ТРОЯНЫ: ИХ ОСОБЕННОСТИ, ВИДЫ, ИСТОРИЯ

Введение

В наше время уровень развития компьютерных технологий можно считать достаточно высоким. Человечество совершило прорыв в развитии новых технологий в сфере информационных технологий, чьи устройства вносят неумолимый вклад в нашу повседневную жизнь. К сожалению, наряду с полезными инструментами и аппаратами, развиваются киберпреступность, хакерство и улучшение вирусных и вредоносных программ. Основной целью этих программ является причинение вреда пользовательским данным, программной, а иногда и аппаратной части системы.

Определение

Троянский конь — тип вредоносного ПО, предназначенный для осуществления таких действий, как мониторинг активности жертвы, компрометация атакуемого, использование устройства для проведения DOSатаки. Данные вредоносы чаще других встречаются в сети. Причиной такой популярности является огромное количество шаблонов, на которых построены эти троянские программы [ZHU Zhenfang, 2015].

Содержание

· Особенности

· Виды троянских программ

· Принцип действия троянских программ

· История

Особенности

Троянские программы не способны создавать свои копии, обладающие возможностью дальнейшего самовоспроизведения. Например, банковский троян Asacub распространяется в телефонах россиян с конца августа 2018 года. Схема заражения следующая: некий пользователь в один момент получает SMS со знакомого номера, которое содержит, например, предложение посмотреть фотографию, зайти на интересную страницу, прочитать послание от его друга. Все эти сообщения содержат неизвестную ссылку и, что более важно, имя самого пользователя, в виде обращения к нему. Откуда троян знает имя этого пользователя? Все просто: сообщения рассылаются с телефона предыдущей жертвы трояна, в них автоматически подставляются те имена, под которыми номера записаны в телефонной книге на зараженном смартфоне. Если пользователь разрешит установку приложения из неизвестного источника и запустит процесс установки, то троян запросит права администратора устройства или разрешение использовать службу специальных возможностей. Когда жертва согласится и на это, хакер далее сможет делать то, ради чего все это и затевалось (кража информации, удалѐнное управление устройством)[Al-Saadoon, Al-Bayatti, 2011].

Виды троянских программ

Клавиатурные шпионы (Trojan-SPY) Предназначены для ведения электронного шпионажа за пользователем (вводимые с клавиатуры данные, изображения экрана, список активных приложений и т.д.). Найденная информация передается злоумышленнику. Для передачи данных могут быть использованы электронная почта, ftp, web (посредством указания данных в запросе) и другие способы.

Похитители паролей (Trojan-PSW) предназначены для кражи пользовательских аккаунтов (логин и пароль) с пораженных компьютеров. PSW — аббревиатура от Password Stealing Ware («ПО для кражи паролей»).

При запуске PSW-троянцы ищут необходимую информацию в системных файлах, хранящих различную конфиденциальную информацию, или реестре. В случае успешного поиска программа отсылает найденные данные «хозяину». Для передачи данных могут быть использованы электронная почта, ftp, web (посредством указания данных в запросе) и другие способы.

Некоторые троянцы данного типа воруют регистрационную информацию к различному программному обеспечению.

Программы, занимающиеся кражей учетных записей пользователей систем интернет-банкинга, интернет-пейджинга и онлайн-игр, в силу их многочисленности, выделены в отдельные классы: Trojan Banker, Trojan IM и Trojan GameThief соответственно.

Утилиты удаленного управления (Backdoor) Предназначены для удаленного управления злоумышленником пораженным компьютером. По своим функциям Backdoor во многом напоминают различные системы администрирования, разрабатываемые и распространяемые фирмами-производителями программных продуктов.

Подобные вредоносные программы позволяют делать с компьютером все, что в них заложит автор: принимать или отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер и т. д.

Представители этого типа вредоносных программ очень часто используются для объединения компьютеров-жертв в так называемые бот-сети/зомби-сети, что позволяет злоумышленникам централизованно управлять всей армией пораженных компьютеров для совершения злонамеренных действий.

