Что за вирус троян-загрузчик
Вирусы, черви, трояны и боты являются частью класса программного обеспечения под названием вредоносных программ ( malware) . Это код или программное обеспечение, которое специально разработано, чтобы повредить, разрушить, украсть, или нанести другой вред данным, компьютеру или сети.
Есть много различных классов вредоносных программ, которые имеют различные способы заражения системы и распространения самих себя. Одни вредоносные программы могут заражать системы, будучи встроенными в другие программы или прикрепленными в качестве макросов к файлам. Другие заражают компьютер используя известные уязвимости в операционной системе (ОС), сетевых устройствах или другом программном обеспечении. Например, используются дыры в браузере, что позволяет лишь посетив вредоносный веб-сайт заразить компьютер. Подавляющее большинство, однако, для заражения требуют выполнения некоторых действий от пользователя, например, открыть вложение электронной почты или загрузить файл из Интернета.
Наиболее широко известными типами вредоносных программ являются вирусы, черви, трояны, боты, бэкдоры ( backdoor) , программы-шпионы и рекламное ПО. Ущерб от вредоносного ПО варьируется от вызывающего небольшое раздражение (например, всплывающие окна в браузере) до кражи конфиденциальной информации или деньги, уничтожения данных, а также повреждения или полного разрушения системы и сети.
Вредоносное ПО не может повредить физически оборудованию компьютера и сетевому оборудованию, но может привести к повреждению данных и программного обеспечения, хранящихся на нем. Вредоносное ПО также не следует путать с дефектным ПО, которое предназначено для законных целей, но имеет ошибки и работает не правильно.
Два наиболее распространенных класса вредоносного ПО - это вирусы и черви. Они способны к самовоспроизведению и распространяют сами себя по всем компьютерам. Они могут даже мутировать, чтобы скрыться от антивируса. Отличие червей от вирусов в том, что черви более независимы от файла-носителя, а вирусу для распространения требуется файл, в код которого он внедряется. Рассмотрим подробнее что делает вирус, троян, червь, бот. Чем отличаются трояны от вирусов и червей? Ботнет - что это? Обо все поподробнее.
![]()
Компьютерные вирусы
Компьютерный вирус является одним из видов вредоносного ПО, которое распространяется путем внедрения своей копии в другую программу. Таким образом вирус становится частью этой программы. Он распространяется от одного компьютера к другому, инфицируя все компьютеры на своем пути. Вирусы различаются по серьезности последствий от вызывающих легкое раздражение до повреждения данных и программного обеспечения или отказа операционной системы. Почти все вирусы внедряются в исполняемый файл. Это означает, что вирус может существовать в системе, но он не будет активен и не сможет распространяться, пока пользователь не запустит или не откроет инфицированный файл программы. В то время, когда выполняется основной код зараженной программы, вирусный код тоже выполняется. Как правило, программы-носителя продолжают функционировать после заражения. Тем не менее, некоторые вирусы перезаписывают полностью код других программ своим кодом, что повреждает основную программу. Вирусы распространяются, когда программное обеспечение или документ, с которым они связаны передается от одного компьютера к другому, используя сеть, диск, обмен файлами, или зараженные вложения электронной почты.
![]()
Черви
Компьютерные черви похожи на вирусы в том, что они копируют функциональные копии самих себя и могут вызвать тот же тип повреждений. В отличие от вирусов, которые требуют распространения зараженного файла-носителя, черви являются автономным программным обеспечением и не требует программы-хоста или помощи человека, чтобы размножаться. Для распространения, черви используют либо уязвимость на целевой системе, либо обман пользователя для их запуска. Червь попадает в компьютер через уязвимость в системе и использует функции перемещения файлов или информации в системе, что позволяет ему перемещаться и заражать компьютеры без посторонней помощи.
Черви являются наиболее опасным классом вредоносного ПО с точки зрения распространения и заражения компьютеров, так как для их распространения и заражения новых компьютеров не требуется запуск пользователем файлов-носителей. Например, при подключении флешки к зараженному компьютеру, червь самостоятельно заражает ее, либо имеет возможность самостоятельно распространять свои копии по локальной сети или электронной почте.
