لازم به ذکر است ، نام اسب تروا توسط یک کارشناس آژانس امنیت ملی ایالات متحده آمریکا ( NSA ) به نام دانیل ادواردز ( Daniel Edwards ) با توجه به حماسی باستانی جنگ تروا در ادیسه ( شاهکار هومر شاعر بزرگ یونانی ) و شباهت تاکتیک عملیاتی این بدافزار با اسب تروای داستان مذکور انتخاب شده است.
همان گونه که گفته شد، اسب تروا در حقیقت پوسته بیرونی رمزگذاری شده ای برای بدافزار اصلی ( Pay load ) است و برخلاف باور عمومی، به تنهایی نمی تواند آسیب و اختلالی ایجاد کند. اسب های تروا بر اساس تکنیک نفوذ به سیستم ، به ۲ شاخه اصلی تقسیم می شوند:
دسته نخست آنهایی هستند که ذاتا خطرناک نیستند و همانند کوکی ها می توان از آنها هم برای اهداف مثبت و هم مقاصد مخاطره آمیز بهره برد. این اسب های تروا، در حقیقت نرم افزارهای ذاتا مفیدی هستند که با درج کدهای برنامه نویسی ویرانگر توسط نفوذگر، تحریف و به برنامه های خطرناکی مبدل شده اند. برخی از انواع نامعتبر برنامه های اشتراک P2P،هواشناسی،تنظیم ساعت سیستم و بازی های PC، در این رده بندی می گنجند، اما مشهورترین اسب های تروای این گروه، محافظ های صفحه نمایش ( Screen Saver ) هستند که به عنوان نمونه های کلاسیک پیاده سازی انواع گوناگون Payloadهای ویرانگر شناخته می شوند. گونه نخست Trojanها، مشهورترین اسب های تروا هستند و اساساً بسیاری از کاربران و حتی کارشناسان Trojanها را عمدتاً با تکنیک های به کار رفته توسط این گروه از اسب های تروا می شناسند.
دومین گروه، شامل بدافزارهایی است که برخلاف گونه نخست، اساساً با هدف نفوذ و تخریب سیستم طراحی شده اند و هیچ کاربرد دیگری ندارند. این گروه از اسب های تروا را به دلیل ماهیتشان تنها می توان در پوشش تصاویر پورنو گرافیک و پاپاراتزی منتشر ساخت ؛ به این ترتیب که قربانی گمان می کند با یک تصویر مواجه است، اما با اجرای فایل، در حقیقت Payload نهفته در اسب تروا اجرا می شود و سیستم را آلوده می کند.
افزون بر ۲ گروه کلی فوق الذکر، می توان از ۲ گونه خاص زیر نیز نام برد که نمونه هایی از آنها تاکنون مشاهده و گزارش شده است:
۱)) بمب های ساعتی ( Time Bombs ): اسب های تروایی هستند که در تاریخ مشخصی اجرا می شوند. در برخی از موارد گزارش شده، حتی ساعت اجرای آنها نیز توسط برنامه نویس تعیین شده است.
۲)) بمب های منطقی ( Logic Bombs ): اسب های تروایی هستند که تنها در صورت برقراری شروط ( Conditions ) تعیین شده توسط برنامه نویس، اجرا می شوند و در غیر اینصورت به طور غیرفعال و بی خطر به حیات خود بر روی کامپیوتر میزبان ادامه می دهند.
با این حال، اسب های تروا امروزه به دلایل دیگری همچون همکاری در پروسه نصب Backdoor ها نیز مشهور شده اند. باید به خاطر داشت که اسب های تروا با ویروس های کامپیوتری تفاوت ماهوی چشمگیری دارند و اساساً نمی توان آن ها و ویروس ها را در یک طبقه بندی بدافزاری قرار داد.
