Trojans y Backdoors
El Trojan Horse consiguió su nombre de la vieja
historia mítica sobre cómo los Griegos dieron a su enemigo un
caballo de madera enorme como regalo durante la guerra.
El enemigo aceptó este regalo y lo trajeron en su reino,
y durante la noche, los soldados griegos se arrastraron del caballo y
atacaron la ciudad, superándolo totalmente.
Un Trojan Horse es un programa desautorizado contenido dentro de
un programa legítimo. Este programa desautorizado realiza las
funciones desconocidas por el usuario. Un programa legítimo que
ha sido alterado por la colocación del código desautorizado dentro
de él; este código realiza las funciones desconocidas por el
usuario.
Funcionamiento:
Trojans viene en dos porciones, una pieza del cliente y
una pieza del servidor. Cuando la víctima funciona el servidor
en su máquina, el atacante entonces utilizará a cliente para
conectar con el servidor y para comenzar a usar el Trojan. El
protocolo de TCP/IP es el tipo generalmente del protocolo usado para
las comunicaciones, pero algunas funciones del Trojans utilizan el
protocolo del UDP también. Cuando el servidor se está
funcionando en la computadora de la víctima, (generalmente)
intentará ocultar en alguna parte en la computadora, comienzo que
escucha en un cierto port(s) conexiones entrantes del atacante,
modifica el registro y/o utiliza un cierto otro método que comienza
auto.
Es necesario que el atacante sepa el IP address de la víctima
para conectar con su máquina. Mucho Trojans tiene
características como enviar el IP de la víctima, así como
mensajería el atacante vía ICQ o el IRC. Se utiliza esto
cuando la víctima tiene IP dinámico que signifique que usted conecta
cada vez con el Internet que usted consigue un diverso IP (de los
usuarios de marcado manual tenga más esto).
La mayoría de los métodos Automo'vil-Que empiezan del
uso de Trojans tan incluso cuando usted cierra su computadora ellos
pueden recomenzar y otra vez dar al atacante el acceso a su máquina.
Los nuevos métodos automo'vil-que empiezan y otros trucos se
descubren toda la hora. La variedad empieza con "ensamblar" el
Trojan en algún fichero ejecutable que usted utiliza muy a menudo
como explorer.exe, por ejemplo, y va a los métodos sabidos como la
modificación de los ficheros del sistema o del registro de Windows.
Los ficheros del sistema están situados en el directorio de
Windows y aquí son explicaciones cortas de su abuso al lado de los
atacantes:
- carpeta auto del comienzo - la carpeta auto del comienzo
está situada en C:\Windows\Start Menu\Programs\startup y como sugiere
su nombre comienza automáticamente todo colocado allí.
- Win.ini - Fichero del sistema de Windows usando
load=Trojan.exe y run=Trojan.exe para ejecutar el Trojan
- System.ini - Usar Shell=Explorer.exe
trojan.exe da lugar a la ejecución de cada archivo después de
Explorer.exe
- Wininit.ini - Los Disposicio'n-Programas
lo utilizan sobre todo; funcione una vez, él automo'vil-se
esta' suprimiendo, que es muy práctico para que Trojans recomience
- Winstart.bat - El actuar como un archivo
normal Trojan del palo se agrega como @trojan.exe para ocultar su
ejecución del usuario
- Autoexec.bat - Es un archivo
automo'vil-que empieza del DOS y se utiliza como método
automo'vil-que empieza como esto - > c:\Trojan.exe
- Config.sys - Se podía también utilizar
como método el automo'vil-empezar para Trojans
- arranque del explorador - es un método el
automo'vil-empezar para Windows95, 98, YO y si existe c:\explorer.exe,
será comenzado en vez del c:\Windows\Explorer.exe generalmente, que
es la trayectoria común al archivo.