![]()
Трояны ( Trojan)
Троян ( t rojan) - тип вредоносного ПО, названный в честь деревянного коня, который греки использовали для проникновения в Трою. Это вредоносное ПО, которое выглядит законно. Пользователей, как правило, обманным путем заставляют загрузить и запустить его на своем компьютере. Это может выглядеть, как запуск какой-либо утилиты или даже видеофайла. Такой файл может быть снабжен иконкой известной программы и иметь аналогичное название. Быть похожим на видеофайл или файл изображения троянам помогают настройки по уолчанию системы Windows , которая скрывает расширение зарегистрированных типов файлов. Тем самым файл типа video.avi.exe отображается в Проводнике как video.avi , что соответствует расширению видеофайлов. Кроме того такой файл часто имеет иконку медиапроигрывателя Windows , что сбивает с толку невнимательного пользователя и он запускает его рассчитывая увидеть фильм.
После того, как троян активирован, он может в разной степени воздействовать на компьютер от раздражающих всплывающих окон и изменения рабочего стола до повреждения данных и ОС (удаление файлов, кражи данных или активации и распространения других вредоносных программ, таких как вирусы). Троян часто создают бэкдоры (backdoor) , дающие злоумышленникам доступ к системе. В последнее время большое распространение получили трояны-винлокеры ( trojan.winlock ), блокирующие рабочий стол компьютера.
В отличие от вирусов и червей, трояны не размножаются путем заражения других файлов и не способны к самовоспроизведению. Троян распространяется взаимодействуя с пользователем, например, открытие вложений электронной почты или загрузка и запуска файла из интернета.
![]()
Боты
"Бот" - производное от слова "робот" и представляет собой автоматизированный процесс, который взаимодействует с другими сетевыми службами. Боты часто автоматизируют задачи и предоставления информации и услуг, которые могли бы производиться человеком. Типичным использованием ботов является сбор информации (например, сканер поисковой системы, ищущий новые сайты), а так же автоматизированное взаимодействие с человеком (например, автоответчик в аське или бот рассказывающий анекдоты).
Боты могут использоваться как в хороших, так и в плохих целях. Примером незаконных действий может служить бот-нет (сеть ботов). Вредоносный бот распространяет вредоносное ПО, которое заражает компьютеры и подключает их через бэкдоры к центральному серверу управления, который может управлять всей сетью взломанных устройств. Используя бот-нет злоумышленник может совершать DDOS -атаки на сайты или сервера конкурентов или по заказу. DDOS -атаки представляют собой одновременное огромное количеству бессмысленных запросов на сервер, исходящих от множества устройств (зараженных компьютеров), что приводит к перегрузке и зависанию сервера и невозможности нормальной работы и передачи информации (например, сайт перестает работать).
В дополнение к червеобразной способности самораспространяться, боты могут записывать нажатия клавиш, красть пароли, собирать финансовую информацию, совершать DDOS -атаки, рассылать спам. Боты имеют все преимущества червей, однако более универсальны и кроме того, объединены в сеть, которая позволяет контролировать зараженные компьютеры и совершать определенные действия по команде с контрольного центра. Создавая бэкдоры боты могут загружать на компьютер другие вредоносные программы, как вирусы или черви.
Боты в большинстве случаев стараются никак не проявлять себя для пользователя, поэтому опознать, что компьютер заражен бывает непросто.
Таким образом вредоносные боты являются наиболее опасными с точки зрения защиты информации, так как они не только сами распространяются и распространяют другое вредоносное ПО, но и способны совершать свои действия по команде из вне.
Эксплойты (Exploit)
Эксплойт является частью программного обеспечения, командами или методологией, которая нацелена на взлом конкретной уязвимости безопасности. Эксплойты не всегда обладают вредоносными намерениями. Они иногда используются только как способ демонстрации того, что существует уязвимость. Тем не менее, они являются общим компонентом вредоносных программ.
