Trójske kone
Trojské kone
Trójsky kôň nie je schopný infekcie súborov. Súbor pod ktorým trojský kôň vystupuje je väčšinou typu EXE. Tento súbor neobsahuje nič iného len telo trójskeho koňa. Z tohto vyplýva spoločne so skutočnosťou že, trójsky kôň nie je pripojený k hostiteľskému súboru, že jediná možnosť ako sa ho zbaviť je jeho vymazanie. Niekedy znela definícia trojského koňa inak : Trójsky kôň je program vypadajúc ako užitočný ale v skutočnosti je škodlivý. Staršie trójske kone sa veľakrát vydávali za antivírusové programy ktoré v skutočnosti likvidovali súbory na pevnom disku. Najznámejší bol McAfee VirusScan. V súčasnej dobe sa môžeme najčastejšie stretnúť s nasledujúcou formou trojských koní.
Password-stealing
Skupina trojských koní, ktorá obvykle sleduje jednotlivé stisnutia kláves
a tieto ukladá a následne aj odosiela na dané e-mailové adresy. Majitelia týchto emailových adries tak môžu získať aj veľmi dôležité heslá. Túto infiltráciu môžeme taktiež klasifikovať aj ako spyware.
Deštruktívne trójske kone.
Forma trojských koní ktorý po infiltrácii do systému spustia svoju deštruktívnu činnosť a začnú vymazávať súbory na disku alebo môžu sformátovať celý disk. Do tejto kategórie môžeme zaradiť aj väčšinu BAT trójskych koní. Je to druh škodlivých dávkových súborov s príponou BAT.V tomto prípade nám môže uškodiť občasné jednoduché kódovanie obsahu.
Backdoor
Backdoor je vírus podobný trójskemu koňu. Back door v preklade to znamená „zadné vrátka“ a umožňuje zasielanie rôznych prístupových hesiel užívateľa cez Internet, či dokonca úplné ovládnutie počítača na diaľku. Ide o aplikáciu klient –server, ktorá postupuje anonymne. Užívateľ nie je schopný bežným spôsobom jeho prítomnosť vysledovať. Back door je taká aplikácia, ktorá slúži na vzdialenú správu počítača a sama sebe nemusí byť škodlivá. Záleží na osobe ktorá činnosť prevádza. Ak ide o škodlivú činnosť, tak túto osobu voláme vzdialený útočník. Backdoor funguje na nasledujúcom princípe: Backdoor rozdelíme na dve časti a to na časť klientsku a na časť serverovú. Klient vysiela požiadavky serverovej časti a tá následne tieto požiadavky plní prípadne odosiela späť klientovi požadované informácie. Z toho vyplýva že klientsku časť by mal vlastniť útočník a serverová časť by mala byť na napadnutom počítači, teda tam kde by sme mohli očakávať dôležité dáta. Ak je serverová časť backdooru vypustená dobre šíriacim sa vírusom má vzdialený útočník k dispozícii tisíce počítačov. Väčšinou celá komunikácia prebieha na báze TCP/IP. V spojení s Internetom umožňuje ,aby klientsky server bol vzdialený mnoho kilometrov od serverovej časti.
Komunikácia prostredníctvom IRC kanálu je ďalší druh backdooru. Serverová časť komunikuje s klientskou časťou prostredníctvom daného kanálu v sieti IRC. Ako príklad možno uviesť Win32/Anarxy, ktorý sa pokúša pripojiť z infikovaného počítača ku kanálu #iworm_anarxy_channel. V ňom vystupuje útočník, ako na prvý pohľad skutočná osoba, chatujúca na IRC. Útočník tak má teoreticky pohromade všetky inštancie vírusov bežiac ich vo svete. Je možné sa ku každej z nich pripojiť.
Dropper
Škodlivý program, najčastejšie typu EXE, ktorý po spustení vypustí do PC ďalšie
vírusy, ktoré si nesie so sebou vo vlastných „útrobách“.
Downloader (TrojanDownloader)
Je podobný ako Dropper. Je to program najčastejšie typu EXE , ktorý po spustení nevypustí do počítača vírusy ako dropper ale stiahne vírusy, alebo trójske kone priamo zo siete.V reálnej situácii môže dôjsť k situácii keď nie je stiahnutý a poslaný iba jeden druh malwaru, ale môže ich byť niekoľko a tieto môžu vypustiť alebo stiahnuť ďalšiu vlnu malwaru. Nakoniec sa môže stať že po spustení jedného na prvý pohľad nenápadného súboru vyvolá reakciu a počítač je takmer nepoužiteľný pre svoju pomalosť.