آشکارترین وجه این تفاوت ساختاری را می توان در عدم استفاده از اسب های تروا از تاکتیک کلاسیک تکثیر خودکار ( Self Replication، در شیمی به این فرآیند، ” خود همتاسازی” گفته می شود) دانست. درحقیقت برخلاف ویروس ها و کرم ها، اسب های تروا از توانایی اجرای خودکار بی بهره اند. در داستان اصلی نیز، تا زمانی که اهالی تروا، اسب چوبی یونانی ها را به درون دژ خود نبردند، سپاهیان یونان نمی توانستند در ساختار دفاعی تروا نفوذ یا اختلال ایجاد کنند؛ این همان اتفاقی است که برای هر اسب تروای کامپیوتری نیز رخ می دهد: اسب تروا هرگز نمی تواند به طور خودکار اجرا شده و خود را تکثیر کند. بنابراین خطرآفرینی آن منوط به زمانی است که فایل بدافزار، توسط کاربر اجرا شود و تا آن زمان، اسب تروای پیاده شده بر روی سیستم به هیچ وجه قادر به انجام عملیات تعریف شده نیست. از این رو، درجه خطر آفرینی هر اسب تروا پیش از هر چیز، به درجه موفقیت تکنیک های مهندسی اجتماعی مورد استفاده برای انتشار آن، بستگی دارد. ضمن اینکه اسب های تروا، بر استراتژی انتفاع از کاربر نهایی ( End User ) تکیه و تاکید می کنند.
در همین رابطه،یکی از قدیمی ترین مثال های درسی اسب تروا، در سال ۱۹۸۳ توسط پروفسور کن تامپسون ( Ken Thompson )، استاد بزرگ برنامه نویسی و خالق زبان برنامه نویسی B تشریح شده است. تامپسون نشان داد که با افزودن یک تکه کد به فرمان Login در سیستم عامل UNIX، می توان به بدافزار اجازه داد تا به راحتی وارد سیستم شود. در عین حال تامپسون ثابت کرد که اسب تروا را حتی با استفاده از یک کامپایلر C نیز می توان بر روی سیستم قربانی سوار کرد؛ که البته تشخیص آلودگی را به مراتب دشوارتر و پیچیده تر خواهد کرد.

انواع Payload های مکمل اسب تروا

Payload های مکمل اسب های تروا را بر اساس روش های نفوذ و آسیب رسانی ، می توان به ۹ گروه زیر تقسیم نمود:
دسترسی از راه دور ( Remote Access)
ارسال نامه الکترونیکی ( Email Sending )
تخریب داده ( Data Destruction )
مدیر دریافت ( Downloader )
اجرا بر اساس پراکسی ( Proxy Trojan )
اجرا بر اساس پروتکل اف. تی. پی ( FTP Trojan )
از کار اندازی نرم افزارهای امنیتی محافظ سیستم
حملات ( DoS ) Denial-of-Service
اجرا بر اساس URL
گفتنی است که Pay load نهم، ابعاد نوینی از توانایی های ضد امنیتی یک Trojan horse را به نمایش می گذارد و می تواند اسب تروا را به یک بدافزار شماره گیر ( Dialer Malware) مبدل نماید؛ به طوری که کامپیوتر قربانی را به کلاینت آلوده ای تبدیل می کند که وظیفه اش تماس با شماره های تلفن Premium-rate از طریق Dial-up Connection ساخته شده بر روی سیستم است.

از طریق این Pay loadها چه می توان کرد؟

مهمترین مخاطرات امنیتی که با استفاده از Payloadهای یک اسب تروا می توان به وجود آورد، به قرار زیر است:
* حذف یا بازنویسی داده ها بر روی کامپیوتر قربانی
* تخریب ماهرانه اطلاعات سیستم
* رمزگذاری فایل ها در حملات Cryptoviral Extortion
* Upload و Download فایل ها
* برقراری ارتباط راه دور ( Remote Access ) با سیستم قربانی. چنین اسب تروایی اصطلاحاً RAT ( Remote Access Trojan یا Remote Administration Tool ) نامیده می شود. نکته جالب این که واژه Rat در زبان انگلیسی به معنای موش صحرایی است!
* توزیع و تکثیر دیگر انواع بدافزارها، همچون ویروس ها و کرم های کامپیوتری. چنین اسب تروایی اصطلاحاً Vector ( بردار ) یا Dropper ( قطره چکان ) نامیده می شود. گفتنی است که این گونه Payload ها توسط گروه اول اسب های تروا ( برنامه های تحریف شده )، منتشر می شوند.
