Trojans und Backdoors
Das Trojan Horse erhielt seinen Namen von der alten
mythischen Geschichte über, wie der Grieche ihrem Feind ein sehr
großes hölzernes Pferd als Geschenk während des Krieges gab.
Der Feind nahm dieses Geschenk an und er holten es in ihr
Königreich, und während der Nacht, krochen griechische Soldaten aus
dem Pferd heraus und nahmen die Stadt in Angriff und vollständig
überwanden es.
Ein Trojan Horse ist ein nicht autorisiertes Programm, das
innerhalb eines gesetzmaßigen Programms enthalten wird. Dieses
nicht autorisierte Programm führt die Funktionen durch, die durch den
Benutzer unbekannt sind. Ein gesetzmaßiges Programm, das durch
die Plazierung des nicht autorisierten Codes innerhalb es geändert
worden ist; dieser Code führt die Funktionen durch, die durch
den Benutzer unbekannt sind.
Funktion:
Trojans kommen in zwei Teile, in ein Klient Teil und in
ein Bedienerteil. Wenn das Opfer den Bediener auf seiner
Maschine laufen läßt, verwendet der Angreifer dann den Klienten, um
an den Bediener anzuschließen und das, Trojan zu verwenden zu
beginnen. TCP/IP Protokoll ist die übliche Protokollart, die
für Kommunikationen benutzt wird, aber einige Funktionen des Trojans
verwenden das UDP Protokoll außerdem. Wenn der Bediener auf den
Computer des Opfers laufen gelassen wird, versucht er (normalerweise),
sich auf dem Computer, der Anfang irgendwo zu verstecken, der auf
etwas port(s) auf ankommenden Anschlüssen vom Angreifer hört,
ändert das Register und/oder verwendet irgendeine andere beginnende
Selbstmethode.
Es ist notwendig für den Angreifer, IP address des Opfers zu
kennen, um an seine/ihr Maschine anzuschließen. Viel haben
Trojans Eigenschaften wie Postsendung IP des Opfers, sowie
Nachrichtenübermittlung der Angreifer über ICQ oder IRC.
Dieses wird verwendet, wenn das Opfer dynamisches IP hat, das
bedeutet, daß jedesmal Sie an das Internet anschließen, das Sie ein
anderes IP erhalten (die meisten anwählbaren Benutzern haben Sie
dieses).
Die meisten Automobil-Beginnenden Methoden des Trojans
Gebrauches also, selbst wenn Sie Ihren Computer schließen,SIND sie in
der Lage, dem Angreifer Zugang zu Ihrer Maschine wiederzubeginnen und
wieder zu geben. Neue Automobil-beginnende Methoden und andere
Tricks werden die ganze Zeit entdeckt. Die Vielzahl fährt "vom
Verbinden" des Trojan in irgendeine vollziehbare Akte, die Sie sehr
häufig wie explorer.exe benutzen, z.B., ab und geht zu den bekannten
Methoden wie dem Ändern der System Akten oder des Windows Registers.
System Akten sind im Windows Verzeichnis und sind hier kurze
Erklärungen ihres Mißbrauches durch die Angreifer:
- Selbstanfangsheft - das Selbstanfangsheft ist- in
C:\Windows\Start Menu\Programs\startup und wie der Name schon andeutet
beginnt automatisch alles, das dort gesetzt wird.
- Win.ini - Windows System Akte mit load=Trojan.exe
und run=Trojan.exe, das Trojan durchzuführen
- System.ini - Das Verwenden von von
Shell=Explorer.exe trojan.exe ergibt Durchführung jeder Akte nach
Explorer.exe
- Wininit.ini - Einstellung-Programme
verwenden es meistens; laufen Sie einmal, es wird
Automobil-gelöscht, das sehr handlich ist, damit Trojans
wiederbeginnt
- Winstart.bat - Dienen, als eine normale
Hiebakte Trojan als @trojan.exe hinzugefügt wird, um seine
Durchführung vom Benutzer zu verstecken
- Autoexec.bat - Es ist eine DOS
Automobil-beginnende Akte und es wird als Automobil-beginnende Methode
so - > c:\Trojan.exe verwendet
- Config.sys - Als konnte das
Automobil-Beginnen Methode für Trojans auch verwendet werden
- Forscher-Start - eine ist das Automobil-Beginnen
Methode für Windows95, 98, ICH und wenn c:\explorer.exe besteht, wird
es anstelle vom üblichen c:\Windows\Explorer.exe begonnen, das der
allgemeine Weg zur Akte ist.
