Троянські програми

В дану категорію входять програми, що здійснюють різні несанкціоновані користувачем дії: збір інформації і її передачу зловмиснику, руйнування або зловмисну модифікацію інформації, порушення працездатності комп'ютера, використання ресурсів комп'ютера з певною метою.

Окремі категорії троянських програм завдають збитку віддаленим комп'ютерам і мережам, не порушуючи працездатність інфікованого комп'ютера (наприклад, троянські програми, розроблені для масованих DoS-атак на віддалені ресурси мережі).

В програмах, що відносяться до класу троянських, на сьогоднішній день можна виділити наступні основні тенденції:

• Значне зростання числа програм-шпигунів, що крадуть конфіденційну банківську інформацію. Нові варіанти подібних програм з'являються десятками за тиждень і відрізняються великою різноманітністю і принципами роботи. Деякі з них обмежуються простим збором всієї, введеної з клавіатури інформації і відправкою її електронною поштою зловмиснику. Більш розвинені можуть надавати автору повний контроль над інфікованою машиною, посилати мегабайти зібраних даних на віддалені сервери, одержувати звідти команди (інструкції) для подальшої роботи.
• Прагнення до отримання тотального контролю над зараженими комп'ютерами. Це виражається в об'єднанні їх в зомбі-мережі, керовані з єдиного центру. Як правило, для цього використовуються IRC-канали або веб-сайти, куди автором трояна викладаються команди для машин-зомбі. Існують і складніші варіанти, наприклад об'єднання заражених комп'ютерів в єдину P2P-сеть.
• Використання заражених машин для розсилки через них спаму або організації DDoS-атак.

Троянські програми розрізняються між собою по тих діях, які вони виконують на зараженому комп'ютері. Розглянемо детальніше найтиповіших представників даного класу шкідливого програмного забезпечення:

Trojan-PSW: — викрадання паролів. Дане сімейство об'єднує троянські програми, що «крадуть» різну інформацію із інфікованого комп'ютера, зазвичай — системні паролі (PSW — Password-Stealing-Ware). При запуску PSW-Тронець шукає системні файли, що зберігають різну конфіденційну інформацію (номери телефонів і паролі доступу до інтернету) та відсилають її за вказаноюу в коді «Трояна» електронною адресою або адресами. Існують PSW-Трояни, що повідомляють і іншу інформацію про заражений комп'ютер, наприклад, інформацію про систему (розмір пам'яті і дискового простору, версія операційної системи), тип поштового клієнта, що використовується, IP-адреса і т. п. Деякі Трояни даного типу «викрадають» реєстраційну інформацію до різного програмного забезпечення, коди доступу до мережевих ігор і інше.

Trojan-AOL — сімейство троянських програм, що «крадуть» коди доступу до мережі AOL (America Online). Виділені в окрему підгрупу внаслідок своєї численості.

Trojan-Dropper: — інсталятори шкідливого програмного забезпечення. Можуть містити в собі вже відому шкідливу програму або навпаки — встановлювати нову її версію. Також «дропери» можуть встановлювати не одну, а відразу декілька шкідливих програм, принципово відмінних по поведінці і навіть написаних різними людьми.

Фактично «дропери» є своєрідними архівами, всередину яких може бути поміщено все що завгодно. Дуже часто вони застосовуються для установки в систему вже відомого «Трояна», оскільки написати «дропер» набагато простіше, ніж переписувати «Трояна», намагаючись зробити його недетектованим для антивіруса. Вельми значну частину «дроперів» складають їх реалізації на скрипт-мовах VBS і JS, що пояснюється порівняно простішим програмуванням на них і універсальністю подібних програм.

Троянські програми цього класу створюються з метою таємної інсталяції інших програм і практично завжди використовуються для «підсовування» на комп'ютер-жертву вірусів або інших троянських програм.

Даний Троян зазвичай без яких-небудь повідомлень (або з хибними повідомленнями про помилку в архіві або невірній версії операційної системи) копіює на диск в який-небудь каталог інші файли і запускає їх на виконання.

Здебільшого структура таких програм наступна:

« Основний код» відокремлює з свого файлу решту компонентів (файл 1, файл 2...), записує їх на диск та запускає на виконання.

Зазвичай один (або більше) компонентів є троянськими програмами, і як мінімум один компонент є «обманкою»: програмою-жартом, грою, картинкою або чимось подібним. «Обманка» повинна відвернути увагу користувача і/або продемонструвати те, що файл, який запускається, дійсно робить щось «корисне», в той час як троянська компонента інсталюється в систему.

В результаті використання програм даного класу зловмисники досягають дві мети:

· несанкціонована інсталяція троянських програм і/або вірусів;

· захист від антивірусних програм, оскільки не завжди антивірусний пакет спроможний перевірити всі компоненти усередині файлів цього типу.

Trojan-Downloader: — доставка іншого шкідливого програмного забезпечення. «Даунлоадери», або «завантажувачі», активно використовуються як із причин, описаних вище для «дроперів» (прихована установка вже відомого Трояна), так і внаслідок їх меншого, в порівнянні з «дроперами», розміру, а також завдяки можливості оновлювати інстальовані троянські програми. Тут також виділяється група програм на скрипт-мовах, причому, як правило, таких, що використовують різні уразливості в браузерів.

