Троянской программой (троянцем, или троянским конем) называется:
- программа, которая, являясь частью другой программы с известными пользователю функциями, способна втайне от него выполнять некоторые дополнительные действия с целью причинения ему определенного ущерба;
- программа с известными ее пользователю функциями, в которую были внесены изменения, чтобы, помимо этих функций, она могла втайне от него выполнять некоторые другие (разрушительные) действия.
Принципиальное различие троянских программ и вирусов состоит в том, что вирус представляет собой самостоятельно размножающуюся программу, тогда как троянец не имеет возможности самостоятельного распространения. Однако в настоящее время довольно часто встречаются гибриды — вирусы (в основном e-mail и сетевые черви), вместе с которыми распространяются троянские программы.
Что будет делать подобная программа, внедрившись в компьютер, известно одному только ее создателю и зависит лишь от его фантазии и от стоящих перед ним целей. В то же время можно выделить ряд наиболее распространенных действий, имеющих явно вредоносную направленность:
Воровство паролей. Раньше, когда основным и фактически единственным способом массового доступа в Интернет было модемное соединение, большинство троянских программ создавались именно с целью кражи паролей для связи с Интернетом. Однако в последнее время все труднее найти пользователя, использующего dial-up, и сейчас крадут в основном пароли от почты, форумов, чатов, ICQ и других сервисов. Хотя обычно это не наносит прямого ущерба большинству пользователей, но последствия, связанные с получением злоумышленниками доступа к конфиденциальной информации, могут оказаться очень серьезными.
Программы DDoS-атаки. Зараженные такой троянской программой компьютеры участвуют в DDoS-атаках, вызывая перегрузку атакуемого сервера. И опять с точки зрения атакуемого все выглядит так, словно один из нападавших — это компьютер жертвы.
Удаленное администрирование. Программы этого класса аналогичны профессиональным утилитам удаленного администрирования, однако устанавливаются без согласия пользователя и позволяют злоумышленнику держать компьютер под полным контролем. При этом иногда с помощью такой утилиты злоумышленник имеет возможность совершать на компьютере-жертве даже больше действий, чем сам владелец, не применяющий специальных средств. Нередко данные программы внедряются друзьями или знакомыми пользователя — для организации дружеских розыгрышей (которые, впрочем, далеко не всегда оказываются безобидными).
Рассылка спама. Такой троянец после установки на компьютер пользователя начинает рассылать спам по заранее заданным адресам либо собирать адреса электронной почты, имеющиеся на компьютере пользователя и на тех сайтах, где тот бывает, и организует массовую рассылку по ним. Другой вариант использования компьютера-жертвы для рассылки спама — установка на нем SMTP-сервера, самостоятельно задействуемого злоумышленником для рассылки спама. Хотя от такого поведения троянца страдает больше не сам пользователь, а миллионы получателей нежелательных писем с его компьютера, однако и для пользователя последствия могут быть весьма неприятные (например, блокировка IP-адреса в большинстве почтовых систем).
Proxy-серверы. Троянская программа устанавливает на компьютер один или несколько видов прокси-серверов (Socks, HTTP и пр.), с помощью которых злоумышленник может совершать любые действия в Интернете, не опасаясь обнаружения истинного IP-адреса, поскольку вместо него подставляется адрес жертвы.
Шпионские программы. Программы этого класса собирают сведения с зараженного компьютера (это может быть вся переписка, все нажимаемые клавиши, посещаемые страницы, установленные программы и многое другое) и пересылают их по адресу, прописанному в троянце.
