Poison Ivy (trojanski konj)

Iz Wikipedije, proste enciklopedije
Jump to navigation Jump to search

Poison Ivy je zlonamerna programska oprema, ki se uvršča med trojanske konje. Obstaja več različic tega trojanskega konja, s katerimi napadalci želijo pridobiti podatke, ki se nahajajo na neki napravi.

Najpogostejše oblike so Poison Ivy RAT kot remote access trojan (kar bi lahko prevedli kot trojanski konj z oddaljenim dostopom), Poison Ivy RAT kot Remote Administration Tool (na nek način orodje za oddaljeno upravljanje) in Trojan Horse Backdoor PoisonIvy (vrsta trojanskih konjev, ki v napravo vstopajo skozi slabo zavarovana ali nezavarovana stranska vrata naprave).

Zgodovina Poison Ivy sega v leto 2005, vendar pa ni točno znano, kdo je tega trojanskega konja ustvaril. Prvinske oblike Poison Ivy so bile sicer izsledene na Kitajskem in tako so nastale domneve, da so jih zasnovali kitajski hekerji z namenom vohuniti tujim vladam. Vendar je danes znano, da ne gre le za kitajske hekerje, temveč si lahko Poison Ivy ustvari vsak, ki ima malo računalniškega znanja in željo po pridobivanju informacij, ki niso javno dostopne. Poison Ivy je prav iz tega razloga še danes eden najbolj razširjenih RAT-ov, priljubljen je predvsem pri amaterskih hekerjih, saj gre predvsem za »naredi sam« oziroma »DIY« (do it yourself) virus.[1]

Problematiko razširjenosti kot take ter zanimanja za Poison Ivy lahko opazimo predvsem zaradi velikega števila YouTube posnetkov, ki prikazujejo, kako namestiti in uporabljati Poison Ivy kar z domačega računalnika. Na nekaterih spletnih straneh obstajajo celo številne podpore uporabnikom.

Danes je Poison Ivy vse bolj pereča težava, zato je vanjo usmerjeno veliko pozornosti.

Poison Ivy napad[uredi | uredi kodo]

Tipičen napad s Poison Ivy deluje na ta način[2]:

  1. Napadalec po meri oblikuje PIVY strežnik (kratica za Poison-IVY strežnik), na katerem prilagaja podrobnosti, npr. način, kako naj se Poison Ivy namesti na ciljnem računalniku, katere funkcije naj onemogoči, kakšna enkripcija gesla se bo uporabila in tako dalje.
  2. Napadalec pošlje datoteko za namestitev PIVY strežnika na ciljni računalnik, pri čemer običajno izkoristi t. i. zero-day ranljivost (imenovana tudi zero-hour ali 0-day). Zero-day ranljivost je nerazkrita računalniška aplikacijska ranljivost, ki je lahko izkoriščena tako, da sovražno deluje na računalniške programe, podatke, dodatne računalnike ali omrežje.
  3. Tarča napadalcu omogoči oddaljen dostop, na primer, z odpiranjem okužene priponke v e-pošti ali z obiskom ogrožene spletne strani. S tem datoteka za namestitev PIVY strežnika prične delovati na ciljnem računalniku. Da se izogne prepoznavi s strani anti-virusnega programa, prenese dodatno šifro, ki je potrebna za prehod skozi šifriran komunikacijski kanal.
  4. Ko je PIVY strežnik nameščen in deluje na ciljni napravi, napadalec uporabi Windows GUI (grafični uporabniški vmesnik) client za nadzor nad tem računalnikom.

Na virus Poison Ivy bi bilo pametno pomisliti pri preoblačenju ali menjavi posteljnine pred kamero prenosnega računalnika, pri urejanju zasebnih dokumentov, brskanju po spletnih straneh z neprimerno vsebino… Ta trojanski konj namreč daje napadalcu popoln nadzor nad okuženim računalnikom.[1]

To pomeni, da napadalec lahko:[3]

  • preimenuje, zbriše datoteke (le-te so lahko naložene ali prenesene iz ali v sistem),
  • vidi in ureja Windows register,
  • vidi vse procese, ki se v tistem trenutku izvajajo in jih lahko prekine,
  • prav tako so vidne omrežne povezave, ki jih lahko prekine,
  • vidi vse dejavnosti, ki jih, med drugim, lahko ustavi ali zažene,
  • vidi tudi vse nameščene naprave in nekatere od njih lahko onesposobi,
  • vidi seznam naloženih aplikacij, izbriše lahko vnose ali odstrani programe,
  • nekatere različice Poison Ivy lahko ukradejo informacije s posnetki zaslona, namizja, snemanjem zvoka ali spletnih posnetkov, prav tako lahko dostopajo tudi do shranjenih gesel in hash gesel…

Poison Ivy je tako široko uporabljen, da imajo strokovnjaki za varnost velike težave pri izsleditvi napadov, ki uporabljajo RAT, ne glede na napadalca.

Škoda[uredi | uredi kodo]

Backdoor Poison Ivy trojanski konj:

  1. ogrozi internetno okolje s preusmerjanjem spletnih iskanj na druge škodljive domene, ki vsebujejo še škodljivejše viruse in žrtev zavedejo, da prenese brezplačno programsko opremo, posnetke, igre, datoteke itd.,
  2. dovoljuje oddaljen dostop, kar ogrozi ciljni računalnik in sicer s tem, ko napadalcu omogoči spreminjanje sistemskih nastavitev naprave, nastavitev registra in datotek ter krajo zasebnih podatkov brez dovoljenja,
  3. okuži napravo z vrsto škodljivih programov in groženj, ki se lahko skrijejo v sistem, procese, datoteke in mape,
  4. občutno upočasni delovanje naprave in lahko povzroči sesutje sistema.[4]

Odstranitev[uredi | uredi kodo]

Na spletu je moč zaslediti številne podrobne napotke, kako odstraniti Poison Ivy škodljivo programsko opremo in njene različice, če jih anti-virusni sistem vendarle zazna. Nekateri postopki so avtomatski in jih izvedejo določeni programi, ki jih je potrebno naložiti na računalnik. Spet drugi postopki so bolj zahtevni, zato so zanje potrebna določena računalniška znanja, če ne želimo da pride do kakšne nesreče zaradi ročnega upravljanja naprave.[5]

Kljub vsem orodjem, ki jih je mogoče dobiti na spletu, se je priporočljivo obrniti na strokovnjake.

Viri[uredi | uredi kodo]

  1. 1,0 1,1 "Computing's 11 Smartest Super-Viruses--And The Damage They Wrought". Co.Labs (angleščina). Pridobljeno dne 2016-01-04.
  2. "Poison Ivy: Assessing Damage and Extracting Intelligence « Threat Research". FireEye. Pridobljeno dne 2016-01-04.
  3. "Backdoor:W32/PoisonIvy Description". www.f-secure.com. F-Secure Labs. Pridobljeno dne 2016-01-04.
  4. "Trojan horse Backdoor.PoisonIvy.BQ Virus - How to Remove - QiSupport Virus and Malware Removal Guides". QiSupport Virus and Malware Removal Guides (angleščina). Pridobljeno dne 2016-01-04.
  5. "Detailed Guide to Remove Trojan horse Backdoor.PoisonIvy.BQ Virus Permanently and Thoroughly". blog.doohelp.com. Pridobljeno dne 2016-01-04.

Zunanje povezave[uredi | uredi kodo]