El registro se utiliza a menudo en varios métodos
automo'vil-que empiezan. Aquí están algunas maneras sabidas:
[ HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current
Version\Run ]
"Info"="c:\directory\Trojan.exe"
[
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce ]
"Info"="c:\directory\Trojan.exe"
[
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
]
"Info"="c:\directory\Trojan.exe"
[
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
]
"Info="c:\directory\Trojan.exe "
[ HKEY_CURRENT_USER\Software\Microsoft\Windows\Current
Version\Run ]
"Info"="c:\directory\Trojan.exe"
[
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce ]
"Info"="c:\directory\Trojan.exe"
- Cáscara Del Registro Abierta
[ HKEY_CLASSES_ROOT\exefile\shell\open\command ]
[
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command ]
Una llave con el valor "%1 % *" debe ser colocado
allí y si hay algún fichero ejecutable colocado allí, será
ejecutado cada vez que usted abre un archivo binario. Se utiliza
como esto: trojan.exe "%1 % *"; esto recomenzaría el Trojan.
- La Red de ICQ Detectó Método
[
HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps \ ]
Esta llave incluye todos los archivos que serán
ejecutados si ICQ detecta la conexión del Internet. Como usted
puede entender, esta característica de ICQ es muy práctica pero es
abusada con frecuencia por los atacantes también.
- Componente De ActiveX
[ HKEY_LOCAL_MACHINE\Software\Microsoft\Active
Setup\Installed Components\KeyName ]
StubPath=C:\directory\Trojan.exe
Éstos son los métodos Automo'vil-Que empiezan
más comunes usando ficheros del sistema de Windows, y el registro de
Windows.
Variaciones De Trojans
1.Remote Acceso Trojans
Éstos son probablemente el Trojans lo más público
posible usado, apenas porque dan a atacantes la energía de hacer más
cosas en la máquina de la víctima que la víctima sí mismo,
mientras que está parado delante de la máquina. La mayoría de
estos Trojans son a menudo una combinación de las otras variaciones
que usted leerá abajo. La idea de estos Trojans es dar al
atacante un acceso COMPLETO alguien máquina, y por lo tanto tiene
acceso a los archivos, a las conversaciones privadas, a los datos
contables, al etc.
2. Contraseña Que envía Trojans
El propósito de estos Trojans es rasgar todas las
contraseñas depositadas y también buscar otras contraseñas que
usted entonces está incorporando envíelas a una dirección
específica del correo, sin el usuario que nota cualquier cosa.
Las contraseñas para ICQ, el IRC, y el ftp, el HTTP o cualquier
otro uso que requieran a usuario incorporar una contraseña de la
conexión se están enviando de nuevo a la dirección del E-mail del
atacante, que en la mayoría de los casos está situada en algún
abastecedor basado tela libre del E-mail. La mayoría de ellas
no recomienzan cuando se carga Windows, pues la idea es recolectar
tanto Info sobre la máquina de la víctima como las contraseñas,
registros del orujo, conversaciones de ICQ y enviarlas; pero
depende de las necesidades del atacante y de la situación
específica.
3. Keyloggers
Este Trojans debe registrar los golpes de teclado de la
víctima y después dejó a atacante buscar para las contraseñas u
otros datos sensibles en el fichero de diario. La mayoría de
ellos vienen con dos funciones como la grabación en línea y fuera de
línea. Por supuesto podrían ser configurados a
envíe el fichero de diario a una dirección específica
del E-mail sobre una base diaria.
4. Destructivo
La única función de estos Trojans es destruir y
suprimir archivos. Esto los hace muy simples y fáciles
utilizar. Pueden suprimir automáticamente todos sus ficheros
del sistema de la base (por ejemplo: el dell, el in o el exe
archiva, posiblemente otros) en su máquina. El Trojan está
siendo activado por el atacante o a veces trabaja como bomba de la
lógica de A y comienza en un día específico y en la hora
específica.
5.Denial Del Ataque Trojans Del Servicio (DOS)
Este Trojans está consiguiendo muy popular actualmente,
dando al atacante energía de comenzar DDoS si teniendo bastantes
víctimas por supuesto. La idea principal es que si usted hace
200 usuarios del ADSL infectar y comienza a atacar a la víctima
simultáneamente, ésta generará muchos del tráfico (más entonces
la anchura de banda de la víctima, en la mayoría de los casos) y su
el acceso al Internet será cerrado. WinTrinoo es una
herramienta de DDoS que ha llegado a ser realmente popular
recientemente, y si el atacante ha infectado a muchos usuarios del
ADSL, los sitios de Internet importantes se podrían cerrar
consecuentemente, como lo hemos visto suceder en el pasado pocos
meses.
