トロイの木馬やバックドア
トロイの木馬は、その名前から、昔の方法については、ギリシア神話の物語は、敵の巨大な木製の馬の贈り物として戦争中にします。
この贈り物を受け入れ、敵とそれを持ってきて王国、そして夜の間に、ギリシャの兵士のうち、 creepの過去過去分詞馬とその都市を攻撃し、完全に克服しています。
トロイの木馬、不正なプログラムは、正当なプログラムに含まれています。 この機能の不正なプログラムを実行し、ユーザーに知られています。 正当なプログラムの改変されてきた不正なコード内に配置されること;このコードを実行する機能をユーザーに知られています。
作業:
トロイの木馬には2つの部分で、クライアントとサーバーの部分部分です。 を実行したときの犠牲者は、サーバーマシンの場合、攻撃者は、その後使用してクライアントを起動してサーバーに接続し、トロイの木馬を使用しています。 tcp / ipプロトコルが使用され、通常の通信プロトコルの種類が、いくつかの機能は、トロイの木馬udpプロトコルを使用しています。 ときに、サーバーが被害者のコンピュータ上で動作しますが、それは(通常)を非表示にしてみているコンピュータ上のどこかで起動して、聞いて、いくつかのポート(秒)からの接続を受信するために、攻撃者は、レジストリを修正するおよび/またはその他のいくつかを使用する自動始動方式です。
のために必要なことを知って、攻撃の犠牲者のアドレスに接続するために彼/彼女のマシンにします。 トロイの木馬のような機能が多くの犠牲者のメーリングのip 、メッセージングと同様のircやicqの攻撃を経由します。 これが使用されたときの犠牲者は、動的ipを意味するたびに、インターネットに接続して、あなたは異なるip (ほとんどのユーザーは、このダイヤルアップ)します。
トロイの木馬のほとんどは、メソッドを使用するように自動起動する際にもコンピュータをシャットダウンしていることを再起動すると再びアクセスできるように、お使いのマシンを攻撃します。 新しい自動始動トリックやその他の方法では、すべての時間を発見しました。 品種を開始してから"参加する"トロイの木馬を使用した実行ファイルをいくつかのように、非常によくexplorer.exe 、例えば、行くと、既知のような方法を変更して、 windowsのレジストリやシステムファイルです。 システムファイルがwindowsディレクトリに位置して、ここでは簡単に説明して悪用され、攻撃者:
-自動フォルダを開始-自動フォルダが開始位置をc : \ w i ndowsの\ [スタート]メニュー\プログラム\スタートアップその名のとおり、そこにすべてが自動的に起動します。
-w in.ini- wi ndowsのシステムを使用してファイルを実行し負荷=t r ojan.exeと= t r ojan.exeを実行するトロイの木馬
-s ystem.ini-シェル=e x plorer.exetr ojan.exeの結果を使って、すべてのファイルを実行後e x plorer.exe
-w ininit.ini-主にセットアッププログラムを使用すること;一度実行されると、それは自動的に削除され、これはトロイの木馬を再起動するために、非常に便利
-w instart.bat-演技として、通常のバットを追加しましたファイルは、トロイの木馬が実行さa s @trojan.exeを非表示にし、ユーザからの
-a utoexec.batの-それはドスの自動始動ファイルとして使用され、それはこのような方法を自動的に開始-> c: \ t r o jan.exe
-c onfig.sysに-として使用される可能性もあるの自動起動方法をトロイの木馬
-エクスプローラ起動-は、自動始動方法をw i ndows95で、 9 8 、m e 、および場合c: \ e x plorer.exeが存在する場合、そのように始まったの代わりに、通常のc : \ w i ndowsの\ e x plorer.exe、これは、共通のパスをファイルです。
レジストリがよく使われてさまざまな方法で自動起動します。 ここではいくつかの方法で知られる:
[場合hkey_local_machine \ software \マイクロソフト\のwindows \現在のバージョン\実行]
"情報" = " c : \ディレクトリ\ trojan.exe "
[場合hkey_local_machine \ software \マイクロソフト\のwindows \ currentversion \ runonce ]
"情報" = " c : \ディレクトリ\ trojan.exe "
