Clasificaciones De Trojan
Los caballos de Trojan se miran generalmente como representación de un ataque contra la aislamiento (el conducir que roba de la contraseña, por ejemplo, al acceso y posiblemente a la modificación desautorizados), o contra la integridad (Trojans destructivo). Éste es sobresimplificado poco. Después de todo, la modificación desautorizada es un ataque contra integridad. Un programa aislamiento-invasor destruye a menudo archivos para cubrir sus pistas, y un atacante pudiera desear acceder para los propósitos específicamente destructivos. Además, este acercamiento presupone intento malévolo, que, como hemos visto, no se acepta universal como característica que define. Por lo tanto, algunos tipos se incluyen aquí que no se consideran a menudo en este contexto. La clase de carga útil que usted espera un Trojan Horse (técnico, supongo que era un caballo griego) a llevar pudiera reflejar su orientación que computaba. Por muchos años, los usuarios del chasis y de la minicomputadora tendieron para pensar en términos de los programas que robaron contraseñas o practicaron una abertura de otra manera aislamiento, mientras que los usuarios del microordenador tendieron para pensar en los términos de Trojans destructivo que ajustaron a formato discos o trashed sistemas de ficheros. En Trojans destructivo y aislamiento-invasor verdadero de la vida, se han sabido en ambos finales del espectro grande de Iron/PC por muchos años. Sin embargo, los años recientes han considerado más cruz-fertilizacio'n. Trojans DestructivoTrojans que propósito principal es destructivo ha plagado de largo a dueños del microordenador. Las docena listas sucia, primero publicadas vía FidoNet en los a mediados de los años ochenta, centrados originalmente en tales programas, y contemporáneamente la lista definieron un Trojan en términos del daño útil. Por supuesto, la lista pasó rápidamente los docena Trojans original y pasó a través de un número de cambios con los años 80 y los años 90. Puede ser que todavía sea posible encontrarla en algunos servidores del espejo de Simtel en la jerarquía del directorio de DOS/virus, pero está realmente solamente de interés histórico. Viejo Trojans del tipo enumeró generalmente en DIRTYD*.ZIP es casi invariable de breve duración. Malévolo, no-replegando programas también han estado divulgó extensamente sobre ers del comput de Macintosh, incluyendo Trojans destructivo. El virus Info pretendido para contener la información del virus pero trashed realmente discos. (no debe ser confundido con la referencia informativa [ pero anticuada ] del virus del apilado de HyperCard.) Un corte de la posdata que podría con eficacia hacer a ciertas impresoras de Apple inutilizables atacando los soportes lógico inalterable también excitó mucho interés contemporáneamente. NVP modificó el archivo del tem del sistema de modo que ningunas vocales pudieran ser mecanografiadas, y fue encontrado originalmente el masquerading como nueva mirada, que reajustó la exhibición. Se ha observado un más recientemente, más destructivo y aislamiento-invasor, compilado AppleScript Trojans. Sin embargo, el impacto social de tal Trojans es a menudo disproportional a su impacto en términos de incidentes reales. Puesto que no lo hacen uno mismo-repliegue, desemejante de virus y los gusanos, son menos probables ser separados por los terceros del innocent. Tienden para ser programados crudo. Los archivos de hornada simples usando DEL, DELTREE, o FORMATO siguen siendo campo común, compilado a veces en un archivo del EXE o del COM usando un recopilador del hornada-archivo tal como BAT2COM. Esto los hace más duros identificar. Trojans es generalmente acción directa, es decir, tan pronto como se ejecute un Trojan, hace todo su daño inmediatamente que éste milita contra su que es separado por las víctimas anteriores. Hay, sin embargo, Trojans residente que se instala para funcionarlos durante cada sesión que computa. A menudo, éstos se asocian a actividades tales como robar de la contraseña. Sin embargo, cualquier Trojan que carga útil no sea inmediatamente y abiertamente malévola maximiza sus propias ocasiones de ser pasado encendido. Ha habido por lo menos dos tentativas de pasar de Trojans como mejora a PKZip, la utilidad extensamente usada de la compresión del archivo. Un ejemplo reciente era los archivos PKZ300.EXE y PKZ300B.ZIP hizo disponible para descargar en ciertos sitios de Internet. Un Trojan anterior