In informatica, un cavallo di Troia è un programma scaricato e installato su un computer che appare innocuo, ma è, in realtà, dannoso. Modifiche impreviste alle impostazioni del computer e attività insolite, anche quando il computer dovrebbe essere inattivo, sono forti indicazioni che un Trojan risiede su un computer.
In genere, il cavallo di Troia è nascosto in un allegato e-mail innocente o download gratuito., Quando l’utente fa clic sull’allegato e-mail o scarica il programma gratuito, il malware nascosto all’interno viene trasferito al dispositivo informatico dell’utente. Una volta all’interno, il codice dannoso può eseguire qualsiasi attività l’attaccante progettato per svolgere.
Come funziona un cavallo di Troia
Prima che un cavallo di Troia possa infettare una macchina, l’utente deve scaricare il lato server dell’applicazione dannosa. Il cavallo di Troia non può manifestarsi da solo. Il file eseguibile (file exe) deve essere implementato e il programma deve essere installato in modo che l’attacco possa essere scatenato sul sistema., Le tattiche di ingegneria sociale sono spesso utilizzate per convincere gli utenti finali a scaricare l’applicazione dannosa. La trappola di download può essere trovata in banner pubblicitari, link a siti web o pubblicità pop-up.
Tuttavia, la tattica più popolare per diffondere i cavalli di Troia è attraverso e-mail e allegati e-mail apparentemente non minacciosi. Gli sviluppatori di Trojan horse utilizzano spesso tecniche di spamming per inviare le loro e-mail a centinaia o migliaia di persone., Non appena l’e-mail è stata aperta e l’allegato è stato scaricato, il server Trojan verrà installato e verrà eseguito automaticamente ogni volta che il computer si accende.
È anche possibile che un computer infetto continui a diffondere il cavallo di Troia su altri computer.Questo a volte è realizzato trasformando un computer innocente in un computer zombie, il che significa che la persona che utilizza il computer infetto non ha idea che viene controllato da qualcun altro. Gli hacker utilizzano questi computer zombie per continuare a disperdere malware aggiuntivo al fine di creare una rete di computer zombie., Questa rete è chiamata botnet.
Gli utenti di computer portatili e desktop non sono gli unici a rischio di infezione da Trojan horse. I trojan possono anche attaccare i dispositivi mobili, come smartphone e tablet con malware mobile. Questa forma di infezione potrebbe causare un utente malintenzionato reindirizzare il traffico su questi dispositivi connessi Wi-Fi e il loro utilizzo per commettere crimini informatici.
Ecco un esempio di come un cavallo di Troia potrebbe essere utilizzato per infettare un personal computer:
La vittima riceve una e-mail dall’aspetto ufficiale con un allegato., L’allegato contiene codice dannoso che viene eseguito non appena la vittima fa clic sull’allegato. Poiché non succede nulla di male e il computer continua a funzionare come previsto, la vittima non sospetta che l’allegato sia in realtà un cavallo di Troia e il suo dispositivo informatico sia ora infetto.
Il codice dannoso risiede inosservato fino a una data specifica o fino a quando la vittima non compie un’azione specifica, come visitare un sito Web bancario. A quel tempo, il trigger attiva il codice dannoso e svolge l’azione prevista., A seconda di come è stato creato il Trojan, può cancellarsi dopo aver svolto la sua funzione prevista, può tornare a uno stato dormiente o può continuare ad essere attivo.
Usi di un cavallo di Troia
Quando un cavallo di Troia diventa attivo, mette a rischio i dati sensibili degli utenti e può influire negativamente sulle prestazioni.,ntrol oltre il dispositivo di elaborazione;
Esempi di cavalli di Troia
Nel corso degli anni, i cavalli di Troia sono stati scoperti da fornitori di antimalware, ricercatori di sicurezza e privati. Alcune delle scoperte più famose includono:
- Bitfrost, un Trojan di accesso remoto (RAT) che ha infettato i client Windows modificando, creando e modificando i componenti.