Отдельно следует отметить группу бэкдоров, способных распространяться по сети и внедряться в другие компьютеры, как это делают сетевые черви. Отличает такие бэкдоры от червей то, что они распространяются по сети не самопроизвольно (как сетевые черви), а только по специальной команде «хозяина», управляющего данной копией троянской программы.

Анонимные smtp-сервера и прокси (Trojan-Proxy) Предназначены для осуществления злоумышленником доступа к различным интернет-ресурсам через компьютер-жертву. Такие вредоносные программы обычно используется для рассылки спама.

Модификаторы настроек браузера (Trojan-Cliker) Предназначены для обращения к интернет-ресурсам (обычно к веб-страницам). Достигается это либо передачей соответствующих команд браузеру, либо заменой системных файлов, в которых указаны «стандартные» адреса интернет-ресурсов (например, файл hosts в MS Windows).

У злоумышленника могут быть следующие цели для таких действий: • увеличение посещаемости каких-либо сайтов с целью увеличения показов рекламы; • привлечение потенциальных жертв для заражения вирусами или троянскими программами. • искусственная накрутка кликов в рекламных сетях с целью обогащения злоумышленников

Инсталляторы прочих вредоносных программ (Trojan-Dropper) предназначены для скрытой инсталляции на компьютер-жертву вредоносных программ, содержащихся в их теле.

Эти вредоносные программы обычно без каких-либо сообщений (или с ложными сообщениями об ошибке в архиве, неверной версии операционной системы и др.) сохраняют на диск жертвы (часто в каталог windows, системный каталог windows, временный каталог и т.д.) другие файлы и запускают их на выполнение.

Данные программы хакеры используют: • для скрытой инсталляции троянских программ и/или вирусов; • для защиты от детектирования известных вредоносных программ антивирусами, поскольку не все они в состоянии проверить все компоненты внутри подобных «троянцев».

Загрузчики вредоносных программ (Trojan Downloader) предназначены для загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки троянцев или рекламных систем. Загруженные из интернета программы затем либо запускаются на выполнение, либо включаются в список программ, запускаемых при старте операционной системы.

Информация об именах и расположении загружаемых программ содержится в коде и данных троянца или скачивается троянцем с управляющего интернет-ресурса (обычно с веб-страницы).

Данный тип вредоносных программ в последнее время стал часто использоваться для первоначального заражения посетителей зараженных web-страниц, содержащих эксплойты.

Уведомители об успешной атаке (Trojan-Notifier) Предназначены для передачи своему «хозяину» сообщения о том, что зараженный компьютер сейчас находится «на связи». При этом на адрес злоумышленника отправляется информация о компьютере, например, IP-адрес компьютера, номер открытого порта и т. п. Отсылка осуществляется различными способами: электронным письмом, специально оформленным обращением к web-странице злоумышленника, ICQ-сообщением.

Такие троянские программы используются в многокомпонентных троянских наборах для извещения злоумышленника об успешной инсталляции вредоносных программ в атакуемой системе.

«Бомбы» в архивах (ARCBomb) архивы, сформированные таким образом, чтобы при попытке архиваторов разархивировать данные спровоцировать зависание или существенное замедление работы компьютера или заполнение диска большим количеством «пустых» данных. Особенно опасны «архивные бомбы» для файловых и почтовых серверов, если на сервере используется какая-либо система автоматической обработки входящей информации — «архивная бомба» может просто остановить работу сервера.

Встречаются три типа подобных «бомб»:

• некорректный заголовок архива;

• повторяющиеся данные;

• одинаковые файлы в архиве.

Некорректный заголовок архива или испорченные данные в архиве могут привести к сбою в работе конкретного архиватора или алгоритма разархивирования при разборе содержимого архива.

Значительных размеров файл, содержащий повторяющиеся данные, позволяет заархивировать такой файл в архив небольшого размера (например, 5ГБ данных упаковываются в 200КБ RAR или в 480КБ ZIP-архив).

Огромное количество одинаковых файлов в архиве также практически не сказывается на размере архива при использовании специальных методов (например, существуют приемы упаковки 10100 одинаковых файлов в 30KБ RAR или 230KБ ZIP-архив).