Register wird häufig in den verschiedenen Automobil-beginnenden
Methoden verwendet. Sind hier einige bekannte Weisen:
[ HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current
Version\Run ]
"Info"="c:\directory\Trojan.exe"
[
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce ]
"Info"="c:\directory\Trojan.exe"
[
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
]
"Info"="c:\directory\Trojan.exe"
[
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
]
"Info="c:\directory\Trojan.exe "
[ HKEY_CURRENT_USER\Software\Microsoft\Windows\Current
Version\Run ]
"Info"="c:\directory\Trojan.exe"
[
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce ]
"Info"="c:\directory\Trojan.exe"
- Register-Oberteil Geöffnet
[ HKEY_CLASSES_ROOT\exefile\shell\open\command ]
[
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command ]
Ein Schlüssel mit dem Wert "%1 % *" gesetzt
werden sollten dort und wenn es irgendeine vollziehbare Akte gibt, die
dort gesetzt wird, wird sie jede Zeit Sie geöffnet eine Binärdatei
durchgeführt. Sie wird so verwendet: trojan.exe "%1 % *";
dieses würde das Trojan wiederbeginnen.
- ICQ Netz Ermitteln Methode
[
HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps \ ]
Dieser Schlüssel schließt alle Akten mit ein, die
durchgeführt werden, wenn ICQ Internet-Anschluß ermittelt. Wie
Sie verstehen können, ist diese Eigenschaft von ICQ sehr handlich,
aber sie wird häufig von den Angreifern außerdem mißbraucht.
- ActiveX Bestandteil
[ HKEY_LOCAL_MACHINE\Software\Microsoft\Active
Setup\Installed Components\KeyName ]
StubPath=C:\directory\Trojan.exe
Diese sind die allgemeinsten Automobil-Beginnenden
Methoden mit Windows System Akten und das Windows Register.
Trojans Veränderungen
1.Remote Zugang Trojans
Diese sind vermutlich das öffentlich verwendete
Trojans, gerade weil sie den Angreifern die Energie geben, mehr Sachen
auf der Maschine des Opfers als das Opfer zu tun selbst, beim Stehen
vor der Maschine. Die meisten diesen Trojans sind häufig eine
Kombination der anderen Veränderungen, die Sie unten lesen. Die
Idee von diesen Trojans ist, dem Angreifer einen KOMPLETTEN Zugang zu
jemand zu geben Maschine und macht folglich zu den Akten, zu den
privaten Gesprächen, zu den Buchführungsangaben, zu usw.
zugänglich.
2. Kennwort, das Trojans Sendet
Der Zweck von diesen Trojans ist, alle cachierten
Kennwörter zu zerreißen und nach anderen Kennwörtern auch zu
suchen, die Sie dann eintragen, schicken Sie sie zu einer spezifischen
Postadresse, ohne den Benutzer, der alles beachtet. Kennwörter
für ICQ, IRC und ftp, HTTP oder jede mögliche andere Anwendung, die
einen Benutzer erfordern, ein LOGON-Kennwort einzutragen, werden
zurück zu der Adresse E-mail des Angreifers gesendet, die in den
meisten Fällen an irgendeinem freies Netz gegründetem E-mail
Versorger sitzt. Die meisten ihnen beginnen nicht wieder, wann
Windows geladen wird, da die Idee ist, so viel Info über die Maschine
des Opfers wie Kennwörter, Trebermaschinenbordbücher, ICQ Gespräche
zu erfassen und sie zu verschicken; aber sie hängt von den
Notwendigkeiten des Angreifers und der spezifischen Situation ab.
