Trojan
Storicamente, i trojan horse sono stati definiti come una classe di minacce che tentano di presentarsi come programmi utili per ingannare gli utenti e indurli così a eseguirli.
Poiché si tratta di una categoria molto ampia, è spesso suddivisa in diverse sottocategorie:
Downloader
Questi termini indicano solitamente programmi, componenti o funzionalità dannosi il cui scopo (di solito unico) è scaricare software aggiuntivo (di solito dannoso) su un sistema infetto ed eseguirlo.
Dropper
Per “trojan dropper” si intende un tipo di malware che funge da vettore e che contiene al suo interno un altro eseguibile dannoso. Quando viene avviato, “rilascia” o installa il file contenuto e lo esegue.
Dal punto di vista storico, il termine “dropper” è stato utilizzato per descrivere un file il cui unico intento era quello di introdurre un virus informatico “into the wild”. Questi strumenti sono stati chiamati talvolta anche virus “generazione zero” dai ricercatori antivirus, più o meno allo stesso modo in cui l’espressione “paziente zero” è stata utilizzata da medici ed epidemiologi nel corso di dibattiti su malattie infettive. Nel caso di un virus informatico polimorfico, il relativo “dropper” potrebbe non essere crittografato ma potrebbe essere costituito esclusivamente dal codice del virus informatico decrittografato.
Packer, Crypter, Protector
I “packer” rappresentano i “gusci esterni” dei Trojan, il cui scopo consiste nel rendere più complessi il rilevamento e l’analisi da parte di software antivirus e di analisti di malware (rispettivamente) nascondendo il payload che contengono e rendendone dapprima necessaria una decompressione in modo da accertarne lo scopo. Per rendere le attività ancora più complesse, i packer utilizzano spesso varie tecniche anti-debugging e anti-emulazione (anti-VM) e di offuscamento del codice.
I packer riducono inoltre solitamente le dimensioni dell’eseguibile risultante e vengono quindi utilizzati anche da software legittimi, non solo da malware. Servono a diversi scopi, principalmente attraverso la compressione degli eseguibili e la protezione delle applicazioni da attacchi di pirateria.
Backdoor, Strumento di accesso remoto/Trojan di accesso remoto
Per “backdoor” si intende un’applicazione che consente l’accesso remoto a un computer. La differenza tra questo tipo di malware e un’applicazione legittima con funzionalità simili consiste nel fatto che l’installazione viene eseguita all’insaputa dell’utente.
La tipica funzionalità backdoor include la possibilità di inviare file al computer host e di eseguire file e comandi su di esso, nonché di esfiltrare (inviare) file e documenti all’autore dell’attacco. Spesso questo comportamento è abbinato a funzionalità di key-logging e screen-grabbing a scopo di spionaggio e di furto di dati.
Il termine “RAT” (Remote Access Tool) può essere considerato un sinonimo di “backdoor”, ma indica di solito un pacchetto completo che include un’applicazione client destinata all’installazione sul sistema di destinazione e un componente server che consente l’amministrazione e il controllo dei singoli “bot” o sistemi compromessi.
Keylogger
Programma utilizzato per registrare le sequenze di tasti digitate su un computer.
I keylogger possono essere utilizzati sia per scopi benefici, come il monitoraggio dei dipendenti in un settore regolamentato, sia per scopi illeciti, come il furto delle credenziali degli account. I keylogger sofisticati possono anche registrare i movimenti del mouse, i clic dei pulsanti e le sequenze di tasti digitate su tastiere virtuali a schermo e acquisire screenshot o video di ciò che viene visualizzato sullo schermo.
Esistono anche keylogger hardware che possono essere collegati tra un computer e una tastiera per registrare le sequenze di tasti.
Dialer
Per “dialer” si intende un programma concepito allo scopo di reindirizzare la connessione telefonica dell’utente (dial-up) a Internet per costringere i malcapitati a utilizzare numeri a tariffa maggiorata.
Questi programmi possono essere utilizzati in maniera del tutto lecita per il pagamento di servizi Internet. I dialer fraudolenti invece possono essere utilizzati per reindirizzare una connessione a un numero più costoso all’insaputa dell’utente del computer. Questo tipo di minaccia è diventato raro nelle aree in cui è disponibile la banda larga.
Se sul computer in uso viene rilevato un trojan horse, si consiglia di eliminarlo, poiché probabilmente contiene codice dannoso.