트로이 목마 및 backdoors
트로이 목마를 얻었다 그 이름의 옛 신화 속 이야기가 자신의 원수가하는 방법을 그리스인에게 선물로 거대한 나무 목마는 전쟁 중에있습니다.
적 수용이 선물을 그들 자신의 나라로 데리고와 야간, 그리스어 군인 살며시 밖의 목마와 공격이 도시를 완전히 극복하는 것이있습니다.
무단으로 프로그램이 포함된 a 트로이 목마는 합법적인 프로그램입니다. 이 무단으로 프로그램을 수행 기능을 알 수없는는 사용자가있습니다. 합법적인 프로그램이되었습니다 이내에 승인되지 않은 코드의 배치를 변경하여 그것; 이 코드는 사용자에 의해 수행 기능을 알 수있습니다.
작동 :
트로이 목마 오지에 두 부분으로,이 클라이언트 부분과 서버 부분입니다. 피해자가 실행되면이 서버를 그 머신, 공격자는 그 다음에 연결하도록 클라이언트를 사용하여 서버 및 트로이 사용을 시작합니다. / 프로토콜은 통신에 사용되는 프로토콜 유형 평소 있지만, 일부 기능의 트로이 목마를 사용하여 udp 프로토콜도합니다. 이 서버는 피해자의 컴퓨터에서 실행되고, 그것이 (보통)을 시도해을 숨기기 위해 다른 컴퓨터에서 시작을 듣고 일부 포트 (들)에 대한 들어오는 연결에서 공격자, 레지스트리 수정 및 / 또는 사용을 일부 다른 자동으로 시작하는 방법입니다.
그것의 필요에 침입하여 피해자의 주소에 연결을 알고 그의 / 그녀의 머신입니다. 이 기능과 같은 다양한 트로이 목마 우편물은 피해자의 ip은 물론 메시징을 통해 공격자 icq 또는 irc입니다. 이것이 사용되는 경우에 피해자가 동적 ip는 뜻을 할 때마다 인터넷에 연결하여 얻을 수가 다른 ip (대부분의 전화 - 최대 사용자가이)입니다.
대부분의 트로이 목마 자동 - 선발 방식을 사용하므로 사용자 컴퓨터를 종료할 때 심지어 그들을 다시 시작하고 다시인할 수 공격자에 액세스 권한을 부여합니다 머신입니다. 새 자동차 - 선발 방법 및 기타 유용한 정보들이 발견한 모든 시간입니다. 의 다양성이 시작 주소 "합류"트로이로 일부 실행 파일 탐색기처럼 자주 사용하면, 예를 들어, 그리고 의미는 기존에 알려진 방법과 같은 시스템 파일을 수정하거나 windows 레지스트리입니다. 시스템 파일이있는 파일의 디렉토리와 다음은 간단한 설명은 그들의 남용으로 공격자 :
- 자동 시작 폴더 -의 자동 시작 폴더에 위치한 c : \ windows \ 시작 메뉴 \ 프로그램 \ 시작하고 모든 것을 자동으로 시작으로 그 이름을 제안 배치있다.
- win.ini - windows 시스템 파일을 사용하여로드 = trojan.exe하고 실행 = trojan.exe를 실행하기 위해 트로이
- system.ini - 사용 쉘 = 탐색기 trojan.exe 결과를 실행은 후 모든 파일 탐색기
- wininit.ini - 설치 - 프로그램이 사용하는 대부분; 한 번 실행하는 것이되고 자동 - 삭제, 어떤은 매우 편리를위한 트로이 목마를 다시 시작
- winstart.bat - 역할을 정상적인 방망이 파일 트로이가 추 as@trojan.exe을 숨기기 위해 그 집행의 사용자
- autoexec.bat - 그것은 dos 자동차 - 시작 파일과 그것의 사용으로 자동 - 선발 방식과 같이 -> c : \ trojan.exe
- config.sys - 수도 - 선발 방법에 대해 자동으로 사용 트로이 목마
- 탐색기를 시작 -는 자동 - 선발 방법에 대한 windows95, 98,, 그리고 만약 c : \ 탐색기가 있는지, 그것은 시작 대신에 평소 c : \ windows \ 탐색기, 이는 일반적인 경로를 파일입니다.
