Trojanci (Trojanski programi)

Tekstovi o zaštiti, 07.12.2009, 00:48 AM

Trojanci se mogu klasifikovati prema radnjama koje izvode na zaraženom kompjuteru.

  • 'Backdoor' Trojanci

  • Opšti Trojanci

  • PSW Trojanci

  • 'Clicker' Trojanci

  • 'Downloader' Tojanci

  • 'Dropper' Trojanci

  • Proxy Trojanci

  • Trojanci špijuni (Trojan Spy)

  • Trojanci izvestioci (Trojan Notifier)

  • ArcBomb-e

  • Rootkit-ovi

Backdoor Trojanci

'Backdoor' Trojanci su danas najopasnija i najraširenija vrsta Trojanaca. Ovi Trojanci su udaljeni administratorski programi što zaraženi kompjuter čini otvorenim za spoljašnju kontrolu putem LAN-a ili interneta. Oni funkcionišu na isti način kao i legalni administratorski programi koje koriste sistem administratori. Zbog svega ovoga teško ih je otkriti.

Jedina razlika između legalnog adiministratorskog programa i 'backdoor' Trojanaca je u tome što su ovi drugi instalirani i pokrenuti bez znanja ili pristanka korisnika zaraženog kompjutera. Jednom kada je 'backdoor' Trojanac pokrenut, on nadzire lokalni sistem bez znanja korisnika. Backdoor Trojanac često neće biti vidljiv u log-u aktivnih programa.

Čim je udaljeni "administratorski program" uspešno instaliran i pokrenut, zaraženi kompjuter je širom otvoren. Backdoor funkcije mogu uključivati:

  • Slanje/primanje fajlova

  • Pokretanje/brisanje fajlova

  • Izvršavanje fajlova

  • Objavljivanje obaveštenja

  • Brisanje podataka

  • Restartovanje sistema

Drugim rečima, pisci virusa koriste backdoor Trojance kako bi otkrili i preuzeli poverljive informacije, izvršili štetan kod, uništavali podatke, uključujući i kompjutere u bot mrežama, i tako dalje. Ukratko, backdoor Trojanci u jednom istom paketu kombinuju funkcionalnost većine ostalih vrsta Trojanaca.

U okviru grupe backdoor Trojanaca postoji posebno opasna podgrupa: varijante koje se mogu širiti kao crvi. Jedina razlika je ta što su crvi programirani tako da se konstantno šire, dok se ovi mobilni backdoor Trojanci šire samo posle konkretne komande dobijene od 'master'-a (onaj koji rukovodi ovim procesom).

Opšti Trojanci

Ova nespecifična grupa ukjučuje mnogobrojne Trojance koji oštećuju zaražene kompjutere ili ugrožavaju integritet podataka, ili pak, umanjuju funkcionalnost zaraženog kompjutera.

Višenamenski Trojanci se takođe svrstavaju u ovu grupu, budući da neki pisci virusa radije pišu multifunkcionalne Trojance nego trojanske pakete.

PSW Trojanci

Ova porodica Trojanaca krade šifre, koje su inače sistemske šifre iz zaraženog računara. Oni tragaju za sistemskim fajlovima koji sadrže poverljive podatke kao što su šifre i telefonski brojevi za pristup internetu i onda šalju ove podatke na email adresu kodiranu unutar tela Trojanca. To se onda šalje 'master'-u, odnosno korisniku ilegalnog programa.

Neki PSW Trojanci "snimaju" druge vrste podataka kao što su:

  • Sistemski detalji (memorija, prostor diska, detalji operativnog sistema)

  • Lokalni email klijent

  • IP-adrese

  • Detalje o registracijama

  • Šifre za on-line igre

Trojan-AOL su PSW Trojanci koji kradu šifre koje koriste korisnici AOL (American Online) internet provajdera. Oni su svrstani u posebnu podgrupu zbog toga što su mnogobrojni.

'Clicker' Trojanci

Ova porodica Trojanaca preusmerava zaraženi kompjuter ka naznačenim web-sajtovima ili drugim internet resursima. 'Clicker' Trojanci šalju neophodne komande ka browser-u ili premeštaju sistemske fajlove na kojima su standardni internet url-ovi smešteni (npr. 'hosts' fajl u MS Windows).

