木马分类

Share

|

特洛伊木马程序通常视为代表要么进攻隐私（盗窃密码，例如，导致未经授权的访问，并有可能需要修改） ，或完整性（破坏性木马） 。 这是一个不大过于简单化。 毕竟，擅自修改了攻击，完整。 隐私创节目往往销毁档案等，以掩饰行迹，攻击者可能想获得具体破坏性目的。 此外，这种方法假定恶意意图，其中，我们看到了，就是没有被普遍接受，作为一个决定性的特点。 因此，一些类型包括：在这里往往没有考虑到这方面的情况。

这类有效载荷你期望一个木马（技术上，我猜想这是一个希腊马） ，以进行可能反映出你的计算方向。 多年来，主机和小型电脑的用户往往认为无论在程序盗取密码或其他违反隐私权，而微机用户倾向于认为，在条件具破坏性的木马，其中格式化的磁片或trashed档案系统。 在现实生活中，无论是破坏性和隐私创木马已经知道在两端的大铁箱/电脑频谱多年。 然而，最近几年已经看到更多的跨国施肥。

破坏性木马

木马，其主要目的是破坏性的，长期困扰微机业主。 肮脏的十几名单，首次公布经fidonet在20世纪80年代中期，最初只针对这类节目，而在同一时间一览表界定出一个木马来说，有针对性的破坏。 当然，名单很快增速平均达6.6原有十几木马，经历了一些变化，在整个80年代和90年代。 它可能仍然是有可能找到它的一些之前称为simtel镜像服务器的dos /病毒目录的层次，但它是真的，只有对历史有兴趣。 老木马的类型大致列在dirtyd *. zip压缩几乎总是短命的。

恶意的，非复制节目，也被广泛报道，对麦金塔计算机再培训计划，其中包括破坏性的木马。 病毒信息的本意是为了遏制病毒的资料，但实际上trashed磁片。 （它不应该与信息化[ ，但逐渐取消]器hypercard栈病毒参考） 。后记开刀即能有效地使某些苹果电脑印表机无法使用，攻击固件也激发兴趣不大，在同一时间内。 nvp的修改体系的文件，使任何元音可以打字，和原先发现伪装成新的面貌，重新设计了演示。 最近，破坏性和保护隐私权的侵犯，因此汇编applescript木马已经注意到。

但是，社会发展方面的影响，例如木马往往不成比例，以他们的影响，在实际的事件。 因为它们不自我复制，不像病毒和蠕虫，他们不太可能会蔓延，由无辜的第三者。 他们也往往是粗制滥造编程。 简单的批处理文件使用del ， deltree ，或者格式仍然是常见的，有时编入。 exe或。 com文件使用批量文件编译器等bat2com 。 这使它们更难辨认。 特洛伊木马病毒通常是直接采取行动，那就是尽快出一个木马是被处决，但其所有的损坏，一旦这与他们对正在蔓延，由先前的受害者。 然而，存在驻地木马将自己安装，使它们来说，在每一个计算会议。 很多时候，这些都是相关的活动，如盗窃密码。 然而，任何木马，其有效载荷是不是立即公然恶意最大化自己的机会获得通过。

有至少两名试图通过小康木马作为升级至pkzip ，目前广泛使用的档案压缩实用程序。 最近的一个例子是档案pkz300.exe和pkz300b.zip供人下载一些网站。

较早木马通过本身小康为2.0版本。 基于这个原因， pkware从未发布了一个2.0版本的pkzip ：据推测，如果他们不释放另一dos的版本（不可能的，在这个日子，在我看来） ，它不会被编号为3.0版（ 0 ） 。 [事实上，最新版本是2.50时的写作。 ]

事实上，在几乎没有任何已知的案件有人下载并遭这个木马，这几年人们看到了（虽然最有信誉的病毒扫瞄器将探测它） 。 据我所知，这个木马是唯一见过就瓦雷兹服务器（专门从事盗版软件） 。

有记录的事例假pkzip主场迎战三日发现感染了一个活生生的，在该野生文件型病毒，而且这也是非常罕见的。 至尽我的知识，最新版本的pkzip是2.04克[现为2.50 ] ，或为2.50窗户[现2.60/2.70 ] 。