레지스트리는 자주 사용되는 다양한 자동차 - 선발 방법입니다. 다음은 일부 알려진 지 :
[hkey_local_machine \ 소프트웨어 \ microsoft \ windows \ 현재 버전 \ 실행]
"정보"= "c : \ 디렉토리 \ trojan.exe"
[hkey_local_machine \ 소프트웨어 \ microsoft \ windows \ currentversion \ runonce]
"정보"= "c : \ 디렉토리 \ trojan.exe"
[hkey_local_machine \ 소프트웨어 \ microsoft \ windows \ currentversion \ runservices]
"정보"= "c : \ 디렉토리 \ trojan.exe"
[hkey_local_machine \ 소프트웨어 \ microsoft \ windows \ currentversion \ runservicesonce]
"정보 ="c : \ 디렉토리 \ trojan.exe "
[hkey_current_user \ 소프트웨어 \ microsoft \ windows \ 현재 버전 \ 실행]
"정보"= "c : \ 디렉토리 \ trojan.exe"
[hkey_current_user \ 소프트웨어 \ microsoft \ windows \ currentversion \ runonce]
"정보"= "c : \ 디렉토리 \ trojan.exe"
- 레지스트리 쉘 열기
[hkey_classes_root \ exefile \ 셸 \ 열기 \ 명령]
[hkey_local_machine \ 소프트웨어 \ 강좌 \ exefile \ 셸 \ 열기 \ 명령]
한 핵심으로 값 "% 1 % *"를 배치해야하고이있을 경우에는 일부 실행 파일을 배치도, 그것이 실행될 때마다 바이너리 파일을 열 수있습니다. 그것의 사용 보입니다 : trojan.exe "% 1 % *"; 이는 트로이를 다시 시작합니다.
- icq 그물 감지 방법
[hkey_current_user \ 소프트웨어 \ mirabilis \ icq \ 에이전트 \ 애플 리케이션 \]
이 키가 포함되어있는 모든 파일을 실행하면됩니다 icq 인터넷 연결을 감지합니다. 이해할 수 있듯이,이 기능은 icq는 매우 편리한데 자주 악용하여 공격자도합니다.
- activex 컴포넌트
[hkey_local_machine \ 소프트웨어 \ microsoft \ 활성화된 설치 프로그램 \ 설치된 구성 요소 \ keyname]
stubpath = c : \ 디렉토리 \ trojan.exe
이들은가 장 일반적인 자동 - 선발 방법을 사용하여 windows 시스템 파일, 그리고 windows 레지스트리입니다.
트로이 목마 유사
1. 원격 액세스 트로이 목마
이들은 아마도가 장 공개적으로 사용되는 트로이 목마, 불과하기 때문에 그들에게가 공격자의 전원을 수행 피해자의 컴퓨터에있는 것들보다 더 많은 희생자를 자체를 전면에 서있는 반면 기계. 대부분의 이러한 트로이 목마는 주로의 조합이 다른 유사 아래에서 읽을 수있습니다. 아이디어는 이러한 트로이 목마는 전체 액세스 권한을 부여하기는 공격자가 일종의 기계, 따라서에 대한 액세스를 파일, 개인 대화, 회계 데이터, 등등
2. 비밀 번호를 보내는 트로이 목마
의 목적은 이러한 트로이 목마가 신종 립 모두의 캐시된 암호와도 모양에 대한 다른 비밀 번호를 입력하는 경우 다음을 보내 그들을 특정 메일 주소, 사용자가 알았 아무것도하지 않고있습니다. 비밀 번호에 대한 icq, irc, ftp, http 또는 다른 응용 프로그램이 필요로하는 사용자를 입력하는 로그인 비밀 번호가 전송되고 위로가 공격자의 이메일 - 메일 주소를하고있는 대부분의 경우가 위치한 일부 무료 웹 기반 이메일 - 메일 제공 업체입니다. 이들 대부분은 windows가 로드될 때 다시 시작하지 않습니다과 같이 그 아이디어는 한 많은 정보를 수집 내용을 피해자의 머신으로 비밀 번호, 마크 로그, icq 대화 및 메일 그들; 그러나 그것의 요구에 따라 달라집니다 공격자와 특정 상황입니다.