Программы распределенных вычислений. Эти программы можно назвать одним из самых «интеллигентных» классов троянцев. Цели таких программ могут быть различным, в том числе — установка модулей открытых проектов распределенных вычислений (distributed.net), где, например, отыскиваются алгоритмы взлома систем шифрования, а тот, на чьем компьютере получен искомый результат, может претендовать на денежное вознаграждение. Злоумышленник, стремясь получить вознаграждение, конфигурирует официальный модуль системы распределенных вычислений с внесенными в него своими идентификационными данными и встраивает его в троянскую программу, которая незаметно его устанавливает и запускает. Наука наукой, но в любом случае человек, участвующий в проекте, должен делать это добровольно. Распределенные вычисления могут использоваться и для менее благовидных дел: для поиска сервисов в Интернете (например, прокси-серверов), а также для подбора паролей. В этой ситуации автору для достижения результата не потребуется так много времени, как если бы он работал на своем компьютере.
Рекламные модули и модули накрутки рекламы. Троянские программы могут демонстрировать пользователю зараженного компьютера рекламную информацию разного рода, например всплывающие окна, баннеры, которые встраиваются в системные панели, просматриваемые страницы. Другой вариант применения зараженного компьютера в рекламных целях — накрутка баннерных систем путем имитации заходов пользователя на ресурс, где размещена реклама.
Троянцы, устанавливающие дополнительные модули либо ждущие команды от своего автора. Такие программы загружают на зараженный компьютер файлы с запрограммированного адреса или ждут получения команды от автора (каналом связи может быть получение электронного письма, появление сообщения на форуме или на сайте и т.д.) на совершение каких-либо действий (как перечисленных выше, так и любых других). В некотором смысле это может считаться вариантом удаленного администрирования, только более узко направленным.
videouroki.net
Троянские программы осуществляют несанкционированные пользователем действия по сбору и передаче информации злоумышленнику, а также её разрушение или злонамеренную модификацию. Кроме того, троянские программы могут вызывать нарушение работоспособности компьютера или незаметно для пользователя использовать ресурсы компьютера в целях злоумышленника.
Троянские программы обычно проникают на компьютер как сетевые черви, а различаются между собой теми действиям, которые они производят на заражённом компьютере.
Троянская программа, троянец (от англ. trojan) — вредоносная программа, которая выполняет несанкционированную пользователем передачу управления компьютером удалённому пользователю, а также действия по удалению, модификации, сбору и пересылке информации третьим лицам.
Троянские утилиты удалённого администрирования
Троянские программы этого класса являются утилитами удалённого администрирования компьютеров в сети. Утилиты скрытого управления позволяют принимать или отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер и т. д.
При запуске троянец устанавливает себя в системе и затем следит за ней, при этом пользователю не выдаётся никаких сообщений о действиях троянской программы в системе. В результате «пользователь» этой троянской программы может и не знать о её присутствии в системе, в то время как его компьютер открыт для удалённого управления.
Троянские программы данного типа являются одним из самых опасных видов вредоносного программного обеспечения, поскольку в них заложена возможность самых разнообразных злоумышленных действий, в том числе они могут быть использованы для обнаружения и передачи конфиденциальной информации.
В \(2003\) году широкое распространение получила троянская программа Backdoor. Win32.ВО, которая осуществляет следующие действия:
Троянские программы, ворующие информацию
Такие троянские программы воруют различную информацию с заражённого компьютера. При запуске они ищут файлы, хранящие конфиденциальную информацию о пользователе (банковские реквизиты, пароли доступа к Интернету и др.) и отсылают её по указанному в коде троянца электронному адресу или адресам.
Троянцы данного типа также сообщают информацию о заражённом компьютере (размер памяти и дискового пространства, версию операционной системы, IP-адрес и т. п.). Некоторые троянцы воруют регистрационную информацию к программному обеспечению.
Троянские программы-инсталляторы вредоносных программ
Троянские программы этого класса скрытно инсталлируют другие вредоносные программы и используются для «подсовывания» на компьютер-жертву вирусов или других троянских программ. Загруженные без ведома пользователя из Интернета программы затем либо запускаются на выполнение, либо включаются троянцем в автозагрузку операционной системы.
Троянские программы-шпионы
Данные троянцы осуществляют электронный шпионаж за пользователем заражённого компьютера: вводимая с клавиатуры информация, снимки экрана, список активных приложений и действия пользователя с ними сохраняются в каком-либо файле на диске и периодически отправляются злоумышленнику.
