Cavalo de Tróia (computador)

Um cavalo de Tróia ( Cavalo de Tróia em inglês) é um tipo de malware, que não deve ser confundido com vírus ou outros parasitas. O cavalo de Tróia é aparentemente um software legítimo, mas contém funcionalidades maliciosas. Seu objetivo é trazer esse recurso malicioso para o computador e instalá-lo sem o conhecimento do usuário.

História

Origem do conceito

O termo "cavalo de Tróia" foi cunhado em 1970 pelo pesquisador da NSA Daniel J. Edwards . Em 1971, o manual do UNIX assume o conceito bem conhecido, uma vez que está escrito lá:

“Você não pode alterar o proprietário de um arquivo alterando o bit do usuário, porque assim você pode criar cavalos de Tróia capazes de usar arquivos de outras pessoas de forma fraudulenta. "

A terminologia foi posteriormente usada em 1974 em um relatório da Força Aérea dos Estados Unidos sobre a análise da vulnerabilidade dos sistemas de computador, então apresentado em 1981 por David Jordan e finalmente popularizado por Ken Thompson na conferência de Turing, que 'ele deu ao receber o Turing Prêmio em 1983 , um prêmio que recebeu pela criação do UNIX . Sua palestra tem a legenda:

“  Até que ponto se deve confiar em uma declaração de que um programa está livre de cavalos de Tróia? Talvez seja mais importante confiar: as pessoas que escreveram o software.  "

Que significa :

"O quanto você confia em uma declaração de que um programa está livre de cavalos de Tróia?" Talvez seja mais importante confiar nas pessoas que escreveram o software. "

Ele relata que tomou conhecimento da possível existência de Trojans (como os que eles apresentam), em um relatório de segurança do Multics , do qual infelizmente não consegue encontrar uma referência, mas Paul Karger e Roger Schell estão em posição de dizer que este é o relatório citado acima.

A lenda do cavalo de Tróia na Odisséia

Os cavalos de Tróia computadorizados (ou cavalos de Tróia em inglês) receberam seu nome de uma famosa lenda da Grécia antiga , contada por Homero na Odisséia e retomada por Virgílio na Eneida . O cavalo de Tróia é o método usado pelos gregos para conquistar a cidade de Tróia  : o herói Ulisses construiu um enorme garanhão de madeira que colocou em frente aos portões de Tróia e em cujas laterais se escondeu com seus companheiros. Quando os troianos descobriram este cavalo, eles próprios o trouxeram para a sua cidade. Eles adormeceram sem suspeitar enquanto o cavalo estava dentro de suas paredes. Ao cair da noite, Ulisses e seus companheiros saíram de seu esconderijo e abriram as portas da cidade para o restante do exército, que a destruiu e massacrou seus habitantes.

Trojans hoje

Um trojan de computador é um programa aparentemente inofensivo que contém software malicioso instalado pelo próprio usuário, sem saber que está trazendo um intruso malicioso para dentro de seu computador. É por analogia que esse tipo de programa foi batizado de "cavalo de Tróia", em referência à astúcia que Ulisses usava para contornar as defesas adversárias.

Em 2014, um estudo da Association of Internet Security Professionals, com foco nos perigos da transmissão ilegal ao vivo , revelou que um em cada três computadores está infectado com malware e que 73% dessas infecções vêm de um cavalo de Tróia.

Alguns detalhes terminológicos

O programa contido (ou posteriormente baixado automaticamente) é chamado de carga útil . Pode ser qualquer tipo de malware: vírus , keylogger , spyware ou adware ... É esse malware que executará ações no computador da vítima. O cavalo de Tróia nada mais é do que o veículo, aquele que "traz o lobo ao aprisco". Não é prejudicial em si mesmo, pois não executa nenhuma ação além de permitir a instalação de malware real.

Em linguagem comum, a metonímia costuma ser chamada de "cavalo de Tróia" para se referir ao malware contido nele. Essa confusão é parcialmente alimentada pelos editores de antivírus , usando "trojan" como um nome genérico para vários tipos de programas maliciosos que nada têm a ver com os cavalos de Tróia.