se pasó apagado como versión 2.0. Por esta razón, PKWare nunca ha lanzado una versión 2.0 de PKZip: probablemente, si lanzan siempre otra versión del DOS (inverosímil, en esta fecha, en mi opinión), no será numerado la versión 3.0(0). [ en hecho, la versión más última es 2.50 en la época de la escritura. ] En hecho, hay apenas cualquier caso sabido alguien que descarga y que es golpeada por este Trojan, que pocos personas han visto (la mayoría de los exploradores reputables del virus lo detectarán sin embargo). Por lo que sé, este Trojan fue visto solamente siempre en los servidores del warez (que se especializan en software pirateado). Hay casos registrados de una falsificación PKZIP contra. 3 encontrados infectados con un virus en-$$$-SALVAJE vivo verdadero del archivo, pero éste es también muy raros. Al mejor de mi conocimiento, la versión más última de PKZip es 2.04g [ ahora 2.50 ], o 2.50 para Windows [ ahora 2.60/2.70 ]. Había una versión 2.06 juntada específicamente para el uso interno de la IBM solamente (confirmado por PKWare). Si usted lo encuentra en la circulación, evítela. Es ilícito o una falsificación potencialmente perjudicial. La erupción reciente de resuscitated advertencias sobre esto es por lo menos en parte broma. No es un virus, él es un Trojan. (y no podría) no daña los módems, V32 o de otra manera, aunque supongo que un virus o un Trojan pudo alterar los ajustes de un módem—si sucedió estar encendido y conectó…. Aparece suprimir archivos, para no destruir discos irrevocablemente. Es ciertamente una buena idea evitar los archivos que demandan ser PKZip contra. 3, pero el riesgo verdadero justifica apenas la anchura de banda que esta alarma ha ocupado. ¿Por qué es una historia interesante del caso? Para una cosa, el tema del ataque es una blanco típica para un Trojan destructivo que se pase apagado pues no es algo él. PKZip es una utilidad popular y muy útil del shareware. Recientemente, ha sido eclipsado algo por otras utilidades usando el mismo formato de la compresión, que pudo explicar porqué PKZip es una blanco menos atractiva para Trojanization hoy en día. En el siguiente, referimos a una utilidad similar para el mac que identidad también purloined para engañar a víctimas incautas en el funcionamiento de un programa del imposter. En segundo lugar, era un programa falsificado que no hizo ningún esfuerzo de asumir el aspecto o la funcionalidad del programa que identidad demandó. Esto es característico de la acción directa, Trojans destructivo, pero no una característica que define. Tercer y lo más interesante posible, un programa que muy pocos personas vieron siempre se convirtió en un fastidio importante debido a el número de la gente que recibió y pasó en "semi-hoaxified" el cuidado sobre el Trojan. En hecho, el impacto de la letra de cadena era más serio que el Trojan sí mismo era siempre probable ser. (éste es un efecto secundario no infrecuente de la acción directa Trojans, pero exhibe raramente tal impacto espectacular.) Por la semi-broma, referimos a una alarma engañosa basada en un virus o un Trojan verdadero, pero en cuál se ha introducido bastante información falsa para rendirlo demasiado inexacto ser útil. Debemos distinguir probablemente aquí entre un número de posibilidades:
¿No es una advertencia cualquiera una broma o no una broma? Pienso no. El intento a la broma (o la carencia de ella) pudo ser absoluta, pero la mezcla del hecho y ficción es corriente en las bromas, donde el hecho presta la ayuda circunstancial a una aserción esencialmente ficticia. En finales de 1997, una versión falsa del Stuffit de lujo fue distribuida. (el Stuffit es otra herramienta que archiva popular usada sobre todo en los macs.) Durante la instalación, el programa los ficheros del sistema de la llave de cancelación. Los sistemas de Aladdin, fabricantes del Stuffit, publicaron advisories extensos sobre el Trojan en ese entonces. Trojans malévolo también se ha conocido al masquerade como software del contra-virus. Un Trojan muy bien conocido que combinó sabotaje y la extorsión era el Trojan Horse de la PC CYBORG, o SIDA Trojan. En 1989, unas 10.000 copias de un diskette de la información del SIDA fueron distribuidas en Europa, África, Escandinavia, y Australia, muchas a los establecimientos médicos. Después de que el programa fuera instalado y funcionamiento, un programa ocultado cifró el disco duro después de un número del sistema de reboots. La idea era que la