3. 키로거
이러한 트로이 목마는 키의 피해를 기록하고 다음을 알려는 공격자 검색에 대한 비밀 번호 또는 기타 민감한 데이터에 로그 파일이있습니다. 이들 대부분은 2 개의 함수가 같은 온라인 및 오프라인 음반과 함께 제공됩니다. 물론 분명하도록 구성
보내려는 로그 파일을 특정 이메일 - 메일 주소을 일 단위로합니다.
4. 파괴적
의 유일한 함수는 이러한 트로이 목마는 파일 삭제를 파괴하고있습니다. 이렇게하면 그들 아주 간단하고 쉽게 사용할 수있습니다. 귀하의 모든 핵심 시스템 파일을 자동으로 삭제를 할 수있습니다 (예 :. 델,. 가 나있습니다. exe 파일, 아마도 다른 사람)에서 컴퓨터입니다. 트로이에 의해 활성화되고있다는 공격자 또는 때때로 작품처럼 논리 폭탄을 시작합니다 특정 시간에 특정 날짜와시.
5. 서비스 거부 () 공격이 트로이 목마
이러한 트로이 목마는 얻기가 매우 인기가 요즘은주고 공격자 전원을 시작 목차 경우 피해자의 코스 데 충분합니다. 의 기본적인 아이디어는 감염이있는 경우 200 adsl 사용자를 공격은 피해자가 동시에 시작하고, 이것은 많은 트래픽을 생성합니다 (자세한 후 피해자의 대역폭, 대부분의 경우)와 그의 액세스하려면 인터넷에 종료됩니다 . wintrinoo이 글은 도구가 어느새 정말 인기가 최근에, 그리고 경우에 공격자는 감염된 많은 adsl 사용자, 주요 인터넷 사이트를 종료할 수있다 그 결과, 우리가 보았던 것이 일이 지난 몇 개월입니다.
다른 변형은 dos 트로이는 메일 - 폭탄 트로이, 누구의 주요 목표는 감염과 동시에 공격을가능한 한 많은 기계를 특정 이메일 - 메일 주소 / 주소를 사용하여 임의의 제목과 내용을 어떤 필터링 될 수없습니다.
6. 프록시 / wingate 트로이 목마
흥미로운 기능을 구현한 대부분의 트로이 목마가 전기은 피해자의 컴퓨터에 프록시 / wingate 서버를 사용할 수있는 전 세계하거나 공격자 불과합니다. 그것의 사용에 대한 익명 텔넷, icq, irc, 등등, 또한 도난당한 신용 카드를 사용하여 도메인을 등록하려면 그리고 많은 다른 불법 활동입니다. 이를 통해 공격자 완전한 익명과 기회를 귀하의 컴퓨터에서 모든 일을하고 만약 그 / 그녀 얻을 적발 추적을 리드 위로 수있습니다.
7. ftp 트로이 목마
이러한 트로이 목마는 아마도가 장 간단한 것들과이 종류의 구형으로하는 유일한 것은 그들을 열 필요가 포트 21 (포트에 대한 ftp 전송), 사용자가 모든 사람을 컴퓨터에 연결하거나 단지는 공격자입니다. 최신 버전은 비밀 번호로 보호하므로 오직 하나는 감염된 컴퓨터에 연결할 수있습니다.
