Trojan (informatica)

Da Wikipedia, l'enciclopedia libera.

Un trojan o trojan horse (in italiano Cavallo di Troia), nell'ambito della sicurezza informatica, indica un tipo di malware.

Il trojan nasconde il suo funzionamento all'interno di un altro programma apparentemente utile e innocuo. L'utente, eseguendo o installando quest'ultimo programma, installa o esegue di conseguenza anche il codice del trojan nascosto[1][2].

Storia e Etimologia[modifica | modifica wikitesto]

L'etimologia della parola deriva da Cavallo di Troia[3] ed indica il modo in cui il programma penetra le difese: apparendo come un software utile o apparentemente sicuro, l'utente lo esegue di sua spontanea volontà facendo avviare anche il virus in background.

Nel 1985 uno dei primi trojan, denominato Gotcha, fu in grado di creare molti danni. Il programma si presentava come un visualizzatore grafico di file mentre in realtà il suo vero intento era di eliminare i dati presenti sul disco[4]

Il Corriere della Sera del 22 maggio 1987 documentò a pagina 15 con un articolo di Mark McKain del New York Times la progressiva diffusione negli Stati Uniti di codice maligno di tipo trojan nelle BBS (Bullettin Board System). In era pre-Internet il contagio si diffondeva attraverso il caricamento e lo scaricamento di programmi infetti dalle BBS alle quali ci si collegava tramite modem. Il codice maligno celato nei programmi scaricati in genere provocava la cancellazione dei dati locali dai dischi dell'utente, talvolta con una formattazione del disco a basso livello. L'azione di diffusione dei trojan è attribuita a individui denominati "hackers". È una delle prime volte, se non la prima, che tali argomenti sono documentati sulla stampa generalista italiana.

Famoso nel 2011 il caso del "Trojan di stato" della Germania, utilizzato a fini intercettivi fin dal 2009 dietro una specifica ordinanza del tribunale che ne permetta l'uso nei confronti del soggetto finale.[5][6]

La definizione[modifica | modifica wikitesto]

L'attribuzione del termine "cavallo di Troia" ad un programma (o file eseguibile) è dovuta al fatto che esso nasconde il suo vero fine. È proprio il celare le sue reali "intenzioni" che lo rende un trojan. In questo modo l'utente inconsapevolmente è quindi indotto ad eseguire il programma.

In questo modo, come i troiani fecero entrare in città gli achei celati nel mitico stratagemma adottato da Ulisse, così la vittima è indotta a far entrare il programma nella città, ossia, fuor di metafora, ad eseguire il programma. Esistono anche alcuni software legali, come GoToMyPC o PCAnywhere, che hanno funzionalità simili ai trojan. Questi però non sono dei cavalli di Troia poiché l'utente è consapevole della situazione. Spesso il trojan viene installato dallo stesso attaccante, quando prende il controllo del sistema, acquisendone i privilegi amministrativi. In questo caso il trojan serve a "mantenere lo stato di hacking", cioè a mantenere il controllo della macchina, senza che l'amministratore legittimo si accorga che alcuni programmi nascondono delle altre funzioni.[2]

Utilizzo[modifica | modifica wikitesto]

Oggi col termine Trojan ci si riferisce ai trojan ad accesso remoto (detti anche RAT dall'inglese Remote Administration Tool), composti generalmente da 2 file: il file server, che viene installato nella macchina vittima, ed un file client, usato dall'attaccante per inviare istruzioni che il server esegue.

Un trojan può contenere qualsiasi tipo di istruzione maligna. Spesso i trojan sono usati come veicolo alternativo ai worm e ai virus per installare delle backdoor o dei keylogger sui sistemi bersaglio.