Анализ нового загрузчика банковского трояна Dridex
Архитектурно Dridex представляет собой два независимых компонента — загрузчик (Trojan-Downloader) и тело вируса (exe-файл). При этом загрузчик хоть и запомнился в связи с распространением именно Dridex, на самом деле может использоваться для скрытой загрузки любого вредоносного контента (модель malware-as-a-service).
Рисунок 1. Вложенный в фишинговое письмо документ
3. Обфусцированный VBA-код, запускаемый после включения макросов, скачивает тело вируса с прописанного в нем адреса компьютера-зомби.
4. Загруженный и запущенный exe-файл крадет учетные данные аккаунтов онлайн-банкинга с компьютера жертвы.
Шаги 1 и 2 его работы остались неизменны, а вот дальше картина становится несколько иной:
Рисунок 2. Открываемое первой версией загрузчика изображение
5. Далее макрос так же, как и ранее, подключается к компьютеру-зомби и скачивает с него exe-файл с телом вируса.
6. На этом работа макроса не заканчивается. Он запускает экзешник, и, если запуск проходит успешно (вирус появляется в списке процессов), загружает с savepic вторую картинку.
Рисунок 3. Изображение, открываемое загрузчиком после успешного запуска вируса
7. Далее Dridex опять же подключается к командным серверам и делает свое черное дело.
Рисунок 4. Общая схема заражения вирусом Dridex
Новый загрузчик Dridex имеет две ключевые особенности: использование анонимных сервисов и нетривиальную причину, по которой он загружает изображения с savepic.
Зачем (конечно, кроме как шутки ради) в загрузчике используются картинки, понятно из статистики каждой картинки на savepic.
Рисунок 5. Сервисная страница изображения
Каждая такая страница содержит счетчик, причем бесплатный и анонимный, что делает его особенно удобным для сбора статистики по заражению (первый счетчик показывает, сколько пользователей запустило макрос, второй — сколько машин в конечном счете было заражено). Или, если предположить, что загрузчик используется в соответствии с моделью malware-as-a-service, счетчик отлично подходит для информирования заказчика, за сколько зараженных машин тому придется заплатить.
Первая версия VB-скрипта от 30 апреля была очень проста. Видно, что авторы лишь пробовали свои силы. В ней не использовались даже счетчики на savepic.
Как выглядела первая версия VB-скрипта после деобфускации:
Последняя на момент написания статьи версия (от 3 июня):
Рисунок 7. Сводная информация об одном конкретном образце
Рисунок 8. Фрагмент характерного трафика, порождаемого данным образцом
Рисунок 9. Использовавшиеся для загрузки трояна серверы-зомби
Рисунок 10. Командные серверы, к которым пытался подключиться exe-файл Dridex
Рисунок 11. Командные серверы, подключение к которым прошло успешно
Новая эпидемия сопровождается в среднем 10-15 тысячами заражений в день, что очень хорошо показывает, насколько эффективным оказался новый Trojan-Downloader и насколько плохо смогли противостоять ему современные антивирусы, IDS и IPS.
Рисунок 12. Неутешительный результат сканирования одного из заражённых документов 57 различными антивирусами
Но, впрочем, как и на любой войне, нападение здесь опережает защиту, и каждый день вирусописатели придумывают новые и новые не детектируемые пока вредоносы.
А до окончания Dridex-эпидемии, по-видимому, еще далеко. Судя по данным счетчиков, только за один день, 8 июня, макрос загрузчика был запущен 53657 раз, успешно заразив 44102 машины.
Похоже, самое интересное еще ждет нас впереди.
Троянская программа (троян, троянец, троянский конь) — вредоносная программа.
Максимальная угроза для персональных компьютеров пользователей.
Троянская программа (троян, троянец, троянский конь) — вредоносная программа, распространяемая через зараженные сайты, файлообменники, вложения в письма электронной почты или приложения для операционных систем, скачанные из интернета.