Троянские программы этого типа часто используются для кражи информации пользователей различных систем онлайновых платежей и банковских систем.
Троянские программы часто изменяют записи системного реестра операционной системы, поэтому для их удаления необходимо в том числе восстановление системного реестра.
www.yaklass.ru
Введение
1. Троянские программы и их происхождение
2. Примеры троянских программ и их идентификация
Заключение
Литература
Содержание
Исторически сложилось так, что большинство утилит, позволяющих бороться с проникновением в компьютерную систему троянских программ путем однонаправленного хэширования файлов, было создано для операционных систем семейства UNIX. Одной из наиболее удобных в эксплуатации и эффективных является утилита Trip Wire, которую можно найти в Internet по адресу www.tripwiresecurity.com/. Она позволяет производить однонаправленное хэширование файлов при помощи нескольких алгоритмов, в том числе — MD43, MD54 и SHA5. Вычисленные хэш-значения файлов хранятся в специальной базе данных, которая, в принципе, является самым уязвимым звеном утилиты TripWire. Поэтому пользователям TripWire предлагается в обязательном порядке принимать дополнительные меры защиты, чтобы исключить доступ к этой базе данных со стороны злоумышленника (например, помещать ее на съемном носителе, предназначенном только для чтения).
Средства борьбы с троянцами в операционных системах семейства Windows (95/98/NT/2000/Vista) традиционно являются частью их антивирусного программною обеспечения. Поэтому, чтобы отлавливать Back Orifice, Net Bus, SubSeven и другие подобные им троянские программы, необходимо обзавестись самым современным антивирусом (например, программой Avira, которая позволяет обнаруживать присутствие в компьютерной системе наиболее распространенных троянцев и избавляться от них).
Следует регулярно проверять свой компьютер на присутствие в нем вирусов.
Обзор средств борьбы с троянскими программами был бы далеко не полным, если обойти вниманием недавно появившиеся на рынке программные пакеты, предназначенные для комплексной зашиты от угроз, с которыми сталкиваются пользователи настольных компьютеров при работе в Internet. Одним из таких пакетов является eSafe Protect компании Aladdin Knowledge Systems (демонстрационную версию eSafe Protect можно найти в Internet no адресу www.esafe.com).
Функционально eSafe Protect делится на три компонента — антивирус, персональный брандмауэр и модуль защиты компьютерных ресурсов. Антивирус избавляет компьютер от вредоносных программ благодаря применению антивирусного модуля VisuSafe, сертифицированного американским Национальным агентством компьютерной безопасности. Персональный брандмауэр контролирует весь входящий и исходящий трафик по протоколу TCP/IP, наделяя используемые IP-адреса определенными правами (например, ограничивая доступ в Internet в определенные часы или запрещая посещение некоторых Web-узлов).
Для защиты ресурсов компьютера, на котором установлен программный пакет eSafe Protect, создается специальная изолированная область — так называемая песочница. Все автоматически загружаемые из Internet Java-аплеты и компоненты ActiveX сначала помещаются в «песочницу», где они находятся под неусыпным наблюдением eSafe Protect. Если попавшая в «песочницу» программа попытается выполнить какое-либо недозволенное действие, то оно будет немедленно блокировано. В течение заданного интервала времени (от 1 до
3. дней) каждое приложение, загруженное в компьютер из Internet, проходит «карантинную» проверку в «песочнице». Полученная в ходе такой проверки информация заносится в особый журнал. По истечении «карантина» приложение будет выполняться вне «песочницы», однако ему будут дозволены только те действия, перечень которых определяется на основе имеющихся журнальных записей.
Таким образом, по сравнению с другими подобными программными пакетами eSafe Protect обеспечивает наиболее развитые и эффективные средства комплексной зашиты от троянских программ. Входящий в состав eSafe Protect антивирус помогает быстро выявлять троянцев и расправляться с ними, используя технологии, которые хорошо зарекомендовали себя при борьбе с вирусами. Персональный брандмауэр блокирует любые попытки связаться извне с проникшими в компьютерную систему троянскими программами. И, наконец, с помощью «песочницы» своевременно предотвращается внедрение троянцев в компьютеры под видом Java-аплетов и компонентов ActiveX.