Otra variación de un DOS Trojan es la correo-bomba Trojan, que
puntería principal es infectar tantas máquinas como sea posible y
atacar simultáneamente el E-mail específico address/addresses con
los temas y el contenido al azar que no pueden ser filtrados.
6.Proxy/Wingate Trojans
La característica interesante puesta en ejecucio'n en
muchos trojans está dando vuelta a la computadora de la víctima en
un servidor de proxy/wingate disponible al mundo entero o al atacante
solamente. Se utiliza para el telnet anónimo, ICQ, el IRC, el
etc., y también colocar dominios con las tarjetas de crédito robadas
y para muchas otras actividades ilegales. Esto da a atacante
anonimato completo y la ocasión de hacer todo de SU computadora y si
he/she consigue cogió los plomos del rastro de nuevo a usted.
7.FTP Trojans
Estos trojans son probablemente los más simples y son
clase de tan anticuado que la única cosa que lo hacen es abrir el
puerto portuario 21(the para las transferencias del ftp) y dejó CADA
UNO conectar con su máquina o apenas el atacante. Más nuevas
versiones son contraseña protegida tan solamente el una que le
infectó puede conectar con su computadora.
Asesinos De la Detección 8.Software
Hay tales funcionalidades construidas en algunos
trojans, pero hay también los programas separados que matarán a
ZoneAlarm, al Contra-Virus de Norton y a muchos otros programas
(anti-virus/firewall popular), que protegen su máquina. Cuando
son lisiados, el atacante tendrá acceso completo a su máquina, para
realizar una cierta actividad ilegal, utiliza su computadora para
atacar otras y para desaparecer a menudo. Aunque usted puede
notar que estos programas son de trabajo o de funcionamiento
correctamente, le tomará un cierto tiempo para quitar el Trojan, para
instalar el nuevo software, para configurarlo y para conseguir detrás
en línea con un cierto sentido de la seguridad.
Cómo Puedo Conseguir Infectado
Los siguientes son maneras de conseguir infectados
con Trojans:
1 ICQ
IRC 2
3 accesorios
Acceso De 4 Comprobaciones
Insectos De Software Del Browser 5 Y Del E-mail
6 Netbios(FileSharing)
Programas De Trojan: Trojans se
puede clasificar como:
1.Backdoors
2.General Trojans
3.PSW Trojans
4.Trojan Clickers
downloaders 5.Trojan
cuentagotas 6.Trojan
poderes 7.Trojan
espías 8.Trojan
notificadores 9.Trojan
10.ArcBombs
Backdoors
Los backdoors son hoy el tipo más peligroso de
Trojans y los más extensos. Este Trojans es las utilidades
alejadas de la administración que las máquinas infectadas abiertas
al control externo vía un LAN o el Internet. Funcionan de la
misma manera que los programas alejados legales de la administración
utilizaron por los administradores de sistema. Esto los hace
difíciles a la diferencia de detect.The solamente entre una
herramienta legal de la administración y un backdoor es que los
backdoors están instalados y lanzados sin el conocimiento o el
consentimiento del usuario de la máquina de la víctima. El
backdoor se lanza una vez, él supervisa el sistema local sin el
conocimiento del usuario; el backdoor no será a menudo visible
en el registro de programas activos.
Una vez que una administración alejada utilitiy haya estado
instalada y lanzada con éxito, la máquina de la víctima está de
par en par abierta.
Las funciones backdoor pueden incluir:
1.Sending/ que recibe archivos
2.Launching/ que suprime archivos
archivos 3.Executing
notificación 4.Displaying
datos 5.Deleting
6.Rebooting la máquina
Es decir los backdoors son utilizados por los
escritores del virus para detectar y descargar la información
confidencial, ejecute el código malévolo, destruyen datos, incluyen
la máquina en redes del BOT y así sucesivamente. En
cortocircuito, los backdoors combinan la funcionalidad de la mayoría
de los otros tipos de Trojans en un paquete.