Основная задача, которую несут трояны - это установка контроля атакующего над зараженным компьютером пользователя.
Установка бэкдоров, загрузчика вирусов, или хищение конфиденциальных данных - главное назначение троянских программ.
Большая часть троянских программ маскируется под безвредные или полезные файлы или программы, с целью их запуска пользователем на ПК.
В роле "приманки" могут быть информационные файлы или заманчивые рекламные файлы форматов MS Office, изображения и архивы из рассылки по электронной почте.
Часто такого рода письма не содержат вложения, а пытаются заманить жертву на вредоносный сайт, который попытается заразить компьютер,и разместить на нем трояны. Такие рассылки нередко маскируются под популярные, с известных сайтов, социальных сетей, прочих сервисов с большим количеством пользователей.
Троянские программы также попадают на ПК пользователей через файлы, скачиваемые из интернета. Пользователь сам ищет интересующую его программу, скачивает ее с небезопасного сайта, и получает троянского коня. Не проверенные торрент раздачи несут в себе угрозу получения трояна на ПК.
Максимальный риск получения троянской программы на ПК - это его загрузка с взломанного посещаемого сайта. В качестве примера можно взять какой - либо популярный бухгалтерский сайт, откуда массово скачиваются формы и образцы документов,или сайт содержащий инструкции к чему либо, хранящиеся в файлах популярных форматах, таких как документы MS Office или Adobe PDF. Ничего не подозревающий пользователь скачивает с такого сайта легальный (по его мнению) документ, который в последствии взлома сайта был заменен на троянскую программу.
Троянские программы — самый простой вид вредоносных программ, сложность которых зависит только от постановленной задачи.
Самые примитивные трояны (например, открывающие загрузку иного вредоносного ПО на компьютер) могут иметь код в несколько строк.
Троянская программа может в той или иной мере имитировать или даже полноценно выполнять задачу, под которую она маскируется в случае, если вредоносный код встраивается злоумышленником в существующую программу. Иногда использование троянов является лишь частью многоступенчатой атаки на определенные компьютеры, сети или ресурсы.
На сегодняшний день высокий уровень угрозы приобрели трояны вымогатели.
В отличии от традиционного хищения учетных данных к электронной почте, банковским счетам, доступам к соцсетям, иной конфиденциальной информации, такие трояны обеспечиваю загрузку и выполнение вредоносного кода на компьютере жертвы, который:
-
Блокирует загрузчик операционной системы (Windows, Mac OS), угрожает и требует перевода денег на номер телефона или кошелек платежной системы. Шифрует все файлы пользователя криптографические стойкими алгоритмами. Для расшифровки файлов предлагается купить ключ за большие деньги.
В первом случае, когда из-за действий трояна блокируется загрузчик ОС, проблема решается достаточно легко (если не произошли какие-либо глобальные изменения файловой системы ОС). Такой вид, схема и алгоритмы работы мошеннических вредоносных программ хорошо известен специалистам в области информационной безопасности, и практически каждая антивирусная лаборатория предлагает средства по устранению как последствий вредоносных действий так и самого трояна.
Во втором случае, все гораздо сложнее. Если вредоносный код, загруженный трояном, успел полностью завершить свою работу, он не оставляет шансов "спасти" свои файлы, без покупки ключа у злоумышленников. Такая атака - это серьезная и кропотливая работа хакеров очень высокого уровня.
В большинстве случаев для жертвы открывается личный кабинет на специально созданном злоумышленниками сайте, для оплаты и получения ключа, который расшифрует файлы. Также для жертвы открывается Bitcoin (или любая другая криптовалюта) кошелек, для проводки денег.
Троян оставляет на рабочем столе жертвы подробную информацию, как купить ключ, конвертировать и платить криптовалюты и прочее.
Сумма выкупа, как правило высока, от 100$ и выше, и зависит от количества и типа файлов которые зашифровал вредонос.
К примеру, если троян зашифровал файлы 1С бухгалтерии коммерческой структуры, сумма выкупа может достигать десяти тысяч долларов и выше.
