Главная | Пиротехника

Наша совместная команда Banwar.org

Связаться с нами

  • (097) ?601-88-87
    (067) ?493-44-27
    (096) ?830-00-01

Статьи

Free HTML5 Templates


Троян (троянський кінь) - тип шкідливих програм, основною метою яких є шкідливий вплив стосовно комп'ютерної системи. Трояни відрізняються відсутністю механізму створення власних копій. Деякі трояни здатні до автономного подолання систем захисту КС, з метою проникнення й зараження системи. У загальному випадку, троян попадає в систему разом з вірусом або хробаком, в результаті необачних дій користувача або ж активних дій зловмисника.

В силу відсутності у троянів функцій розмноження і поширення, їх життєвий цикл вкрай короткий - всього три стадії:

  1. Проникнення на комп'ютер.
  2. Активація.
  3. Виконання закладених функцій.

Це, звісно ж, не означає малого часу життя троянів. Навпаки, троян може тривалий час непомітно перебувати в пам'яті комп'ютера, ніяк не виявляючи своєї присутності, до тих пір, поки не буде виявлений антивірусними засобами. Завдання проникнення на комп'ютер користувача трояни вирішують звичайно одним з двох наступних методів.

Маскування - троян видає себе за корисний додаток, яке користувач самостійно завантажує з Інтернет і запускає. Іноді користувач виключається з цього процесу за рахунок розміщення на Web-сторінці спеціального скрипта, який використовуючи діри в браузері автоматично ініціює завантаження і запуск трояна.

  • Приклад. Trojan.SymbOS.Hobble.a є архівом для операційної системи Symbian (SIS-архівом). При цьому він маскується під антивірус Symantec і носить ім'я symantec.sis. Після запуску на смартфоні троян підмінює оригінальний файл оболонки FExplorer.app на пошкоджений файл. В результаті при наступному завантаженні операційної системи більшість функцій смартфона виявляються недоступними

Одним з варіантів маскування може бути також впровадження зловмисником троянського коду в код іншого додатка. В цьому випадку розпізнати троян ще складніше, так як заражене додаток може відкрито виконувати будь-які корисні дії, але при цьому потайки завдавати шкоди за рахунок троянських функцій.

Поширений також спосіб впровадження троянів на комп'ютери користувачів через веб-сайти. При цьому використовується або шкідливий скрипт, що завантажує і запускає троянську програму на комп'ютері користувача, використовуючи уразливість в веб-браузері, або методи соціальної інженерії - наповнення та оформлення веб-сайту провокує користувача до самостійної завантаженні трояна. При такому методі впровадження може використовуватися не одна копія трояна, а поліморфний генератор, що створює нову копію при кожному завантаженні. Застосовувані в таких генераторах технології поліморфізму зазвичай не відрізняються від вірусних поліморфних технологій.

Кооперація з вірусами і черв'яками - троян подорожує разом із хробаками або, рідше, з вірусами. В принципі, такі пари черв'як-троян можна розглядати цілком як складового хробака, але в сформованій практиці прийнято троянську складову черв'яків, якщо вона реалізована окремим файлом, вважати незалежним трояном з власним ім'ям. Крім того, троянська складова може потрапляти на комп'ютер пізніше, ніж файл хробака.

  • Приклад. Використовуючи backdoor-функціонал черв'яків сімейства Bagle, автор хробака проводив сховану інсталяцію трояна SpamTool.Win32.Small.b, який збирав і відсилав на певну адресу адреси електронної пошти, що були в файлах на зараженому комп'ютері

Нерідко спостерігається кооперація хробаків з вірусами, коли хробак забезпечує транспортування вірусу між комп'ютерами, а вірус поширюється по комп'ютеру, заражаючи файли.