Примеры классификации троянских программ [8]
(http://www.totalmalwareinfo.com/rus/):
Trojan-Clicker.Win 32
Trojan-DDoS.Win 32
Trojan-Downloader.Win 32
Trojan-Downloader.BAT
Trojan-Downloader.HTML
Trojan-Downloader.JS
Trojan-Downloader.Perl
Trojan-Downloader.Small
Trojan-Downloader.VBS
Trojan-Downloader.Win 32
Trojan-Dropper.BAT
Trojan-Dropper.JS
Trojan-Dropper.VBS
Trojan-Dropper.Win 32
Trojan-IM.Win 32
Trojan-Notifier.Win 32
Trojan-PSW.BAT
Trojan-PSW.Win 32
Trojan-Proxy.Win 32
Trojan-Spy.Win 32
Trojan-Spy.HTML
Trojan-Spy.JS
Trojan-Spy.Linux
Trojan-Spy.VBS
Trojan-Spy.Win 32
Trojan.BAT
Trojan.HTML
Trojan.JS
Trojan.Linux
Trojan.MSWord
Trojan.PHP
Trojan.VBS
Trojan.Win 32
Trojan.WinHLP
Trojan.WinINF
Trojan.WinREG
Рассмотрим подробно первую категорию «Trojan-Clicker.BAT». В этой категории 2 статьи: Trojan-Clicker.BAT.Small.a; Trojan-Clicker.BAT.Small.c.
Trojan-Clicker.BAT.Small.a Троянская программа, открывающая в браузере различные веб-страницы без ведома пользователя. Программа является файлом командного интерпритатора (BAT-файл).
35. байта. Написана на Visual Basic. Троянец открывает в окне Internet Explorer сайт: www.sale*********aces.com/click/001/. Данный сайт перенаправляет жертву на другие ресурсы. Если компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия: удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
Trojan-Clicker.BAT.Small.c Троянская программа, открывающая в браузере различные веб-страницы без ведома пользователя. Программа является файлом командного интерпритатора (BAT-файл).
34. байт. Троянец открывает в окне Internet Explorer следующие сайты: www.89.com; www.pornovue.com; TYLERSTITT.isgay.com; www.mikesapartment.com; www.kingvids.com; www.cocosworld.com; www.dawsonmiller.com; lesbianwhores.com. Запускает себя в бесконечном цикле. Если компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия: удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
В реферате проведен краткий обзор развития компьютерных вирусов, рассмотрены троянские программы и их происхождение, примеры троянских программ и их идентификация.
Особое внимание уделено классификации троянских программ и способам их удаления (http://www.totalmalwareinfo.com/rus/).
Литература
1. Гошко С.В. Энциклопедия по защите от вирусов. — М.: Изд-во «СОЛОН-Пресс», 2004. — 301 с.
2. Гульев И.А. Создаем вирус и антивирус. 2-е изд. — М.: ДМК Пресс, 2000. — 304 с.
3. Касперски К. Записки исследователя компьютерных вирусов. — СПб.: Питер, 2004. — 320 с.
4. Касперски К. Компьютерные вирусы изнутри и снаружи. — СПб: Питер Ком, 2006. — 526 с.
5. Коваль И. Как написать компьютерный вирус. Практикум программирования на ассемблере. — СПб.: Символ-Плюс, 2000. — 192 с.
6. Козлов Д.А., Парандовский А.А., Парандовский А.К. Энциклопедия компьютерных вирусов. — М.: СОЛОН-Р, 2001. — 457 с.
7. Копелиович Д.И., Зыков О.И., Морякин Д.Е. Современные угрозы информационной безопасности и тенденции развития вредоносного программного обеспечения // Вестник Брянского государственного технического университета. — 2007. — № 1(13).