При этом все действия по продаже, выставлению счета, выдачи ключей и т.п. являются автоматическими.
Хакерские сайты базируются в анонимных сетях (*.onion) и работа с криптовалютой минимизирует риски хакеров быть вычисленными правоохранителями. У антивирусных лабораторий, на сегодняшний день, нет универсальных решений проблемы шифрования файлов современными троянами - вымогателями.
Использовать современную антивирусную защиту, регулярно обновлять базы данных. Ни при каких условия не открывать и запускать вложения (файлы) пришедшие по e-mail от незнакомых источников. Любые файлы, скачанные из Сети, или полученные по e-mail проверять антивирусами. Не посещать и ничего не скачивать с сомнительных сайтов.
Для владельца популярного ресурса, забота о безопасности его посетителей должна быть одной из приоритетных задач. Такие сайты должны быть надежно защищены от взлома, для исключения распространения вредоносного кода на пользовательские компьютеры.
Сканер уязвимостей сайтов онлайн Проверьте, наколько устойчив к взлому Ваш сайт
Все о троянских программах: что они собой представляют, кто их создает и как от них защититься. Ознакомьтесь с нашей статьей – и Вы узнаете важную информацию об этой распространенной интернет-угрозе.
Все о троянских программах
Многие склонны считать, что троянские программы представляют собой вирусы или компьютерные черви, однако в действительности они не являются ни тем, ни другим. Вирус это поражающий систему файл, который обладает способностью самокопирования и распространяется, прикрепляясь к другой программе. Черви также относятся к вредоносному ПО и во многом повторяют свойства вирусов, однако для распространения им не нужно прикрепляться к другим программам. Большинство вирусов в настоящее время считается устаревшим типом угроз. Черви тоже встречаются относительно редко, однако они все еще могут громко заявить о себе.
Другими словами, троянская программа это способ воплощения стратегических замыслов хакеров, это средство реализации множества угроз от программ-вымогателей, требующих немедленной выплаты выкупа, до шпионских программ, которые прячутся в недрах системы и похищают ценную информацию, например личные или учетные данные.
Следует иметь в виду, что рекламное ПО или потенциально нежелательные программы иногда ошибочно принимают за троянские программы, поскольку они используют схожие методы доставки. Например, рекламное ПО нередко проникает на компьютер в составе пакета программ. Пользователь может думать, что загружает одно приложение, однако в действительности устанавливает два или три. Авторы программ часто распространяют свои продукты вместе с рекламным ПО в силу маркетинговых причин, чтобы получить прибыль, причем в таком случае они честно указывают на наличие рекламы. Рекламное ПО в составе пакетов программ обычно имеет не столь выраженный вредоносный характер по сравнению с троянскими программами. Кроме того, в отличие от троянских программ, такое рекламное ПО действует вполне открыто. Однако многие путают эти два вида объектов, поскольку способ распространения рекламного ПО во многом напоминает тактику троянских программ.
Троянские программы могут принимать любую форму от бесплатных утилит до музыкальных файлов, от рекламы в браузерах до внешне законных приложений. Любые неосторожные действия пользователя могут привести к заражению троянской программой. Вот лишь несколько примеров:
Поскольку троянские программы являют собой один из самых старых и распространенных способов доставки вредоносного ПО, их история столь же богата, как и история киберпреступности в целом. То, что началось как безобидная шутка, превратилось в оружие для уничтожения целых компьютерных сетей, в эффективное средство похищения данных, получения прибыли и захвата власти. Времена простых шутников давно в прошлом. Сейчас на авансцене серьезные киберпреступники, которые используют мощные инструменты для получения нужной информации, шпионажа и DDoS-атак.
Троянские программы универсальны и очень популярны, поэтому сложно дать характеристику каждой их разновидности. Большинство троянских программ разрабатываются для того, чтобы перехватывать контроль над компьютером, похищать данные, шпионить за пользователями или внедрять еще больше вредоносных объектов в зараженную систему. Вот лишь некоторые основные категории угроз, связанных с атаками троянских программ:
Троянские программы являются проблемой не только для настольных компьютеров и ноутбуков. Они также атакуют и мобильные устройства, что не удивительно, ведь одних только телефонов в мире насчитывается несколько миллиардов, и каждый из них является соблазнительной целью для хакеров.
