O que dispara um arquivo de Trojan para ser executado depois que ele é baixado para sua máquina?

3

Eu postei uma pergunta anteriormente sobre alguns Trojans (eles parecem ser relacionados ao Java) que foram encontrados e excluídos da minha máquina por uma varredura recente.

Mas o que eu não sei é se esses Trojans foram realmente executados.

Quando você faz o download de um arquivo executável comum para a sua máquina, digamos notepad.exe, é necessário clicar duas vezes no programa para executá-lo.

Mas, no caso de um cavalo de Tróia, qual é o mecanismo de acionamento que faz com que o cavalo de Tróia seja executado?

    
por Lynx 08.07.2010 / 12:11

4 respostas

4

As duas maneiras principais pelas quais um trojan é acionado são:

  1. O 'trojan code' é inserido em outro programa e executa uma tarefa em que o programa host é executado

  2. O trojan substitui um arquivo legítimo no seu computador e executa sua tarefa atribuída quando o programa 'falso' é executado ou quando o programa 'falso' é chamado por outro programa ou processo.

Os cavalos de Tróia podem ficar inativos no sistema e só podem ser acionados quando ocorre um evento específico, como os descritos acima.

No caso de um trojan cliente / servidor, o cliente inicial (a parte que infectou o seu PC) fará contato com um componente do servidor, geralmente por meio de uma solicitação de IRC oculta. Quando isso acontece, o servidor normalmente substitui o cliente inicial por outro código de trojan e, nesse ponto, seu PC pode ser completamente controlado a partir do servidor.

Cavalos de Tróia podem ser entregues ao seu PC executando inadvertidamente alguns miniaplicativos do lado do servidor infectados ou podem ser "descartados" no seu PC por meio de um anúncio de banner infectado ou algum outro componente inócuo da web.

    
por 08.07.2010 / 12:48
4

Em geral, classificamos um ataque bem-sucedido em dois componentes, inspirados na terminologia militar: o Payload, que quando executado no alvo ativa os efeitos mal-intencionados (ocultar, transformar seu host em um zumbi etc.) e o Vector , que é responsável pela execução da carga útil. Então, você está perguntando que tipo de vetores de ataque existe?

Em seu sentido histórico, um cavalo de Tróia se baseia no usuário final como vetor. Antes que a conectividade de rede fosse generalizada, normalmente significava que você era levado a executar diretamente o que você achava que era um programa útil ou um jogo legal.

Existem outras formas em que o código pode ser executado com a ajuda do usuário; Por exemplo, havia alguns casos de vulnerabilidades no conteúdo que exibia bibliotecas, como, por exemplo, renderizadores em pdf, jpeg ou flash. Se você tiver o programa vulnerável instalado, basta tentar exibir o conteúdo tóxico. Você pode ser infectado simplesmente quando seu navegador tenta exibir um .jpg na página que você visita; um .jpg malicioso pode conter dados inválidos que acertarão um bug na biblioteca de exibição e talvez acabem executando o conteúdo.

Nesse caso, mesmo que você não tenha clicado no programa malicioso, ele está sendo executado inadvertidamente pelo programa que está chamando a biblioteca vulnerável (aqui, seu navegador).

Infelizmente, não podemos vincular o número de vetores possíveis; Toda vez que seu sistema processa automaticamente o conteúdo de uma fonte não confiável, há o risco de uma vulnerabilidade ser explorada. Contra isso, sua melhor aposta é provavelmente prestar atenção às atualizações de segurança e praticar a defesa em profundidade (como executar programas do dia-a-dia com privilégios restritos, etc ...)

    
por 08.07.2010 / 14:45
0

Mesma coisa. Geralmente parece um jogo ou uma espécie de ferramenta legal, que incita o usuário a executá-lo.

    
por 08.07.2010 / 12:13
0

Normalmente, trojans são inseridos a partir de certos arquivos, mesmo em imagens. Nesse caso, o trojan está direcionando especificamente as falhas na capacidade do sistema de exibir imagens.

    
por 08.07.2010 / 12:18

Tags