Трояны морь
Түүх
засварлахТрояны морь (англ. Trojan horse) гэсэн хэллэг нь эртний Трой (Troy) хотод болсон дайнаас гаралтай бөгөөд Грекүүд заль зохион дотроо хөндий том модон морь хийж, улмаар зэвсэглэсэн цэргүүдээ нуун эвлэрэхийн билиг тэмдэг болгон Tрой хотын үүдэнд орхиж өөрсдөө усан онгоцондоо сууж далайруу явсан дүр үзүүлсэн байдаг. Грекуудын бэлэг болгосон том морийг баярлаад хот руугаа оруулсан бөгөөд морин дотор нуугдсан цэргүүд шөнө дөлөөр гарч ирээд харуулыг устгаж хотын хаалга үүдийг нээж өөрийн далайгаас нууцаар буцаж ирсэн цэргүүдийг оруулж Трой хотыг эзэлж авсан түүхтэй. Үүнээс үүдэж нууцалсан айхтар зальтай үйлдлийг Тояагийн морь гэж нэрлэх болжээ.
Энэ эртний грекийн түүхээс үндэслэн Trojan horse virus нь үүссэн бөгөөд анх 1980 оны үеэд хэд хэдэн компьютерт халдсанаар хамгийн анх илэрсэн байдаг.
Орчин үе
засварлахЗарим онлайн эх сурвалжуудаас үзэхэд анхны Trojan вирусыг хүмүүс Spy Sheriff гэх нэрээр нь илүү мэднэ гэжээ. Трояны морь нь Windows32 файлуудыг вирустүүлэх боломжтой байсан боловч хакерууд энэ вирусыг хөгжүүлсээр өдгөө хүчирхэг вирус болтлоо хөгжсөн байна. Энэхүү вирус нь дэлхий даяар нийт 1 сая гаруй компьютерт халдварлаж чаджээ. Trojan морь вирус нь хүний мэдээллийг халдаж буй хүндээ мэдэгдэлгүйгээр хулгайлж авхад зориулагдсан.
Хувь хүний мэдээллийг хулгайлснаар дараа янз бүрийн зорилгоор дарамтлан мөнгө нэхэх, хувын нууцыг нь бусдад дэлгэх хүссэн файлаа нээж унших түүнийг устгах хуулж авах, хатуу дискэнд нөлөөлөх түүнийг арилгах Registry файлд єєрчлєлт оруулах мөн Backdoor программ суулгах гэх зэрэг нэгэнт вирус нэвтэрсэн бол халдагчид яг л өөрийн компьютер дээр ажилж байгаагаас ялгаагүй маш өргөн боломжийг олгодог онц ноцтой вирус юм. Trojan horse вирус нь та найдваргүй газраас тоглоом түүний update зураг жижиг файл татаж авж түүнийгээ задлаж үзэх эсвэл эзэн нь тодорхойгүй хүнээс мэйл хүлээж авч түүнийгээ нээж үзэх мөн компьютерийн IP address аар явуулах зэрэгээр таньд мэдэгдэлгүйгээр таны гэнэн хамгаалалтын мэдлэггүй байдлыг ашиглан таны компьютерт нэвтэрч ордог. Үүнээс авч үзхэд Trojan ийг энгийн нэгэн пролрам гэж хэлж болно. Орчин үеийн бараг бүх вирусны програмууд энэхүү вирусийг илрүүлж устгах чадалтай болсон. Trojan нь анх гарсан цагаас өдийг хүртэл update хийгдсээр ирсэн билээ.
Урьдчилан сэргийлэх
засварлах- Та ямар нэгэн файл татаж авж сайтдаа 100% итгэлтэй биш бол ямар нэгэн файл татаж авах хэрэггүй. Найз нөхөдөөс чин ирсэн файл байсан ч гэсэн болгоомжтой байх ёстой.
- Нуугдсан файлын талаар мэдлэгтэй байх ёстой.