Как и в случае с компьютерами, троянская программа выдает себя за законное приложение, хотя в действительности представляет собой не более чем подделку, полную вредоносных объектов.
Такие троянские программы обычно скрываются в неофициальных или пиратских магазинах приложений и обманным путем заставляют пользователей загружать их. Установив на телефон троянскую программу, пользователь впускает в систему целый набор непрошеных гостей, в числе которых рекламное ПО и клавиатурные шпионы, похищающие важные данные. А троянские программы, действующие как набиратели номера, могут приносить прибыль своим авторам, отправляя SMS-сообщения на платные номера.
В то время как Google в силах удалить с компьютера вредоносное дополнение браузера, на экране телефона троянская программа может размещать прозрачные значки. Они невидимы для пользователя, однако реагируют на прикосновение к экрану, запуская вредоносное ПО.
Для пользователей iPhone есть хорошие новости: правила компании Apple, ограничивающие доступ к App Store, iOS и приложениям на телефоне, позволяют эффективно предотвращать внедрение троянских программ. Заражение возможно в единственном случае: если пользователь в погоне за бесплатными программами совершает джейлбрейк взлом системы, позволяющий загружать приложения с веб-сайтов, отличных от App Store. Установка непроверенных приложений, которые не соблюдают параметры Apple, делает систему уязвимой для атак троянских программ.
Если троянская программа проникла на Ваше устройство, то самый универсальный способ избавиться от нее и восстановить прежнюю функциональность системы это выполнить полную проверку системы с помощью эффективной программы, способной автоматически удалять вредоносное ПО.
Вам предлагается множество бесплатных антивирусных программ, в том числе и наши продукты для Windows, Android и Mac, предназначенные для поиска и удаления рекламного и вредоносного ПО. В действительности продукты Malwarebytes обнаруживают все известные троянские программы и многие другие типы вредоносных объектов, поскольку в 80 % случаев троянскую программу удается обнаружить в ходе эвристического анализа. Кроме того, блокирование канала связи между внедренным вредоносным ПО и вторичным сервером помогает не допустить заражение новыми вирусами и изолировать троянскую программу. Единственным исключением является защита от программ-вымогателей: чтобы воспользоваться ею, Вам потребуется premium-версия нашего продукта.
Чтобы проникнуть на компьютер, троянские программы стремятся тем или иным способом обмануть пользователя, ввести его в заблуждение. Поэтому Вы можете избежать большинства атак, сохраняя хладнокровие и соблюдая базовые правила кибербезопасности. Относитесь несколько скептически к веб-сайтам, предлагающим бесплатные фильмы или игры. Вместо того чтобы посещать такие ресурсы, загружайте бесплатные программы непосредственно с веб-сайта производителя, а не с нелегального зеркального сервера.
Еще одна полезная мера предосторожности: измените заданные по умолчанию настройки Windows таким образом, чтобы всегда отображались настоящие расширения файлов и приложений. После этого злоумышленники не смогут ввести Вас в заблуждение с помощью внешне безобидных значков.
Помимо установки Malwarebytes for Windows, Malwarebytes for Android и Malwarebytes for Mac, нужно придерживаться следующих рекомендаций:
- периодически запускайте диагностические проверки;
- включите автоматическое обновление операционной системы, чтобы своевременно получать актуальные обновления безопасности;
- устанавливайте актуальные обновления приложений, чтобы закрывать возможные уязвимости в системе защиты;
- избегайте сомнительных или подозрительных веб-сайтов;
- скептически относитесь к непроверенным вложениям и ссылкам в электронных письмах, полученных от незнакомых отправителей;
- используйте сложные пароли;
- не отключайте брандмауэр.