víctima tendría que enviar un "honorario de licencia" a la dirección panamanian de la PC Cyborg para conseguir la llave del desciframiento. Afortunadamente, un investigador del virus en el Reino Unido agrietó el cifrado. Trojans Aislamiento-InvasorTrojans Aislamiento-invasor realiza generalmente una cierta función que revele a la información vital y privilegiada del programador sobre un sistema o de otra manera los compromisos que sistema. Las contraseñas son, por razones obvias, una blanco muy común. Lata también (o en lugar de otro) encubren una cierta función que cualquiera revele a la información vital y privilegiada del programador sobre un sistema o los compromisos que sistema. Algunas compañías del contra-virus han distinguido entre Trojans aislamiento-invasor PC-ESPECI'FICO y Trojans destructivo restringiendo el uso del término Trojan a los programas destructivos. Utilizan los stealers de la contraseña del término para los programas aislamiento-invasores más comunes. Por la mitad último de los años 90, contraseña-robar los programas estado dirigidos específicamente a los usuarios de AOL se parecía llegar a ser muy común (algunas estimaciones en el número de tales programas se levantaron a muchos centenares). Un cierto software del contra-virus utiliza un identificador del APS para tales programas, estando parado probablemente para la contraseña Stealer de AOL. Sin embargo, AOL no es y nunca no era el único servicio vulnerable. En su papel donde hay humo, allí es espejos, Sarah Gordon y el ajedrez de David describe el funcionar de simulaciones del usuario en AOL sobre un período de siete meses. Mientras que las tentativas fueron hechas de ganar su maniquí users'screen las contraseñas, estas técnicas sociales directas generalmente usadas de la ingeniería de las tentativas por los correspondientes masquerading como personal de AOL, más bien que indirectamente con programas que roban de la contraseña. Puerta Trasera TrojansTrojans tiene, a partir de tiempo al tiempo, plantado en usos legítimos. Ken Thompson describe en reflexiones en confiar en confianza un número de panoramas (no enteramente hipotéticos) interesantes, el ser más famoso el panorama del recopilador de Trojanized. En este caso, el software de la producción ofrece a medios del acceso privilegiado a cualquier persona saber de la puerta trasera o del trapdoor descrito. Las puertas traseras y los trapdoors que ofrecen el acceso desautorizado (y quizá la modificación) no son los únicos casos del código desautorizado introducidos en programas legítimos, sin embargo. Muchos dueños del mac que compraron cierta marca de fábrica del teclado de tercera persona con un Trojan hardcoded en viruta de la ROM encontraron que el texto "recepción Datacomp" fue insertado en sus documentos en los intervalos al parecer al azar. Las placas base de la PC con un BIOS de Trojanized fueron caracterizadas por el "feliz cumpleaños" jugado a través del altavoz del sistema en el cargador-para arriba, al parecer en el cumpleaños del programador. Herramientas Del Acceso Alejado (Ratas)Aunque pocos vendedores del contra-virus demandarían detectar todo el Trojans conocido, detecte más por lo menos alguno en las plataformas para las cuales él tiene productos, especialmente esas Trojans que dirige daño. Las herramientas del acceso alejado (ratas) por ejemplo Netbus y el orificio trasero, sin embargo, montan una línea a horcajadas entre la administración legítima de los sistemas (similar a ésa realizada por programas tales como PC dondequiera) y el acceso desautorizado secreto. Cuando persuaden el dueño del sistema funcionar el programa de la instalación, un programa del servidor está instalado que se puede alcanzar de un programa del cliente sobre una máquina remota sin el conocimiento del usuario. El servidor se utiliza para manipular la máquina de la víctima. Funcionalmente, no pudo haber diferencia entre una RATA y una herramienta "legítima". La diferencia miente no en la funcionalidad, sino en la facilitación de la disponibilidad secreta de esa funcionalidad a los individuos desautorizados. Como con los succionadores y los exploradores de la red, no es lo que hace el programa tanto mientras que se está utilizando la razón él. ¿Con todo si el software de la RATA está instalado dispuesto, abriendo el sistema en un ataque el usuario no espera, eso le hace un Trojan? Usar Microsoft Word también hace a usuario vulnerable a los ataques que él puede