- Piccolo banchiere, che ha permesso agli aggressori di rubare informazioni finanziarie sensibili. I ricercatori del Center for Strategic and International Studies Security Group hanno identificato “Tinba” in 2012 dopo che due dozzine di importanti banche statunitensi sono state infettate.,
- FakeAV Trojan, che si è incorporato nella barra delle applicazioni di Windows e ha continuamente consegnato una finestra pop-up dall’aspetto ufficiale, avvisando l’utente di un problema con il computer. Quando gli utenti hanno seguito le indicazioni per risolvere il problema, hanno effettivamente scaricato più malware.
- Lanterna Magica, un governo Trojan che utilizza la registrazione dei tasti, creato dall’FBI intorno alla fine del secolo per assistere con sorveglianza criminale.
- Zeus, un toolkit di servizi finanziari crimeware che permette a un hacker di costruire il proprio cavallo di Troia., In primo luogo rilevato nel 2007, i Trojan costruiti con Zeus rimangono ancora i Trojan bancari più pericolosi al mondo, utilizzando forma grabbing, keylogging e varianti polimorfiche del Trojan che utilizzano drive-by download per catturare le credenziali vittima.
Altri tipi comuni di cavalli di Troia includono:
- Downloader Trojan, che è un Trojan che si rivolge a un computer che è già interessato da scaricare e installare nuove versioni di programmi dannosi.
- Backdoor Trojan, che crea una backdoor sul computer, consentendo l’accesso di un utente malintenzionato e il controllo del computer., I trojan backdoor possono consentire il download di dati da parte di terzi o il furto e il caricamento di malware aggiuntivo.
- Distributed Denial of Service (DDoS) attacco Trojan, che esegue un attacco DDoS sul computer e tenta di abbattere una rete inondandola di traffico proveniente dal computer infetto di destinazione e altri.
- Game-thief Trojan, che si rivolge ai giocatori online e tenta di rubare le loro informazioni sull’account.
- Mailfinder Trojan, che tenta di rubare gli indirizzi email memorizzati su un dispositivo mirato.,
- SMS Trojan, che è un Trojan che infetta i dispositivi mobili e ha la capacità di inviare o intercettare messaggi di testo.
- Trojan banker, che tenta di rubare conti finanziari. Questo Trojan è stato progettato per prendere le informazioni sul conto per tutte le attività online, tra cui carta di credito, bancario e bill pagare i dati.
Un cavallo di Troia è un virus o un malware?
Un Trojan horse può anche essere definito come un virus Trojan horse, ma questo è tecnicamente errato., A differenza di un virus informatico, un cavallo di Troia non è in grado di replicarsi, né può propagarsi senza l’assistenza di un utente finale. Questo è il motivo per cui gli aggressori devono utilizzare tattiche di ingegneria sociale per ingannare l’utente finale in esecuzione del Trojan.
Poiché ci sono così tanti diversi tipi di cavalli di Troia, il termine può essere usato come un ombrello generale per la consegna di malware., A seconda dell’intento dell’attaccante e della struttura dell’applicazione, il Trojan può funzionare in una moltitudine di modi, a volte comportandosi come malware autonomo, altre volte fungendo da strumento per altre attività come la distribuzione di carichi utili, l’apertura del sistema agli attacchi o la comunicazione con l’attaccante.
Come identificare un cavallo di Troia
Poiché i cavalli di Troia appaiono spesso mascherati da file di sistema legittimi, sono spesso molto difficili da trovare e distruggere con i tradizionali scanner di virus e malware., Strumenti software specializzati sono spesso necessari per l’identificazione e la rimozione di cavalli di Troia discreti.
Tuttavia, è possibile identificare la presenza di un cavallo di Troia attraverso comportamenti insoliti visualizzati da un computer. Le stranezze potrebbero includere:
- Un cambiamento nello schermo del computer, tra cui cambiare colore e risoluzione o un capovolgimento inutile a testa in giù.