Компания Malwarebytes чрезвычайно ответственно выбирает методы предотвращения заражения, поэтому наши продукты агрессивно блокируют веб-сайты и рекламные баннеры, которые мы считаем мошенническими или подозрительными. Например, мы блокируем торрент-сайты, в числе которых и The Pirate Bay. Поскольку множество пользователей беспрепятственно распоряжаются ресурсами подобных веб-сайтов, некоторые предлагаемые ими файлы на самом деле являются троянскими программами. По той же причине мы блокируем и майнинг криптовалют, осуществляемый с помощью браузеров, однако пользователь всегда может отключить защиту и перейти на тот или иной ресурс.
Мы считаем, что лучше перестраховаться и выбрать наиболее строгий вариант защиты. Если же Вы хотите рискнуть, то лучше занести нужный Вам сайт в белый список. Однако не стоит забывать, что попасться на удочку хитрой троянской программы могут даже самые опытные пользователи.
Чтобы узнать больше о троянских программах, вредоносном ПО и других киберугрозах, пожалуйста, посетите блог Malwarebytes Labs. Представленная там информация поможет Вам избежать опасных поворотов на перекрестках всемирной паутины.
Троянская программа. (также — троян, троянец, троянский конь) — вредоносная программа, используемая злоумышленником для сбора информации, её разрушения или модификации, нарушения работоспособности компьютера или использования его ресурсов в неблаговидных целях. Действие троянской программы может и не быть в действительности вредоносным, но трояны заслужили свою дурную славу за их использование в инсталляции программ типа Backdoor. По принципу распространения и действия троян не является вирусом, так как не способен распространяться саморазмножением.
Троянская программа запускается пользователем вручную или автоматически — программой или частью операционной системы, выполняемой на компьютере-жертве (как модуль или служебная программа). Для этого файл программы (его название, иконку программы) называют служебным именем, маскируют под другую программу (например, установки другой программы), файл другого типа или просто дают привлекательное для запуска название, иконку и т. п. Простым примером трояна может являться программа waterfalls.scr, чей автор утверждает, что это бесплатная экранная заставка. При запуске она загружает скрытые программы, команды и скрипты с или без согласия и ведома пользователя. Троянские программы часто используются для обмана систем защиты, в результате чего система становится уязвимой, позволяя таким образом неавторизированный доступ к компьютеру пользователя.
Троянская программа может в той или иной степени имитировать (или даже полноценно заменять) задачу или файл данных, под которые она маскируется (программа установки, прикладная программа, игра, прикладной документ, картинка). В том числе, злоумышленник может собрать существующую программу с добавлением к её исходному коду троянские компоненты, а потом выдавать за оригинал или подменять его.
Схожие вредоносные и маскировочные функции также используются компьютерными вирусами, но в отличие от них, троянские программы не умеют распространяться самостоятельно. Вместе с тем, троянская программа может быть модулем вируса.
Этимология
Распространение
Иногда использование троянов является лишь частью спланированной многоступенчатой атаки на определенные компьютеры, сети или ресурсы (в том числе, третьи).
Типы тел троянских программ
Тела троянских программ почти всегда разработаны для различных вредоносных целей, но могут быть также безвредными. Они разбиваются на категории, основанные на том, как трояны внедряются в систему и наносят ей вред. Существует 6 главных типов:
1. удалённый доступ;
2. уничтожение данных;
3. загрузчик;
4. сервер;
5. дезактиватор программ безопасности;
