 |
Mer om trojaner |
1. Inledning
På sidan Virus & datorsäkerhet fick du lära dig lite kort om vad trojaner är. Jag skrev bl.a att trojaner är:
"...program, som på ytan ser ut att vara t.ex ett spel, men som när det startas också gör annat, t.ex raderar filer eller ändrar kataloger och inställningar. Förstörelsen kan starta efter en viss tid (kallas för en fysisk utlösningsmekanism), eller när du gör något visst på datorn, som att trycka på F7 eller skriva ett visst ord (logisk utlösningsmekanism). Det är inte alltid sådant går att upptäcka i tid, för spelet går att spela som vanligt och du märker inte att det är något fel förrän det är för sent."
I takt med att Internet byggts ut har trojaner (eller trojanska hästar) blivit mer och mer vanliga - och allvarliga. Varje vecka sprids nya trojaner och på IT-avdelningarna på företagen kämpar man för att hålla trojanerna borta.
På den här sidan skall du därför få lära dig lite mer om vad trojaner är. På sidan "Hitta trojanerna i din dator" kan du läsa hur man hittar de trojaner som letat sig in i datorn. Läs mer >
2. Trojan, virus eller mask?
Det råder delade meningar om vad en trojan är, vad ett virus är och vad som skiljer dem åt. Definitionen brukar dock vara denna:
Trojan
En trojan är en fil som är maskerad och utger sig för att vara något annat än den är. Den kan alltså inte starta av sig själv utan behöver en "bärare".
Virus
Till skillnad från trojaner (och vanliga program) så kopierar ett virus sig själv och försöker skapa så många kopior som möjligt. Virus kan också starta av sig själva, t.ex vid en viss tidpunkt eller då de aktiveras i operativsystemet.
Ett virus kan ta kontroll över ett register, förstöra vissa bestämda filer, samla in lösenord eller Visakortsnummer och skicka dem vidare till en dold mottagare. Virus innehåller ibland också irritationsmoment i form av hånfulla meddelanden från den om tillverkat viruset.
Mask
En mask eller worm på engelska behöver ingen "bärare" för att existera, som trojaner, men är ofta självständiga program, som till skillnad från virus inte lever inuti andra filer. En mask som kommer in i datorn via en Word-fil kan alltså ta sig ut ur filen och föröka sig inuti andra filer.
Maskar förekommer ofta i vanliga e-postmeddelanden (och deras bilagor) och skapar många exakta kopior av sig själv. Maskar försöker också skicka så många kopior vidare över en nätverksansluten dator som möjligt. De täpper därför ofta till ett nät så att ingen annan data kan skickas i det. Till slut hänger sig servern i nätverket och hela systemet får stängas av för att "avlusas".
Längre än så vill jag inte ta definitionen av de här tre. På nätet hittar man en rad olika försök att säga vad ett virus eller trojan är och vad som skiljer dem från varandra. Problemet är att man ganska snart kör fast och inser att det inte finns några tydliga skillnader.
Enligt mitt synsätt kan ett virus vara en trojan, om viruset döljer sig inuti en annan fil. Ett virus kan också vara en mask om virusfilen kopierar sig själv och sätter igen nätverket. I sig själv är sedan virusfilen det jag skrev ovan: en fil som är till för att ställa till skada för den som använder datorn.
De flesta virus är inte öppna, dvs det står inte på dem att de är eller innehåller ett virus. i den meningen är så gott som alla virus trojaner. Men innebörden i begreppet "trojan" är att virusfilen inte bara är dold inuti en bild eller bilaga i e-posten. Nej, för att ett virus skall kunna vara en trojan måste viruset vara just maskerat.
Alla tre kan finnas på CD-skivor, disketter, som bilagor i e-posten, dolda i bildfiler, gömda bakom länkar på webbsidor, dolda i makron i Office-program, osv. Där skiljer de sig alltså inte.
3. Bibrog-B
För att du skall förstå vad en trojan är och vad den kan göra, tänker jag börja med att berätta om en trojan, kallad Bibrog-B, som dök upp på nätet under mars 2003, och sedan snabbt infekterade många oskyldiga användares datorer.
Det finurliga och samtidigt farliga med Bibrog-B var att viruset fanns maskerat i ett spel, som var mycket välgjort. Spelet var litet och gick därför enkelt att skicka via e-post eller via fildelningsnätverk, som Kazaa, iMesh, Grokster och Morpheus.