Vetores de infecção

O cavalo de Tróia assume a aparência de um software existente, legítimo e às vezes até mesmo confiável, mas que foi modificado para ocultar um parasita. A sutileza com que a instalação é feita é explicada por Ken Thompson em sua palestra de Turing. O usuário irá baixar e instalar o programa, pensando que está lidando com uma versão íntegra. Na realidade, o software contém software malicioso que pode ser executado em seu computador. Os softwares crackeados também podem ser cavalos de Tróia que enganarão o usuário que deseja obter um software gratuito normalmente pago, como Adobe Acrobat Pro, Photoshop, Microsoft Office ...

Origens comuns de Trojans

A introdução de um cavalo de Tróia em um sistema de computador pode ser feita de diferentes maneiras. Aqui estão os mais comuns:

• Baixar versões modificadas de sites não oficiais ou plataformas inseguras ( P2P ). Baixar software do site oficial do autor ou distribuidor normalmente evita lidar com uma versão infectada com um cavalo de Tróia.
• Baixando programas via protocolo P2P .
• Visitar sites que contenham um executável (por exemplo, controles ActiveX ou aplicativos Java).
• Exploração de falhas em aplicativos obsoletos (navegadores, reprodutores de multimídia, clientes de mensagens instantâneas, etc.) e, em particular, Web Exploit .
• Engenharia social (por exemplo, um hacker envia o Trojan diretamente para a vítima por meio de mensagens instantâneas).
• Anexos e arquivos enviados por mensagem instantânea.
• Atualização de software.
• Falta de software de proteção.
• Lendo um pendrive de origem desconhecida.

Noções semelhantes do cavalo de Tróia

O cavalo de Tróia não deve ser confundido com outras noções relacionadas:

• O injetor (ou conta - gotas , em inglês) é quase idêntico ao trojan porque também serve como um veículo para malware. No entanto, o injetor é um programa especialmente criado para espalhar malware, enquanto um Trojan é uma versão modificada de um programa legítimo existente.
• O backdoor ( backdoor ) é um programa que será executado silenciosamente no computador onde está instalado para usar uma brecha de segurança. O backdoor abre uma ou mais portas na máquina, o que permite que ela acesse livremente a Internet e baixe software malicioso sem o conhecimento do usuário. O backdoor, portanto, não é um cavalo de Tróia porque não transporta o software malicioso por si só: ele simplesmente abre um acesso e recupera, através da Internet, o programa malicioso que está em um servidor remoto.
• O RAT (ferramenta de administração remota) é um software para assumir o controle remoto de um computador. Um RAT pode ser uma ferramenta legítima (para solução de problemas remota, por exemplo), mas também pode ser usado por um hacker para assumir o controle de uma máquina. Neste caso, a introdução do RAT na máquina a ser controlada é feita sem o conhecimento do usuário. Ao contrário do que às vezes lemos, o T em RAT não significa Trojan, mas ferramenta .
• As bombas de descompressão não contêm malware, mas podem ser confundidas com os Trojans porque também entra em jogo o conceito de container, um arquivo compactado (um arquivo zip , por exemplo) de tamanho razoável, desde que não seja aberto. Mas quando o usuário tentar descompactá-lo, ele irá gerar um arquivo de tamanho gigantesco. Essa "explosão" faz com que o computador fique lento ou trave e sature o disco rígido com dados desnecessários. Embora sejam contêineres maliciosos, o funcionamento das bombas de descompressão não tem nada a ver com Trojans. Na verdade, eles não carregam nenhum parasita independente, eles saturam a máquina com dados aleatórios.
• O Trojan Stealer, mais especializado em roubo de dados e em particular contas online (email, redes sociais ou mesmo contas bancárias). O prefixo usado pelo antivírus pode ser Trojan.PWD, que significa senha PWD para senha.