ser que no haya anticipado. Era, por ejemplo, los años antes de algunos usuarios de la computadora realizaron literalmente que eso usar versiones de la palabra y de otros usos de Microsoft Office que apoyaban idiomas macro les hizo vulnerable a los virus macro y a Trojans. ¿Eso hace Bill Gates a autor de Trojan? No, porque la funcionalidad en este caso se generaliza también para ser descrita como puerta trasera. Sin embargo, una RATA que difunde su presencia a un hacker, que sonda una gama característica de los números de acceso, puede ser descrita ciertamente como puerta trasera Trojan. Promueve las intenciones del autor y derriba las expectativas de la víctima. Esto es una edición seria—no lo menos en que los "malos individuos" refieren con frecuencia a los defectos del software legítimo (especialmente Microsoft) como si los insectos imprevistos en oficina justificaran sus propias actividades premeditadas. No obstante, algunos autores de la RATA han explotado esta ambivalencia produciendo versiones "profesionales" de tal software y cargando para ellos. Esto permite que los autores se quejen del contra-capitalista, comportamiento anticompetitivo de los vendedores de la seguridad que detectaron su programa como un Trojan (o, todo demasiado a menudo e inexacto, un virus). Trabaja, también. Varios vendedores del contra-virus han caído la detección de la versión profesional de Netbus, a pesar de el murkiness de sus antecedentes y de su potencial de continuación para el uso erróneo. Otros han salido de su manera de distinguir entre las favorables instalaciones estándares de Netbus y las instalaciones de Trojanized. CuentagotasUn cuentagotas es un programa que no es sí mismo un virus, pero se piensa instalar un virus. Curiosamente, dado la asociación popular de Trojans y de virus, los cuentagotas son un punto de entrada comparativamente raro para los virus en el salvaje. En el mundo de la PC, los programas del cuentagotas son lo más comúnmente posible asociados con el transporte de virus del sector del cargador a través de redes, y se pueden utilizar para ese propósito por los investigadores favorables y del contra-virus. Pueden ser utilizados como los medios secretos de introducir un virus sobre un sistema, si la víctima puede ser persuadida por técnicas sociales de la ingeniería funcionar el programa del cuentagotas. Los cuentagotas se han utilizado asombrosamente con frecuencia en el mundo del mac, aunque. El virus de MacMag fue introducido vía un apilado de HyperCard llamado los productos New Apple. El juego de Tetracycle fue implicado en la extensión original de MBDF. ExtensionConflict se supone para identificar conflictos entre las extensiones (ahora hay una sorpresa), pero instala el virus de SevenDust. SevenDust y MBDF todavía se están divulgando en el campo. Detrás en el mundo de la PC, la alarma roja del equipo muddied las aguas uniendo un cuentagotas del virus alegadas para ser un arreglo para un virus que no lo hizo y no podría existir posiblemente. BromasLos programas de la broma son casi tan viejos como computando. Un ejemplo venerable es el programa de la galleta de PDP, que hizo estallar para arriba y pidió a víctima una galleta. Tales programas han encantado o han sido irritados a los usuarios de la PC y del mac de largo. La confusión tiene presentada debido al hábito del software del contra-virus de alertar (que usa el virus de la palabra) no solamente en virus y Trojans, pero en programas de la broma tales como CokeGift. Este programa extensamente distribuido ofrece a víctima su bandeja del CD como un sostenedor para su bebida fizzy (o posiblemente polvo blanco para la ingestión nasal o el combustible fósil carbonífero). Lindo para alguno, irritando para otros, pero no exactamente peligroso para la vida. Sin embargo, la práctica de alertar en programas de la broma pudo haberse presentado en respuesta a los programas supuestos de la broma que amenazan ajustar a formato discos, o demanda haber hecho así pues, pero no hace ninguna tal tentativa real. De hecho, ha habido los casos cuando, qué un vendedor ha divulgado como Trojan, otro vendedor divulgado como broma. BombasLas bombas de la lógica son los programas malévolos que ejecutan su carga útil cuando se resuelve una condición preprogramada. Cuando la condición del disparador es una hora o una fecha, la bomba de tiempo del término puede ser utilizada. Un descanso es una bomba de la lógica usada a veces para hacer