Den som laddade ner spelet och körde igång det märkte ingenting när Bibrog-B aktiverades. I stället syntes ett ovanligt kul shoot-em-up-spel, där man kunde skjuta ner olika figurer på skärmen. Men under tiden kopierade sig Bibrog-B till alla de mappar som användaren utnyttjade för att dela filer. Sedan försökte trojanen skicka sig själv vidare till alla adresser i adressboken.
Riktigt farlig var dock viruset genom att det visade felaktiga sidor av kända sajter, t.ex Hotmail, Yahoo, MSN och Citibank. När man skrev in sina inloggningsuppgifter och lösenord, registrerade Bibrog-B dessa och samlade dem för att kunna skicka dem vidare till en eller flera personer.
4. Typer av trojaner
Tillverkarna av virusskydd använder sig av trå olika slags identifiering av trojaner och virus. Dels skapar man långa listor eller databaser, där de mest kända trojanerna finns definierade. Dels försöker man göra programmen smarta nog att själva upptäcka trojaner.
För att få trojaner att fungera måste man skriva deras kod på sådana sätt att de passar för ett visst operativsystem. Det betyder att en trojan som fungerar på Windows inte gör någon skada på en dator med Unix eller Mac OS - och tvärtom. På detta sätt kan man därför också kategorisera dem, eftersom man vet ungefär vilka vägar de måste ta in i dator.
Följande kategorier förekommer i de vanligaste virusskydden:
Backdoor.Trojan
Denna trojan är främst till för att, när den installerats i datorn (t.ex genom ett spel eller liknande; se ovan), använda obevakade portar för att tillåta en hacker att ta kontroll över hela eller delar av datorn. En hacker kan t.ex söka igenom datorn efter lösenord och hemliga uppgifter. Hackern kan även placera filer på datorn, t.ex för att sprida ytterligare virus eller för att skada användaren.
De trojaner som fungerar på detta sätt kallas "Backdoor", eftersom de alltså öppnar en "bakdörr" in i datorn. Ibland kallas den här typen av trojaner också för Remote Access Trojans, "Keyloggers" och ibland även "FTP-trojaner". Kända trojaner i denna kategori är Backdoor.Subseven och Backdoor.Netbus.
PWSteal.Trojan
"PW" står för "PassWord" (lösenord) och har alltså som syfte att samla in information om lösenord som skrivs in av användaren av datorn. Ibland kallas dessa trojaner också för "Password Sending Trojans". Det kan vara lösenordet till internnätet, till Hotmail, till MSN, en webbsajt, osv.
Trojansk Häst
Denna kategori går oftast under sin engelska beteckning "Trojan Horse", men ibland kallas de även "Destructive Trojans".
Kategorin utgörs av sådana trojaner som varken klarar av att öppna bakdörrar eller stjäla lösenord. I stället gör trojanen andra saker, som tar bort viktiga filer, ändrar inställningar i program, startar program (t.ex sådana som i sin tur innehåller virus).
I takt med att virusskydden och brandväggarna täpper igen säkerhetshålen, dyker nya upp. Här är därför ytterligare några sorters trojaner, som ännu inte fått någon bra kategorisering. Jag har hittat namnen och beskrivningarna på diverse hackersajter:
Denial Of Service (DoS) Attack Trojans
Genom att placera en trojan på 200 bredbandsuppkopplade användares datorer, kan man utsätta en server för en enorm trafikmängd, som gör att servern låser sig. Vanligt sätt att få stora företag eller sajter ur funktion. En variant på dessa trojaner är "Mail-Bomb Trojans", som syftar till att utsätta en mailserver för mycket trafik så att den upphör fungera.
Proxy/Wingate Trojans
Genom trojanen förvandlas en användares dator till en proxy- eller wingate-server. Den blir då öppen för alla som vill hämta eller lägga filer på den, t.ex förbjudet material som kan leda till brott. Den här typen används även för att registrera domäner under falska namn och adresser, med falska kreditkortsnummer. Det är alltså proxyn som syns utåt, medan den som agerar genom den förblir anonym.
Software Detection Killers
Vissa trojaner är tillverkade enbart för att ta död på de virusskydd och brandväggar som finns installerade i datorn. När trojanen gjort sitt saknar datorn skydd och hackern kan ta sig in i den obemärkt och utan hinder.