Троян как вид вредоносных программ.
В первую очередь стоит сказать, что название такое получили троянцы в честь троянского коня, который, как помните, оказался деревянный. Это немного отражает сущность этих программ, потому и название такое.
Самая частая ошибка пользователей, это причисление троянской программы к вирусам. Это неверно в корне. Существует такое понятие, как «вредоносное программное обеспечение». Под это определение подходят все программы, которые причиняют хоть какой-то вред компьютеру или пользователю. Компьютерные вирусы, точно также как и троянские программы, относятся к такому по, а посему они являются отдельными классами и не могут относится друг к другу. Другое дело, когда компьютерный вирус имеет некоторые свойства троянца, но это, опять же, уже отдельный класс. Давайте подробнее остановимся на троях.
Троянской программой называется программный код, который совершает определенные действия без ведома пользователя, к таким действиям относятся: кража информации, уничтожение или модификация информации, использование ресурсов машины в злонамеренных целях и т.д.
Распространение программ такого рода велико, т.к. создать троянца теперь можно с помощью так называемого «конструктора». Необходимо только открыть конструктор, выбрать те возможности, которыми будет обладать ваш будущий троянец, и нажать соответствующую кнопку. Конструктор все сложит, скомпилирует и на выходе получится полнофункциональная программа с вредоносными функциями.
Троянцы в свою очередь тоже делятся на подвиды, среди которых можно отметить следующие:
Оповещение об атаке увенчавшейся успехом (Trojan-Notifier)
Троянцы данного подвида предназначены для сообщения хакеру о зараженном компьютере. При этом на адрес «хозяина» отправляется информация о компьютере, например, IP-адрес компьютера, номер открытого порта, адрес электронной почты и т. п. Отсылка осуществляется различными способами: электронным письмом, специально оформленным обращением к веб-странице «хозяина», ICQ-сообщением.
Архивные бомбы (ArcBomb)
Веселая штуковина. При попытке архиватора заняться распаковкой или просто обработать такой архив, архиватор начинает потреблять много ресурсов, в результате – компьютер зависает. Однако, это далеко не все сюрпризы, т.к. некоторые трои такого рода при обращении к ним забивают винчестер «пустой информацией», например, пустыми папками.
Сокрытие присутствия в операционной системе (Rootkit)
Понятие rootkit пришло к нам из UNIX. Первоначально это понятие использовалось для обозначения набора инструментов, применяемых для получения прав root.
Так как инструменты типа rootkit на сегодняшний день «прижились» и на других ОС (в том числе, на Windows), то следует признать подобное определение rootkit морально устаревшим и не отвечающим реальному положению дел.
Таким образом, rootkit — программный код или техника, направленная на сокрытие присутствия в системе заданных объектов (процессов, файлов, ключей реестра и т.д.).
Для поведения Rootkit в классификации «Лаборатории Касперского» действуют правила поглощения: Rootkit — самое младшее поведение среди вредоносных программ. То есть, если Rootkit-программа имеет троянскую составляющую, то она детектируется как Trojan.
Троянские прокси-сервера (Trojan-Proxy)
Семейство троянских программ, скрытно осуществляющих доступ к различным интернет-ресурсам. Обычно с целью рассылки спама.
Шпионские программы (Trojan-Spy)
Постфикс «Spy», полагаю, всем тут понятен. Эти «зверьки» осуществляют слежку за пользователем. Они часто могут иметь модули, занимающиеся кейлоггерством. Чтобы снимать информацию вводимую с клавиатуры и отсылать хакеру. Часть просто рыщут по компьютеру в поисках необходимой информации, например, счетов банка.
Троянские утилиты удаленного администрирования (Backdoor)
Троянские программы этого класса являются утилитами удаленного администрирования (управления) компьютеров. В общем, они очень похожи на «легальные» утилиты того же направления. Единственное, что определяет их как вредоносные программы, это действия без ведома пользователя. Данная программа при установке и\или загрузке не выдает никаких уведомлений.
Таким образом, обладатель конкретной копии данного ПО может без ведома пользователя осуществлять операции разного рода (от выключения компьютера, до манипуляций с файлами). Таким образом, троянские программы данного класса являются одними из наиболее опасных.
Некоторые backdoor’ы, так же могут распространяться по сети, как сетевые черви, но не самостоятельно, а после соответствующей команды владельца копии.
Похитители паролей (Trojan-PSW)
Эти занимаются тем, что воруют пароли. Проникнув на компьютер и инсталлировавшись, троянец сразу приступает к поиску файлов содержащих соответствующую информацию.
Кража паролей не основная спецификация программ этого класса, они так же могут красть информацию о системе, файлы, номера счетов, коды активации другого ПО и т.д.
Интернет-кликеры (Trojan-clicker)
Данное семейство троянских программ занимается организацией несанкционированных обращений к интернет-ресурсам, путем отправления команд интернет-браузерам или подменой системных адресов ресурсов. Злоумышленники используют данные программы для следующих целей: увеличение посещаемости каких-либо сайтов (с целью увеличения кол-ва показов рекламы); организация атаки на сервис; привлечение потенциальных жертв, для заражения вредоносным программным обеспечением.
Загрузчики (Trojan-Downloader)
Эти Трояны занимаются несанкционированной загрузкой программного обеспечения (вредоносного) на компьютер ничего не подозревающего пользователя. После загрузки программа, либо инсталлируется, либо записывается троянцем на автозагрузку (это в зависимости от возможностей операционной системы).
Установщики (Trojan-Dropper)
Эти устанавливают на компьютер-жертву программы, как правило - вредоносные. Анатомия троянцев этого класса следующая: основной код, файлы. Основной код – собственно и является троянцем. Файлы – это программа (ы), которую (ые) он должен установить. Троянец записывает ее (их) в каталог (обычно временных файлов) и устанавливает. Установка происходит, либо незаметно для пользователя, либо с выбросом сообщения об ошибке.
Ну вот и все о классификации, продолжим. Как же можно обнаружить работающего троянца на вашем компьютере без использования антивируса ?
|