cumplir términos del contrato. Característico, el programa para el funcionar a menos que una cierta acción se tome para indicar (por ejemplo) que se ha pagado el honorario de licencia, o han pagado el contratista que escribió el código. No es desconocido para que un contratista introduzca más bomba de tiempo drástica que se accionará si se presenta un pago excesivo del conflicto. El uso de la bomba de la palabra sugiere una carga útil destructiva, pero esta necesidad, en hecho, sea el caso. Las bombas del correo y las bombas de la suscripción son ataques del DOS (Negacio'n-de-Servicio) previstos para incomodar a la víctima estropeando su o su caja con una presa del correo. Esto es hecha a menudo suscribiendo a la víctima a una gran cantidad de listas que envían. El email Trojans existe ciertamente, aunque el email es más comunmente un vector de la infección para los virus y los gusanos. El ANSI del término bombardea refiere generalmente al mensaje del correo o al otro archivo de texto que se aprovecha de un realce al conductor del MS-DOS ANSI.SYS. Esto permite que las llaves sean redefinidas con una semencia de escape, en este caso, para repetir un cierto comando potencialmente destructivo a la consola. Tales programas eran contemporáneamente divulgaron absolutamente con frecuencia sobre Fidonet. Sin embargo, pocos sistemas funcionan hoy en día los programas que requieren la emulación terminal del ANSI, y ANSI.SYS no está instalado normalmente en Windows 9x o más adelante. Hay alternativas a ANSI.SYS que no apoyen la redefinición del teclado, o permite que sea dada vuelta apagado. RootkitsUn rootkit es un ejemplo de un sistema de trojanized programas del sistema que un intruso que maneja rai'z-compromiso un sistema pudo poder substituir para los equivalentes del commands'standard. Los ejemplos incluyen versiones modificadas de las utilidades de sistema tales como tapa y picosegundo, permitiendo que los procesos ilegítimos funcionen inadvertido; demonios modificados para comprometer entradas del registro o para ocultar conexiones; las utilidades gimmicked para permitir a la escalada arraigar privilegios u ocultar los archivos componentes o la otra funcionalidad backdoor (contraseñas secretas del rootkit para permitir el acceso privilegiado, por ejemplo). Los programas asociados incluyen los succionadores de paquete y los redactores de utmp/wtmp (usados para cuidar ficheros de diario). Rootkits existe para un número de sabores de UNIX, y está apareciendo en versiones del NT. Sin embargo, las versiones one-off de Trojanized de la conexión (es decir, versiones no incluidas en una habitación de programas tales como un rootkit) se han utilizado, por ejemplo, para cosechar contraseñas puesto que Pontius programado en PILOTO. La publicación de papel de Sarah Gordon de las vulnerabilidades y de la herramienta (procedimientos de la twelfth conferencia del mundo sobre la computadora Security, Audit y Control, 1995) incluye un análisis técnico de algunos componentes del rootkit. Agentes De DDoSLas herramientas de DDoS (Negacio'n-de-Servicio distribuido) tienen gusto de Stacheldraht, TFN2K, y Trinoo es Trojans diseñado con un propósito muy específico. Son pensadas para traer abajo los servidores del Internet remotamente coordinando ataques del paquete-packet-flooding de las máquinas múltiples. Típicamente, el intruso controla un número de máquinas principales. Éstos, alternadamente, controlan a demonios en las máquinas remotas. Instalado secretamente, su presencia es encubierta a menudo por la instalación de rootkits. Los demonios pueden ser instalados en muchos centenares de máquinas remotas, todos los ataques del flooding que dirigen en el sistema de la víctima. La instalación y la presencia de una herramienta del ataque de DDoS se pueden detectar por los mismos medios que el otro malware. Es decir, reconocimiento de una secuencia específica de la búsqueda (sabida algo detección), de la exploración heurística, y de la detección del cambio. Los exploradores del virus detectaron generalmente las herramientas sabidas de DDoS. El tráfico de la red se puede supervisar para las características tales como paquetes del IP con spoofed direcciones de la fuente. Los sistemas de la detección de la intrusión se pueden configurar para explorar para los patrones característicos de comunicaciones entre el software principal y el software del demonio. esto es un artículo agregado por Marcel Baldwin
|
|||
|