  • Приклад. Відомий в минулому хробак Email-Worm.Win32.Klez.h при зараженні комп'ютера також запускав на ньому вірус Virus.Win32.Elkern.c. Навіщо це було зроблено, сказати важко, оскільки вірус сам по собі, крім зараження і пов'язаних з помилками в коді шкідливих проявів (явно виражених шкідливих процедур в ньому немає), ніяких дій не виконує, т. Е. Не є "посиленням" хробака в якому б то не було сенсі

Тут прийоми ті ж, що і у черв'яків: очікування запуску файлу користувачем, або використання вразливостей для автоматичного запуску. На відміну від вірусів і черв'яків, розподіл яких на типи виробляється по способах розмноження / поширення, трояни діляться на типи за характером виконуваних ними шкідливих дій. Найбільш поширені такі види троянів:

Клавіатурні шпигуни - трояни, що постійно перебувають у пам'яті і зберігають всі дані, що надходять від клавіатури з метою подальшої передачі цих даних зловмисникові. Зазвичай таким чином зловмисник намагається дізнатися паролі або іншу конфіденційну інформацію.

  • Приклад. У минулому, буквально пару років тому ще зустрічалися клавіатурні шпигуни, які фіксували всі натискання клавіш і записували їх у окремий файл. Trojan-Spy.Win32.Small.b, наприклад, в нескінченному циклі зчитував коди клавіш клавіш і зберігав їх у файлі C: \ SYS. Сучасні програми-шпигуни оптимізовані для збору інформації, переданої користувачем в Інтернет, оскільки серед цих даних можуть зустрічатися логіни і паролі до банківських рахунків, PIN-коди кредитних карт та інша конфіденційна інформація, що відноситься до фінансової діяльності користувача. Trojan-Spy.Win32.Agent.fa відстежує відкриті вікна Internet Explorer і зберігає інформацію з відвідуваних користувачем сайтів, уведення клавіатури в спеціально створений файл servms.dll з системному каталозі Windows

Викрадачі паролів - трояни, також призначені для отримання паролів, але не використають спостереження за клавіатурою. У таких троянах реалізовані способи добування паролів з файлів, в яких ці паролі зберігаються різними додатками.

  • Приклад. Trojan-PSW.Win32.LdPinch.kw збирає відомості про систему, а також логіни і паролі для різних сервісів і прикладних програм - месенджерів, поштових клієнтів, програм дозвону. Часто ці дані виявляються слабко захищені, що дозволяє трояни їх отримати і відправити зловмисникові по електронній пошті

Утиліти віддаленого управління - трояни, що забезпечують повний віддалений контроль над комп'ютером користувача. Існують легальні утиліти такої ж властивості, але вони відрізняються тим, що повідомляють про своє призначення при установці або ж постачені документацією, в якій описані їхні функції. Троянські утиліти віддаленого управління, навпаки, ніяк не видають свого реального призначення, так що користувач і не підозрює про те, що його комп'ютер підконтрольний зловмисникові. Найбільш популярна утиліта віддаленого управління - Back Orifice.

  • Приклад. Backdoor.Win32.Netbus.170 надає повний контроль над комп'ютером користувача, включаючи виконання будь-яких файлових операцій, завантаження і запуск інших програм, отримання знімків екрану і т. Д.

Люки (backdoor) - трояни, що надають зловмисникові обмежений контроль над комп'ютером користувача. Від утиліт віддаленого управління відрізняються більш простим пристроєм і, як наслідок, невеликою кількістю доступних дій. Проте, зазвичай одними з дій є можливість завантаження і запуску будь-яких файлів по команді зловмисника, що дозволяє при необхідності перетворити обмежений контроль в повний.

  • Приклад. Останнім часом backdoor-функціонал став характерною рисою хробаків. Наприклад, Email-Worm.Win32.Bagle.at використовує порт 81 для отримання віддалених команд або завантаження троянів, що розширюють функціонал хробака. Є й окремі трояни типу backdoor. Троян Backdoor.win32.Wootbot.gen використовує IRC-канал для отримання команд від «хазяїна». За командою троян може завантажувати і запускати на виконання інші програми, сканувати інші комп'ютери на наявність вразливостей і встановлювати себе на комп'ютери через виявлені вразливості

Анонімні smtp-сервера і проксі - трояни, що виконують функції поштових серверів або проксі й, що використаються в першому випадку для спам-розсилок, а в другому для замітання слідів хакерами.

