х годов, пароль - кражи программ, направленных специально на пользователей AOL, как стать весьма распространенной (по некоторым оценкам в число таких программ увеличилась до многих сотен). Некоторые антивирусные программы используют APS идентификатор для таких программ, возможно, в качестве кандидатов на AOL Пароль Стеалер. Однако AOL не является и никогда не была единственной уязвимой службы. В их документе Где Там в дым, Там в зеркала, Гордон, Сара и Давид Шахматы описания текущих пользователей моделирования AOL течение семи месяцев. Хотя были предприняты попытки получить их манекена users'screen пароли, эти попытки обычно используются прямые методы социальной инженерии корреспонденты выдавая себя за сотрудников AOL, а не косвенно с паролем краже программ.

Вернуться двери троянов

Троянов которые, время от времени, были установлены в законную заявок. Кен Томпсон описывает Размышления о Доверие целевой ряд интересных (не совсем гипотетическая) сценариев, наиболее известными являются Trojanized компилятор сценариев. В этом случае, производство программного обеспечения предлагает средства привилегированного доступа никому, зная из задней двери или trapdoor описано.

Задние двери и trapdoors предлагая несанкционированного доступа (и, возможно, модификация) не только случаи несанкционированного кода внес в законную программ, однако. Многие владельцы Mac, покупающие определенный бренд сторонних клавиатуры с троянского жестко в ROM чипе установлено, что текст "Добро пожаловать Datacomp" была включена в своих документах на всей видимости случайные интервалы. PC материнские платы с Trojanized BIOS характерны "С Днем Рождения" играют через систему громкоговорителей на загрузке, по всей видимости, программист день рождения.

Средства удаленного доступа (RATs)

Хотя некоторые антивирусные поставщики будут утверждать обнаруживать все известные Троянс, большинство из них обнаружить по крайней мере на некоторых платформах, для которых они продуктов, особенно тех, кто Троянс прямого ущерба. Средства удаленного доступа (RATs), как Netbus и Орифисе Назад, однако, проходят грань между законными системами управления (аналогичную той, которая осуществляется таких программ, как PC Anywhere) и скрытые несанкционированного доступа. Когда система владелец убедить запустить программу установки, сервер программа установки, которые можно получить от клиента на удаленный компьютер без ведома пользователя. Сервер используется для управления машиной жертвы.

Функционально, может быть никакого различия между RAT и "законного" инструмента. Разница заключается не в функциональности, но и в содействии тайных наличие этой функциональности в несанкционированных лиц. Как с sniffers и сеть сканеров, это не то, что программа делает столько причина, это используется. Однако если программное обеспечение RAT охотно установлен, открытие системы для нападения пользователь не ожидает, это сделать его Троян? Использование Microsoft Word также делает пользователя уязвимым для нападений он не может предвидеть. Было, например, буквально лет до некоторых пользователей компьютеров осознали, что с помощью версий Word и других приложений Microsoft Управления поддержки макро языков делает их уязвимыми для вирусов и макро Троянс. Ли, что Билл Гейтс сделать один Троян автор? Нет, поскольку функциональность в данном случае слишком обобщить, чтобы быть охарактеризован как задняя дверь. Однако, RAT вещания свое присутствие на хакера, который зондов характерный диапазон номера портов, безусловно, может быть описан как задняя дверь Троян. Она поощряет намерения автора и подрывает надежды жертвы.

Это серьезный вопрос - не в последнюю очередь в том, что "Bad Guys" часто говорю на недостатки законного программного обеспечения (в частности, в Microsoft), как если бы непредвиденные ошибки в Управление оправдано их собственных преднамеренных деятельности.

Тем не менее, некоторые RAT авторы используют эту двойственность выпуская "Профессиональная" версии такого программного обеспечения и взимания платы за них. Это позволяет авторам жаловаться по борьбе с капиталистической, антиконкурентным поведением безопасности поставщиков, выявлять их программы как Троян (или слишком часто и неточно, вирус). Она работает тоже. Некоторые антивирусные продавцов снизились выявления профессиональной версии Netbus, несмотря на мрачность его происхождение и его постоянные возможности для злоупотреблений. Другие вышли из их способ различать стандартные Netbus Pro установок и Trojanized установок.

Дропперс

А dropper это программы, которые сам не вирус, но то, чтобы установить вирус. Любопытно, учитывая популярные ассоциации Троянс и вирусов, droppers являются сравнительно редкими отправной точкой для вирусов в естественных условиях. В мире PC, dropper программ, наиболее часто связанные с транспортировкой загрузочный сектор вирусов через сети, и может быть использована для этой цели как сторонников, и антивирусные исследователи. Они могут использоваться в качестве скрытых методов внедрения вируса на систему, если жертва может быть убедительным социальной инженерии запустить dropper программы.

Дропперс были удивительно часто используются в Mac мира, однако. В MacMag вируса был введен через HyperCard стека называемой новой продукции Apple. В Tetracycle игры был замешан в первоначальном распространения MBDF. ExtensionConflict предполагается выявить конфликты между расширениями (сейчас есть удивление), но устанавливает SevenDust вируса. Оба SevenDust и MBDF еще, зарегистрированных в области. Вернуться в мире ПК, Красный Группа оповещения muddied воды путем добавления вирус dropper утверждают, что решением вирус, не и не может существовать.