[場合hkey_local_machine \ software \マイクロソフト\のwindows \ currentversion \ runservices ]
"情報" = " c : \ディレクトリ\ trojan.exe "
[場合hkey_local_machine \ software \マイクロソフト\のwindows \ currentversion \ runservicesonce ]
の" info = " c : \ディレクトリ\ trojan.exe "
[ hkey_current_user \ソフトウェア\マイクロソフト\のwindows \現在のバージョン\実行]
"情報" = " c : \ディレクトリ\ trojan.exe "
[ hkey_current_user \ソフトウェア\マイクロソフト\のwindows \ currentversion \ runonce ]
"情報" = " c : \ディレクトリ\ trojan.exe "
-シェルのレジストリを開く
[ hkey_classes_root \ exefile \シェル\オープン\コマンド]
[場合hkey_local_machine \ software \クラス\ exefile \シェル\オープン\コマンド]
キーの値を" % 1 % * "そこに置かなければならない場合には、いくつかの実行ファイルが置かれ、それが実行されるたびにバイナリファイルを開くとします。 それは、このように使用される: trojan.exe " % 1 % * " ;これはトロイの木馬を再起動しています。
-ネットのi cqを検出する方法
[ hkey_current_user \ソフトウェア\ mirabilis \ icqの\エージェントの\ apps \ ]
このキーを含む、すべてのファイルを実行されることを検出した場合のicqインターネットに接続します。 として理解することができ、この機能は非常に便利なのicqしかし、虐待を受けたことは頻繁に攻撃されています。
-コンポーネントのa ctivex
[場合hkey_local_machine \ software \マイクロソフト\アクティブなセットアップ\にインストールしたコンポーネント\ keyname ]
stubpath = cの: \ディレクトリ\ trojan.exe
これらは、ほとんどの共通のメソッドを使って自動起動windowsのシステムファイル、および、 windowsのレジストリにします。
トロイの木馬のパターン
1 。リモートアクセスのトロイの木馬
これらはたぶん最も公に使用されるトロイの木馬、だからという理由だけの力を与える攻撃を行うことは、より多くの犠牲者よりも被害者のマシン自体のように、中には、マシンの前に立っています。 これらのトロイの木馬のほとんどは、しばしば、他のパターンを組み合わせていただく読みは以下のとおり。 これらのアイデアを与えるトロイの木馬は、攻撃者のマシンを完全にアクセスできるようにする、それゆえにアクセスできるようにファイル、私的な会話、会計データなど
2 。 パスワードを送信するトロイの木馬
これらのトロイの木馬の目的は、すべてのキャッシュリップ探してもパスワードや他のパスワードをご入力して送信して、特定のメールアドレスは、何もせずに、ユーザーに気付かれました。 パスワードのicq 、 ircに、 ftpやhttpやその他のアプリケーションを必要とするユーザーのログインパスワードを入力するには、送られて、攻撃者に戻るのe - mailアドレス、これは、ほとんどの場合に位置するいくつかの無料のウェブベースの電子メールのプロバイダーです。 かれらの多くが読み込まれていないウィンドウズを再起動したときに、このアイデアはできるだけ多くの情報を収集については、被害者のマシンのパスワードとして、マルクログ、メールのスレッドやそれらのicq ;しかし、それに依存している特定のニーズに攻撃状況にします。
3 。 キーロガー
これらのトロイの木馬は、キーストロークをログに記録して、じゃあ、攻撃の犠牲者とパスワードまたはその他の機密データを検索するには、ログファイルをします。 かれらの多くは2つの機能が付いてくるようなオンラインとオフラインを記録します。 もちろん、設定されていません
ログファイルを送信して、特定のe - mailアドレス、日常的にします。
4 。 破壊的な