3. Keyloggers
Dieses sollen Trojans die Tastenanschläge des Opfers
loggen und ließen dann den Angreifer nach Kennwörtern oder anderen
empfindlichen Daten in der Maschinenbordbuchakte suchen. Die
meisten ihnen kommen mit zwei Funktionen wie on-line-- und indirekter
Aufnahme. Selbstverständlich konnten sie zu zusammengebaut
werden
schicken Sie die Maschinenbordbuchakte zu einer
spezifischen E-mail Adresse auf einer täglichen Grundlage.
4. Zerstörend
Die einzige Funktion von diesen Trojans ist, Akten zu
zerstören und zu löschen. Dieses bildet sie sehr einfach und
einfach zu verwenden. Sie können alle Ihre Kernsystem Akten
automatisch löschen (zum Beispiel: dell, in oder exe ordnet,
vielleicht andere) auf Ihrer Maschine ein. Das Trojan wird durch
den Angreifer aktiviert oder manchmal arbeitet wie A Logikbombe und
beginnt an einem spezifischen Tag und an der spezifischen Stunde.
5.Denial Des Angriffs Trojans Des Service-(DOS)
Dieses erhalten Trojans diese Tage sehr populär und
geben dem Angreifer Energie, DDoS zu beginnen, wenn, genügende Opfer
habend selbstverständlich. Der Grundgedanke ist, daß, wenn Sie
200 ADSL Benutzer anstecken lassen und anfangen, das Opfer
gleichzeitig anzugreifen, dieser eine Menge Verkehr (dann die
Bandbreite des Opfers, in den meisten Fällen) erzeugt und sein wird
der Zugang zum Internet geschlossen. WinTrinoo ist ein DDoS
Werkzeug, das vor kurzem wirklich populär geworden ist, und wenn der
Angreifer viele ADSL Benutzer angesteckt hat, konnten
Hauptinternet-Aufstellungsorte infolgedessen geschlossen werden, wie
wir ihn gesehen haben, in den letzten Monaten zu geschehen.
Eine andere Veränderung eines DOS Trojan ist die Post-Bombe
Trojan, deren Hauptziel, da viele Maschinen anzustecken ist, wie
möglich und spezifische E-mail address/addresses mit gelegentlichen
Themen und Inhalt gleichzeitig in Angriff zu nehmen, die nicht
gefiltert werden können.
6.Proxy/Wingate Trojans
Die interessante Eigenschaft, die in vielen trojans
eingeführt wird, macht den Computer des Opfers zu einen proxy/wingate
Bediener, der zur ganzen Welt oder nur zum Angreifer vorhanden ist.
Sie wird für anonymes telnet, ICQ, IRC, etc. und, Gebiete mit
gestohlenen Kreditkarten auch zu registrieren und für viele andere
ungültige Tätigkeiten verwendet. Dieses gibt dem Angreifer
komplette Anonymität und die Wahrscheinlichkeit, alles von IHREM
Computer zu tun und wenn he/she erhält, verfing sich die Spur
Leitungen zurück zu Ihnen.
7.FTP Trojans
Diese trojans sind vermutlich einfachsten und sind Art
von, die einzige Sache, die sie, PortTor 21(the für ftp
Übertragungen zu öffnen) so überholter auch ist und JEDER an Ihre
Maschine oder gerade den Angreifer anschließen ließ. Neuere
Versionen sind das Kennwort, das das so nur eins geschützt wird, das
Sie kann an Ihren Computer anschließen ansteckte.
Abfragung 8.Software Mörder
Es gibt solche Funktionalitäten, die in etwas trojans
errichtet werden, aber es gibt auch unterschiedliche Programme, die
ZoneAlarm, Norton Anti-Virus und viele andere Programme (populäres
anti-virus/firewall) töten, die Ihre Maschine schützen. Wenn
sie untauglich sind, hat der Angreifer den vollen Zugang zu Ihrer
Maschine, zum etwas ungültiger Tätigkeit durchzuführen, benutzt
Ihren Computer, um andere in Angriff zu nehmen und häufig zu
verschwinden. Obwohl Sie beachten können, daß diese Programme
nicht richtig arbeitend oder arbeitend sind, dauert es Ihnen einige
Zeit, das Trojan zu entfernen, die neue Software anzubringen, sie
zusammenzubauen und mit etwas Richtung der Sicherheit on-line zurück
zu erhalten.
