2014-02-12
3245
Классификация троянских программ
Троянские программы
В данную категорию входят программы, осуществляющие различные несанкционированные пользователем действия: сбор информации и ее передачу злоумышленнику, ее разрушение или злонамеренную модификацию, нарушение работоспособности компьютера, использование ресурсов компьютера.
Отдельные категории троянских программ наносят ущерб удаленным компьютерам и сетям, не нарушая работоспособность зараженного компьютера (например, троянские программы, разработанные для массированных DOS-атак на удалённые ресурсы сети).
Троянские программы различаются между собой по тем действиям, которые они производят на зараженном компьютере.
Троянские программы этого класса являются утилитами удаленного администрирования компьютеров в сети. По своей функциональности они во многом напоминают различные системы администрирования, разрабатываемые и распространяемые фирмами-производителями программных продуктов.
Единственная особенность этих программ заставляет классифицировать их как вредные троянские программы: отсутствие предупреждения об инсталляции и запуске. При запуске троянская программа устанавливает себя: в системе и затем следит за ней, при этом пользователю не выдается никаких сообщений о действиях ее в системе. Более того, ссылка на троянскую программу может отсутствовать в списке активных приложений. В результате пользователь может не знать о ее присутствии в системе, в то время как его компьютер открыт для удаленного управления.
Утилиты скрытого управления позволяют делать с компьютером все, что в них заложил автор: принимать или отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер и т. д. В результате эти троянцы могут быть использованы для обнаружения и передачи конфиденциальной информации, для запуска вирусов, уничтожения данных и т. п.
Таким образом, троянские программы данного типа являются одним из самых опасных видов вредоносных программ, поскольку в них заложена возможность разнообразных злоумышленных действий, присущих другим видам троянских программ.
Отдельно следует отметить группу бэкдоров, способных распространяться по сети и внедряться в другие компьютеры, как это делают компьютерные черви. Отличают такие троянские программы от червей тот факт, что они распространяются по сети не самопроизвольно (как черви), а только по специальной команде.
Trojan-PSW — воровство паролей. Данное семейство объединяет троянские программы, ворующие различную информацию с зараженного компьютера, обычно - системные пароли — (PSW – Password Stealing Ware). При запуске PSW-троянцы ищут системные файлы, хранящие различную конфиденциальную информацию (обычно номера телефонов, пароли доступа к интернету) и отсылают ее по указанному в коде троянской программы электронному адресу или адресам.
Существуют PSW-троянцы, которые сообщают и другую информацию о компьютере, например, информацию о системе (например, размер памяти, дискового пространства, версию операционной системы, тип используемого почтового клиента, IР-адрес и т. п.). Некоторые троянские программы данного типа воруют регистрационную информацию к различному ПО, коды доступа к сетевым играм и прочее. Trojan-AOL-семейство троянских программ, ворующих коды доступа к сети AOL (America On Line). Выделены в особую группу по причине своей многочисленности.
Trojan-Clicker — интернет-кликеры. Семейство троянских программ, основная, функция которых - организация несанкционированных обращений к интернет-ресурсам (обычно к веб-страницам), достигается это либо посылкой соответствующих команд браузеру, либо заменой системных файлов, в которых указаны стандартные адреса интернет-ресурсов.
У злоумышленника могут быть следующие цели для подобных действий:
· увеличение посещаемости каких-либо сайтов с целью увеличения показов рекламы;
· организация DоS-атаки (Dеniаl of Service) на какой-либо сервер;
· привлечение потенциальных жертв для заражения вирусами или троянскими программами.
Trojan-Downloader - доставка вредоносных программ. Программы этого класса предназначены для загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки троянских программ или рекламных систем. Загруженные из интернета программы затем либо запускаются на выполнение, либо регистрируются троянской программой на автозагрузку в соответствии с возможностями операционной системы. Данные действия при этом происходят без ведома пользователя.
Информация об именах и расположении загружаемых программ содержится в коде и данных троянской программы или скачивается ей с управляющего интернет-ресурса (обычно с веб-страницы).
Trojan-Dropper - инсталляторы вредоносных программ. Программы этого класса написаны в целях скрытной инсталляции других программ и практически всегда используются для подсовывания компьютер-жертву вирусов или других троянских программ.