* برپایی شبکه هایی از کامپیوترهای زامبی ( Zombie Computers ) به منظور انجام حملات DDos یا ارسال هرزنامه ( Spam ).
* جاسوسی عملیات کاربر ( به طور مثال عادات و علائق وی در وب ) و مخابره آن به دیگران. در این حالت، اسب تروا عملا به یک جاسوس افزار( Spyware ) مبدل می شود.
* ثبت کلیدهای فشرده شده توسط کاربر ( Keystroke Logging ) به منظور سرقت اطلاعات حیاتی وی مانند کلید-واژه ( Password )ها و شماره کارت های اعتباری.
* تهیه Screenshot از صفحه نمایش سیستم به منظور ثبت عملیات در حال اجرای کاربر و مخابره به دیگران ( از این روش به عنوان یک جایگزین ساده تر به جای Keystroke Logging استفاده می شود).
* Phishing وب سایت های بانکی با هدف کلاه برداری ،سوء استفاده از حساب های اعتباری کاربران ، یا دیگر فعالیت های تبه کارانه
* پیاده سازی Backdoor بر روی سیستم
* گشودن و بستن مکرر و چندین باره درب CD-ROM.
* سرقت حساب های پست الکترونیک ( Email ) و سوء استفاده از آنها به منظور ارسال هرزنامه ( Spam )
* غیرفعال نمودن یا ایجاد مزاحمت برای نرم افزارهای امنیتی مانند ضد ویروس ها و دیوارهای آتش
* غیر فعال نمودن یا ایجاد مزاحمت برای برنامه های دیگر، حتی برای دیگر بدافزارهای پیاده شده بر روی سیستم
* راه اندازی مجدد ( Restart ) کامپیوتر درهر بار اجرای برنامه های آلوده
* خاموش کردن کامپیوتر قربانی به طور تصادفی و ناگهانی

روش های آلوده سازی

همانگونه که پیشتر خواندید، آلودگی به اسب تروا زمانی رخ می دهد که کاربر فریب خورده ، برنامه آلوده را روی کامپیوتر خود اجرا کند. در این وضعیت برنامه کامپیوتری آلوده، معمولا در نقاب یک نرم افزار مفید، یک انیمیشن جذاب یا یک تصویر فریبنده پنهان می شود؛ ترفندی که توسط قریب به اتفاق انواع بدافزارهای کامپیوتری به کرات مورد استفاده قرار گرفته است. در ادامه، با روش های فریب قربانیان توسط اسب های تروا آشنا می شوید:
پست الکترونیک: این روش ، شایع ترین شیوه انتشار اسب های تروا در محیط شبکه است. توصیه موکدانه کارشناسان امنیتی به کاربران، مبنی بر عدم اجرای پیوست های مشکوک Email، از همین جا سرچشمه می گیرد.
Download از وب یا FTP: این روش یکی از شایع ترین شیوه های انتشار اسب های ترواست. بخش عمده ای از موارد آلودگی به این شیوه، توسط وب سایت های توزیع غیرقانونی نرم افزارهای قفل شکسته، و بخش بسیار بزرگ تری از آن، توسط وب سایت های هرزنگاری ( Pornography ) به وجود آمده است.
درگاه های باز ( Open Ports): یکی از کانال های شایع انتشار اسب های تروا، درگاه های باز کامپیوترهای قربانی است. اسب های تروا می توانند با استفاده از این درگاه ها و پروتکل های مربوطه ( HTTP,FTP,SMTP,… ) به سادگی در میان گره های شبکه جابه جا شوند. در این رهگذر، استفاده از دیوارهای آتش به روز رسانی شده و نیرومند می تواند احتمال آلودگی به این شیوه را به شدت کاهش دهد.
پیام فوری ( IM/Instant Message): شانس آلودگی به این روش اندک است، با این حال همچنان محتمل و مقدور می باشد و با توجه به رویکرد روز افزون برنامه نویسان ضد امنیتی به IM هر آن افزایش می یابد؛ چنان که برخی از مهم ترین نمونه های نسل جدید اسب های تروا، به این شیوه انتشار می یابند.
توزیع فیزیکی: اسب های تروا از طریق دیسک های فشرده ( CD ) نیز تکثیر می شوند. اگرچه امروزه تکثیر فیزیکی بد افزارها بر خلاف دهه ۹۰، چندان متداول نیست، اما به عنوان راه کلاسیک تکثیر بدافزارهای کامپیوتری، همچنان ممکن و مقدور می باشد.

روش های استتار

تاکنون انواع بسیار متفاوتی از اسب های تروا شناسایی شده اند که از ساختارهای برنامه نویسی تهاجمی متفاوت از یکدیگر بهره برده اند. اما قریب به اتفاق آنها در یک ویژگی اشتراک داشته اند و آن توانایی استتار بالا با تکیه بر ترفندهای گوناگون، به ویژه دستکاری رجیستری کامپیوتر قربانی بوده است.
در حقیقت در روش نخست، اسب تروا پس از پیاده شدن بر روی کامپیوتر قربانی، با دستکاری رجیستری، موجب اجرای خودکار خود در هر بار راه اندازی سیستم می شود.
دومین روش عمده استتار اسب های تروا، تغذیه انگل وار از فایل های دیگر است. در این شیوه که به صورت بسیار هوشمندانه ای طراحی و اجرا می شود، اسب تروا به یک فایل به ظاهر پاک و بی خطر وصل می شود و به واسطه اجرای آن فایل، روی کامپیوتر قربانی اجرا می شود.

روش های نابود سازی

از آنجا که اسب های تروا دارای فرم ها و اشکال گوناگونی هستند، روش یکسان و یکپارچه ای برای حذف و نابود سازی آنها وجود ندارد. ۲ راه دستی متداول برای نابود سازی اسب های تروا، عبارتند از:
* حذف محتویات پوشه Temporary Internet Files
* و در موارد پیشرفته تر، یافتن و حذف دستی فایل اسب تروا توسط کاربر.
با این حال، امروزه بسیاری از نرم افزارهای نیرومند امنیتی، همچون نرم افزارهای Norton360 و Kaspersky می توانند تعداد بسیار زیادی از اسب های تروا ( با ساختارهای متفاوت از ساده تا پیچیده ) را یافته و نابود کنند. توجه داشته باشید که اگر نرم افزار امنیتی شما نمی تواند یک اسب تروا ( عمدتاً از نوع RAT ) را شناسایی کند، این امکان وجود دارد که سیستم را در حالت امن ( Safe Mode ) راه اندازی کنید و عملیات اسکن را در آن حالت اجرا نمایید، چرا که در Safe Mode شانس کشف و نابود سازی بسیاری از اسب های تروا بیشتر است.

مهمترین برنامه های مبتنی بر اسب های تروا

AIDS ( Aids Info Disk/PC Cyborg Trojan ): یکی از قدیمی ترین اسب های تروای تاریخ کامپیوتر بود که در سال ۱۹۸۹ توسط دکتر ژوزف پاپ (Joseph Popp ) نوشته شد. ساختار برنامه نویسی AIDS جالب توجه بود. این اسب تروا فایل AUTOEXEC.BAT را به گونه ای دستکاری می کرد که بتواند دفعات راه اندازی ( بوت ) سیستم را محاسبه کند.
با گذشت این تعداد از ۹۰ بار، برنامه تمامی پوشه های درایو C را پنهان می کرد و نام تمامی فایل های موجود در آن درایو را رمزگذاری می نمود. سپس از کاربر خواسته می شد برای برون رفت از این وضعیت ” جواز کاربری خود را تجدید نماید”؛ یعنی مبلغ ۳۷۸ دلار آمریکا را به یک صندوق پستی P.O.BOX در پاناما بفرستد و مراتب را به شرکت PC Cyborg اطلاع دهد. AIDS نخستین بار از طریق ارسال فلاپی دیسک هایی با برچسب AIDS Information Introductory Diskette به اعضای یک فهرست پستی که دکتر پاپ نیز در آن عضویت داشت، انتشار یافت. هویت دکتر پاپ سرانجام توسط صنعت ضد ویروس بریتانیا محرز شد و نام وی در فهرست جنایتکاران اسکاتلندیارد به ثبت رسید. سرانجام وی مدتی بعد دستگیر شد و به زندان Brixton فرستاده شد. نام AIDS از آنجا به این اسب تروا اطلاق شد که ژوزف پاپ در دفاعیات خود مدعی شد از درآمد غیرقانونی حاصله، جهت کمک به پژوهش های پزشکی در راه درمان بیماری مهلک ایدز بهره برده است.
Back Orifice ( BO ): در اول اوت ۱۹۹۸، ظاهرا با هدف اثبات عدم امنیت ویندوز ۹۸ توسط یکی از اعضای سازمان هکری CULT OF THE DEAD COW به نام مستعار Sir Dystic منتشر شد. این برنامه بر اساس پروتکل های TCP و UDP و معماری Client-Server طراحی شده است و از نگارش های نوین آن بر روی سیستم عامل Unix نیز می توان بهره برد. آخرین نگارش اساسی آن با نام Back Orifice2000 ( BO2k ) در اواخر ۱۹۹۹ منتشر شد. تازه ترین به روز رسانی های آن به شماره ۱٫۱٫۶ ( ویندوز) و ۰٫۱٫۵ ( لینوکس ) در مارس ۲۰۰۷ انتشار یافته است و تلاش ها برای انتشار نگارش نوین آن به نام Back Orifice XP همچنان ادامه دارد.
Beast Trojan: یکی از هوشمندانه ترین و تکنیکی ترین اسب های تروای RAT است که در سال ۲۰۰۲ توسط برنامه نویس بسیار خوش فکر و با استعدادی با نام مستعار Tataye به زبان Delphi نوشته و منتشر شد. Beast که می تواند تمامی نگارش های ویندوز از ۹۵ تا XP را به سادگی آلوده کند، پیش از هرچیز به دلیل ایده های درخشان و منحصر به فرد به کار رفته در ساختار برنامه نویسی اش شهرت یافت. Beast یکی از نخستین اسب های تروایی بود که از قابلیت ارتباط معکوس ( Reverse Connection ) بهره می برد؛ که به کاربر اجازه می داد بدون نیاز به دانستن IP قربانی، کنترل کامل سیستم را در دست بگیرد. مکانیزم خیره کننده Beast بر اساس روش تزریق ( Injection Method ) استوار است ؛ به این معنا کهDLL های برنامه در ساختار فایل های حیاتی ,iexplorer.exe( internet Explorer ) explorer .exe ( Windows Explorer ) و msnmsgr.exe
( MSN Messenger ) تزریق می شد که به ترتیب با هر بار راه اندازی ویندوز به طور خودکار، در حافظه مقیم ( Resident ) می شد. نگارش نهایی Beast سرانجام در ۳ اوت ۲۰۰۴ به شماره ۲٫۰۷ منتشر شد.
NetBus : یک Backdoor بالقوه نیرومند که نخستین بار در مارس ۱۹۹۸ توسط یک برنامه نویس سوئدی به نام Carl-Fredrik Neikter به زبان دلفی نوشته شد. به ادعای نویسنده برنامه؛ NetBus تنها با هدف شوخی با کاربران نوشته شده بود. واژه BUS که در زبان سوئدی به معنای شوخی است، پشتوانه ادعای Neikter بود. به هر حال، عواقب این شوخی بسیار گسترده بود. در سال ۱۹۹۹ در ماجرای جالبی که به شهرت NetBus بسیار کمک کرد، بیش از ۳۵۰۰ تصویر هرزنگاری کودکان، به وسیله این برنامه از کامپیوتر یک استاد دانشگاه به نام Magnus Eriksson بیرون کشیده شد و ماجرای تمایلات جنسی انحراف آمیز Eriksson در ابعاد گسترده منتشر گردید، به گونه ای که وی ابتدا شغل خود را از دست داد و سپس در محاکمه ای گرفتار شد که تا ۵ سال بعد ( ۲۰۰۴ ) به طول انجامید.
Prorat: یک Backdoor مهلک از نوع RAT که در دو نسخه رایگان و خریدنی عرضه می شود. در نسخه رایگان، امکان دسترسی از راه دور به کامپیوترهای عضو شبکه های بی سیم ( Wireless ) از کاربران دریغ شده است، و آنها تنها می توانند به کامپیوترهای عضو شبکه های LAN دست یابند. یکی از دلایل شهرت این برنامه در ماه های آغازین انتشارش، آن بود که از کار انداختن سرور آن بدون بهره گیری از ضد ویروس های به روز رسانی شده و نیرومند، تقریباً غیر ممکن بود.
Spysheriff: بدافزار مهلکی است که در پوشش یک نرم افزار ضد جاسوس افزار، بر روی سیستم نصب می شود و با نمایش پیام های هشدار دروغین به طور مکرر و چندین باره می کوشد کاربر را به خرید نسخه کامل خود ترغیب نماید.Spysheriff به سختی از روی کامپیوترهای قربانی پاک می شود و مبارزه با آن نیازمند صبر، حوصله، و مهارت فراوان است. Spysheriff دارای ویژگی های برجسته ای است که در ادامه با شماری از آنها آشنا می شوید:
۱٫ برای حذف آن اساساً نمی توان از روش های متداول همچون Add/Remove Programs یا عزل دستی استفاده نمود؛ چرا که اولاً با نمایش صفحه آبی مرگ ( B.O.D )، اشغال کامل حافظه و Crash کردن سیستم، به تلاش کاربر برای عزل خود پاسخ می دهد و در ثانی، به فرض پاک شدن از روی سیستم ، بلافاصله خود را از نو رونویسی می کند.
۲٫ صفحه تنظیمات مرورگر IE و نیز وب سایت های توزیع قانونی نرم افزارهای امنیتی را قفل ( Block ) می کند تا از دسترسی کاربران به نرم افزارهای امنیتی واقعی ممانعت نماید.
۳٫ از هر گونه اتصال کامپیوترقربانی به اینترنت یا هر گونه شبکه کامپیوتری دیگر جلوگیری می کند و دلیل ممانعت را این گونه بیان می کند:
The System has been stopped to protect you from spyware
(اتصال سیستم با هدف محافظت از شما در برابر جاسوس افزارها متوقف شد. )
۴٫ Desktop کامپیوتر قربانی، صفحه آبی مرگ یا پیام های هشداری با مضمون آلودگی سیستم به انواعی از جاسوس افزار و پیشنهاد خرید نرم افزار ضد جاسوس افزار کذایی را به جای تصویر پیش زمینه، نمایش می دهد.
۵٫ یک حساب کاربری Administrator را با هدف ممانعت از دسترسی کاربران تعریف شده به برنامه ها و ابزارهای سیستم، می سازد.
۶٫ با دستکاری در تقویم سیستم و نقاط بازیافت ( Restore Points ) برنامه System Restore را از کار می اندازد. لازم به ذکر است که در صورت راه اندازی سیستم در حالت امن ( Safe Mode ) می توان از System Restore برای مبارزه با Spysheriff استفاده کرد.
Sub7 : یکی از مشهورترین Backdoor های جهان است که به ویژه در میان کاربران ایرانی شهرت یافته است. عمده کاربرد این برنامه نزد نفوذگران مبتدی و به ویژه کاربران ایرانی، شامل باز و بسته کردن سینی CD-ROM مخفی کردن نشانه گر ماوس و در نهایت گشودن وب سایت های پورنو گرافیک بر روی سیستم قربانی است. با این حال، از این برنامه می توان برای اهداف جدی تری همچون سرقت شماره کارت های اعتباری قربانی به وسیله عملیات Keystroke Logging سواستفاده کرد. نام این برنامه از وارونه نوشتن واژه NetBus ( یعنی Sub Ten ) وتبدیل Ten ( 10 ) به (۷ )Seven به دست آمده است. از این رو، بسیاری Sub7 را اقتباس موفقی از NetBus می دانند( البته ثبات و امکانات Sub7 نسبت به NetBus بهتر است).
