트로이 木馬
(Trojan horse)는
惡性 루틴
이 숨어 있는 프로그램으로, 겉보기에는 正常的인 프로그램으로 보이지만 實行하면 惡性 코드를 實行한다. 이 이름은
트로이 木馬
이야기에서 따온 것으로, 겉보기에는 平凡한 木馬 안에 敵軍의 兵士가 숨어 있었다는 것에 比喩한 것이다.
트로이 木馬는 普通
社會工學
技法의 形態로 퍼진다. 비록 어떠한 것도 包含될 수 있지만, 많은 現代의 트로이 牧馬들은
백도어
로서 使用된다.
[1]
이것들은 쉽게 發見되기 힘들지만, 무거워진 CPU와 네트워크 使用으로 느려지는 現象은 나타날 수 있다.
컴퓨터 바이러스
나
웜
과는 달리, 트로이 木馬는 普通 다른 파일에 揷入되거나 스스로 傳播되지 않는다.
萬若 設置되었거나
上昇된 權限
으로 實行 中이라면, 트로이 木馬는 一般的으로 制限 없는 接近을 할 수 있다. 이 能力을 가지고 무엇을 할 것인지는 攻擊者에게 달려 있다.
- 시스템
衝突
- 水晶이나
파일 削除
.
- 데이터 汚染.
- 모든 內容을 지우는
디스크 포맷
- 네트워크로의 惡性코드 傳播
- 使用者의 行動 監視와 敏感한 情報 接近
[2]
- 機械를
봇넷
으로서 使用 (例를 들면 分散
서비스 拒否 攻擊
)
- 暗號貨幣
마이닝을 爲한 自願 使用
[3]
- 다른 컴퓨터를 攻擊하거나 不法的인 行動을 하기 위해서 感染된 컴퓨터를
프록시 서버
로 使用
- 네트워크에 連結된 다른 디바이스 感染
- 機密情報 (度面, 軍事情報, 社會基盤施設 情報 等)
- 使用者의 祕密番號나 체크카드 情報
- 個人情報, 個人信用情報
- 映像情報 (CCTV, IP카메라 等)
- 키로깅
- 使用者의
웹캠
보기
- 使用者의 컴퓨터
遠隔 管理
: ??遠隔 方式의 트로이 木馬는 自身의 目的을 遂行하기 위해 惡性 컨트롤러와의 相互 作用을 必要로 할 수도 있다. 네트워크를 스캔해서 트로이 木馬가 設置된 位置를 찾고, 해커가 制御할 수 있게 되는 境遇도 可能하다.
이 方式의 트로이 木馬는 自身의 目的을 遂行하기 위해 惡性 컨트롤러와의 相互 作用을 必要로 할 수도 있다. 네트워크를 스캔해서 트로이 木馬가 設置된 位置를 찾고, 해커가 制御할 수 있게 되는 境遇도 可能하다.
몇몇 트로이 木馬는 오래된 버전의
인터넷 익스플로러
와
크롬
의 保安 缺陷을 惡用하여 컴퓨터를
프록시 서버
로 使用함으로써 이것을 통해 不法을 저지르는 境遇도 있다.
[4]
獨逸系 國家에서는, 政府에 依해 만들어지고 使用되는
스파이웨어
를 Govware라고 부른다. 이것은 主로 타겟 컴퓨터에서의 通信을 가로채는데 使用되었다. 스위스와 獨逸 같은 몇몇 나라들은 이러한 소프트웨어를 利用한 合法的인
프레임워크
를 갖는다.
[5]
[6]
봇넷의 人氣와 廣告 서비스의 使用으로 인해 트로이 木馬는 漸漸 人氣를 얻어가고 있다.
비트디펜더
에 依해 2009年 1月부터 6月까지 調査된 바로는 83%의 惡性코드가 트로이木馬와 類似한 形態였다.
[7]
트로이 木馬는 웜과 關聯되어 있는데, 이것은 웜과 함께 인터넷을 가로질러 移動할 수 있기 때문이다. 비트디펜더는 15%의 컴퓨터가
봇넷
의 멤버이며, 主로 트로이 感染에 依한 것이라고 言及했다.
[8]
- 넷버스 (Netbus) - 12345番 포트 使用. 가장 使用하기 쉽고 퍼지기 쉬운 트로이 中의 하나.
- 白오리피스 (Back Orifice) - 31337番 포트 使用. 가장 有名하여 除去 툴이 가장 많은 트로이.
- 스쿨버스 (Schoolbus) - 54321番 포트 使用.
- Executor - 80番 포트 使用. 感染된 컴퓨터의 시스템 파일을 削除/시스템을 破壞하는 트로이 中의 하나.
- Silencer - 1001番 포트 使用. 除去 툴은 나와 있지 않음.
- Striker - 2565番 포트 使用. 感染된 컴퓨터를 無條件 古物로 만들어 버림. 이는 시스템 드라이브 等 하드디스크를 모두 破壞하여 아예 부팅이 안 되게 하는 트로이이기 때문.