Данные троянцы обычно без каких-либо сообщений (либо с ложным сообщениями об ошибке в архиве или неверной версии операционной системы) сбрасывают на диск в какой-либо каталог (в корень диска С:, во временный каталог, в каталоги Windows) другие файлы и запускают их на выполнение.
Обычно структура таких программ следующая:
Основной код
Файл 1
Файл 2
Основной код выделяет из своего файла остальные компоненты (файл 1, файл 2,...), записывает их на диск и открывает их (запускает на выполнение).
Обычно один (или более) компонентов являются троянскими программами, и как минимум один компонент является обманом: программой-шуткой, игрой, картинкой или чем-то подобным. Обман должен отвлечь внимание пользователя и/или продемонстрировать то, что запускаемый файл действительно делает что-то полезное, в то время как троянская компонента инсталлируется в систему.
В результате использования программ данного класса хакеры достигают двух целей
· скрытная инсталляция троянских программ и/или вирусов;
· защита от антивирусных программ, поскольку не все из них в состоянии проверить все компоненты внутри файлов этого типа.
Trojan-Proxy - троянские прокси-сервера. Семейство программ, скрытно осуществляющих анонимный доступ к различным интернет-ресурсам. Обычно используются для рассылки спама.
Trojan-Spy шпионские программы. Данные троянцы осуществляют электронный шпионаж за пользователем зараженного компьютера: вводимая с клавиатуры информация, снимки экрана, список активных приложений и действия пользователя с ними сохраняются в какой-либо файл на диске и периодически отправляются злоумышленнику. Программы этого типа часто используются для кражи информации пользователей различных систем онлайновых платежей и банковских систем.
Trojan - прочие троянские программы. К ним относятся те, которые осуществляют прочие действия, попадающие под определение троянских программ, т. е. разрушение или злонамеренная модификация данных, нарушение работоспособности компьютера и прочее.
К данной категории также относятся многоцелевые троянские программы, которые одновременно шпионят за пользователем и предоставляют прокси-сервис удаленному злоумышленнику.
Rootkit — сокрытие присутствия в операционной системе. Понятие пришло к нам из UNIХ. Первоначально это понятие использовалось для обозначения набора инструментов, применяемых для прав root.
Так как инструменты типа Rootkit на сегодняшний день имеются и на других ОС (в том числе, на Windows), то следует признать подобное определение Rootkit устаревшим и не отвечающим реальному положению дел.
Таким образом, Rootkit - программный код или техника, направленная на сокрытие присутствия в системе заданных объектов (процессов, файлов, ключей реестра и т.д.).
ArcBomb - «бомбы» в архивах. Представляют собой архивы, специально оформленные таким образом, чтобы вызвать нештатное поведение архиваторов при попытке разархивировать данные – зависание или существенное замедление работы компьютера или заполнение диска большим количеством пустых данных. Особенно опасны архивные «бомбы» для файловых и почтовых серверов, если на сервере используется какая-либо система автоматической обработки входящей информации - архивная «бомба» может просто остановить работу сервера.
Встречаются три типа подобных «бомб»: некорректный заголовок архива, повторяющиеся данные и одинаковые файлы в архиве.
Некорректный заголовок архива или испорченные данные в архиве могут привести к сбою в работе конкретного архиватора или алгоритма разархивирования при разборе содержимого архива.
Значительных размеров файл, содержащий повторяющиеся данные, позволяет заархивировать такой файл в архив небольшого размера (например, 5ГБ данных упаковываются в 200КБ RAR или в 480КБ ZIP-архив).
Огромное количество одинаковых файлов в архиве, также практически не сказывается на размере архива при использовании специальных методов (например, существуют приемы упаковки 10100 одинаковых файлов в 30КБ RAR или 230КБ ZIP-архив).
Trojan - Notifier - оповещение об успешной атаке. Троянцы данного типа предназначены для сообщения о зараженном компьютере. При этом на адрес «хозяина» отправляется информация о компьютере: IР-адрес компьютера, номер открытого порта, адрес электронной почты. Отсылка осуществляется различными способами: электронным письмом, специально оформленным обращением к веб-странице «хозяина», ICQ-сообщением.
Данные троянские программы используются в многокомпонентных троянских наборах для извещения своего «хозяина» об успешной инсталляции троянских компонент в атакуемую систему.