Wie Ich Angesteckt Erhalten Kann
Das Folgen sind Weisen, angesteckt mit Trojans zu
erhalten:
1 ICQ
IRC 2
3 Zubehöre
4 Systemtest-Zugang
Software-Wanzen Der Datenbanksuchroutine-5 Und Der
E-mail
6 Netbios(FileSharing)
Trojan Programme: Trojans kann
wie eingestuft werden:
1.Backdoors
2.General Trojans
3.PSW Trojans
4.Trojan Clickers
Download-Programme 5.Trojan
Tropfenzähler 6.Trojan
Vollmächte 7.Trojan
Spione 8.Trojan
Melder 9.Trojan
10.ArcBombs
Backdoors
Heute sind backdoors die gefährlichste Art von
Trojans und das weitverbreiteteste. Dieses sind Trojans
Remoteleitung Dienstprogramme, die geöffnete angesteckte Maschinen
zur externen Steuerung über einen LAN oder das Internet. Sie
arbeiten genauso wie die zugelassenen Remoteleitung Programme, die von
den Systemverwaltern verwendet werden. Dieses bildet sie
schwierig detect.The nur zum Unterschied zwischen einem zugelassenen
Leitung Werkzeug und einem heimlichem ist, daß backdoors ohne das
Wissen oder die Zustimmung des Benutzers der Opfermaschine angebracht
und ausgestoßen werden. Einmal wird das heimliche, es
überwacht das lokale System ohne das Wissen des Benutzers
ausgestoßen; häufig ist das heimliche nicht im
Maschinenbordbuch der laufenden Programme sichtbar.
Sobald eine utilitiy Remoteleitung erfolgreich angebracht worden
und ausgestoßen worden ist, ist die Opfermaschine weit geöffnet.
Heimliche Funktionen können einschließen:
1.Sending/, das Akten empfängt
2.Launching/, das Akten löscht
Akten 3.Executing
Mitteilung 4.Displaying
Daten 5.Deleting
6.Rebooting die Maschine
Das heißt, werden backdoors von den
Virusverfassern verwendet, um zu ermitteln und vertrauliche
Informationen zu downloaden, führen Sie böswilligen Code, zerstören
Daten, mit.einschließen die Maschine in den BOT Netzen und so weiter
durch. Kurz gesagt kombinieren backdoors die Funktionalität der
meisten anderen Arten Trojans in einem Paket.
Backdoors haben eine besonders gefährliche Unterklasse:
Varianten, die wie Endlosschrauben fortpflanzen können.
Der einzige Unterschied ist, daß Endlosschrauben programmiert
werden, ständig fortzupflanzen, während diese ' beweglichen '
backdoors nur nach einem spezifischen Befehl vom ' Meister '
verbreiten.
General Trojans
Diese lose Kategorie schließt eine Vielzahl von
Trojans, die Opfermaschinen beschädigen oder Datenintegrität
bedrohen, ein oder hindert das Arbeiten der Opfermaschine.
Mehrzwecktrojans sind auch in dieser Gruppe eingeschlossen, da
einige Virusverfasser Multifunktionstrojans anstatt Trojan Sätze
verursachen.
PSW Trojans
Diese Familie von Trojans stiehlt Kennwörter,
normalerweise System Kennwörter von den Opfermaschinen. Sie
suchen nach System Akten, die vertrauliche Informationen wie Kennwort-
und Internet-Zugangstelefonnummern enthalten und dann diese
Informationen zu einem email address schicken, das in den Körper des
Trojan kodiert wird. Es wird dann vom ' Meister ' oder vom
Benutzer des ungültigen Programms zurückgeholt.