有一个版本2.06放在一起专门为ibm公司内部使用（证实pkware ） 。 如果你发现它在市面流通，避免它。 它的任何非法或一个可能具有破坏性的是伪造的。

最近红疹复活的警告，这是至少有一部分是欺人之谈。 它不是一个病毒，它的一个木马。 它没有（也不能）损坏调制解调器， v32或以其他方式，但我猜想病毒或木马可能会改变原来的设定的一个调制解调器-如果它正好是对连接… … 。

看来来删除文件，不破坏磁盘不可改变的。

这绝对是一个好主意，以避免档案自称为pkzip主场迎战三日，但真正的风险是难以辩解的带宽，这戒备占领。

为什么说是一个有趣的案例历史？ 原因之一是，受这次攻击是一个典型的针对一个破坏性木马推移本身小康作为东西，但实际上不是。 pkzip是一种流行和非常有用的共享软件事业。 最近，它已被蒙上阴影，而不是由其他公用设施，使用相同的压缩格式，这或许可以解释为什么pkzip是那么有吸引力的目标trojanization如今。 在下面我们暗示类似的效用，为陆委会，其身份也趁引诱不谨慎受害者变为运行imposter程式。

第二，这是一个伪造的程序作出任何努力承担外观或功能性的节目，他们的身份，称。 这是特点，采取直接行动，破坏性木马，但不是一个决定性的特点。

第三，最有趣的是，这个纲领就很少有人看到，成为一个重大的滋扰，因为有多少人收到，并通过对一个"半hoaxified "警告木马。 事实上，影响了连锁信更为严重，比木马本身是以往任何时候都可能被。 （这是一种并不少见的副作用直接行动木马，但它很少显示器这种壮观的影响） 。

由半诱骗下，我们指的是具误导性的警惕基于一个真正的病毒或木马，但到哪些不够误报已经推出，使太不准确是有益的。 我们或许应分清这里之间的一些可能性：

• •一个警示基于真实的恶意软件，但是太不精确是有益的。 （很多病毒警报，通过对由非专家属于这一类） 。
• •一个警示基于真实的恶意软件，但所提供的用处不大，由误报基于不完善了解相关技术。 即使是有见识的个人可以在不经意引入这样一个不准确进入戒备状态。
• •一个警示基于真实的，恶意的软件，但无效引进刻意误导材料，夸大，或完全捏造的属性和潜在的损害。

是不是一个警告要么虚报或不是一个骗局？ 我想不会。 故意虚报（或缺乏资讯科技）可能是绝对的，而是混合的事实与虚构是司空见惯，在恶作剧，那里其实适合的环境，支持，以一种本质上的虚构断言。

在1997年底，假版的stuffit豪华分发。 （ stuffit是另一种受欢迎的存档工具，主要用于对互委会） 。在安装过程中，该计划将删除关键的系统文件。 阿拉丁制度，庄家的stuffit ，广泛发出警告，对特洛伊木马程序上的时间。

恶意木马程序，也都以伪装成反病毒软件。

一个非常著名的木马结合，破坏和勒索是筹委会生化特洛伊木马病毒，或艾滋病病毒。 在1989年，约有一万人份的一个艾滋病信息软盘分别分布在欧洲，非洲，北欧，澳大利亚等许多医疗机构。 之后，该计划是安装并运行后，隐藏的程序加密硬盘后，定数的重启。 当时的想法是，受害人将不得不发出"执照费" ，以电脑生化人的巴拿马地址，以获得解密的钥匙。 所幸的是，病毒所研究员，在英国破获加密。

隐私创木马

隐私创木马一般执行一些功能，揭示了以程序员重要和特权信息系统，也不得不然的妥协的制度。 密码是，由于显而易见的原因，这是一个很普遍的目标。

他们也可以（或代替）隐瞒一些功能，也都是以程序员重要和保密的资料约一个系统或妥协的制度。

一些反病毒公司已经区分电脑特定隐私创木马病毒和破坏性木马限制一词的使用木马遭到毁灭性的节目。 他们使用的术语密码盗用技术，为最常见的隐私创节目。 在九十年代后半期，密码窃取程序专门针对美国在线用户似乎变得非常普遍的现象（有人估计在若干这类节目上升到数以百计） 。 一些反病毒软件使用了一个接入点标识等节目，大概是站立，美国在线密码stealer 。 不过，美国在线是不会永远是唯一易受伤害的服务。 在论文中存在的烟雾中，有镜子，莎拉戈登和朱棋形容运行模拟用户对美国在线公司7个月期间。 而尝试了，以争取道具users'screen密码，将这些企图普遍采用直接的社会工程技巧，由记者假扮美国在线的工作人员，而不是间接地同盗窃密码的程式。