- Автоматаар татагддаг эсвэл шууд нээгддэг файлуудаас болгоомжил. Энэ нь хэрэглэхэд амар байдагч ямар нэгэн вирус нуугдсан байх тохиолдол цөөнгүй. Жишээ Outlook и-мэйл сервер шууд нээгдэх горимийг тохируулж өгөх боломжтой байдаг.
- Хэзээч өмнө нь ашиглаж үзээгүй website дээр элдэв команд бичиж өгж болохгүй. Жишээлбэл та 10000$ хожлоо та доор нэр утас зэрэг мэдээллээ үлдээнэ үү гэсэн худлаа мэйл ирэх нь цөөнгүй үүнд хэзээч итгэж болохгүй.
- Зөвхөн ганц удаа шалгаад файлаа нээж үзэж болохгүй. Зарим Trojan ганц шалгалтаар илэрдэггүй.
Устгах
засварлахНэгэнт суусан Trojan horse-ийг устгах заавар:
- Trojan халдварласан файлаа олж мэдэх. Энэ Trojan файлаа олсноор вирусыг устгахад хялбар болно. Ихэвлэн Trojan тай холбоотой алдааны мэссеж нь DLL төрөлтэй байдаг. Та энэхүү алдааны мэссежийг google.com-д хуулж хайснаар EXE файлын талаар мэдэж болно
- Системийн дахин ачааллыг зогсоох. Энэ алхмыг мартвал устгагдсан файл дахин сэргэх болно.
- Компьютэр аа Restart хий. Restart хиисний дараа F8 товч дээр дарж safe mode оор асаана.
- Add эсвэл Remove програмууд дээрээ очно. Та control panel-аасаа Trojan файлыг олж харах болно. Үүнийгээ устга.
- Extension-ийг устга. Windows system дотроос устгагдсан файлын extension-ийг мөн устгах хэрэгтэй.
Төрөл
засварлах- Remote Access Trojan (RAT):Халдвар авсан машин халдагчийн бүрэн хяналтанд орох зорилготой. Ихэвчлэн masqueraded ийг ашигладаг.
- Data Sending Trojan:Энэ Trojan horse нь keylogger ашиглан хохирогчийн нууц үг, кредит карт болон банкны мэдээлэл, IM мэдээлэл зэрэг эмзэг мэдээллийг хулгайлах зорилготой.
- Destructive Trojan: Хохирогчийн компьютэр дээр байгаа data-г устгах зориулалттай.
- Proxy Trojan: Халдагч хохирогчийн компьютэрийг ашиглан элдэв хууль бус үйлдэл хийх зориулалттай.
- FTP Trojan: Энэ төрлийн Trojan horse нь нээлттэй байгаа port21 ийг ашиглан халдлаг хийдэг.
- Security software disabler Trojan: Хохирогчийн antivirus firewall зэрэг software програмуудыг идэвхгүй болгож их хэмжээний хохирол үзүүлэх зорилготой.
- Denial-of-Service attack Trojan: Хохирогчийн компьютерийг зогсоож халдагчид боломж олгох зориулалттай.
Энэ үндсэн 7н төрөлд багтах зарим нэгэн Trojan horse:
Sub 7, Back Orifice, AIDS (Trojan horse), Alureon, Beast (Trojan horse), Christmas Tree EXEC, Bifrost (Trojan horse), R2D2 (trojan), Space Eater Trojan, Tiny Banker Trojan, Trojan BackDoor.Flashback, Zlob Trojan, Ghost RAT Trojan, Backdoor Trojan horse, Twelve Tricks гэх мэт маш олон төрлийн Trojan байдаг байна.
Одоо эднээс заримых нь ажиллагааг дэлгэрэнгүй тайлбарлая.