Анекдоты

Йоке программы почти так же стара, как вычислений. Один из уважаемой пример - НДП Cookie программа, которая popped и спрашивает потерпевшего на cookie. PC и Mac пользователей, так давно приятно или раздражает таких программ. Путаница возникла из-за привычки антивирусного программного обеспечения боевого дежурства (используя слово вирус) не только от вирусов и Троянс, но шутка программы такие как CokeGift. Это широко распространена программа предлагает жертвой их компакт-диска лоток как держатель для fizzy пить (или, возможно, белый порошок для носа попадании или углесодержащих ископаемого топлива). Симпатичные для одних, раздражает других, но точно не угрожающие жизни. Однако практика боевого дежурства на шутку программ могут возникнуть в связи с якобы шутка программ, которые угрожают формат дисков, или утверждают, что уже сделали, но не такие фактические попытки. Действительно, имели место случаи, когда то, что продавец сообщил, как Троян, другого поставщика как шутка.

Бомбы

Логические бомбы вредоносных программ, что исполнить их нагрузки, когда preprogrammed условие считается выполненным. Когда вызывать условие - время и дата, срок бомбой может быть использован. А времени, это бомба логика иногда используется для обеспечения соблюдения условий договора. Характерно, программа остановки текущих если некоторые действия указать (например), что Плата за лицензию была выплачена, или подрядчик, который писал код было выплачено. Это не неизвестный для подрядчика внести некоторые более радикальные бомбой быть инициирован, если спор о выплате возникает.

Использование слова бомба ли предположить разрушительной нагрузки, но это не нужно, по сути, будет. Mail бомб и подписки бомбы DoS (Отказ в обслуживании) нападения, чтобы неудобства жертвой избиения в его почтовый ящик с плотины почты. Зачастую это делается, подписавшись жертвы большого числа списков рассылки. Электронная почта Троянс безусловно, существуют, хотя по электронной почте обычно инфекции вектор для вирусов и червей.

Термин ANSI бомбы, как правило, ссылается на сообщение или другой текстовый файл, использует расширения для MS - DOS ANSI.SYS водителя. Это позволяет ключей быть изменено с побега последовательности, в этом случае, повторить некоторые потенциально разрушительные команду для консоли. Такие программы были в одно время довольно часто сообщалось о Fidonet. Однако, в настоящее время несколько систем запускать программы, которые требуют эмуляции терминала ANSI, и ANSI.SYS, как правило, не установлены в Windows 9x или поздно.

Есть альтернативы ANSI.SYS, которые не поддерживают пересмотр клавиатуры, или позволить ему быть отключена.

Rootkits

A rootkit является примером комплекс trojanized системы программ, что атакующим, которые удается корневой системы компромисса мог бы заменить собой commands'standard эквиваленты. Примеры включают измененные версии системы коммунальных услуг, таких, как верхняя и карт, что позволит незаконные процессы запустить незамеченным; Демоны Изменен к компромиссу журнал записи или скрыть соединений; Коммунальные gimmicked чтобы искоренить эскалации привилегий или скрыть rootkit компонента файлы или другие backdoor функции (секрет пароли чтобы привилегированный доступ, например). Вид программы включает пакет sniffers и utmp / wtmp редакторов (для врача файлы).

Rootkits существуют для целого ряда видами UNIX, и появляются в версии NT. Однако одноразовые Trojanized версии входа (то есть, версии, не включенные в пакет программ, например, rootkit) были использованы, например, для сбора паролей с Понтий запланированы в ЭКСПЕРИМЕНТАЛЬНОГО.

Сара Гордон документ Публикация Уязвимости и инструмент (Материалы двенадцатой Всемирной конференции по компьютерной безопасности, аудита и контроля, 1995 год) включает в себя технический анализ некоторых rootkit компонентов.

DDoS агентов

DDoS (Distributed Отказ в обслуживании ") инструменты, как Stacheldraht, TFN2K и Trinoo являются Троянс разработан с очень конкретной целью. Они предназначены для снижения серверов Интернета по дистанционной координации пакетов наводнения нападения с нескольких машин. Как правило, атакующим контролирует ряд ремонта машин. Это, в свою очередь, контроль демонов на удаленных машинах. Скрыто установлена, их присутствие часто скрыты установки rootkits. Демоны могут быть установлены на многих сотен удаленных машин, все руководство наводнения нападения на жертвы системы.

Установка и присутствие на DDoS нападения инструмента можно обнаружить тем же путем другими вредоносными программами. Это признание конкретного поиска строки (Известные Что-то обнаружения), эвристического сканирования и обнаружения изменений. Virus сканеров, как правило, обнаружить известный DDoS инструментов. Сети трафик может быть контроль за такие характеристики, как ИС пакеты с адресами источника был фальсифицирован. Intrusion систем обнаружения может быть сконфигурирован для сканирования шаблонов характеристика связи между ремонта программного обеспечения и демон программного обеспечения.