Rootkit предназначены для сокрытия в системе определенных объектов либо активности. Сокрытию, как правило, подвергаются ключи реестра (например, отвечающие за автозапуск вредоносных объектов), файлы, папки, процессы в памяти зараженного компьютера, вредоносная сетевая активность. Могут запрещать пользователю удалять определенные файловые объекты или ключи реестра.

Сам по себе rootkit не причиняет прямого вреда компьютеру-жертве. Данный класс программ в подавляющем большинстве случаев используется в связке с другими вредоносными программами для того, чтобы препятствовать их обнаружению и продлить время их действия на пораженном компьютере.

История

k (1989 г.). 20 000 дискет с этой троянской программой были разосланы по адресам, украденным компанией PC Cyborg у журнала РС Business World и Всемирной организации здравоохранения. Эти диски якобы содержали информацию о вирусе иммунодефицита человека, и авторы совершенно очевидно сыграли на всеобщей озабоченности проблемой СПИДа (AIDS). Когда пользователь запускал установочную программу, троянец записывал себя на жесткий диск, создавал собственные скрытые файлы и папки, а также изменял системные файлы. После того как компьютер был загружен 90 раз, троянская программа шифровала содержимое жесткого диска, делая информацию на нем недоступной. Единственный доступный файл на диске назывался README и содержал адрес почтового ящика в Панаме, куда пользователю предлагалось отправить деньги за расшифровку своих данных. Интересно, что в лицензионном соглашении, записанном на дискете с «дистрибутивом» троянца, честно сообщалось об использовании авторами «программных механизмов», способных «неблагоприятно повлиять на другие программы и приложения». Автор троянца, Джозеф Попп (Joseph Popp), был осужден за вымогательство. Фактически Aids Information Diskette — это первый и единственный вирус, для массовой рассылки использовавший настоящую почту

Mitglieder (2004 г.) — троянский proxy-сервер, ссылка на зараженный этой программой сайт была разослана злоумышленником на тысячи адресов ICQ. Mitglieder проникал на компьютер через уязвимость в Microsoft Internet Explorer, позволявшую установить и запустить proxy-сервер на зараженной машине без ведома пользователя. После заражения открывался порт, используемый для рассылки спама. Таким образом, зараженные машины образовывали сеть машин-зомби (ботнет), которыми можно удаленно управлять, чем вскоре и воспользовались авторы новых вредоносных программ.

Развитие получили и вирусные технологии для мобильных устройств. Созданы вирусы всех трех типов — классические вирусы, черви и троянские программы. В качестве пути проникновения используются не только Bluetooth-устройства, но и обычные MMS сообщения (червь ComWar).

RedBrowser (2006 г.) — первая вредоносная программы для мобильных телефонов, способных исполнять Java-приложения (J2ME). Потенциально этот троянец представляет опасность не только для смартфонов, но и для всех мобильных телефонов, поддерживающих платформу Java. Осуществляемые троянцем вредоносные действия — рассылка SMS-сообщений на платные мобильные сервисы. Появились «концептуальные» вирусы: Leap — первый червь для MacOS X. Червь рассылает себя по пейджинговым интернет-сетями заражает файлы MacOS X [Монахов, Груздева, Монахов, 2010].

Таким образом, каждый из троянских программ представляет угрозу для компьютерной безопасности и конфиденциальности данных пользователей. Понимание разнообразия видов троянов поможет пользователям улучшить свою защиту от потенциальных кибератак и сохранить ценные информационные ресурсы. Внедрение необходимых мер предосторожности и использование антивирусного программного обеспечения остаются ключевыми шагами в борьбе с различными видами троянов.

СПИСОК ЛИТЕРАТУРЫ

1. Al-Saadoon G. M. W., Al-Bayatti H. M. Y. A Comparison of Trojan Virus Behavior in Linux and Windows Operating Systems // 2011.

2. Монахов Ю. М., Груздева Л. М., Монахов М. Ю. Вредоносные программы в компьютерных сетях. : Изд-во Владимирского государственного университета, 2010.

3. ZHU Zhenfang. Study on Computer Trojan Horse Virus and Its Prevention // Int. J. Eng. Appl. Sci. 2015. Т. 2. № 8.