І Trojan-Downloader і Trojan-Dropper використовуються для установки на комп'ютери не тільки троянських програм, але і різних рекламних (advware) та інших програм. Завантажені з інтернет програми потім або запускаються на виконання, або реєструються «Трояном» на автозавантаження відповідно до можливостей операційної системи. Дані дії при цьому відбуваються без відома користувача. Інформація про імена і розташування завантажуваних програм міститься в коді і даних Трояна або викачується Трояном з «керуючого» інтернет-ресурсу.

Trojan -Notifier: — сповіщення про успішну атаку. Трояни даного типу призначені для повідомлення своєму автору про зараження наступного комп'ютера. При цьому на певну адресу зловмисника відправляється інформація про комп'ютер, наприклад, IP-адреса комп'ютера, номер відкритого порту, адреса електронної пошти і т. п. Відсилання здійснюється різними способами: електронним листом, спеціально оформленим зверненням до веб-сторінки, ICQ-повідомленням. Дані троянські програми використовуються в багатокомпонентних троянських наборах для сповіщення свого власника про успішну інсталяцію троянських компонент в систему, що атакується.

Trojan-Spy: — шпигунські програми, що здійснюють електронне шпигунство за користувачем інфікованого комп'ютера: введена з клавіатури інформація, копії зображень екрану, список активних додатків і дії користувача з ними зберігаються в який-небудь файл на диску і періодично відправляються зловмиснику. Троянські програми цього типу часто використовуються для крадіжки інформації користувачів з різних систем платежів онлайн і банківських систем.

Trojan-Clicker: — интернет-клікери - підвид троянських програм, основною функцією яких є організація несанкціонованих звернень до інтернет-ресурсів (зазвичай до веб-сторінок). Досягається це або відправкою відповідних команд браузеру, або заміною системних файлів, які містять таблиці відповідності доменних адрес реальним IP (Internet Protocol) адресам певних інтернет-ресурсів.

У зловмисника може бути наступна мета для подібних дій:

· збільшення відвідуваної яких-небудь сайтів з метою збільшення показів реклами;

· організація DoS-атаки (Denial Of Service) на який-небудь сервер;

· залучення потенційних жертв для зараження вірусами або троянськими програмами.

Backdoor: — програми цього класу є утилітами віддаленого адміністрування комп'ютерів в мережі. Основна мета – таємне керування комп’ютером: приймати або пересилати файли, запускати і знищувати їх, виводити повідомлення, знищувати інформацію, перезавантажувати комп'ютер, створювати нові мережеві ресурси, модифікацію паролів, редагувати системний реєстр і т. д. В результаті такі Трояни можуть бути використані для пошуку і передачі конфіденційної інформації, для запуску вірусів, знищення даних і т. п. — уражені комп'ютери стають відкритими для зловмисних дій хакерів. Назва, в перекладі з англійської означає «чорний хід». Вackdoor – програма або набір програм, що встановлюються на атакований комп’ютер після успішного попереднього доступу з метою отримання спрощених сеансів повторного віддаленого доступу до системи.

Таким чином, троянські програми даного типу є одним з найнебезпечних видів шкідливого програмного забезпечення, оскільки в них закладена можливість найрізноманітніших зловмисних дій, властивих іншим видам троянських програм. Небезпека даного класу програмних продуктів збільшилася останнім часом завдяки тому, що багато сучасних worms-вірусів або містять у собі backdoor-компоненту, або ж ін сталюють її одразу після інфікування комп’ютера.

Ще однією особливістю численої кількості backdoor програм полягає у можливості використання комп’ютера для сканування мережі, розгортання мережевих атак - при цьому спроби проникнення ведуться з нескомпроментованого комп’ютера законослухняного користувача.

По своїй функціональності вони багато в чому нагадують різні системи адміністрування, що розробляються і поширювані фірмами-виробниками програмних продуктів.

Розрізняють наступні види надання доступу:

· BindShell – найбільш розповсюджений, працює за архітектурою «клієнт-сервер». В даному випадку backdoor очікує на зовнішнє з’єднання.

· Back Connect – застосовується для обходу брандмауерів (в англійському варіанті – firewall - комплекс апаратних і/або програмних засобів, що здійснюють контроль і фільтрування мережених пакетів які проходять через нього, на різних рівнях моделі OSI (en: Open Systems Interconnection –мережева модель, що представляє рівневий підхід взаємодії мережі. Кожен рівень обслуговує свою частину процесу взаємодії) у відповідності до заданих правил), Вackdoor самотужки намагається з’єднатись з комп’ютером зловмисника.

Єдина особливість цих програм примушує класифікувати їх як шкідливі троянські програми: відсутність попередження про інсталяцію і запуск. При запуску «Троян» встановлює себе в системі і потім стежить за нею, при цьому користувачу не видається ніяких повідомлень про дії Трояна в системі. Більш того, інформація про активність «Трояна» може бути відсутня в переліку програм, шо виконуються в даний час. В результаті користувач може і не знати про її присутність в системі, тоді як його комп'ютер відкритий для віддаленого керування.