- Space Eater Trojan:
Энэ Trojan ийг хэрхэн ажилдаг мөн хийх зааврыг оруулий. Энэхүү Trojan ийг ажиллуулснаар hard disk нд root эрхээр нэвтрэх боломжийг олгоно. Ихэвчлэн C: Drive диск дээр ажилладаг. Маш хурдан ажиллах бөгөөд ажиллуулснаас хойших 1 минут тутамд hard disk нээс ойролцоогоор 1GB зайг эзэлнэ. Ийм учраас үүнийг Space eater Trojan гэж нэрлэж болох юм. C хэлэн дээр бичигддэг учир үүнийг вирусны програмууд мэдэх боломжгүй юм. Hard disk ний зайг эзэлж тэр эзэлсэн зайндаа асар их хог файл аар дүүргэх юм. Өөрөөр хэлбэл таны hard disk хэдхэн минутын дотор дүүрэх юм. Hard disk дүүрсний дараа Trojan халдагчид scan is complete гэсэн мэссэж явуулах болно. Хохирогч hard disk ээ цэвэрлэж чадахгүй байх магадлалтай учир нь дүүрсэн хог файл ууд нь .dll өргөтгөлтэй байна. .dll өргөтгөлтэй файл нь асар том хэмжээтэй учир хохирогч hard disk ээ форматлахаас өөрөөр цэвэрлэх болмжгүй юм. Space Eater Trojan ийн algoritm:
1. Root drive ийг хайна.
2. Root drive ийн байрлаж байгаа газараас удирдана. %systemroot%\Windows\System32
3. Үүнийгээ “spceshot.dll“ гэж нэрлэнэ.
4. Үүгээр хоосон зайг дүүртэл нь хог файл чихэх юм.
5. Hard disk дүүрсэн бол Trojan ийг зогсооно.
C хэл дээрх source code ийг татаж авах.www.gohacking.com/downloads/source_codes/Space_Eater.rar Хохирогч үүнийг хэрхэн зогсоох вэ? “run” цонхноос “spceshot.dll“ гэсэн файлийн нэрийг бичиж өгж хайж олоод устгаад л гүйцээ.
Subseven нь windows 9x platporm компьютэрийн ажиллагааруу довтолдог Trojan horse юм. Хамгын түгээмэл Trojan юм. Учир нь хакерт алсын зайнаас хохирогчийн компьютэрийг удирдах боломж олгодог. Subseven-ийг ашиглаж буй хакерт ямар ямар боломжууд үүсэх вэ?
1. Хохирогчийн компьютерийг restart хийх.
2. Хулганы товчийг урвуугаар нь ажилдаг болгох. (mouse1 mouse2 ийн байрыг солих)
3. Хохирогчийн компьютерийн микрофоныг ажиллуулах. Чагнах төхөөрөмжийн үүргийг гүйцэтгэж болно.
4. Хохирогчийн компьютерт залгагдсан видео камерыг ажиллуулж чадна. Бичлэг хийх боломжтой.
5. Дэлгэцийн өнгө болон зургыг солих мөн хохирогчийн компьютерийг унтрааж бас асааж чадна.
6. CD-ROM ийг нээж мөн хааж чадна.
7. Screenshot хийж чадна.
8. Хувын мэдээлэл, hard disk-ний хэмжээ, үйлдлийн системийн versio, нууц үг зэрэг чухал мэдээллийг цуглуулж чадна.
9. Subseven-ний шинэ хувилбар нь хохирогчийн online ёртөнцөд эзэлж буй байр суурыг мэдэж чадхаас гадна ажиллуулж буй програмуудыг нь зогсоож чадна.
10. Камерийн хүссэн зүгтээ эргүүлж хакер хохирогчид мэдэгдэлгүйгээр түүнийг ажиглаж чадна.
11. Хакер нь бүх төрлийн нууц үг болон түлхүүр(public key private key ) үүдийг мэдэж авч чадна.
Subseven-нг гурван үндсэн хэсэгт хувааж болно.
A. SubSeven Server : Энэ сэрвер нь хохирогчийн компьютэр дээр заавал ажилласан байх ёстой. Ингэснээр client(хакер)-д бүрэн хянах боломжийг олгодог.