后门木马

木马，不时被放置在合法申请。 肯汤普森介绍，在思考信赖的信任了一些有趣的（不完全是假设性的）方案中，最有名的作为trojanized编译器的情况。 在这种情况下，生产软件提供的手段获取特权的人不知道走后门或陷形容。

门子和trapdoors提供未经授权的存取（可能修改） ，是不是唯一的未经授权的代码引入正当程序，但。 陆委会许多车主买了某牌子的第三党键盘与一个木马hardcoded到光碟片上发现的案文， "欢迎datacomp "插入到自己的文件显然是随机的间隔时间。 电脑主机板与trojanized bios的特点是"生日快乐"起透过扬声器系统在开机的行动，显然是对程序员的生日。

远端存取工具（老鼠）

虽然少数反病毒软件厂商，将要求检测所有已知木马，最发觉至少有一些对平台，而他们的产品，特别是那些木马说，这样做的直接损失。 远端存取工具（只） ，如netbus及背部开口，不过，跨越界线的合法系统管理（类似于这所进行的项目，如个人电脑随时随地） ，并暗中未经授权的访问。 当系统所有者是说服运行安装程序，服务器程序是安装了可从客户端软件对远程机器毫不知情的用户名。 该服务器是用来操纵受害人机。

在功能上，可能会出现没有任何差别，大鼠和一个"合法"的手段。 区别不在于功能，但在便利的隐蔽供货的功能给未经授权的个人。 作为与嗅探器和网络扫描仪，它不是什么节目没有那么多为理由，它的被使用。 但如果大鼠软件是心甘情愿地安装，启用该系统的攻击，用户并不期望，是不是使之成为一个木马？ 采用微软的word ，也使得用户容易受到攻击，他可能不会有预期的。 据，例如，从字面上来之前，一些电脑用户认识到使用版本的文字与其它微软办公应用软件，支持宏观的语言，使他们容易受到宏观病毒和木马。 这是否使比尔盖茨一个木马作者？ 没有，因为从功能，在这种情况下，是过于笼统，以说是一个后门。 然而，老鼠广播驻留以黑客，谁探针一个特点，各种端口号，当然可以说是一个后门特洛伊木马程序。 它促进的意图作者和颠覆国家期望的受害者。

这是一个严重的问题-不只是在说， "坏人" ，经常提及的缺点，正版软件（特别是微软的） ，如果未能预见的臭虫在办公室正当他们自己的有预谋的活动。

但是，一些老鼠作者已利用这种矛盾所产生的"专业版" ，例如软件和抵押给他们。 这使得作者抱怨的反资本主义，反竞争行为的安全厂商，他们发现自己的计划是一个木马（或者，也常常不准确，一个病毒） 。 它，那真是太。 几个反病毒软件厂商已下降检测专业版的netbus ，尽管一再点不准其前因和其持续潜力挤占。 其他人已经离开自己的方式来区分标准netbus亲装置及trojanized设施。

滴管

一滴管纲要，是这不是本身就是一种病毒，但用意是安装一个病毒。 奇怪的是，鉴于受欢迎协会的木马及病毒，滴管，是一个比较难得的切入点病毒在野生环境。 在电脑世界，滴管节目是最常见的与运送引导扇区病毒跨网，可用于该目的，是由双方的亲和防病毒研究人员。 他们可以被用来作为一种变相的手段引入病毒进入的制度下，如果受害人能够说服社会工程技术，以运行滴管程式。

滴管已用于出奇经常在苹果计算机以外的世界，虽然。 该macmag病毒引入透过器hypercard栈所谓苹果新产品。 该tetracycle游戏被牵连，在原来的蔓延mbdf 。 extensionconflict是要找出矛盾的扩展（现在有一种奇怪） ，但会安装sevendust病毒。 双方sevendust和mbdf仍旧被报道在外地。 早在电脑世界中，红队戒备更加难以捉摸水域附上病毒滴管据称是一个见效一个病毒没有，也不可能存在。