'Clicker'-i se koriste:

  • da povećaju broj na brojaču određenog sajta sa reklamnom svrhom

  • da organizuju DoS napad na na određeni server ili sajt

  • da dovedu zaraženi kompjuter na inficirani resurs gde će kompjuter biti napadnut drugim štetnim programom (virusom ili Trojancem)

'Downloader' Trojanci

Ova porodica Trojanaca download-uje i instalira novi štetni softver ili adware naciljani kompjuter. 'Downloader' Trojanac onda ili pokreće novi štetan program ili ili ga 'registruje' na sistem kako bi omogućio autorun zavisno od zahteva operativnog sistema. Sve ovo se dešava bez znanja ili pristanka korisnika.

Nazivi i lokacije štetnih programa koje treba download-ovati su ili kodirani u samom Trojancu ili se downloadu-uju sa određenog sajta ili druge internet lokacije.

'Dropper' Trojanci

Ovi Trojanci obično instaliraju štetan softver na zaraženi kompjuter bez znanja korisnika. 'Dropper' Trojanci instaliraju svoj "korisni" teret ili bez objave bilo kakvog obaveštenja, ili objavljuju lažnu poruku o grešci u arhiviranom fajlu ili u operativnom sistemu. Novi štetan program biva "bačen" (engl. drop) na određeno mesto na disku i tada biva pokrenut.

'Dropper' Trojanci su inače struktuirani na sledeći način:

Glavni fajl
sadrži "korisni" teret 'dropper'-a

Fajl 1
prvi korisni teret

Fajl 2
drugi korisni teret

...
onoliko fajlova koliko haker izabere da budu uključeni

'Dropper' sadrži kod za instalaciju i izvršavanje svih svojih sadržaja.

U većini slučajeva, teret 'dropper'-a sadrži druge Trojance i najmanje jedan 'hoax': šale, igre, slike i tako dalje. 'Hoax' služi za odvraćanje pažnje korisniku ili kao dokaz da je aktivnost prouzrokovana 'dropper'-om bezopasna, dok ustvari služi kao maska za instalaciju opasnog sadržaja Trojanca.

Hakeri koriste takve programe postižući time dva cilja:

  1. Prikrivanje ili maskiranje instalacije drugih Trojanaca ili virusa

  2. Varanje antivirusnog programa koji je onemogućen da analizira sve komponente

Proxy Trojanci

Ovi Trojanci funkcionišu kao proxy server i omogućavaju anoniman pristup intenetu sa zaraženog kompjutera. Danas su ovi Trojanci veoma popularni među spamerima kojima uvek trebaju dodatni kompjuteri za masovno slanje emaila. Pisci virusa često uvršćuju proxy Trojance u trojanske pakete i prodaju mreže zaraženih kompjutera spamerima.

Trojanci špijuni

Ova porodica Trojanaca obuhvata mnogobrojne špijunske programe i 'key logger'-e, od kojih svaki zapisuje i snima aktivnost korisnika na zaraženom kompjuteru i onda prosleđuje ove podatke 'master-'u. Trojanci špijuni sakupljaju širok spektar informacija uključujući:

  • podatke o otkucanim slovima na tastaturi

  • snimke ekrana

  • logove o aktivnim aplikacijama

  • ostale korisnikove aktivnosti

Ovakvi Trojanci se uglavnom koriste za krađu bankarskih i finansijskih podataka kao podrška online prevari.

Trojanci izvestioci (notifier)

Ovi Trojanci obaveštavaju 'master' kompjuter o zaraženom kompjuteru. Oni potvrđuju da je taj kompjuter uspešno zaražen i šalju informacije o IP adresi, broju otvorenih portova, email adresi, itd. Ova informacija može biti poslata email-om master web-sajtu, ili nekim messenger-om.