6. DoS-атаки.
Цели
Целью троянской программы может быть:
* закачивание и скачивание файлов;
* копирование ложных ссылок, ведущих на поддельные вебсайты, чаты или другие сайты с регистрацией;
* создание помех работе пользователя (в шутку или для достижения других целей);
* похищение данных, представляющих ценность или тайну, в том числе информации для аутентификации, для несанкционированного доступа к ресурсам (в том числе третьих систем), выуживание деталей касательно банковских счетов, которые могут быть использованы в преступных целях, криптографической информации (для шифрования и цифровой подписи);
* шифрование файлов при кодовирусной атаке;
* распространение других вредоносных программ, таких как вирусы. Троян такого типа называется Dropper;
* вандализм: уничтожение данных (стирание или переписывание данных на диске, труднозамечаемые повреждения файлов) и оборудования, выведения из строя или отказа обслуживания компьютерных систем, сетей и т. п., в том числе в составе ботнета (организованной группы зомбированных компьютеров), например, для организации DoS-атаки на целевой компьютер (или сервер) одновременно со множества зараженных компьютеров или рассылки спама. Для этого иногда используются гибриды троянского коня и сетевого червя — программы, обладающие способностью к скоростному распространению по компьютерным сетям и захватывающие зараженные компьютеры в зомби-сеть.;
* сбор адресов электронной почты и использование их для рассылки спама;
* прямое управление компьютером (разрешение удалённого доступа к компьютеру-жертве);
* шпионство за пользователем и тайное сообщение третьим лицам сведений, таких как, например, привычка посещения сайтов;
* регистрация нажатий клавиш (Keylogger) с целю кражи информации такого рода как пароли и номера кредитных карточек;
* получения несанкционированного (и/или дарового) доступа к ресурсам самого компьютера или третьим ресурсам, доступным через него;
* установка Backdoor;
* использование телефонного модема для совершения дорогостоящих звонков, что влечёт за собой значительные суммы в телефонных счетах;
* дезактивация или создание помех работе антивирусных программ и файрвола.
Симптомы заражения трояном
* появление в реестре автозапуска новых приложений;
* показ фальшивой закачки видеопрограмм, игр, порно-роликов и порносайтов, которые вы не закачивали и не посещали;
* создание снимков экрана;
* открывание и закрывание консоли CD-ROM;
* проигрывание звуков и/или изображений, демонстрация фотоснимков;
* перезапуск компьютера во время старта инфицированной программы;
* случайное и/или беспорядочное отключение компьютера.
Методы удаления
Поскольку трояны обладают множеством видов и форм, не существует единого метода их удаления. Наиболее простое решение заключается в очистке папки Temporary Internet Files или нахождении вредоносного файла и удаление его вручную (рекомендуется Безопасный Режим). В принципе, антивирусные программы способны обнаруживать и удалять трояны автоматически. Если антивирус не способен отыскать троян, загрузка ОС с альтернативного источника может дать возможность антивирусной программе обнаружить троян и удалить его. Чрезвычайно важно для обеспечения б?льшей точности обнаружения регулярное обновление антивирусной базы данных.
Маскировка
Многие трояны могут находиться на компьютере пользователя без его ведома. Иногда трояны прописываются в Реестре, что приводит к их автоматическому запуску при старте Windows. Также трояны могут комбинироваться с легитимными файлами. Когда пользователь открывает такой файл или запускает приложение, троян запускается также.
Принцип действия трояна
Трояны обычно состоят из двух частей: Клиент и Сервер. Сервер запускается на машине-жертве и следит за соединениями от Клиента, используемого атакующей стороной. Когда Сервер запущен, он отслеживает порт или несколько портов в поиске соединения от Клиента. Для того, чтобы атакующая сторона подсоединилась к Серверу, она должна знать IP-адрес машины, на которой запущен Сервер. Некоторые трояны отправляют IP-адрес машины-жертвы атакующей стороне по электронной почте или иным способом. Как только с Сервером произошло соединение, Клиент может отправлять на него команды, которые Сервер будет исполнять на машине-жертве. В настоящее время благодаря NAT-технологии получить доступ к большинству компьютеров через их внешний IP-адрес невозможно. И теперь многие трояны соединяются с компьютером атакующей стороны, который установлен на приём соединений, вместо того, чтобы атакующая сторона сама пыталась соединиться с жертвой. Многие современные трояны также могут беспрепятственно обходить файрволы на компьютере жертвы.
Эта статья находится под лицензией GNU Free Documentation License. Она использует материалы из Википедеи.
Читайте также:
