Ta den senaste Trojan.Bayrob, till exempel, riktad till köpare av begagnade bilar på Ebay. Detta är en mycket effektiv attack, där offren får ett e-postmeddelande om en bil till salu, komplett med ett bildspel med bilder. Medan offret tittar på bildspelet är trojanen tyst installerad i bakgrunden. ”Mejlet innehåller med största sannolikhet två olika komponenter som är avgörande för att attacken ska lyckas. Den innehåller en länk till en riktig Ebay-auktion och en körbar fil. Den här körbara filen är en dropper som planterar två filer i ’c:documents and settings[current user]local settingsTemp’-mappen, båda med namnet kvet*.exe. En fil är den rena bildspelsappen och den andra är trojanen”, hävdar Symantec.
Om offret klickar på en länk för att besöka Ebay-auktionen, kommer trojanen som redan körs i bakgrunden att börja avlyssna den trafiken. Kontrollera säljarens feedback och de presenteras med en falsk feedback-sida av trojanen istället, som naturligtvis visar ett utmärkt försäljningsrekord. Om offret bestämmer sig för att köpa från den pålitliga säljaren, är det det sista de ser av sina pengar.
Det är bara ett smart exempel på en trojans nyttolast: andra inkluderar installation av en bakdörr (så kallade fjärråtkomsttrojaner eller RAT) som gör att din dator kan användas som en del av ett spam- eller DoS-botnät, krypteringen av datafiler som en del av en bedrägeri med kryptoviral utpressning, släppa annan skadlig kod på ditt system eller logga tangenttryckningar och skärmdumpar för ID-stöldsändamål.
Du kan minska risken för trojansattacker genom att aldrig öppna oönskade e-postbilagor, ladda ner porr eller skämma bort ett finger som är glad att länken klickar. Ibland är oddsen staplade mot dig. Tidigare i år kom några TomTom Go 910-enheter förinstallerade med win32.Perlovga.A-trojanen och TR/Drop.Small.qp på enhetens hårddisk, redo att kopieras över till en Windows-baserad PC när enheten var ansluten för uppdateringar .
Rootkits
Ett hot måste förbli oupptäckt av användaren och deras antivirusprogram för att leverera maximalt värde från dess skadlig programvara. En av de föredragna metoderna för leverans är ett rootkit. Ofta modifierar delar av operativsystemet eller installerar sig själva som drivrutiner eller kärnmoduler, rootkits tjänar helt enkelt till att dölja pågående processer och finns på både Windows och Linux.
Även om själva rootkitet inte är skadligt, kan filerna som körs i det vara mycket skadliga. ”Ett rootkit kan dölja en applikation som skapar ett skal när angriparen ansluter till en viss nätverksport på systemet”, förklarar Mark Yason, ledande X-Force malware-forskare för IBM Internet Security Systems. ”Kernel rootkits kan innehålla liknande funktionalitet. En bakdörr kan också tillåta processer som startas av en icke-privilegierad användare att utföra funktioner som normalt är reserverade för superanvändaren.
”En stor användning för rootkits är att tillåta programmeraren att komma åt användarnamn och inloggningsinformation för webbplatser som kräver dem. Detta gör rootkits farliga, eftersom det tillåter trojaner att komma åt den här personliga informationen medan rootkittet täcker upp det.”
W32.Mytob.AR är ett bra exempel på rootkit-skadlig programvara. Komplett med massutskick och bot-funktionalitet använder den FU rootkit för att dölja sina systemprocesser. Vid körning kommer den att släppa och köra rootkit-laddaren (winsystem.exe), som sedan släpper och laddar rootkit-kärnlägesdrivrutinen (msdirectx.sys) genom att skapa och starta en tjänst. Detta döljer sedan alla Mytobs processer genom att instruera kärnlägesdrivrutinen att dölja de angivna PID:erna med hjälp av DeviceIoControl ().