I programmi di nuova generazione hanno molteplici funzionalità, quali connessioni tramite bot IRC che permettono di formare una Botnet. Possiedono inoltre migliori funzioni e opzioni per nascondersi meglio nel sistema operativo, utilizzando tecniche di Rootkit. I Trojan sono sempre più diffusi e non tutti sono riconoscibili dagli attuali antivirus, per alcuni dei quali riescono anche a impedire l'aggiornamento. Per aumentare la loro efficacia possono nascondersi in modo tale che nemmeno l'antivirus sia in grado di eliminarli. Permettendo così di danneggiare il computer. Se questo accade, il Trojan può essere individuato e rimosso solo tramite l'eliminazione totale dei dati ad opera di un informatico esperto

Metodo di diffusione[modifica | modifica wikitesto]

I trojan non si diffondono autonomamente come i virus o i worm e non sono in grado di replicare se stessi. Quindi richiedono un intervento diretto dell'aggressore per far giungere l'eseguibile maligno alla vittima.

A volte agiscono insieme: un worm viene iniettato in rete con l'intento di installare dei trojan sui sistemi. Spesso è la vittima stessa che involontariamente, non prestando attenzione ai siti che sta visitando, ricerca e scarica un trojan sul proprio computer. Una tecnica che i cracker amano usare è quella di inserire queste "trappole" ad esempio nei videogiochi piratati, che generalmente sono molto richiesti. In generale sono riconosciuti da un antivirus aggiornato, come un normale malware. Se il trojan in questione non è ancora stato scoperto dalle software house degli antivirus è possibile rilevarlo tramite una scansione esaustiva come probabile malware.

Altre volte gli stessi trojan possono essere usati per diffondere virus all'interno di una rete complicata da attaccare. Oppure possono essere usati per aprire porte in sistemi o server che normalmente dovrebbero essere chiuse.

Tipologie di Trojan[modifica | modifica wikitesto]

Di seguito vengono descritti brevemente i principali trojan creati e il loro funzionamento

  • Remote Access Trojans (RAT) o Backdoor: questi tipi di trojan sono i più diffusi e che forniscono la maggior varietà di funzioni ma anche i più difficili da implementare. Possono essere usati per aprire porte, per far entrare virus o worm, per consentire attacchi DOS oppure per la creazione di una botnet, una rete di pc zombie usabili per effettuare attacchi o per essere venduti sul mercato nero.
  • Trojan-DDos: questo trojan solitamente viene installato su più macchine per creare una botnet. Dopo aver fatto ciò viene usato per eseguire un attacco di tipo DoS (Denial of Service), che consiste nell'inviare più richieste ad un determinato indirizzo in modo da creare un disservizio o bloccare il server.
  • Trojan-Proxy: trojan usato per trasformare il pc infetto in un proxy server, consentendo ad altri pc di eseguire attacchi o operazioni per altri attacchi in modo anonimo.
  • Trojan-FTP: trojan creato per aprire le porte FTP sul pc infetto permettendo quindi l'accesso al pc. L'attaccante può accedere in questo modo alla rete condivisa e inviare altre minacce.
  • Destructive Trojans: creati per distruggere o cancellare tutti i dati, provocando il collasso del sistema operativo.
  • Security Software Disabler Trojans: sono trojan disegnati per fermare programmi come antivirus, firewall oppure IPS. Usato solitamente in combinazione con trojan che cancellano i dati.
  • Infostealer (Data Sending/Stealing Trojan): questo trojan è mirato a rubare informazioni e dati dal pc infetto come dati di login, informazioni delle carte di credito ecc. Le informazioni possono poi a loro volta essere usate o vendute sul mercato nero. Le informazioni rubate e raccolte possono essere poi inviate subito o periodicamente.
  • Keylogger Trojans: un tipo di trojan che salva tutti i tasti premuti dall'utente e li invia all'attaccante. L'obbiettivo è quello di ottenere più dati possibili.
  • Trojan-PSW (Password Stealer): disegnato specificatamente per rubare password sul pc infetto. Solitamente viene usato in combinazione ad un componente di keylogging.
  • Trojan Banker: disegnato specificatamente per rubare i dati bancari e per eseguire futuri accessi ai dati bancari.
  • Trojan IM: trojan disegnato specificatamente per rubare dati o account da sistemi di messaggistica istantanea.
  • Trojan-Game Thief: usato per rubare informazioni di account di gioco.
  • Trojan Mailfinder: trojan creato e usato per rubare tutte le mail sul computer infetto e per inviarle all'attaccante il quale può usare l'elenco di mail come obbiettivi di spam.
  • Trojan-Dropper: trojan usato per installare altri malware sul pc obbiettivo, usato solitamente come inizio di un attacco malware.
  • Trojan Downloader: trojan pensato per scaricare programmi sul pc infetto, solitamente usato in combinazione con un trojan-dropper. Essendo che i programmi vengono scaricati da Internet il pc deve avere una protezione inadeguata e essere connesso alla rete.
  • Trojan-FakeAV: questo trojan installa un antivirus malevolo, il quale installa un virus malevolo e offre un pagamento per rimuoverlo.
  • Trojan-Spy: possiede funzioni simili al trojan Infostealer o PSW, il suo obbiettivo è di spiare tutto quello che viene fatto dall'utente. Ad esempio collezionare screenshots, password, avere la lista dei processi o servizi attivi.
  • Trojan-ArcBomb: usato e creato per rallentare o rendere inutilizzabili i server mail.
  • Trojan-Clicker o ADclicker: trojan specifico che tenta di connettersi in maniera continua ad un sito web per incrementare il numero di visite. Usato aumentare i soldi generati tramite le visualizzazioni di un sito.
  • Trojan-SMS: trojan usato sui dispositivi mobili, quali cellulari. Invia messaggi a numeri a pagamento.
  • Trojan-Ransom o Ransomware Trojan: questo trojan blocca il normale uso del pc infetto, mostrando una pagina nella quale è richiesto un pagamento per sbloccare il pc. Solitamente tende a bloccare le funzioni del desktop e della tastiera al di fuori della pagina dove va fatto il pagamento. Per avere maggiore credibilità solitamente sulla pagina vengono mostrate nomi di agenzie governative o di polizia. È possibile eliminarlo facendo partire il pc in modalità provvisoria ed eseguendo un ripristino.
  • Cryptolock Trojan o Cryptolocker: questa e una variante del Ransomware Trojan emersa negli ultimi anni. Come il precedente richiede una somma in denaro per ripristinare il pc. Differentemente dal precedente tutti i dati presenti sul pc vengono criptati quindi non è più possibile recuperarli se non pagando oppure ricorrendo all'uso del backup, soluzione più usata.

[1][7]

Ultime Minacce Rilevate[modifica | modifica wikitesto]

Negli ultimi mesi sono state scoperte nuove minacce, di seguito ne vengono alcuni esempi maggiori che sono più pericolosi e che possono essere di maggiore utilizzo[8].

Il primo è un trojan che colpisce i cellulari Android scoperto da Kasperky Lab a cui è stato dato il nome Triada. Questo trojan è stato creato usando come base tre trojan (Ztorg,Gorp e Leech). Il trojan viene trasmesso tramite lo scaricamento dal Play Store di applicazioni non attendibili e tende a colpire più efficacemente i sistemi Android precedenti alla versione 4.4.4. Questo trojan una volta installato ottiene i privilegi di sistema, leggendo quindi informazioni, inviando messaggio o estraendo dati da altre applicazioni.[9] Oltre a questo sono presenti anche molti altri trojan che attaccano e tentano di rubare informazioni soprattutto dai sistemi Android. Alcuni esempi possono essere Acecard[10], Asacub[11] e Slembunk[12].

Il secondo trojan scoperto da ESET è chiamato Nemucod. Questo trojan viene diffuso come archivio ZIP allegato ad una mail. L'archivio contiene uno script che viene eseguito una volta che viene aperto l'archivio. Lo script eseguito fa scaricare un altro virus che solitamente si tratta di un Cryptolocker. Per proteggersi bisogna quindi mantenere sempre l'antivirus aggiornato e non aprire mail o scaricare allegati da mail di provenienza sospetta[13].

Sempre dai ricercatori di ESET è stato scoperto un nuovo trojan il cui obbiettivo è rubare dati e informazioni dal pc. Il nome che è stato dato a questo trojan è USB Thief. La diffusione di questo trojan avviene tramite chiavette USB e non lascia tracce sul pc perché la sua esecuzione avviene solo all'interno della chiavetta[14].

Il più recente rilevato è Atmos rilevato dai ricercatori di Heimdal Security è un trojan dericato da Zeus. Questo trojan è usato per trasformare il pc in uno zombie ed inserirlo in una botnet. Sarà poi usato per eseguire attacchi informatici ad altre reti[15].

FAQ: Trojan[modifica | modifica wikitesto]

Come posso essere infettato[modifica | modifica wikitesto]

La prima cosa importante da capire è che un Trojan è un programma eseguibile che per installarsi necessita dell'input da parte di un utente. Purtroppo ci sono molti modi in cui un programma può fingersi benevolo quindi l'unico modo per evitarlo è formare l'utente.

In windows ad esempio i file eseguibili hanno estensione ad esempio ‘exe','vbs','bat','js' ecce cc. È molto importante prestare attenzione ai file con questa estensione. Un trucco utilizzato di solito è quello di rinominare il file con diverse estensioni ad esempio ‘Documento.txt.exe'. Questo file non è un documento testuale ma un eseguibile che potrebbe portare codice malevolo.

Un altro modo per trasmettere un trojan è quello di usare le macro di un documento, è possibile inserire le macro in molti documenti quali word, excel, pdf. Bisogna quindi prestare attenzione ai file che contengono macro.

Come evitare di essere infettati[modifica | modifica wikitesto]

La regola principale per evitare di essere infettati è di essere sicuri della sorgente e del contenuto di ogni file che si scarica.

È quindi consigliato seguire queste semplici regole per evitare di essere infettati quando si vuole scaricare un file da internet

  • Conoscere la sorgente da dove si scarica il file e controllare se sia affidabile.
  • Controllare se il file che si vuole scaricare corrisponda effettivamente a quello che si sta scaricando.
  • Controllare che non vengano scaricati altri file insieme al file che si vuole effettivamente scaricare.
  • Controllare che il file scaricato abbia senso sia come formato che come nome, ad esempio se volevo scaricare una immagine controllare che non sia un file excel o eseguibile.
  • In ogni caso una volta scaricato il file controllare l'eventuale presenza di virus o trojan tramite un antivirus.

Nel caso non si sia sicuri di cosa si fa la scelta migliore e quella di chiedere aiuto ad una persona più esperta e competente. In ogni caso è una buona norma non inserire o dare dati o informazioni personali come mail, password, numeri di telefono o carte di credito a siti o applicazioni di cui non si è sicuri o che non possono garantire una adeguata sicurezza delle informazioni.

Di seguito invece sono descritte delle regole da seguire in ogni caso per evitare di essere infettati sia da trojan che da altri possibili virus.

  1. Mai scaricare ciecamente da siti o persone dalle quali non si ha l'assoluta certezza.
  2. Bisogna prestare attenzione ai file che vengono da amici. Bisogna controllare se il file che è stato inviato corrisponda effettivamente a ciò che ci si aspetta e che è stato inviato. Bisogna inoltre controllare che la mail sia stata inviata realmente da quella persona e volontariamente.
  3. Prestare attenzione alle estensioni nascoste dei file. Ad esempio il file ‘Documento.txt.exe', può essere scambiato per un file testuale ma è un file eseguibile.
  4. Mai usare funzioni di anteprima su file dei quali non si conosce la provenienza o dei quali non si ha l'assoluta certezza.
  5. Mai usare ciecamente comandi o eseguire script o programmi di cui non si conosce il funzionamento.
  6. Non sentirsi al sicuro perché si possiede un antivirus.
  7. Non eseguire automaticamente un programma scaricato, prima salvarlo poi controllarlo con un antivirus e infine eseguirlo.

Come riparare i danni[modifica | modifica wikitesto]

Riparare o rimuovere l'infezione di un trojan non è semplice. Per prima cosa bisogna sapere da che tipo di trojan si è stati infettati. Ad esempio, nel caso il pc sia stato infettato da un Cryptolocker, l'unica soluzione è formattare il pc o ripristinarlo da un backup.

Nel caso di trojan semplici è possibile usare sistemi di rimozione specifici a pagamento o l'antivirus nel caso l'antivirus possieda delle funzioni del genere. In ogni caso se non si è utenti esperti è consigliato chiedere aiuto a persone più esperte.[16][17]

Esempi[modifica | modifica wikitesto]

Note[modifica | modifica wikitesto]

  1. ^ a b What is a Trojan Virus | Malware Protection | Kaspersky Lab US, su usa.kaspersky.com. URL consultato il 26 aprile 2016.
  2. ^ a b Trojan Horse Definition, su techterms.com. URL consultato il 26 aprile 2016.
  3. ^ trojan horse, su www.treccani.it. URL consultato il 26 aprile 2016.
  4. ^ G DATA Software, I primi anni, su www.gdata.it, 16 maggio 2015. URL consultato il 31 maggio 2016.
  5. ^ Germania, il trojan di stato è in uso dal 2009
  6. ^ Deutsche Welle (www.dw.com), German government to use Trojan spyware to monitor citizens | News | DW.COM | 22.02.2016, su DW.COM. URL consultato il 26 aprile 2016.
  7. ^ Security 1:1 - Part 2 - Trojans and other security threats | Symantec Connect, su www.symantec.com. URL consultato il 26 aprile 2016.
  8. ^ trojan - CERT Nazionale Italia, su CERT Nazionale Italia. URL consultato il 26 aprile 2016.
  9. ^ Triada: un nuovo trojan per Android quasi impossibile da rimuovere - CERT Nazionale Italia, su CERT Nazionale Italia. URL consultato il 26 aprile 2016.
  10. ^ Il trojan Acecard mette a rischio gli utenti di app bancarie per Android - CERT Nazionale Italia, su CERT Nazionale Italia. URL consultato il 26 aprile 2016.
  11. ^ Asacub: nuovo trojan bancario per Android - CERT Nazionale Italia, su CERT Nazionale Italia. URL consultato il 26 aprile 2016.
  12. ^ SlemBunk: un nuovo trojan Android colpisce app bancarie - CERT Nazionale Italia, su CERT Nazionale Italia. URL consultato il 26 aprile 2016.
  13. ^ Massiccia ondata di infezioni del trojan Nemucod in Italia - CERT Nazionale Italia, su CERT Nazionale Italia. URL consultato il 26 aprile 2016.
  14. ^ USB Thief: un nuovo trojan per il furto di dati basato su dispositivi USB - CERT Nazionale Italia, su CERT Nazionale Italia. URL consultato il 26 aprile 2016.
  15. ^ Atmos: un nuovo trojan bancario evoluzione di Citadel - CERT Nazionale Italia, su CERT Nazionale Italia. URL consultato il 26 aprile 2016.
  16. ^ irchelpers, IRCHelp.org — Untitled Page, su www.irchelp.org. URL consultato il 26 aprile 2016.
  17. ^ irchelpers, IRCHelp.org — Untitled Page, su www.irchelp.org. URL consultato il 26 aprile 2016.

Voci correlate[modifica | modifica wikitesto]

Collegamenti esterni[modifica | modifica wikitesto]

Controllo di autorità GND: (DE4779909-2