Backdoors tiene una especialmente subclase peligrosa:
variantes que pueden propagar como gusanos. La única
diferencia es que los gusanos están programados propagar
constantemente, mientras que estos backdoors ' móviles ' se separan
solamente después de un comando específico del ' amo '.
General Trojans
Esta categoría floja incluye una variedad de
Trojans que dañan las máquinas de la víctima o amenazan integridad
de datos, o deteriora el funcionamiento de la máquina de la víctima.
Trojans multiusos también se incluye en este grupo, pues
algunos escritores del virus crean los paquetes de funcionamientos
múltiples de Trojans más bien que de Trojan.
PSW Trojans
Esta familia de Trojans roba las contraseñas,
normalmente contraseñas del sistema de las máquinas de la víctima.
Buscan para los ficheros del sistema, que contienen la
información confidencial tal como números de teléfono de las
contraseñas y del acceso del Internet y después envían esta
información a un email address cifrado en el cuerpo del Trojan.
Entonces será recuperado por el ' amo ' o el usuario del
programa ilegal.
Algunos PSW Trojans roban otros tipos de información por
ejemplo:
Detalles del sistema (memoria, espacio de disco, detalles
del sistema operativo)
Cliente local del email
IP-TRATE
Detalles del registro
Contraseñas para los juegos en línea
Trojan-AOL es PSW Trojans que roba las contraseñas
para AOL (en línea americano) que se contienen en los subgrupos
porque son tan numerosas.
Trojan Clickers
Esta familia de Trojans vuelve a dirigir las
máquinas de la víctima a los Web site especificados o a otros
recursos de Internet. Clickers envía los comandos necesarios al
browser o substituye los ficheros del sistema donde se almacenan los
urls estándares del Internet (e.g. ' recibió el archivo en MS
Windows).
Se utiliza Clickers:
el aumento 1.To golpear-cuenta de un sitio específico para
anunciar propósitos
2.To organizan un ataque del DOS contra un servidor o
un sitio especificado
plomo 3.To la víctima a un recurso infectado donde la
máquina será atacada por el otro malware (los virus o Trojans)
Downloaders De Trojan
Esta familia de Trojans descarga e instala el
nuevo malware o adware en la máquina de la víctima. El
downloader después lanza el nuevo malware o lo coloca para permitir
el autorun según los requisitos locales del sistema operativo.
Todo el esto se hace sin el conocimiento o el consentimiento del
usuario.
Los nombres y las localizaciones del malware que se descargará
se cifran en el Trojan o se descargan del Web site especificado o de
la otra localización del Internet.
Cuentagotas De Trojan
Este Trojans se utiliza para instalar el otro
malware en las máquinas de la víctima sin el conocimiento del
usuario. Los cuentagotas instalan su carga útil sin exhibir
ninguna notificación, o exhibir un mensaje falso sobre un error en un
archivo archivado o en el sistema operativo. El nuevo malware se
cae a una localización especificada en un disco local y después se
lanza.
Los cuentagotas se estructuran normalmente de la manera
siguiente:
La funcionalidad del cuentagotas contiene código para instalar
y para ejecutar todos los archivos de la carga útil.
En la mayoría de los casos, la carga útil contiene al otro
Trojans y por lo menos a una broma: bromas, juegos, gráficos y
así sucesivamente. Significan a la broma para distraer al
usuario o para probar que la actividad causada por el cuentagotas es
inofensiva, mientras que sirve realmente para enmascarar la
instalación de la carga útil peligrosa.
Los hackers que usan tales programas alcanzan dos
objetivos:
Instalación ocultada o enmascarada de otro Trojans o virus
Trampeando las soluciones del antivirus, que no pueden
analizar todos los componentes
Poderes De Trojan
Este la función de Trojans como proxy server y
proporciona el acceso anónimo al Internet de las máquinas de la
víctima. Este Trojans es hoy muy popular entre los spammers que
necesitan siempre las máquinas adicionales para los correos totales.