8. 소프트웨어를 감지 킬러
그러한 기능이 내장된 일부 트로이 목마, 그러나 또한 별도의 프로그램이이 죽일 존알람, 노턴 안티 - 바이러스 및 기타 다양한 (인기 anti-virus/firewall) 프로그램, 해당 사용자의 시스템을 보호합니다. 그들은 장애인, 공격자는 전체 액세스 권한을 사용자의 시스템,을 수행하려면 어떤 불법적인 행위를 사용하여 컴퓨터를 공격 다른 사람과 자주 사라집니다. 비록 이러한 프로그램은 작동하지 않는 것을 확인할 수있습니다거나 제대로 작동하려면 약간의 시간이 소요될 수있습니다 트로이를 제거하려면, 설치에 새 소프트웨어를 구성하고 결과를 다시 온라인으로 일부 감각의 보안을합니다.
어떻게 구할 수 있습니까 감염
다음은 감염된 트로이 목마를 얻는 방법 :
1 icq
이 irc
3 첨부 파일
4 물리적 접근
5 브라우저 및 이메일 - 메일 소프트웨어 버그
6 netbios (filesharing)
트로이 프로그램 : 트로이 목마 수있습니다으로 분류된 :
1. backdoors
2. 일반적인 트로이 목마
3. psw 트로이 목마
4. 트로이 클릭하
5. 트로이 downloaders
6. 트로이 스포이드
7. 트로이 프록시
8. 트로이 간첩
9. 트로이 알리미
10. arcbombs
backdoors
오늘 backdoors가가 장 위험한 유형의 트로이 목마과에서가 장 널리 퍼져있습니다. 이러한 트로이 목마는 감염된 컴퓨터를 원격 관리 유틸리티가 열려 랜 또는 인터넷을 통해 외부 제어합니다. 이들 함수에서와 같은 방식으로 법적 원격 관리 프로그램을 사용하는 시스템 관리자입니다. 이렇게하면 그들 어려움을 detect.the 유일한 차이는 법정 관리 도구와 우회하는 backdoors은 설치 및 출시 지식이나 동의없이 사용자의 컴퓨터의 피해자가됩니다. 우회가 시작되면, 그것을 모니터가 로컬 시스템없이는 사용자의 지식; 종종 우회가되지 않음으로 로그의 활성 프로그램에서 볼 수있습니다.
일단 원격 관리 유틸리티가 성공적으로 설치되었습니다 및 발사, 피해자 머신은 와이드 오픈합니다.
우회 기능을 포함할 수있습니다 :
1. 보내기 / 받기 파일
2. 발사 / 삭제 파일
3. 실행 파일
4. 전시 알림
5. 데이터 삭제
6. 재부팅 머신
즉, backdoors하는 데 사용하여 바이러스 작성자를 검색하고 다운로드 기밀 정보, 실행 악의적인 코드를 파괴할 데이터를 포함합니다 머신의 봇 네트워크 등등. 요컨대, backdoors 결합하여 기능이 대부분의 다른 종류의 트로이 목마는 한 패키지입니다.
backdoors이 하나 특별히 위험한 서브 - 클래스 : 변종처럼적으로 전파되는 웜. 유일한 차이점은 프로그래밍된가 전파되는 웜들이 끊임없이 반면, 이러한 '모바일'을 backdoors 확산 후에만 특정 명령에서 '마스터'입니다.
일반적인 트로이 목마
이 느슨한 범주를 포함하는 다양한 트로이 목마가 피해 희생자를 기계 또는 위협 데이터 무결성, 또는 장애가 기능을 피해자 기계입니다.
다중 - 목적으로 트로이 목마는 또한이 그룹에 포함, 일부 바이러스가 작 만들기보다는 멀티 - 기능성 트로이 목마 트로이 팩입니다.
psw 트로이 목마
이 제품군은 트로이 목마 도루 비밀 번호, 정상적으로 시스템 암호를 피해자 기계입니다. 그들 검색을위한 시스템 파일, 여기에는 기밀 정보와 같은 암호 및 인터넷 접속 전화 번호를 확인한 다음이 정보를 보낼 이메일 주소를 코딩의 본문에 트로이입니다. 그것은 그 다음에 의해 검색할 수있는 '마스터'또는 사용자의 불법적인 프로그램입니다.
