Троя́нская программа
Троя́нская программа. (также — троя́н, троя́нец, троя́нский конь, тро́й)
— вредоносная программа, используемая злоумышленником для сбора
информации, её разрушения или модификации, нарушения работоспособности
компьютера или использования его ресурсов в неблаговидных целях.
Действие троянской программы может и не быть в действительности
вредоносным, но трояны заслужили свою дурную славу за их использование
в инсталляции программ типа Backdoor. По принципу распространения и действия троян не является вирусом, так как не способен распространяться саморазмножением.
Троянская программа запускается пользователем вручную или
автоматически — программой или частью операционной системы, выполняемой
на компьютере-жертве (как модуль или служебная программа). Для этого файл программы (его название, иконку
программы) называют служебным именем, маскируют под другую программу
(например, установки другой программы), файл другого типа или просто
дают привлекательное для запуска название, иконку и т. п.
Простым примером трояна может являться программа waterfalls.scr,
чей автор утверждает, что это бесплатная экранная заставка. При запуске
она загружает скрытые программы, команды и скрипты с или без согласия и
ведома пользователя. Троянские программы часто используются для обмана
систем защиты, в результате чего система становится уязвимой, позволяя
таким образом неавторизированный доступ к компьютеру пользователя.
Троянская программа может в той или иной степени имитировать
(или даже полноценно заменять) задачу или файл данных, под которые она
маскируется (программа установки, прикладная программа, игра,
прикладной документ, картинка). В том числе, злоумышленник может
собрать существующую программу с добавлением к её исходному коду
троянские компоненты, а потом выдавать за оригинал или подменять его.
Схожие вредоносные и маскировочные функции также используются компьютерными вирусами,
но в отличие от них, троянские программы не умеют распространяться
самостоятельно. Вместе с тем, троянская программа может быть модулем
вируса.
Этимология
Название «троянская программа» происходит от названия «троянский конь» — деревянный конь, по легенде, подаренный древними греками жителям Трои, внутри которого прятались воины,
впоследствии открывшие завоевателям ворота города. Такое название,
прежде всего, отражает скрытность и потенциальную коварность истинных
замыслов разработчика программы.
Распространение
Троянские программы помещаются злоумышленником на открытые ресурсы (файл-серверы,
открытые для записи накопители самого компьютера), носители информации
или присылаются с помощью служб обмена сообщениями (например, электронной почтой) из расчета на их запуск на конкретном, входящем в определенный круг или произвольном «целевом» компьютере.
Иногда использование троянов является лишь частью спланированной
многоступенчатой атаки на определенные компьютеры, сети или ресурсы (в
том числе, третьи).
Типы тел троянских программ
Тела троянских программ почти всегда разработаны для различных
вредоносных целей, но могут быть также безвредными. Они разбиваются на
категории, основанные на том, как трояны внедряются в систему и наносят
ей вред. Существует 6 главных типов:
- удалённый доступ;
- уничтожение данных;
- загрузчик;
- сервер;
- дезактиватор программ безопасности;
- DDoS-атаки.