Los codificadores del virus incluirán Trojan-poderes en los
paquetes de Trojan y venderán a menudo las redes de máquinas
infectadas a los spammers.
Espías De Trojan
Esta familia incluye una variedad de programas
del espía y de madereros dominantes, que siguen y ahorran actividad
del usuario en la máquina de la víctima y entonces adelante esta
información al amo.
los Trojan-espi'as recogen una gama de la información
incluyendo:
1.Keystrokes
2.Screenshots
3.Logs de usos activos
acciones del usuario 4.Other
Este Trojans se utiliza lo más a menudo posible
para robar las actividades bancarias y la otra información financiera
para apoyar fraude en línea.
Notificadores De Trojan
Este Trojans informa al ' amo ' sobre una
máquina infectada. Los notificadores confirman que una máquina
se ha infectado con éxito, y envían la información sobre IP-TRATAN,
los números de acceso abiertos, el email address etc. de la máquina
de la víctima. Esta información se puede enviar por el email,
al Web site del amo, o por ICQ.
Los notificadores se incluyen en un Trojan ' paquete ' y se
utilizan generalmente para informar solamente al amo que un Trojan ha
estado instalado con éxito en la máquina de la víctima.
ArcBombs
Este Trojans es archivos archivados cifrados para
sabotear el descompresor cuando procura abrir el archivo archivado
infectado. La máquina de la víctima se retardará o se
estrellará cuando la bomba de Trojan estalla, o el disco será
llenado de datos del absurdo. ArcBombs es especialmente
peligroso para los servidores, particularmente cuando los datos
entrantes se procesan inicialmente automáticamente: en tales
casos, un ArcBomb puede estrellar el servidor.
Hay tres tipos de ArcBombs:
jefe 1.incorrect en el archivo,
datos 2.repeating
serie 3.a de archivos idénticos en el archivo.
Una cabecera de archivo incorrecta o los datos corrompidos
conserva ambas hace el descompresor estrellarse al abrir y
desempaquetando el archivo infectado.
Un archivo grande que contiene repitiendo datos se puede embalar
en un archivo muy pequeño: 5 gigabytes serán 200 KB cuando
están embalados usando RAR y 480 KB en formato del CIERRE RELÁMPAGO.
Por otra parte, las tecnologías especiales existen para embalar
un número enorme de archivos idénticos en un archivo sin
perceptiblemente afectar el tamaño del archivo sí mismo: por
ejemplo, es posible embalar 10100 archivos idénticos en 30 un archivo
del KB RAR o un archivo de CIERRE RELÁMPAGO de 230 KB.
Spyware y adware:
Spyware y el adware son formas de un Trojan Horse.
Los programas de Spyware realizan una función útil, y también
instalan un programa ese uso de los monitores de la computadora de la
víctima con el fin de la comercialización al usuario.
Los programas de Adware son similares espiar programas de las
mercancías, a menos que el software adicional ellos instale mensajes
de publicidad de las demostraciones directamente al usuario.
Byline:
Suhas Desai está trabajando con Mahindra Ltd. Pune, la India
del tech como revelador del software.
Él ha contribuido el trabajo definitivo en dominio de la
seguridad de la biométrica y su trabajo de proyecto sobre “la tarjeta Bio-elegante para RFID en el racimo de Linux” se ha reconocido extensamente cerca -
1. 11mo IEEE en tiempo real y encajó el simposio de
los sistemas llevado a cabo en California.
2. La EXPO 2004 de ISA, una conferencia de la seguridad
sostuvo en Tejas.
3. E-SMART 2005, un simposio elegante de la innovación de
la tarjeta, Francia.
Él ha sido autor de muchos papeles de investigación, los
artículos y las características para las conferencias
internacionales y nacionales reputadas, los diarios, los
procedimientos y los portals del Web. Su trabajo sobre
RFID se ha honrado para “el
InTech”, un diario global de la automatización en Tejas.
Él puede alcanzado en desai.suhas@gmail.com o suhasde@techmahindra.com
esto es un artículo agregado por Suhas Desai