笑话

玩笑程序几乎一样古老的计算。 一位老先生的例子是等离子曲奇节目，其中又出现了，并要求受害人为一个cookie 。 pc和mac用户都早已高兴或不满这样的计划。 造成了极大的混淆，由于习惯的反病毒软件的警戒状态（用这个词病毒） ，不仅对病毒和木马，但就玩笑程序如cokegift 。 这种广泛的分布式程序提供受害人自己的光盘托盘作为持有人，为他们的碳酸饮料（或者有可能是白色粉末鼻食入或石炭纪化石燃料） 。 可爱对一些人来说，令人厌烦别人，但不正是危及生命。 但是，实践中有所警觉，就玩笑程序可能出现的反应，以假定的玩笑程序威胁到格式磁片，或宣称有这样做，但并没有作出这样的实际尝试。 事实上，有事例时，一个供应商已报告作为一个木马，另一厂商报作为一个笑话。

炸弹

逻辑炸弹是恶意程式执行其有效载荷当一个预设的条件是满足。 当触发条件，是一个时间或日期，任期计时炸弹，可以使用。 一个时间表出来是一个逻辑炸弹，有时被用来执行合约条款。 特有的，该程序停止运行，除非有人采取行动，以显示（例如）表示，许可费已经支付，或承包谁写代码已经支付。 这不是未知的一个承包商引进一些更激烈的计时炸弹，可触发，如果发生争执，金出现。

一词的使用炸弹使人联想到破坏性的有效载荷，但这种需要，事实上，如果情况属实。 邮件炸弹和订阅炸弹的dos （拒绝服务）攻击的用意不便受害人殴打他或她的信箱与堰的邮件。 通常的做法就是由认购受害人大量的邮件列表。 电子邮件木马肯定是存在的，虽然电子邮件是较为常见的一种感染载体病毒和蠕虫。

任期的ansi炸弹通常指的是一个电子邮件讯息或其他纯文本文件，利用了一种提高该ms - dos ansi.sys司机。 这使得按键，以重新界定与逃生序列，在这种情况下，为了响应一些具有潜在破坏性的指挥控制台。 这种节目在同一时间内的次数相当频密报，就fidonet 。 但是，现在很少系统运行程序需要的ansi终端仿真，并ansi.sys通常是不会安装在windows 9x或稍后。

有替代ansi.sys不支持键盘的重新定义，或允许它被关掉。

rootkit攻击

rootkit能的一个例子，一套trojanized系统程式入侵者谁管理，以根妥协的制度，或许还可以取代为commands'standard当量。 例子包括改良版本的系统工具，如顶部和ps ，让不合法的程序，以运行而不被察觉;守护进程修改，以妥协的日志条目或隐藏连接;公用事业gimmicked使升级，以根除特权或隐藏的rootkit组件文件或其他后门功能（秘密密码，让特权获取的，例如） 。 相关节目，包括包嗅探器和utmp / wtmp编辑（用于医生日志文件） 。

rootkit攻击存在一些口味的unix ，是出现在新台币版本。 然而，一次过trojanized版本的登录（也就是版本不包括在一套节目，例如一间的rootkit ）已被使用，例如，为丰收的密码，因为庞编程在飞行员。

莎拉戈登的纸质发布的脆弱性和工具（程序中的第12次世界大会对计算机安全，审计和控制， 1995年） ，包括技术分析部分的rootkit组件。

ddos的代理商

拒绝服务攻击（分布式拒绝服务）的工具，如flood ， network ， trinoo是木马设计的一个很具体的目的。 他们打算把互联网服务器，由远端协调包flooding攻击，由多台计算机。 通常情况下，入侵者控制了一些掌握机器。 这些，进而控制守护进程远程机器。 暗里安装了，他们的存在往往是隐蔽所安装的rootkit攻击。 守护进程，可安装在数以百计的远程机器，所有导演洪水袭击受害者的制度。

安装和出席会议的一位ddos攻击工具可以检测到由同一手段和其他恶意软件。 那就是承认某一特定搜索字符串（称为东西侦测） ，启发式扫描和变化检测。 病毒扫描器探测通常被称为拒绝服务攻击的工具。 网络流量，可用于监测等特点，叶包的欺骗性源地址。 入侵侦测系统可配置为扫描图谱特征的沟通，掌握软件和守护程序软件。