Цели
Целью троянской программы может быть:
- закачивание и скачивание файлов;
- копирование ложных ссылок, ведущих на поддельные вебсайты, чаты или другие сайты с регистрацией;
- создание помех работе пользователя (в шутку или для достижения других целей);
- похищение данных, представляющих ценность или тайну, в том
числе информации для аутентификации, для несанкционированного доступа к
ресурсам (в том числе третьих систем), выуживание деталей касательно
банковских счетов, которые могут быть использованы в преступных целях,
криптографической информации (для шифрования и цифровой подписи);
- шифрование файлов при кодовирусной атаке;
- распространение других вредоносных программ, таких как вирусы. Троян такого типа называется Dropper;
- вандализм:
уничтожение данных (стирание или переписывание данных на диске,
труднозамечаемые повреждения файлов) и оборудования, выведения из строя
или отказа обслуживания компьютерных систем, сетей и т. п., в том числе в составе ботнета (организованной группы зомбированных компьютеров), например, для организации DoS-атаки на целевой компьютер (или сервер) одновременно со множества зараженных компьютеров или рассылки спама. Для этого иногда используются гибриды троянского коня и сетевого червя
— программы, обладающие способностью к скоростному распространению по
компьютерным сетям и захватывающие зараженные компьютеры в зомби-сеть.;
- сбор адресов электронной почты и использование их для рассылки спама;
- прямое управление компьютером (разрешение удалённого доступа к компьютеру-жертве);
- шпионство за пользователем и тайное сообщение третьим лицам сведений, таких как, например, привычка посещения сайтов;
- регистрация нажатий клавиш (Keylogger) с целю кражи информации такого рода как пароли и номера кредитных карточек;
- получения несанкционированного (и/или дарового) доступа к
ресурсам самого компьютера или третьим ресурсам, доступным через него;
- установка Backdoor;
- использование телефонного модема для совершения дорогостоящих
звонков, что влечёт за собой значительные суммы в телефонных счетах;
- дезактивация или создание помех работе антивирусных программ и файрвола.
Симптомы заражения трояном
- появление в реестре автозапуска новых приложений;
- показ фальшивой закачки видеопрограмм, игр, порно-роликов и порносайтов, которые вы не закачивали и не посещали;
- создание снимков экрана;
- открывание и закрывание консоли CD-ROM;
- проигрывание звуков и/или изображений, демонстрация фотоснимков;
- перезапуск компьютера во время старта инфицированной программы;
- случайное и/или беспорядочное отключение компьютера.
Методы удаления
Поскольку трояны обладают множеством видов и форм, не существует
единого метода их удаления. Наиболее простое решение заключается в
очистке папки Temporary Internet Files или нахождении вредоносного файла и удаление его вручную (рекомендуется Безопасный Режим). В принципе, антивирусные программы
не способны обнаруживать и удалять трояны. Однако при регулярном
обновлении антивирусной базы антивирус способен заблокировать запуск и
исполнение троянской программы. Если антивирус не способен отыскать
троян, загрузка ОС с альтернативного источника может дать возможность
антивирусной программе обнаружить троян и удалить его. Чрезвычайно
важно для обеспечения бóльшей точности обнаружения регулярное
обновление антивирусной базы данных.
Маскировка
Многие трояны могут находиться на компьютере пользователя без его ведома. Иногда трояны прописываются в Реестре, что приводит к их автоматическому запуску при старте Windows.
Также трояны могут комбинироваться с легитимными файлами. Когда
пользователь открывает такой файл или запускает приложение, троян
запускается также.
Принцип действия трояна
Трояны обычно состоят из двух частей: Клиент и Сервер.
Сервер запускается на машине-жертве и следит за соединениями от
Клиента, используемого атакующей стороной.
Когда Сервер запущен, он отслеживает порт или несколько портов в поиске
соединения от Клиента. Для того, чтобы атакующая сторона подсоединилась
к Серверу, она должна знать IP-адрес
машины, на которой запущен Сервер. Некоторые трояны отправляют IP-адрес
машины-жертвы атакующей стороне по электронной почте или иным способом.
Как только с Сервером произошло соединение, Клиент может отправлять на
него команды, которые Сервер будет исполнять на машине-жертве.
В настоящее время благодаря NAT-технологии
получить доступ к большинству компьютеров через их внешний IP-адрес
невозможно. И теперь многие трояны соединяются с компьютером атакующей
стороны, который установлен на приём соединений, вместо того, чтобы
атакующая сторона сама пыталась соединиться с жертвой. Многие
современные трояны также могут беспрепятственно обходить файрволы на компьютере жертвы.
Трояны чрезвычайно просты в создании на многих языках программирования. Простой троян на Visual Basiс или C++ с использованием Visual Studio может быть создан в не более чем 10 строчках кода.
Примеры троянских программ
|