일부 psw 트로이 목마 다른 종류의 정보를 도용 등의 :
시스템 세부 정보 (메모리, 디스크 공간, 운영 체제가 세부 사항)
로컬 이메일 클라이언트
ip - 주소
등록 세부 사항
비밀 번호에 대한 일 - 라인 게임
트로이 - aol은 psw 트로이 목마가 도용 비밀 번호에 대한 aol (아메리칸 온라인) 그들은 서브 - 그룹에 포함되어 있기 때문에 그들이 이렇게 수많은.
트로이 클릭하
이 제품군은 트로이 목마 리디렉션 피해자가 기계를 지정한 웹사이트 또는 다른 인터넷 자원입니다. 클릭하 중 하나를 보내기에 필요한 명령어를 브라우저하거나 대체 시스템 파일을 어디에 표준 인터넷 링이 저장되어 (e.g.의 '호스트'를 파일에 ms 윈도즈)입니다.
클릭하가 사용됩니다 :
1. 조회 - 개수를 늘리이 특정 사이트에 대한 광고를 목적으로
2. 를 구성할 수 dos 공격에 지정된 서버 또는 사이트
3. 로 끌고가 피해자가 감염된 리소스를 어디에 기계가 공격을 다른 악성 프로그램 (바이러스, 트로이 목마)
트로이 downloaders
이 제품군의 트로이 목마 다운로드 및 설치하는 새로운 악성 프로그램이나 애드웨어의 피해자 기계입니다. 가 다운 로더 다음 중 하나를 발사의 새로운 악성 프로그램이나 레지스터 그것을 활성화하려면 자동 실행에 따르면 로컬 운영 체제 요구 사항이있습니다. 이 모든 작업은 사용자의 동의없이는 지식이나합니다.
악성 프로그램의 이름과 위치를 다운로드할 수있다 코딩 중 하나는 지정된 웹사이트에서 다운로드를 트로이하거나 또는 다른 인터넷 위치입니다.
트로이 스포이드
이러한 트로이 목마는 다른 악성 프로그램을 설치하는 데 사용에 대한 피해자 기계없이는 지식의 사용자입니다. 스포이드를 설치하거나 표시하지 않고 자신의 페이로드 알림, 또는 오류에 대한 메시지를 표시하는 거짓에 보관된 파일이나 운영 체제가있습니다. 새로운 악성 프로그램이 지정된 위치에있는 로컬 디스크로 하락하고 다음을 출시합니다.
스포이드은 보통 다음과 같은 방식으로 구조화된에서 :
코드를 설치하고 실행할가 선택 기능을 포함하고있는 모든 페이로드 파일이있습니다.
대부분의 경우 페이로드를 포함 다른 트로이 목마와 적어도 하나의 장난 : 농담, 게임, 그래픽 등등. 가 장난이 뜻을 분산의 사용자 또는을 증명하는 행위를 원인은 선택이 치명적 반면 서브가 마스크를 설치하는 것이 실제로 위험한 페이로드합니다.
해커가이 같은 프로그램을 사용하여 두 개의 목표를 달성 :
숨겨진이나 마스킹 설치가 다른 트로이 목마 또는 바이러스
안티 바이러스 솔루션을 강탈하는 모든 구성 요소를 이용할 수 없다 분석
트로이 프록시
이러한 트로이 목마 기능으로 프록시 서버를 제공 익명 액세스를 인터넷에서 피해자 기계입니다. 오늘의 이러한 트로이 목마는 매우 인기가 스패머들이 항상 필요가 추가 기계에 대한 대량 메일입니다. 바이러스 코더는 종종 트로이 - 프록시에 포함 트로이 팩 및 판매 네트워크의 감염된 기계를 스패머입니다.
트로이 간첩
이 족을 포함하는 다양한 첩보 프로그램 및 키 기록, 전체는 사용자의 활동을 추적하고 피해자가 컴퓨터에 저장하고 다음을 전달이 정보를 마스터합니다.
