Виды троянских программ: для чайников

Виды троянских программ: для чайников

Chipollino Onion Club

Троянские программы (трояны) - вредоносные программы, для активации которых, требуется запуск их пользователем или другой вредоносной программой.

Получили они свое название от одноименного печально извест­ного мифологического коня— вредоносный компонент проникает в систему под видом какой-либо полезной программы или утилиты (вспоминаем о скрытых майнерах, господа). Как правило, троянскую программу предлагают загрузить под видом законного приложения, однако вместо заявленной функциональности она делает то, что нужно злоумышлен­никам. И основная задача троянских программ состоит именно в различной деструктивной деятельности: от блокирования различных программ или установки рекламных баннеров до шифрования файлов и перехвата паролей к платежным системам. Современные троянские программы эволюционировали до таких сложных форм, как, на­пример, бэкдор (перехватывает на компьютере административные функции операционной системы) и загрузчик (устанавливает на компьютер жертвы вредоносный код).

Эти весьма опасные приложения могут выполнять следующие несанкционированные пользователем действия:

  • удаление данных
  • блокирование данных;
  • изменение данных;
  • копирование данных;
  • замедление работы компьютеров и компьютерных сетей.

Далее мы рассмотрим классификацию троянских программ по типу действий, выполняемых ими на компьютере, подробнее.

ArcBomb

Эти троянские программы представляют собой архивы, специально сформированные таким образом, чтобы вызывать при попытке распаковать данные нештатное поведение архиваторов, — зависание или существенное замедление работы компьютера или заполнение диска большим количеством «пустых» данных. Встречаются три вида подобных троянских архивов:

  • содержащие некорректный заголовок архива или испорченные данные внутри архива — все это может привести к сбою в работе конкретного архиватора или алгоритма распаковки при разборе содержимого архива;
  • cсодержащие значительных размеров объект, состоящий из повторяющихся данных, — это позволяет запаковать его в архив небольшого размера (например, 5 ГБайт данных упаковываются в RAR-архив размером 200 Кбайт);
  • содержащие одинаковые объекты — огромное количество одинаковых объектов в архи­ве также практически не сказывается на размере архива при использовании специальных методов (например, существуют приемы упаковки 10 тыс. одинаковых объектов в RAR- архив размером 30 Кбайт). 

Backdoor

Троянская программа типа Backdoor предоставляет злоумышленникам возможность удаленного управления зараженными компьютерами. Заразив компьютер, злоумышленники могут удаленно выполнять на нем любые действия, включая отправку, получение, открытие и удаление файлов, отображение данных и перезагрузку. В зависимости от функциональ­ных особенностей конкретного бэкдора, взломщик может устанавливать и запускать на компьютере жертвы любое программное обеспечение, сохранять все нажатия клавиш, загружать и сохранять любые файлы, включать микрофон или камеру. Бэкдоры часто используются для объединения группы компьютеров-жертв в ботнет (зомби-сеть) для ис­пользования в криминальных целях.

Отдельно следует отметить группу бэкдоров, способных распространяться по сети и вне­дряться в другие компьютеры, как это делают сетевые черви. Отличает такие бэкдоры от червей то, что они распространяются по сети не самопроизвольно (как черви), а только по специальной команде разработчика.

Banker

Банковские трояны предназначены для кражи учетных данных систем интернет-банкинга, электронных платежей и банковских (как кредитных, так и дебетовых) карт.

Clicker

Такие троянские программы разрабатываются для неинициированного пользователем об­ращения с зараженного компьютера к тем или иным к интернет-ресурсам (обычно, к веб­ страницам). Достигается это либо посылкой соответствующих команд браузеру, либо заме­ной системных объектов, в которых указаны «стандартные» адреса интернет-ресурсов (например, файла hosts в операционной системе Windows). Злоумышленники могут пресле­довать при этом следующие цели:

  • рост посещаемости каких-либо сайтов с целью увеличения показов рекламы;
  • организация DoS-атаки (см. далее) на какой-либо сервер;
  • привлечение потенциальных жертв для заражения вирусами или троянскими программами.

DoS

Троянские программы типа DoS предназначены для проведения атак типа «отказ в обслу­живании™» (Denial of Service) на целевые веб-адреса. При такой атаке с зараженных компьютеров системе с определенным адресом отправляется большое количество запросов, что может вызвать ее перегрузку и привести к отказу в обслуживании запросов реальных посетителей. Часто для проведения успешной DoS-атаки злоумышленники предварительно заражают «троянами» этого вида множество компьютеров (например, путем массированной спам-рассылки), после чего каждый из зараженных компьютеров атакует заданную жертву. Такая атака носит название DDoS (Distributed Denial of Service, распределенный отказ в об­служивании).

Downloader

Троянские программы типа Downloader способны загружать и устанавливать на компьютер жертвы новые версии вредоносных программ, включая троянские и рекламные. Загружен­ные из Интернета программы потом либо запускаются, либо регистрируются трояном на автозагрузку. Такой вид деструктивных программ в последнее время стал часто использоваться для пер­воначального заражения компьютеров посетителей инфицированных веб-страниц, содержащих эксплойты (см. далее). 