نویسنده این برنامه که با نام مستعار Mobman در دنیای نفوذگران شناخته می شود، یکی از تنبل ترین و افسرده ترین هکرهای حال حاضرجهان است، چنان که سال هاست Sub7 را به هنگام نکرده است و آخرین به روز رسانی وب سایت رسمی برنامه نیز به آوریل ۲۰۰۴ باز می گردد. از این رو، شایعات بسیاری درباره ماهیت، شخصیت و وضعیت زندگی Mobman رواج یافته است، به گونه ای که برخی معتقدند وی مرده است و به باور گروهی دیگر، وی در یک کلینیک روان درمانی تحت معالجه قرار دارد. به هر حال واضح است که در حال حاضر، Mobman به ادامه این پروژه علاقه ای ندارد. لازم به ذکر است که آخرین به روز رسانی های صورت گرفته در وب سایت Sub7 توسط ۲ کاربر دیگر به نام های Lat وElecboy در سال ۲۰۰۶ صورت گرفته است، و سکوت ابهام آمیز همه جانبه Mobman از ۲۰۰۴ به این سو ،همچنان ادامه دارد.
Vundo: این برنامه که با نام های Virtumonde و Virtumondo نیز شناخته می شود، اسب تروایی است که با سوء استفاده از یک حفره قدیمی در java1.5 و نگارش های پیش از آن، موجب نمایش بی وقفه Popup ها و تبلیغات وبی، برای شماری از برنامه های کاربردی ضعیف و گمنام از جمله Sysprotect, Protector, Storage و Winfixer می شود ( درست خواندید، حتی نرم افزارهای امنیتی و Utility نیز ممکن است از بدافزارها برای تبلیغ خود بهره ببرند.)
روش آلوده سازی Vundo نمونه گویایی از تکنیک های آلوده سازی و استتار اسب های ترواست: برنامه یک فایل DLL را در پوشه System32 ویندوز ساخته و رجیستری را دستکاری می کند، و با تزریق خود به ساختمان فایل Winlogon.exe در حافظه مقیم می شود. یکی از نشانه های آلودگی به Vundo قفل شدن دسترسی کاربران به کنترل پانل است.
Zlob : یکی از جالب ترین و هوشمندانه ترین اسب های تروایی است که تاکنون نوشته است. Zlob که با نام Trojan.Zlob نیز شناخته می شود، در پوشش یک Codec ویدیویی برای تماشای فیلم های پورنوگرافیک و مستهجن، بر روی کامپیوتر قربانی پیاده می شود. سپس به محض اجرای فایل اسب تروا، تبلیغاتی شبیه پیام های هشدار ویندوز نمایش داده می شود و ضمن اعلام آلودگی سیستم به جاسوس افزار، از کاربر خواسته می شود تا یک نرم افزار ضد جاسوس افزار ناشناخته و گمنام را روی سیستم خود پیاده کند. این اسب تروای خوش ساخت، به دلیل ساختار مهندسی اجتماعی هوشمندانه و زیرکانه ای که در آن به کار رفته است، به کرات از سوی برنامه نویسان ضد امنیتی دیگر اقتباس شد. به گونه ای که تنها شرکت امنیتی F-Secure به تعداد ۳۲ گونه متفاوت از آن را شناسایی و در آرشیو خود به ثبت رسانده است.

راهکارهای مؤثر برای پیشگیری از آلودگی به اسب های تروا

همچون هر بدافزار دیگری،مهم ترین راهکار پیشگیری از آلودگی به اسب های تروا، اطلاع رسانی بی وقفه و جامع به کاربران است. این امر از آنجا اهمیت بیشتری می یابد که دریابیم کشف و شناسایی اسب های تروا، به دلیل تکنیک های پیچیده مهندسی اجتماعی به کار رفته در آنها، در مقایسه با ویروس ها و کرم ها به مراتب دشوارتر است. همانگونه که از نظر خوانندگان گذشت،به دلیل تنوع ساختاری اسب های تروا، تاکنون راه درمانی مشخصی برای آنها پیشنهاد نشده است. با این حال، با اتخاذ توصیه های زیر می توان احتمال آلودگی به آن ها را تا حد زیادی کاهش داد:
*هرگز Email های رسیده از سوی کاربران ناشناس را باز نکنید. به خاطر داشته باشید که شانس آلودگی نامه های الکترونیک ناشناس نسبت به پاکی آنها۹۹ به ۱ است. همچنین هرگز فایل های پیوست Emailهای دوستان، آشنایان و همکارانتان را چشم بسته باز نکنید. این نکته را از یاد نبرید که بسیاری از بدافزارها می توانند نشانی های Email ثبت شده در دفترچه آدرس نرم افزارهای Outlook,IncrediMail, Eudoraو… را دزدیده و نسخه هایی از خود را با نام و نشانی قربانیان به آن صندوق های Email ارسال کنند.