B. Client : Хакер мөн өөрийн компьютэроо сэрверт холбож ажиллаж байх ёстой.
C. Server Editor : Хакерт сонгож авсан хохирогчийнх нь талаарх мэдээлэл олгох интерфэйс юм. Хэрэглэгч online байвал түүнд мэйл эсвэл ICQ зурвас явуулж болно. Мөн аль нэг нээлттэй портоор дамжуулан нэвтрэх.
И-мэйлээр тархдаг энэхүү Trojan нь ихэвчлэн Spam мэйл ашиглан тархсан байдаг. Энэ халдлага нь ихэвчлэн ebay-ийн PayPal онлайн төлбөрийн системийн хэрэглэгчдийг онилдог. Antivirus-ийн Sophos болон Kaspersky зэрэг байгууллагууд Paypal хэрэглэгчидэдээ энэхүү вирусын талаарх анхааруулах мэйл явуулж байсан. Paypal-аас ирж буй мэйлийн subject хэсэгт “PAYPAL.COM NEW YEAR OFFER” гэсэн зүйл бичиж өгсөн эсвэл 10% ийн хөнгөлөлт зарлалаа гэх зэргээр хуурамч мэйл ирж байна. Та мэйлийг нээж үзэн zip файлыг задалхад таныг ОХУ-ын нэгэн website-руу холбоно та өөр үйлдэл хийхээс өмнө заавал Mimail-M ийн хамгын сүүлийн үеийн вирусыг татаж авхыг танаас шаардана. Энэ програм суусан үед Mimail-M нь таны үйлдлийн системийн тохиргоог өөрчилнө. Энэ Trojan програм нь таны hard disk нээс мэйл хаягыг тань хуулж авах зорилготой. Мөн таны Paypal дээр бичиж өгсөн кредит картны дугаар болон хувийн мэдээллийг хуулж авах боломжтой. Ингэснээр таны дансны бүх мэдээллийг олж авна.
Илрүүлэх
Таны компьютэр халдвар авсан эсхийг мэдхийн тулд ажиллаж буй прогамынхаа жагсаалтыг харах ёстой. Энэ жагсаалтанд ямар ч сэжигтэй зүйл илрэхгүй бол таны компьютэр халдвар аваагүй гэдэгт бүрэн итгэж болохгүй. Учир нь энэхүү Trojan нь Microsoft Windows үйлдлийн системийн Alt+Ctrl+Del товч дараад гарч ирэх жагсаалтаас өөрийгөө нууж чаддаг. Иймээс илрүүлэхийн тулд нээлттэй портынхоо жагсаалтыг харах хэрэгтэй.
Subseven-ийг устгах:
Clean Re-installation-Хамгын найдвартай арга. Hard disk-дээ backup хийж өгөх мөн компьютэрээ порматлах арга юм. Мөн одоо үед гарч байгаа ихэнх antivirus програмууд subseven-г илрүүлж устгаж чадна. Тэдгээрийн сүүлийн хувилбаруудыг л татаж авж суулгахад болно.
RAT(Remote Administration Tool ) төрлийн Trojan horse. 2002 онд windows үйлдлийн системүүдэд зориулагдан гарсан. Анх 2002 онд Windows XP 95 үйлдлийн системд халдаж чадсан. Энэ вирус нь client-server ашигладаг онцлогоороо маш их алдартай. Байгууллаг томоохон газруудад халдаж чададгаараа бусад Trojan оос анхдагч. Хакер ихэвслэн дараах гурван хэсэгт халддаг:
1. C:\Windows\msagent\ms****.com (Size ranging from 30KB to 49KB)
2. C:\Windows\System32\ms****.com (Size ranging from 30KB to 49KB)
3. C:\Windows\dxdgns.dll or C:\Windows\System32\dxdgns.dll (Location dependent on attacker’s choice)
Вирусыг EXE файл болгож тараадаг. Жишээ нь: “explorer.exe” (Windows Explorer), “iexplore.exe” (Internet Explorer), “msnmsgr.exe” (MSN Messenger).