Possíveis sintomas de uma infecção

• Atividade anormal na placa de rede ou disco rígido (os dados são carregados quando não há atividade do usuário).
• Movimentos curiosos do mouse.
• Aberturas inesperadas de programas ou do reprodutor de CD / DVD .
• Falhas repetidas do sistema.
• Desligamento inesperado ou reinicialização do computador.
• Comportamento de mensagem incomum na tela ou nas janelas.
• Comportamento incomum na operação do computador, como alterar a função dos botões do mouse ou alterar o volume do reprodutor de áudio.
• Abertura ou fechamento involuntário de janelas ou software.
• Os programas iniciam ou encerram sua execução inesperadamente.
• O navegador acessa certos sites por conta própria.
• Presença de outros programas que não foram instalados intencionalmente (incluindo malware).
• Roubo de informações pessoais: informações pessoais ou bancárias, senhas ...
• Exclusão, modificação ou transferência de arquivos (download ou upload).
• Executando ou interrompendo um processo.
• Keylogging (veja Keylogger )
• Incomuns screenshots .
• Espaço livre no disco rígido ocupado por arquivos desnecessários.

Exemplos

• Soquete 23
• Vundo (também conhecido como Virtumonde)
• LANfiltrator
• Flashback
• Y3k RAT (inativo)
• Hades-RAT
• Orifício Traseiro
• Fera
• Netbus
• ZeroAccess
• Koobface

Uma lista dos Trojan Bankers mais ativos em 2016, especializados em roubo de contas bancárias:

• Zeus
• Spyeye
• Dyre
• Ursnif também conhecido como (Papras, ouVoslik)
• Dridex.
• Vawtrak

Notas e referências

• Este artigo foi retirado principalmente do artigo de viruslist.com

1. "  Entrevista de história oral com Daniel J. Edwards  " , Charles Babbage Institute,2 de julho de 2013
2. Ken Thompsom , “  UNIX PROGRAMMER'S MANUAL,  ” ,3 de novembro de 1971(acessado em 28 de março de 2020 )
3. (in) Paul A. Karger e Roger R. Schell, "  Multics Avaliação de Segurança: Análise de Vulnerabilidade, ESD-TR-74-193  " , HQ Sistemas Eletrônicos Divisão: Hanscom AFB, MA , Vol.  II ,Junho de 1974( leia online )
4. (em) David M. Jordan, "  Multics Data Security  " , Scientific Honeyweller , vol.  2 n o  2Junho de 1981( leia online )
5. (em) Ken Thompson, "  Reflection on Trusting Trust  " , Common. ACM , vol.  27, n o  8,1984, p.  761-763 ( ler online ).
6. (em) Paul A. Karger e Roger R. Schell, "  Thirty Years Later: Lessons from the Multics Security Evaluation  " , CRGBA ,2002, p.  119-126 ( ler online )
7. Karger e Schell até escreveram que Thompson adicionou essa referência em uma versão posterior da conferência de Turing (em) Ken Thompson, "  It Trusting Trust  " , Unix Review , vol.  7, N o  11,Novembro de 1989, p.  70-74
8. (in) "  Riscos de streaming ilegal e segurança cibernética: um status quo perigoso?  » , No documentcloud ,Outono de 2014
9. "  Payload  " , em Assiste.com ,10 de janeiro de 2019
10. (em) "  Cavalo de Tróia  " na Webopedia
11. (em) "  Qual é a diferença entre vírus, worms e Trojans?  » , Na Symantec ,12 de janeiro de 1999
12. Na verdade, o usuário deve se lembrar da frase de Laocoonte citada por Virgílio sobre o cavalo de Tróia: “Tenho medo dos gregos, mesmo quando me dão presentes” .
13. "  Backdoor.Lanfiltrator  " , data não divulgada da Symantec (acessado em 5 de fevereiro de 2011 )
14. "  BD Y3K RAT 1.1  " , data não divulgada da Symantec (acessado em 5 de fevereiro de 2011 )

Veja também

Artigos relacionados

• Malware
• Engenharia social (segurança da informação)
• Injetor

links externos

• Lista de portas usadas contra cavalos de Tróia
• Como funciona um Trojan