*در هنگام پیکربندی نرم افزارهای مدیریت پست الکترونیک ( که در بند پیشین به شماری از آن ها اشاره شد) ابتدا مطمئن شوید که امکان گشودن و اجرای خودکار پیوست ها توسط نرم افزار را از کار انداخته اید. زیرا برخی از Email Client ها می توانند چنین کاری انجام دهند و در این صورت، احتمال آلودگی به بد افزارهایی همچون اسب های تروا به شدت افزایش می یابد.
*ترجیحاً از Email Client هایی استفاده کنید که از یک ضد ویروس تو کار برای اسکن دقیق پیوست Email ها بهره می برند. در صورتی که از چنین نرم افزاری بی بهره اید، یا Email Client خود را تغییر دهید و یا یک نرم افزار ضد ویروس نیرومند و به هنگام را روی کامپیوتر خود نصب کنید.
*شاید شنیده باشید که سیستم های عاملی چون ویندوز، دارای حفره های متعددی هستند که به منظور حمله و نفوذ به سیستم از سوی نفوذگران مورد سوء استفاده قرار می گیرند. ضمن اینکه هراز چند گاه، مایکروسافت و دیگر تولید کنندگان سیستم های عامل، وصله ( Patch)هایی را برای بستن این حفره ها بر روی وب سایت خود منتشر می کنند. بنابراین اگر سیستم عامل خود را با استفاده از برنامه های ویژه تعبیه شده در آنها به هنگام نگه دارید، احتمالاً توانسته اید شانس آلودگی سیستم خود به بسیاری از بدافزارها و اسب های تروای جدید، کاهش دهید. با این حال به یاد داشته باشید که عدم نصب برخی از این وصله های امنیتی، بهتر از نصب کردن آنهاست، چرا که تجربه ثابت کرده است برخی از آنها موجب گشوده شدن حفره های تازه ای روی سیستم و افزایش شانس آلودگی می شوند.
*تا آنجایی که ممکن است از نصب و اجرای نرم افزارهای اشتراک نظیر به نظیر ( P2P ) و برنامه های اشتراک سیال ( Torrent ) بپرهیزید. این نرم افزارها کانال های بسیار مناسبی برای انتشار سهل و سریع انواع بد افزارهای کامپیوتری هستند. اگر چه برخی از آنها همچون Kazzaو Gnutella از یک ضدویروس توکار برای افزایش امنیت کاربرانشان بهره می برند، اما این ضد ویروس های توکار، معمولاً توانایی چندانی ندارند و از این رو نقش مؤثری در کاهش شانس آلودگی به بدافزارها ایفا نمی کنند. در نهایت، اگر بنا به هر دلیلی بر ادامه استفاده از این نرم افزارها اصرار می ورزید، توصیه می شود از دریافت و پیاده سازی آهنگ ها، فیلم ها، کتاب های الکترونیکی، تصاویر و برنامه های نشانه گذاری شده با علامت Rare ( نادر و کمیاب ) خودداری کنید و بیشتر ازمنابع Popular ( عوام پسند)، که احتمال پاکیزگیشان بیشتر است، استفاده نمایید.
*و اما آخرین و مهم ترین راهکار: همواره آخرین و تازه ترین اخبار مربوط به امنیت IT را دنبال کنید و اطلاعات خود درباره بدافزارهای کامپیوتری را به هنگام نگه دارید. این، مهم ترین راه مبارزه با بدافزارها و پیشگیری از آلودگی به آنهاست.