Windows XP унтарсан үед safe mode-оор асааж вирусыг устгаж болно. Вирусыг anti- virus програм болон firewall-оор устгаж болно.
AIDS нь AUTOEXEC.BAT файлыг ашиглан компьютерийн boot хийх тоог тоолдог Trojan юм. Boot ийн тоо 90 хүрхэд C disk-н дээрх бүх файлуудын нэрийг encrypt хийж нуудаг. Энэ үед хохирогч PC Cyborg Corprationd-д лецэнзээ шинэчлүүлхээр хандалт хийнэ. AIDS ийг Dr. Joseph Popp гэх хүн бүтээсэн.Popp нь Английн anti-virus ийн салбар болох New Scotland Yard ийн зовшоорэлтэйгээр баривчилсан юм. Тэрээр мөн Brixton Prison шоронд хоригдож байсан. PC Cyborg Corporation түүнд мөнгөөр AIDS ийн судалгаа хийглгэж байсан хэмээн тэрээр өөрийгөө хамгаалсан байна. AIDS Trojan нь сүүлийн хэдэн жилүүдэд шинжилгээ хийгдэж байгаа.
Bifrost нь backdoor төрлийн Trojan уудын нэг юм.Wndows95 оос Windows7 хүртэлх үйлдлийн системүүдэд зориулагдсан 10 гаруй хувилбаруудтай. Bifrost нь энгийн server, server builder мөн client backdoor програмуудыг халдагч алсаас удирдаж хохирогчдийн компьютерт халддаг. Bifrost нь server ашиглан алсаас хохирогчийн компьютэрт халддаг. Server нэгэнт компьютэрт хүссэн үедээ source кодыг ажиллуулж болно. Server суусан бол C:\Windows дээрх файлын attributes нь "Read Only" "Hidden” гэсэн 2 төлөвт орно. Жирийн хэрэглэгчид “Hidden” төлөвтэй файлыг харж болох юм. Зарим anti-virus ийн програмууд үүнийг анзааралгүй өнгөрдөг.
Tiny Banker Trojan нь санхүүгийн байгууллагын Web хуудсанд халдах зориулалттай бүтээгдсэн вирус юм. Энэхүү вирус нь өмнө үед бүтээгдэж байсан Banker Trojans вирусээс санаа авч бүтээгдсэн бөгөөд хэмжээ нь багасч хүчин чадал нь нэмэгдсэн. Энэхүү вирус нь United States, including TD Bank, Chase, HSBC, Wells Fargo, PNC, Bank of America гэх мэт томоохон байгууллаг банкуудад нэвтэрч чадсанаара алдартай. Энэ нь хэрэглэгчдийн данс, банкны код, эмзэг өгөгдлийг хулгайлахад зориулагдсан. Tinba гэдгээр нь ч хүмүүс мэдэх энэхүү вирус нь анх 2012 онд Турк улсад мянга мянган компьютраас илэрч байсан. Zeus Trojan тай маш төстэй бөгөөд түүнийг маш сайжруулсан хувилбар нь юм. Энэхүү вирус нь маш бага зайг эзэлдэг бөгөөд энэ нь илрүүлэхэд маш бэрхшээлтэй юм. Ердөө 20KB зайг эзэлдэг энэ нь бидний мэдэх бүх Trojan аас бага хэмжээтэй юм. Банкны хэрэглэгч банкны албан ёсны website ийг ашиглах үед сүлжээний урсгалыг ажиглаж мөн packet sniffing хийх аргуудыг ашиглан ажилладаг. Энэхүү вирусаас урьдчилан сэргийлэх нэг арга нь HTTPS ийг ашиглах юм. Энэ нь ямарч хуурамч хуудасыг ачаалахгүй бөгөөд хэрэглэгч болон website ийн хооронд аюулгүй холболт тогтоодог.