Proxy Trojan (TrojanProxy[u1] )
Trójske kone tohto typu sa postarajú o to, že infikovaný počítač môže byť zneužitý napríklad pre odosielanie spamu – nevyžiadanej pošty. Pri využití proxy je takmer nulová šanca, že bude vypátraný skutočný autor nevyžiadanej pošty. Je to spôsobené samotným princípom proxy.
Celosvetové najrozšírenejšie trojské kone
Trójske kone označované ako Win32/PSW.OnLineGames sú stále najčastejšie detekovanou hrozbou v celosvetovom meradle. V auguste táto hrozba dosiahla až 16,13% spomedzi všetkých zachytených počítačových infiltrácií. Ohrozujú všetkých používateľov, ktorí využívajú služby najrôznejších online aplikácií, či už ide o virtuálne svety ako Second Life alebo hráčsky zamerané servery ako World of Warcraft. Strata prihlasovacích údajov, ich následné obchodovanie (aj na serveri eBay) a zneužitie je už bežné. Na druhom mieste globálneho rebríčka je v auguste zmes infiltrácií INF/Autorun (3,74%), využívajúcich automatické spustenie vložených médií. Tretie a štvrté miesto patrí adware aplikáciám Win32/Adware.Virtumonde (3,33%) a Win32/Toolbar.MyWebSearch (3,16%). Novinkou medzi globálne najrozšírenejšími hrozbami bol Win32/TrojanDownloader.Swizzor.D (1,89%). Ten je primárne určený na sťahovanie a inštaláciu adware. Nie je primárnou infekciou skôr nástrojom, ktorý jeho tvorcovia využívajú na sťahovanie rôznych škodlivých komponentov na už infikovaný počítač. Na napadnutých či podozrivých stránkach existujú aj kópie Swizzor.D predstierajúce optimalizačný nástroj pre P2P (výmenné) siete, napríklad BitTorrent.
Najrozšírenejšie trojské kone v SR
Na Slovensku sa na prvé miesto v rebríčku top hrozieb za august 2008 dostal červ Win32/Netsky.Q (5,11%). Ten patril medzi jednoznačných lídrov tabuliek s hrozbami zachytenými na Slovensku. Šíri sa e-mailom, alebo pomocou zdieľaných adresárov a P2P sietí. Podľa analytikov infiltrácií ho detegujú všetky súčasné antivírusové riešenia a jednou z teórií, prečo patrí medzi najrozšírenejšie, môže byť neopatrnosť pri otváraní neznámych príloh. Druhé a tretie miesto v štatistikách pre SR patrí adware aplikáciám Win32/Toolbar.MyWebSearch (4,01%) a Win32/Adware.Virtumonde (3,75%).
Trójsky kôň a Skype
Spoločnosť ERA IT Solutions vytvorila trojského koňa ktorý umožňoval monitorovanie komunikácie zabezpečenými kanálmi známeho programu Skype. Tento program ako prvý použili nemecký policajti na monitorovanie potenciálne nebezpečnej komunikácie. Ruben Unteregger- tvorca programu pred uvoľnením zdrojového kódu poslal binárne súbory antivírusovým spoločnostiam, aby vytvorili signatúry, používatelia antivírusových programov by mali byť chránení. Niektoré spoločnosti už za tých pár dní odchytili niekoľko podozrivých infiltrácií, ktoré pravdepodobne vychádzajú z nedávno zverejneného kódu.
Microsoft a Trójsky kôň
|
Ešte nebola ani vydaná úplná verzia Anti Spyware od spoločnosti Microsoft na ochranu počítača pred špionážnym softvérom a už je na svete trójsky kôň, ktorý dokáže vymazať celú inštaláciu. Tento trojský kôň nazvali Troj/BankAsh-A. Po zapnutí vymaže celý adresár kde sa Anti Spyware nachádza a odstráni aj záznamy z registra. Mimo toho že znefunkční celú ochranu počítača proti spyweru ešte na pozadí sleduje prácu používateľa a odchytáva údaje pri používaní internetu. Tieto informácie sú následne posielané na vzdialený FTP server.