Rootkits

Rootkit je zbirka programa koje haker koristi kako bi izbegao otkrivanje dok pokušava da ostvari neovlašćen pristup kompjuteru. To se postiže premeštanjem sistemskih fajlova ili biblioteka, ili instaliranjem kernel modula. Haker instalira rootkit posle dobijanja pristupa korisničkog nivoa: po pravilu to se postiže krakovanjem šifre ili iskorišćavanjem ranjivosti. Tada se na isti način provaljuju drugi nalozi, sve dok haker ne dosegne root, ili administratorski pristup sistemu.

Naziv je poreklom iz Unix sveta, iako se oni uglavnom primenjuju na Windows platformi. Rootkit-ovi se sve češće koriste kao nevidljiva forma za sakrivanje Trojanske aktivnosti, a ono što im olakšava posao je činjenica da se mnogi Windows korisnici uglavnom loguju sa pravima administratora.

ArcBombe

Ovi Trojanci arhiviraju fajlove kodirane kako bi ometali rad dekompresora kada on pokuša da otvori zaraženi arhivirani fajl. Zaraženi kompjuter će se usporiti ili će čak doći do prekida rada kada trojanska bomba "eskplodira", ili će disk biti ispunjen besmislenim podacima. ArcBombe su naročito opasne za servere, osobito kada se dolazeći podatak inicijalno obrađuje automatski: u ovakvim slučajevima, ArcBomb može oboriti server.

Postoje tri vrste ArcBombe: pogrešno zaglavlje u arhivi, ponavljanje podataka i serija identičnih fajlova u arhivi.

I pogrešno zaglavlje arhive i oštećeni podaci mogu uzrokovati prestanak rada dekompresora kada pokuša da otvori i otpakuje zaraženu arhivu.

Veliki fajl koji sadrži podatke koji se ponavljaju može biti upakovan u veoma malu arhivu: 5 gigabajta će biti 200 kilobajta kada se koristi RAR i 480 kilobajta kada se koristi ZIP format.

Osim toga, posebne tehnologije postoje kako bi se spakovao ogroman broj identičnih fajlova u jednu arhivu bez značajnijeg uticaja na veličinu same arhive: na primer, moguće je spakovati 10100 identičnih fajlova u 30 kilobajta RAR fajla ili u 230 kilobajta ZIP fajla.

Članak preuzet sa


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Da li je prekrivena veb kamera na laptopu paranoja ili pametno razmišljanje?

Da li je prekrivena veb kamera na laptopu paranoja ili pametno razmišljanje?

Pre samo jedne decenije, ljudi koji su lepili traku preko veb kamere smatrani su pomalo ekscentričnim. Međutim, danas mnogi modeli laptopa imaju ugr... Dalje

Sajber kriminalci sve više koriste veštačku inteligenciju za skoro sve vrste prevara

Sajber kriminalci sve više koriste veštačku inteligenciju za skoro sve vrste prevara

Kada je reč o prevarama, sajber kriminalci se sve više oslanjaju na veštačku inteligenciju (AI) za generisanje teksta, slika, zvuka i videa, upozo... Dalje

Seksualni gruming na internetu u porastu: šta roditelji mogu da urade da bi zaštitili decu

Seksualni gruming na internetu u porastu: šta roditelji mogu da urade da bi zaštitili decu

Prema podacima britanskog Nacionalnog društva za prevenciju okrutnosti prema deci (NSPCC), gruming (grooming) na internetu je dostigao rekordan nivo,... Dalje

10 sekundi je dovoljno hakerima da dobiju pristup vašem Gmail nalogu - ali samo bez panike

10 sekundi je dovoljno hakerima da dobiju pristup vašem Gmail nalogu - ali samo bez panike

Gubitak pristupa email nalogu je zastrašujuća stvar s obzirom da većina nas koristi email naloge za posao, kupovinu i zabavu na mreži. Google ka... Dalje

Da li hapšenje vlasnika Telegrama ugrožava vaše podatke iz aplikacije

Da li hapšenje vlasnika Telegrama ugrožava vaše podatke iz aplikacije

Osnivač Telegrama Pavel Durov pušten je iz pritvora u Francuskoj juče poslepodne, a tužilaštvo u Parizu je saopštilo da je pokrenuta zvanična i... Dalje