- Apparirà una quantità eccessiva di annunci pop-up, offrendo soluzioni a vari errori che potrebbero richiedere all’utente finale di fare clic sull’annuncio.,
- Il mouse del computer potrebbe iniziare a muoversi da solo o congelarsi completamente e le funzioni dei pulsanti del mouse potrebbero invertirsi.
- La home page del browser potrebbe cambiare o il browser reindirizzerà costantemente l’utente a un sito Web diverso da quello richiesto. Questo sito web reindirizzato spesso conterrà un’offerta che gli utenti possono fare clic su o scaricare che, a sua volta, installare più malware.
- I programmi antivirus e antimalware del computer saranno disabilitati e i passaggi necessari per rimuovere il malware saranno inaccessibili.,
- Messaggi misteriosi e display grafici anomali possono iniziare ad apparire.
- I programmi non riconosciuti verranno eseguiti nel task manager.
- La barra delle applicazioni cambierà aspetto o scomparirà completamente.
- Lo sfondo del desktop del computer potrebbe cambiare così come il formato delle icone e delle applicazioni del desktop.,
- Il servizio di posta elettronica personale dell’utente può iniziare a inviare messaggi di spam a tutti o ad alcuni degli indirizzi nell’elenco dei contatti che spesso contengono malware e una tattica persuasiva per convincere i destinatari ad aprire e scaricare l’attacco, diffondendo così il cavallo di Troia ad altri computer.
È necessario notare che applicazioni software sicure e legittime possono anche causare alcuni dei comportamenti non comuni sopra elencati. Inoltre, adware e programmi potenzialmente indesiderati (PUP) sono a volte confusi con cavalli di Troia a causa dei loro metodi di consegna simili., Ad esempio, adware può intrufolarsi su un computer mentre si nasconde all’interno di un fascio di software. Tuttavia, a differenza dei cavalli di Troia, adware e PUP non cercano di nascondersi una volta installati sul computer.
Come proteggere da un cavallo di Troia
Il modo più semplice per proteggere un sistema da un cavallo di Troia è di non aprire o scaricare e-mail o allegati da fonti sconosciute. L’eliminazione di questi messaggi prima dell’apertura eliminerà la minaccia del cavallo di Troia.
Tuttavia, la sicurezza informatica inizia con e dipende dall’installazione e dall’implementazione di una suite di sicurezza Internet., Poiché l’utente è spesso inconsapevole che è stato installato un cavallo di Troia, il software antimalware deve essere utilizzato per riconoscere il codice dannoso, isolarlo e rimuoverlo. Per evitare di essere infettati da un cavallo di Troia, gli utenti dovrebbero mantenere aggiornati i loro software antivirus e antimalware e praticare l’esecuzione di scansioni diagnostiche periodiche.
Altri suggerimenti per proteggere un sistema includono:
- Aggiornamento del software del sistema operativo (OS) non appena la società software rilascia un aggiornamento.,
- Proteggere gli account personali con password complicate e uniche che contengono numeri, lettere e simboli.
- Utilizzando discrezione con tutti gli allegati di posta elettronica, anche quelli da mittenti riconosciuti, dal momento che un cavallo di Troia potrebbe aver infettato il loro computer e lo sta usando per diffondere malware.
- Backup dei file su base regolare in modo che possano essere facilmente recuperati se si verifica un attacco di cavallo di Troia.
- Proteggere tutte le informazioni personali con firewall.,
- Evitare siti web sospetti e non sicuri; Software di sicurezza Internet a volte può essere utilizzato per indicare quali siti sono sicuri e che dovrebbero essere evitati.
- Solo l’installazione o il download di programmi da verificato, editori affidabili.
- Rifiutare gli annunci pop-up che tentano di invogliare gli utenti a fare clic per offerte allettanti e promozioni.
- Non aprire mai un’e-mail se l’argomento, il contenuto o il mittente sono sconosciuti o se c’è qualche sospetto o domanda sull’e-mail in generale.,
Come rimuovere un cavallo di Troia
Se un cavallo di Troia è identificato su un computer, il sistema deve essere immediatamente disconnesso da Internet e i file discutibili devono essere rimossi utilizzando un programma antivirus o antimalware o reinstallando il sistema operativo.