Einige PSW Trojans stehlen andere Arten Informationen wie:
System Details (Gedächtnis, Speicherkapazitaet,
Betriebssystemdetails)
Lokaler email Klient
IP-ADRESSIEREN Sie
Ausrichtung Details
Kennwörter für on-line-Spiele
Trojan-AOL sind PSW Trojans, das Kennwörter für AOL
stehlen (amerikanisches on-line), das sie in Untergruppen enthalten
werden, weil sie so zahlreich sind.
Trojan Clickers
Diese Familie von Trojans adressiert
Opfermaschinen zu spezifizierten Web site oder zu anderen Internet
Informationsquellen um. Clickers entweder schicken die
notwendigen Befehle zur Datenbanksuchroutine oder ersetzen System
Akten, in denen Standardinternet urls gespeichert werden (z.B. '
bewirtete Akte in MS Windows).
Clickers werden verwendet:
die Erhöhung 1.To schlagen-zählen von einem spezifischen
Aufstellungsort für das Annoncieren von von Zwecken
2.To organisieren einen DOS Angriff auf einem
spezifizierten Bediener oder einem Aufstellungsort
Leitung 3.To das Opfer zu einem angesteckten
Hilfsmittel, in dem die Maschine durch anderes malware in Angriff
genommen wird (Viren oder Trojans)
Trojan Download-Programme
Diese Familie von Trojans downloadet und bringt
neues malware oder adware auf die Opfermaschine an. Das
Download-Programm dann entweder stößt das neue malware aus oder
registriert es, um autorun entsprechend den lokalen
Betriebssystemanforderungen zu ermöglichen. Das ganzes dieses
wird ohne das Wissen oder die Zustimmung des Benutzers getan.
Die Namen und die Positionen des downloadet zu werden malware
werden entweder in das Trojan kodiert oder downloadet von einer
spezifizierten Web site oder von anderer Internet-Position.
Trojan Tropfenzähler
Dieses werden Trojans verwendet, um anderes
malware auf Opfermaschinen ohne das Wissen des Benutzers anzubringen.
Tropfenzähler bringen ihre Nutzlast entweder an, ohne
irgendeine Mitteilung anzuzeigen oder eine falsche Anzeige über eine
Störung anzuzeigen in eine archivierte Akte oder in das
Betriebssystem. Das neue malware wird zu einer spezifizierten
Position auf einer lokalen Scheibe fallengelassen und ausgestoßen
dann.
Tropfenzähler werden normalerweise folgendermaßen
strukturiert:
Die Tropfenzählerfunktionalität enthält Code, um alle
Nutzlast Akten anzubringen und durchzuführen.
In den meisten Fällen enthält die Nutzlast anderes Trojans und
mindestens einen Hokuspokus: Witze, Spiele, Graphiken und so
weiter. Der Hokuspokus wird, um den Benutzer abzulenken
bedeutet oder zu prüfen, daß die Tätigkeit, die durch den
Tropfenzähler verursacht wird, harmlos ist, während sie wirklich
dient, die Installation der gefährlichen Nutzlast zu verdecken.
Die Häcker, die solche Programme verwenden, erzielen zwei
Zielsetzungen:
Versteckte oder verdeckte Installation von anderem Trojans oder
von Viren
Antivirus Lösungen betrügen, die nicht imstande sind,
alle Bestandteile zu analysieren
Trojan Vollmächte
Dieses liefern Trojans Funktion als proxy server
und anonymen Zugang zum Internet von den Opfermaschinen. Heute
dieses sind Trojans mit Spammers sehr populär, die immer zusätzliche
Maschinen für MassenPostsendungen benötigen. Viruskodierer
häufig schließen Trojan-Vollmächte in den Trojan Sätzen ein und
verkaufen Netze der angesteckten Maschinen an Spammers.
Trojan Spione
Diese Familie schließt eine Vielzahl der
Spionprogramme und der Schlüsselblockwinden ein, die
Benutzertätigkeit auf der Opfermaschine und dann vorwärts diesen
Informationen zum Meister aufspüren und speichern.
Trojan-Spione sammeln einen Informationsumfang
einschließlich:
1.Keystrokes
2.Screenshots
3.Logs der aktiven Anwendungen
Tätigkeiten des Benutzers 4.Other
Dieses werden Trojans häufig verwendet, um
Bankverkehr und andere finanzielle Informationen zu stehlen, um
on-line-Betrug zu stützen.
Trojan Melder
Dieses informieren Trojans den ' Meister ' über
eine angesteckte Maschine. Melder bestätigen, daß eine
Maschine erfolgreich angesteckt worden ist, und senden Informationen
über IP-ADRESSIEREN, geöffnete Portzahlen, das email address etc.
der Opfermaschine. Diese Informationen können von email, zur
Web site des Meisters oder von ICQ gesendet werden.
Melder sind normalerweise in einem Trojan ' Satz '
eingeschlossen und benutzt, um den Meister nur zu informieren, daß
ein Trojan erfolgreich auf die Opfermaschine angebracht worden ist.
ArcBombs
Dieses sind Trojans die archivierten Akten, die
kodiert werden, um die Dekompressionseinrichtung zu sabotieren, wenn
es versucht, die angesteckte archivierte Akte zu öffnen. Die
Opfermaschine verlangsamt oder stößt zusammen, wenn die Trojan Bombe
explodiert, oder die Scheibe wird mit Unsinn Daten gefüllt.
ArcBombs sind für Bediener besonders gefährlich, besonders
wenn ankommende Daten zuerst automatisch verarbeitet werden: in
solchen Fällen kann ein ArcBomb den Bediener zerschmettern.
Es gibt drei Arten ArcBombs:
Überschrift 1.incorrect im Archiv,
Daten 2.repeating
Reihe 3.a identische Akten im Archiv.
Eine falsche Archivüberschrift oder verdorbenen Daten machen
beide veranlassen die Dekompressionseinrichtung zusammenzustoßen ein,
wenn sie das angesteckte Archiv öffnen und auspacken.
Eine große Akte, die enthält, Daten wiederholend, kann in ein
sehr kleines Archiv verpackt werden: 5 Gigabytes sind 200 KBS,
wenn sie mit RAR und 480 verpackt werden, KBS im
REISSVERSCHLUSS-Format.
Außerdem bestehen spezielle Technologien, um eine enorme Anzahl
von identischen Akten in einem Archiv zu verpacken, ohne die Größe
des Archivs selbst erheblich zu beeinflussen: zum Beispiel ist
es möglich, 10100 identische Akten in eine 30 KB RAR Akte oder in
eine 230 KBS Zip Datei zu verpacken.
Spyware und adware:
Spyware und adware sind Formen eines Trojan Horse.
Spyware Programme führen eine nützliche Funktion durch und
bringen auch ein Programm dieser Monitorverbrauch des Computers des
Opfers für Marketing zum Benutzer an.
Adware Programme sind ähnlich, Wareprogramme auszuspionieren,
ausgenommen die zusätzliche Software sie Werbebotschaften der
Erscheinen direkt zum Benutzer anbringen.
-----------------------------------------------------------------------------------------
Byline:
Suhas Desai arbeitet mit Tech Mahindra Ltd. Pune, Indien als
Software-Entwickler.
Er hat endgültige Arbeit im Biometriesicherheit Gebiet
beigetragen und seine Projektarbeit über “Bio-intelligente Karte für RFID auf Linux Block” ist weit vorbei erkannt worden -
1. bettete 11. IEEE, das Realzeit ist u. die Systeme
Zusammenstellung ein, die bei Kalifornien gehalten wurde.
2. ISA EXPO 2004, eine Sicherheit Konferenz hielt bei
Texas.
3. E-SMART 2005, eine intelligente Karte Innovation
Zusammenstellung, Frankreich.
Er hat viele Forschung Papiere, Artikel und Eigenschaften für
angebliche internationale und nationale Konferenz-, Journal-,
Verfahren- und Netzportale geschrieben. Seine Arbeit über RFID
ist für das InTech “,”ein globales Automatisierung Journal bei Texas geehrt
worden. Er kann erreicht an
desai.suhas@gmail.com oder an
suhasde@techmahindra.com
dieses ist ein Artikel, der von Suhas Desai
hinzugefügt wird