트로이 - 간첩 수집가 범위는 정보를 포함 :
1. 키
2. 화면 캡처
3. 로그의 활성 응용 프로그램
4. 다른 사용자가 작업을
이러한 트로이 목마가가 장 많이 사용 뱅킹 및 기타 금융 정보를 도용 온라인 사기를 지원합니다.
트로이 알리미
이러한 트로이 목마 알려주는 '마스터'에 대한 감염된 머신입니다. 알리미 확인하는 시스템이 성공적으로 감염을 보내 자세한 내용 ip - 주소, 오픈 포트 번호, 이메일 주소 등은 피해자가 기계입니다. 이 정보를 이메일로 보낼 수있습니다,를 마스터의 웹사이트, 또는하여 icq.
알리미는 일반적에 포함되어 트로이 '팩'을 알리기 위해서만 사용이 마스터가 트로이가 성공적으로 설치되어있는 피해자 기계입니다.
arcbombs
이러한 트로이 목마가 보관된 파일을 코딩을 사보타주가 베르크 - 압축기 때 감염된 보관된 파일을 열려고합니다. 피해자 머신이 느려지거나 충돌이 발생하면 트로이 폭탄이 폭발, 또는 채워진 nonsense 데이터가 디스크됩니다. arcbombs은 특히 위험한을위한 서버, 특히 들어오는 데이터는 초기에 처리되면 자동으로 : 그러한 경우, arcbomb 수있습니다 서버에서 충돌이 발생합니다.
에는 세 종류의 arcbombs :
1. 잘못된 헤더에 보관,
2. 반복되는 데이터를
3. 일련의 동일한 파일에 대한 보관합니다.
잘못된 보관 표제 또는 손상된 데이터를 둘 다 원인이 베르크 - 압축기로 충돌이 발생하고 압축을 푸는 열 때 감염된 보관합니다.
크기가 큰 파일을 포함하는 반복 데이터를하실 수있습니다 포장된로 매우 작은 보관 : 5 공간은 200 이하가 포장된 rar, 480 이하의 압축 포맷을 사용합니다.
또한, 특수 기술이 존재하여 팩 엄청난 수의 동일 파일에 보관하지 않고 하나의 크기에 크게 영향을 미치는 보관 자체 : 예를 들어, 그것이가능한를 팩 10,100 동일한 파일을 30 이하 rar 파일이나 230 이하 압축 파일입니다.
스파이웨어 및 애드웨어 :
스파이웨어 및 애드웨어가 형태의 트로이 목마 바이러스입니다.
스파이웨어 프로그램을 수행하는 유용한 기능을하고도 설치하는 프로그램이 모니터의 사용은 피해자의 컴퓨터를위한 목적으로 마케팅을 위해 사용자가있습니다.
애드웨어 프로그램은 스파이 모노와 유사한 프로그램을 빼고는 추가 소프트웨어들은 설치가 사용자에게 직접 광고 메시지를 보여줍니다.
-------------------------------------------------- -------------------------------------------
작성자 표시줄 :
suhas desai이 작업을 테크 mahindra 회사 푸네, 인도는 소프트웨어 개발자입니다.
그는 작품에 기여를 확실히 지문 인식 보안 도메인과 그의 프로젝트 작업을 "바이오 - 스마트 카드에 대한 rfid에 리눅스 클러스터"는 총 널리 인정 -
1. 11 일 ieee 실시간 및 임베디드 시스템 심포지엄에서 열린 캘리 포니 아주.
2. isa 엑스포 2004,있는 보안 컨퍼런스에서 열린 텍사스입니다.
3. 이메일 - 스마트 2005, 스마트 카드 기술 혁신 심포지엄, 프랑스.
자신이 작성 많은 연구 논문, 기사 및 기능에 대한 평판 국제 및 전국 회의, 저널, 절차 및 웹 포털입니다. 영광에 대한 그의 작업에 rfid되었습니다은 "인테크",는 글로벌 자동화 저널은 텍사스입니다. 그는 도달할 수있습니다 언제 desai.suhas @ gmail.com이나 suhasde@techmahindra.com