  • Приклад. Трояни з сімейства Trojan-Proxy.Win32.Mitglieder поширюються з різними версіями хробаків Bagle. Троян запускається хробаком, відкриває на комп'ютері порт і відправляє автору вірусу інформацію про IP-адресу зараженого комп'ютера. Після цього комп'ютер може використовуватися для розсилки спаму

Утиліти дозвону - порівняно новий тип троянів, що представляє собою утиліти dial-up доступу в Інтернет через дорогі поштові служби. Такі трояни прописуються в системі як утиліти дозвону за замовчуванням і спричиняють за собою величезні рахунки за користування Інтернетом.

  • Приклад. Trojan.Win32.Dialer.a при запуску здійснює дозвон в Інтернет через платні поштові служби. Ніяких інших дій не виробляє, в тому числі не створює ключів у реєстрі, тобто навіть не реєструється як стандартну програму дозвону і не забезпечує автозапуск.

Модифікатори налаштувань браузера - трояни, які міняють стартову сторінку в браузері, сторінку пошуку або ще які-небудь настройки, відкривають додаткові вікна браузера, імітують натискання на банери і т. П.

  • Приклад. Trojan-Clicker.JS.Pretty зазвичай міститься в html-сторінках. Він відкриває додаткові вікна з певними веб-сторінками та оновлює їх із заданим інтервалом

Логічні бомби - частіше не стільки трояни, скільки троянські складові черв'яків і вірусів, суть роботи яких полягає в тому, щоб за певних умов (дата, час доби, дії користувача, команда ззовні) зробити певну дію: наприклад, знищення даних.

  • Приклади:. Virus.Win9x.CIH, Macro.Word 97.Thus

Хробаки і віруси можуть здійснювати всі ті ж дії, що і трояни (см.предидущій пункт). На рівні реалізації це можуть бути як окремі троянські компоненти, так і вбудовані функції. Крім цього, за рахунок масовості, для вірусів і черв'яків характерні також інші форми шкідливих дій:

Перевантаження каналів зв'язку - властивий черв'якам вид збитку, пов'язаний з тим, що під час масштабних епідемій по інтернет-каналах передаються величезні кількості запитів, заражених листів або безпосередньо копій хробака. У ряді випадків, користування послугами Інтернет під час епідемії стає скрутним. Приклади: Net-Worm.Win32.Slammer.

DDoS атаки - завдяки масовості, хробаки можуть ефективно використовуватися для реалізації розподілених атак на відмову в обслуговуванні (DDoS атак). У розпал епідемії, коли зараженими є мільйони і навіть десятки мільйонів комп'ютерів, звернення всіх інфікованих систем до певного Інтернет ресурсу призводить до повного блокування цього ресурсу. Так, під час атаки хробака MyDoom сайт компанії SCO був недоступний протягом місяця.

  • Приклади: Net-Worm.Win32.CodeRed.a - не зовсім вдала атака на www.whitehouse.gov, Email-Worm.Win32.Mydoom.a - вдала атака на www.sco.com

Втрата даних - більше характерне для вірусів, ніж для троянів і черв'яків, поведінка, пов'язана з навмисним знищенням певних даних на комп'ютері користувача.

  • Приклади: Virus.Win9x.CIH - видалення стартових секторів дисків і вмісту Flash BIOS, Macro.Word97.Thus - видалити всі файли на диску C :, Email-Worm.Win32.Mydoom.e - видалення файлів з певними розширеннями залежно від показника лічильника випадкових чисел

Порушення роботи - також більше властивого вірусамам риса. Через помилки в коді вірусу, заражені додатки можуть працювати з помилками чи не працювати зовсім.

  • Приклади: Net-Worm.Win32.Sasser.a - перезавантаження зараженого комп'ютера

Завантаження ресурсів комп'ютера - інтенсивне використання ресурсів комп'ютера шкідливими програмами веде до зниження продуктивності як системи в цілому, так і окремих додатків.

  • Приклади: у різному ступені - будь-які шкідливі програми.

Наявність деструктивних дій зовсім не є обов'язковим критерієм для класифікації програмного коду як вірусного. Слід також зазначити, що одним тільки процесом саморозмноження вірус здатний завдати колосальної шкоди. Найбільш яскравий приклад - Net-Worm.Win32.Slammer.


Новости

Banwar.org
Наша совместная команда Banwar.org. Сайт казино "Пари Матч" теперь доступен для всех желающих, жаждущих волнения и азартных приключений.