La parte più difficile del processo di rimozione è riconoscere quali file sono infetti. Una volta che il Trojan è stato identificato, il resto del processo diventa più semplice., Gli utenti a volte possono trovare i file infetti utilizzando l’errore dynamic Link library (DLL) che viene spesso presentato dal computer per indicare la presenza di un cavallo di Troia. Questo errore può essere copiato e cercato online per trovare informazioni sul file exe interessato.
Una volta identificati i file, la funzione di ripristino configurazione di sistema deve essere disabilitata. Se questa funzione non è disabilitata, tutti i file dannosi che vengono eliminati verranno ripristinati e infetteranno nuovamente il computer.
Successivamente, gli utenti devono riavviare il computer., Durante il riavvio, gli utenti devono premere il tasto F8 e selezionare la modalità provvisoria. Una volta che il computer è stato avviato correttamente, gli utenti devono accedere a Aggiungi o Rimuovi programmi nel pannello di controllo. Da qui, i programmi infetti possono essere rimossi e cancellati. Al fine di garantire che tutte le estensioni associate all’applicazione Trojan vengano rimosse, tutti i file di programma devono essere eliminati dal sistema.
Una volta completato, il sistema dovrebbe essere riavviato ancora una volta, ma questa volta nella normale modalità di avvio. Questo dovrebbe completare il processo di rimozione del cavallo di Troia.,
Storia del cavallo di Troia
Il termine cavallo di Troia deriva dalla mitologia greca. Secondo la leggenda, i greci costruirono un grande cavallo di legno che il popolo di Troia tirò in città. Durante la notte, i soldati che si erano nascosti all’interno del cavallo emersero, aprirono le porte della città per far entrare i loro commilitoni e invasero la città.
In informatica, il termine è stato nominato per la prima volta in un rapporto della U. S. Air Force del 1974 che ha discusso la vulnerabilità nei sistemi informatici., È stato poi reso popolare da Ken Thompson quando ha ricevuto il Turing Award nel 1983 – un premio dato dalla Association for Computing Machinery (ACM) ad un individuo di importanza tecnica nel campo informatico.
Durante gli anni 1980, un aumento dei sistemi bulletin board (BBS) ha contribuito alla diffusione accelerata degli attacchi Trojan horse. Un BBS era un sistema informatico che gestiva un software che consentiva agli utenti di penetrare nel sistema utilizzando una linea telefonica., Una volta che un utente è stato effettuato l’accesso al BBS, potrebbe procedere con azioni come il caricamento, il download e la condivisione di dati potenzialmente dannosi.
Il primo virus Trojan horse è stato chiamato pest trap o Spy Sheriff. Questo cavallo di Troia precoce è stato in grado di raggiungere e infettare circa un milione di computer in tutto il mondo. Appare come una quantità di massa di annunci pop-up che per lo più sembrava avvisi, avvisando gli utenti della necessità di un’applicazione software oscura. Una volta che il cavallo di Troia Spia sceriffo è installato con successo su un computer, diventa estremamente difficile da rimuovere., Antivirus e antimalware software sono di solito in grado di rilevare Spy Sheriff e non può rimuoverlo con un ripristino del sistema. Inoltre, se un utente tenta di cancellare il software Sceriffo spia, il cavallo di Troia si reinstalla utilizzando i file infetti nascosti sul computer.
Nell’ottobre 2002, un uomo è stato arrestato dopo che 172 immagini di pornografia infantile sono state trovate sul disco rigido del suo computer. Ci sono voluti quasi un anno per la corte di assolvere finalmente lui dalle accuse e accettare la sua difesa dichiarando che i file erano stati scaricati a sua insaputa da un cavallo di Troia., Questo è uno dei primi casi in cui la difesa del cavallo di Troia ha avuto successo.