Dropper

Эти программы используются взломщиками для скрытой установки троянских программ и/или внедрения вирусов, находящихся в теле троянов такого типа, а также для предотвра­щения обнаружения вредоносных программ, поскольку не каждая антивирусная программа способна выявить все компоненты подобных троянских программ. После сохранения вредоносной программы типа Dropper на диске (часто в системном ката­логе Windows) происходит ее выполнение, причем обычно без каких-либо сообщений (либо с ложными сообщениями об ошибке в архиве, неверной версии операционной системы и др.). В результате злоумышленники достигают двух целей:

  • скрытной инсталляции троянских программ и вирусов;
  • защиты от обнаружения деструктивных программ антивирусами, поскольку, как уже отмечалось, не все они в состоянии проверить все компоненты внутри таких троянов. 

Exploit

Эксплойты — это программы с данными или кодом, эксплуатирующие с заведомо деструк­тивной целью уязвимость (или несколько уязвимостей) в работающих на компьютере при­ложениях. Злоумышленники обычно используют эксплойты для проникновения на компьютер жертвы с целью последующего внедрения вредоносного кода (например, заражения всех посетите­лей взломанного веб-сайта вредоносной программой). Эксплойты интенсивно используются и червями для проникновения на компьютер без ведома администратора. Широко известны и так называемые программы Nuker, которые отправляют на локальный или удаленный компьютер специальным образом сформированные запросы, в результате чего система прекращает свою работу.

FakeAV

Программы типа FakeAV имитируют работу антивирусного программного обеспечения. С их помощью злоумышленники пытаются вымогать у пользователя деньги в обмен на обещание обнаружения и удаления несуществующих угроз, о которых они ему сообщают.

GameThief

Игровые трояны крадут информацию об учетных записях участников сетевых игр и пере­дают ее злоумышленнику.

IM

Троянские программы типа IM крадут логины и пароли к программам мгновенного обмена сообщениями, таким как ICQ, MSN Messenger, Skype и др., и передают эту информацию злоумышленнику. Для передачи данных могут быть использованы электронная почта, про­токол FTP, веб-запросы и другие методы. 

Rootkit

Руткиты — это программы, предназначенные для сокрытия в системе определенных объек­тов или действий. Часто основная их цель — предотвратить обнаружение вредоносных про­грамм, чтобы увеличить время их работы на зараженном компьютере. Сам по себе руткит ничего вредоносного не делает, но в подавляющем большинстве случаев используется вре­доносными программами для увеличения собственного времени жизни в пораженных системах из-за затрудненности своего обнаружения. Сокрытию, как правило, подвергаются ключи реестра (например, отвечающие за автозапуск вредоносных объектов), объекты и процессы в памяти зараженного компьютера, деструктивная сетевая активность. Это стано­вится возможным благодаря тесной интеграции руткита с операционной системой. А неко­торые руткиты (так называемые буткиты) могут начать свою работу даже прежде, чем загрузится операционная система. Однако, как бы ни развивался этот тип троянских программ, сложные современные антивирусные программы способны обнаружить и обезвредить практически все существующие разновидности руткитов.

Loader

Троянская программа типа Loader (загрузчик) представляет собой небольшой код, исполь­зуемый для дальнейшей загрузки и установки полной версии вредоносной программы. По­сле того как такой загрузчик попадает в систему (например, при сохранении вложения элек­тронного письма или просмотре зараженного изображения), он соединяется с удаленным сервером и загружает весь код своей программы.

Mailfinder

Такие троянские программы способны собирать на компьютере адреса электронной почты с последующей передачей их злоумышленнику через электронную почту, HTTP, FTP или другими методами. Украденные адреса используются злоумышленниками при проведении последующих рассылок вредоносных программ и спама.

Notifier

Эта вредоносная программа скрыто передает своему разработчику сообщения о том, что зараженный компьютер в настоящий момент активен (подключен к Интернету). При этом на адрес злоумышленника отправляется информация об этом компьютере — например, его IP-адрес, номер открытого порта; адрес электронной почты и т. п. Такие троянские программы используются в многокомпонентных троянских пакетах для извещения злоумышленника об успешной установке вредоносных программ в атакуемой системе.

Proxy

Эта вредоносная программа позволяет злоумышленнику получить неинициированный ад­министратором анонимный доступ к различным интернет-ресурсам через компьютер жерт­вы. С помощью троянских программ такого типа через зараженные компьютеры, исполь­зуемые в качестве почтового прокси-сервера, обычно организуется рассылка спама. 

PSW

Вредоносные программы типа PSW (Password Stealing Ware, приложение для кражи паро­лей) служат для кражи с зараженных компьютеров административных аккаунтов (логинов и паролей). При запуске эти трояны ищут необходимую им информацию в системных файлах или реестре. В случае успешного завершения поиска программа отсылает найденные дан­ные своему разработчику. Некоторые трояны этого вида крадут и регистрационную информацию к различному программному обеспечению.

Троянские программы типа PSW, занимающиеся кражей банковских аккаунтов, аккаунтов к программам мгновенных сообщений, а также аккаунтов к компьютерным играм, относятся к типам Banker, IM и GameThief соответственно. В отдельный вид троянские программы типа PSW выделены в силу их многочисленности. 

Ransom

Троянские программы этого типа могут изменить данные на компьютере таким образом, что компьютер перестает нормально работать, а пользователь лишается возможности ис­пользовать определенные данные. Злоумышленник обещает восстановить нормальную ра­боту компьютера или разблокировать данные после уплаты запрашиваемой суммы. 


Надеюсь, теперь вам будет проще читать некоторые статьи!

Chipollino Onion Club