Trojan Backdoor.Flashback нь Flashback Trojan гэж мөн нэрлэдэг бөгөөд Mac OS X үйлдлийн системтэй компьютэруудад зориулагдан бүтээгдсэн. Flashback ийг хамгын анх Intego antivirus 2011 оны 9 сард илрүүлсэн. Оросын холбооны улсын antivirus ийн компани болох Dr.Web энэхүү вирусын "BackDoor.Flashback.39" гэх хувилбар нь 600,000 гаруй компьютэрүүдэд халдварласан гэж тодорхойлсон. Dr.Web 2012 оны дөрөвдүгээр сарын эхээр халдвар авсан компьютерүүдийн 56,6 хувь нь Америкт 19,8 хувь нь Канадад 12,8 хувь нь Англид 6,1 хувь нь Австралд байгаа гэж тооцоолжээ. Trojan нь JavaScript програмчлалын хэл дээр бичигдсэн бөгөөд Mac OS нь JavaScript хэлд эмзэг.
Хамгын анх 2005 оны сүүлээр илэрсэн бөгөөд 2006 оноос алдартай болж эхэлсэн. Суулгасны дараа Microsoft Windows popups анааруулах цонхтой ижил дэлгэц харуулдаг. Энэхүү цонх дээр дарснаар хуурамч anti-spyware компьютэрдээр татагддаг. Энэхүү татагдсан програм нь нууцаар ажилладаг. Мөн үүнийг татхад atnvrsinstall.exe гэх файл мөн татагддаг бөгөөд энэ файл нь Microsoft ийн хамгаалалтын файлтай ижил төстэй харагддаг. Zlob нь Russian Business Network эсвэл Russian origin ээс гаралтай байж магадгүй юм.
- Backdoor Trojan horse:
Арын хаалга гэж орчуулагдаж болох энэ Trojan нь хохирогч өөрийн компьютэрт санаандгүй үлдээсэн ан цав буюу арын хаалгаар алсын зайнаас хортой програмыг илгээдэг Trojan юм. Windows 7 хүртэлх бүхийл windows-ийн үйлдлийн системүүдэд халдварлаж чадсан. Ямар ч зүйл төгс байдаггүй үүнтэй адил ямарч хамгаалалтын систем төгс биш арын хаалга юмуу нууцаар нэвтрэх боломж заавал байдаг. Энэхүү шалтгааны улмаас энэ халдлагын төрөл нь алдартай болсоор байгаа билээ. 2016 оны 3-р сарын 27 гарсан Latest Rapid Release version revision 003 antivirus-ийн програм нь backdoor-оос хамгаалж болох хамгын найдвартай хамгаалалт юм.
Энэ нь кибер тагнуул хийх компьютерийн програм юм. RAT- Remote Administration Tool буюу алсаас удирдах гэж орчуулагдаж болох юм. GhostNet хортой систем нь хохирогчийн мэйл хаягыг хулгайлж авж тараадаг. Ингэснээр халдвар авсан компьютерүүдээр дамжуулан сүлжээг өргөтгөдөг. Бусад Trojan horse-оос ялгагдах зүйл нь хохирогчийн компьютерийн камер болон дуу хураагчыг асаах боломжийг хакерт олгодог юм. Ингэснээрээ хохирогчийн компьютер цаашлаад тухайн компьютер байрлаж байгаа өрөөг хянах боломжтой.
1990 онд анх илэрч байсан. IBM ийн MS-DOS PC DOS зэрэг үйлдлийн системүүдэд нөлөөлж чадсан Trojan horse юм. Энэ Trojan horse нь үйлдлийн систем мөн тэхник хангамжид халдварладаг. Цахилгаан тасалдахад Trojan зогсдог. Reboot хийхэд дахин ачаалладаг. Boot sector-ийн эхний 16н санаандгүйгээр тоо эсвэл тэмдэгт нэмж аажмаар файлыг өөрчилж хулгайлдаг.