機能だけでは、トロイの木馬を破壊すると、これらのファイルを削除します。 このせいで、とてもシンプルで簡単に使用しています。 自動的に削除することができ、すべてのコアシステムファイル(例:します。デル。またはされます。 exeファイルは、他の可能性が)マシン上にインストールされます。 トロイの木馬の攻撃が活性化されるかのようにうまくいくロジックボムとは、特定の日に開始すると、特定の時間です。
5 。 dos (サービス不能攻撃)攻撃するトロイの木馬
これらのトロイの木馬はますます非常に人気が最近、力を与え、攻撃を開始した場合に十分な被害者ddosもちろん。 メインのアイデアはしていない場合200 adslユーザーに感染し、被害者の攻撃を開始すると同時に、これは多くのトラフィックを生成する(その後、より多くの犠牲者の帯域幅は、ほとんどの場合)と、インターネットへのアクセスをシャットダウンされるします。 wintrinooはddosツールで、とても人気が最近になって、多くの場合、攻撃者が感染adslユーザーは、インターネットサイトの主要なシャットダウンする可能性がある結果として、私たちは見たことは、過去数カ月間起こりました。
別の変動は、 dosトロイの木馬は、トロイの木馬メール爆弾、その主な目的は、可能な限り多くのマシンに感染するよう特定の攻撃と同時にe - mailアドレス/アドレスをランダムなテーマと内容をフィルタリングすることができませんします。
6 。プロキシ/ウィンゲイトトロイの木馬
興味深い機能で実装され多くの犠牲者のコンピュータにトロイの木馬が旋回するプロキシ/ウィンゲイトサーバーを利用できるように、全世界または攻撃者のみです。 それは使われて匿名のtelnet 、アイシーキュー、 ircのなど、ドメインを登録しても、盗まれたクレジットカードと、他の多くの違法な活動をします。 これにより、攻撃者の完全な匿名性とチャンスを与えたすべてのコンピュータから、もし彼/彼女を捕まえ、トレースを取得するに戻るリードします。
7 。トロイの木馬のftp
これらのトロイの木馬とは、たぶん最も単純なものとしては、時代遅れのようなことだけを開くには、ポート21 ( ftpのポートを転送)しようと誰もあなたのマシンに接続して、または単に攻撃します。 新しいバージョンは、パスワードで保護して1つのためだけに接続してお使いのコンピュータに感染する場合があります。
8 。ソフトウェアの検出キラーズ
いくつかのような機能が組み込まれてトロイの木馬、しかし、別のプログラムもありzonealarmを殺すことが、ノートンアンチウイルスおよびその他のさまざまなプログラム(人気anti-virus/firewall )は、お使いのコンピュータを保護しています。 あるときは、無効にすると、攻撃者が完全にアクセスできるように、お使いのマシンは、いくつかの違法行為を実行し、使用して他のコンピュータを攻撃すると頻繁に消えています。 にもかかわらず場合があり注意して、これらのプログラムが正常に機能しません。働いたり、多少時間がかかるだろうあなたトロイの木馬を削除して、新しいソフトウェアをインストールし、設定を取得してから、オンラインに戻り、いくつかの安心感をします。
どうすればよい感染
以下は、トロイの木馬に感染したかの方法を取得する:
1アイシーキュー
2のirc
3添付ファイル
4物理的にアクセスできる
5ブラウザと電子メールソフトのバグ
6たnetbios (ファイル)
トロイの木馬プログラム:トロイの木馬として分類することができ:
1 。バックドア
2 。トロイの木馬全般
3 。 pswのトロイの木馬
4 。トロイの木馬clickers
5 。トロイの木馬ダウンロード
6 。トロイの木馬ドロッパーズ
7 。トロイの木馬プロキシ
8 。トロイの木馬スパイ
9 。トロイの木馬notifiers
10 。 arcbombs
バックドア
今日は、最も危険なタイプのバックドアやトロイの木馬、最も広くします。 これらのトロイの木馬は、リモート管理ユーティリティを開いて感染してマシンを外部からコントロールlanやインターネットを経由します。 彼らと同じように機能する法的なシステム管理者がリモート管理プログラムで使用されます。 これにより困難にdetect.theのみして、法律上の管理ツールとの違いは、バックドアがインストールされているのは裏口の立ち上げや知識の同意を得ずに、ユーザーのマシンの犠牲者です。 いったん裏口を開始する、それを監視し、ローカルシステムにせずに、ユーザーの知識;裏口はありませんが頻繁に表示されるログは、アクティブなプログラムです。
一度リモート管理utilitiyが正常にインストールおよび立ち上げ、被害者のマシンが大きく開いています。
裏口の機能を含めることができ:
1 。送信/受信ファイル
2 。進水/ファイルを削除する
3 。ファイルを実行する
4 。通知を表示する
5 。データの削除
6 。マシンを再起動する
言い換えると、ウイルス作者が使用されバックドアを検出して機密情報をダウンロードし、悪意のあるコードを実行し、データを破壊するには、ネットワークとは、マシンボットのでご了承ください。 要するに、バックドアの機能を組み合わせて、ほとんどの他の種類のトロイの木馬、 1つのパッケージにあります。
特に危険なバックドアが1つのサブクラス:ワームの変種ことができるように繁殖します。 唯一の違いはワームがプログラムに反映して絶えずが、これらの'携帯電話'バックドア広がった後にのみ、特定のコマンドから'マスター' 。
トロイの木馬全般
このカテゴリに含まれて緩んで損傷して、さまざまなトロイの木馬の犠牲者を脅かすマシンまたはデータの整合性、または機能を損なう被害者のマシンにします。
多目的トロイの木馬にも含まれてこのグループには、いくつかのウイルス作者の多機能を作成するトロイの木馬トロイの木馬というよりパックします。
pswのトロイの木馬
この家族のパスワードを盗むトロイの木馬で、通常はシステムの犠牲者からパスワードのマシンとなります。 彼らのシステムファイルを検索し、パスワードなどの機密情報が含まれるとインターネットへのアクセスや電話番号を送信し、この情報を電子メールアドレスの本文にコード化され、トロイの木馬だ。 それから取得されるであろう'マスター'またはユーザーの違法なプログラムです。
pswのいくつかの他の種類の情報を盗むトロイの木馬のような:
システムの詳細(メモリ、ディスクの空き容量、オペレーティングシステムの詳細)
ローカルの電子メールクライアント
ipアドレス
登録の詳細
オンラインゲームのパスワードを
同社は、トロイの木馬- pswのパスワードを盗むトロイの木馬がaolの彼らは(アメリカオンライン)のサブグループに含まれているため、多数のようです。
トロイの木馬clickers
トロイの木馬の犠牲者の家族にリダイレクトし、このマシンを他のインターネットのウェブサイトやリソースを指定します。 clickersのいずれかのコマンドを送信するのに必要なシステムファイルを交換したり、ブラウザの標準的なインターネットurlをどこに保存する(例えば'ホスト' ms windowsのファイル)します。
clickersが使用されます:
1 。ヒット数を高めるためには、特定のサイトの広告の目的
2 。 dos攻撃を整理し、指定されたサーバー上またはサイト
3 。犠牲者をリードしてリソースをどこに感染して他のマシンが攻撃されたマルウェア(ウイルスやトロイの木馬)
トロイの木馬ダウンロード
このトロイの木馬ファミリーの新たなマルウェアやアドウェアをダウンロードしてインストールして被害者のマシンにします。 ダウンローダを起動して、新しいマルウェアのいずれかまたはそれを有効にautorunをレジスタによると、地元のオペレーティングシステム要件です。 このすべての知識が行われたりせずに、ユーザーの同意を得ました。
不正なソフトウェアの名前と位置には、どちらかのコードをダウンロードしたり、トロイの木馬やその他の指定されたウェブサイトからダウンロードしたインターネットの場所です。
トロイの木馬ドロッパーズ
これらのトロイの木馬を使用して他の不正なソフトウェアをインストールせずに被害者のマシンの知識があるユーザーだ。 ドロッパーズペイロードのいずれかをインストールして任意の通知を表示せずに、または虚偽のメッセージが表示され、エラーについては、アーカイブファイル、またはオペレーティングシステムです。 新しいマルウェアが下落したのを、ローカルディスク上の場所を指定し、その後に起動します。
ドロッパーズの構造は、通常、次の方法:
スポイトのコードをインストールして実行する機能が含まれ、すべてのファイルのペイロードします。
ほとんどの場合、トロイの木馬、およびその他のペイロードが含まれ、少なくとも1つのホークス:ジョーク、ゲーム、およびグラフィックスのでご了承ください。 だまそうとはして、ユーザーの注意をそらすことを意図してかを証明することによって引き起こされたスポイトは無害な活動が、これは、実際にサービスを提供してインストールした場合、危険なペイロードマスクをします。
ハッカーたちがこのようなプログラムを使って2つの目標を達成する :
隠された、または、マスクのインストールまたは他のトロイの木馬、ウイルス
散水アンチウイルスソリューション、すべてのコンポーネントを分析することはできませ
トロイの木馬プロキシ
これらのトロイの木馬としての機能を提供するプロキシサーバーと匿名の被害者のマシンからインターネットへのアクセスをします。 今日は非常に人気があり、これらのトロイの木馬、スパム送信者のマシンのため、常に大量のメッセージを追加する必要があります。 トロイの木馬ウイルスを含めることがよくありプログラマー-パックおよび販売ネットワークのプロキシ、トロイの木馬の感染マシンをスパム送信します。
トロイの木馬スパイ
このファミリが含まれ、さまざまなプログラムやスパイキーロガーは、すべてのユーザーの行動を追跡および保存して被害者のマシンに転送し、次にこの情報をマスターします。
トロイの木馬-スパイの情報を収集する範囲を含む:
1 。キーストローク
2 。スクリーンショット
3 。ログは、アクティブなアプリケーション
4 。他のユーザーのアクション
最も頻繁に使用され、これらのトロイの木馬は、銀行やその他の金融情報を盗むオンライン詐欺をサポートします。
トロイの木馬notifiers
これらのトロイの木馬に知らせる'マスター'については、感染したマシンです。 notifiers確認して、マシンが完了しました感染して、情報を送信アドレス、ポート番号を開き、電子メールアドレスなどの犠牲者のマシンにします。 この情報を送信されたメールかもしれないし、マスターのウェブサイト、またはアイシーキューされました。
notifiersは通常、トロイの木馬が含まれて'パック'とマスターに知らせるためにのみ使用され、トロイの木馬が完了しましたが、被害者のマシンにインストールされます。
arcbombs
これらのトロイの木馬は、アーカイブファイルデコードを妨害しようとしたときに圧縮アーカイブファイルを開いて感染します。 被害者のマシンが遅くなったり、クラッシュ時に爆弾が爆発するトロイの木馬、またはディスクは、データのナンセンスに満ちています。 arcbombsは、特に危険なのサーバーでは、特にデータを受信したときは、最初に自動的に処理:このような場合、サーバーのクラッシュするarcbombことができます。
そこには、 3つのタイプのarcbombs :
1 。ヘッダーは、間違ったアーカイブ、
2 。繰り返しデータ
3 。同シリーズのファイルをアーカイブします。
アーカイブのヘッダーが間違っているか、破損したデータの両方を引き起こすことができ、デ-開会式とコンプレッサーがクラッシュする際に感染するアーカイブを展開しています。
大規模なデータを含むファイルを繰り返し満員にすることができ、非常に小さいアーカイブ: 5ギガバイトが200 kbを使用したとき満員rarおよび480 kb zip形式でました。
また、特別な技術をパックに存在する膨大な数の同一のファイルを1つのアーカイブに大きく影響を与えずに、アーカイブ自体のサイズ:たとえば、パック10100と同じにすることが可能ファイルを30 kbするrarファイルまたは230 kb zipファイルです。
スパイウェアやアドウェア:
スパイウェアやアドウェア、トロイの木馬は、フォームします。
スパイウェアプログラムを実行する便利な機能、および使用状況を監視してもプログラムをインストールするには、被害者のコンピュータの目的のためのマーケティングしているユーザーです。
似たようなプログラムがスパイウェアアドウェアプログラムを除いて、追加のソフトウェアをインストールしてメッセージをユーザーに直接広告を表示します。
-------------------------------------------------- ---------------------------------------
署名:
suhasデサイは、仕事をmahindra株式会社ハイテクプネ、インドのソフトウェア開発者としてです。
彼は決定的な貢献で働くバイオメトリクスセキュリティドメインと彼のプロジェクトに取り組む"バイオスマートカード上でのrfid linuxクラスタである"広く認識されてきた-
1 。 11日のieeeリアルタイム組み込みシステム&カリフォルニア州で開かれたシンポジウムです。
2 。 のisaエキスポ、 2004年にテキサス州で開かれた安全保障会議ます。
3 。 電子スマート2005は、スマートカード技術革新シンポジウムで、フランスします。
彼は多くの研究論文の執筆、記事、国際的な評判のための機能と国民会議、定期刊行物、ウェブポータルや手続きをします。 彼の仕事上のrfid栄誉を与えられてきた" intech "は、世界的な自動化ジャーナルテキサス州でました。 彼に達したことでdesai.suhas @ gmail.comまたはsuhasde@techmahindra.com