— С. 59−66.
8. www.totalmalwareinfo.com/rus/
5
1. Гошко С.В. Энциклопедия по защите от вирусов. — М.: Изд-во «СО-ЛОН-Пресс», 2004. — 301 с.
2. Гульев И.А. Создаем вирус и антивирус. 2-е изд. — М.: ДМК Пресс, 2000. — 304 с.
3. Касперски К. Записки исследователя компьютерных вирусов. — СПб.: Питер, 2004. — 320 с.
4. Касперски К. Компьютерные вирусы изнутри и снаружи. — СПб: Питер Ком, 2006. — 526 с.
5. Коваль И. Как написать компьютерный вирус. Практикум программи-рования на ассемблере. — СПб.: Символ-Плюс, 2000. — 192 с.
6. Козлов Д.А., Парандовский А.А., Парандовский А.К. Энциклопедия компьютерных вирусов. — М.: СОЛОН-Р, 2001. — 457 с.
7. Копелиович Д.И., Зыков О.И., Морякин Д.Е. Современные угрозы ин-формационной безопасности и тенденции развития вредоносного программного обеспечения // Вестник Брянского государственного технического университе-та. — 2007. — № 1(13).
— С. 59−66.
8. www.totalmalwareinfo.com/rus/
список литературы
referatbooks.ru
Выражение «троянский конь» появилось из истории, и мы до сих пор его используем в разговоре. Выражение «троянский конь» подразумевает что-то, что на первый взгляд выглядит вполне обычно и невинно, но, на самом деле, может причинить вред. Троянский вирус (или ещё его называют Троян) — файл, который выглядит вполне безобидно, но, на самом деле, представляет угрозу. Хотя они и появились относительно недавно, они уже упрочнились в нашей жизни и своей репутацией затмили деревянного троянского коня из далёкого прошлого. Далее мы опишем некоторые из видов троянских вирусов, с которыми можно столкнуться.
Первый троянский вирус, который мы обсудим, входит в категорию «западня». Он также более известен под названием Spy Sheriff, и уже успел заразить миллионы компьютерных систем по всему миру. Этот троянский вирус классифицируется как malware (зловредное программное обеспечение). Он не влияет на компьютерную систему и не причиняет ей вреда, но он заставляет появляться всякие нудные всплывающие окна.
Большинство этих окон выглядят как системные сообщения, в которых содержатся предупреждения, заявляющие, что вы должны установить тот или иной тип программного обеспечения. Как только Spy Sheriff попадает на ваш компьютер, его очень трудно удалить. Если вы попробуете удалить его обычным способом, то он просто заново установиться с помощью скрытых файлов, которые он заразил на вашей системе. Большинство антивирусных и antispyware программ не смогут обнаружить этот вирус. Также его невозможно удалить, с помощью функции восстановления системы, поскольку он контролирует компоненты, которые управляют этой особенностью в Windows.
Иногда троянские вирусы могут содержаться в архивах, которые с виду кажутся безопасными. Некоторые Трояны используются злоумышленниками для удалённого управления чужим компьютером. Они также используются для атаки и взлома компьютерных систем. Один из самых известных случаев, связанных с Трояном произошёл с профессором, на компьютере которого обнаружились тысячи детских порнографических фотографий. Сначала его обвинили в том, что он сознательно их загрузил. Хотя, в конечном счёте, он был оправдан и выяснилось, что это действие Трояна, всё равно ситуация вышла пренеприятная.
Другой известный тип вирусной проблемы, который оказал след в истории — вирус Vundo. Этот вирус в различных интервалах использует память Windows и создаёт всплывающие окна, в которых указано, что потеряны важные системные файлы. Он также вызывает множество сообщений, в которых говорится, что вам следует установить несколько программных обеспечений безопасности, многие из которых в действительности являются вирусами. К счастью, этот вирус легко подаётся удалению, поскольку на рынке существует множество автоматических программ для этого процесса.
Троянский вирус может разными способами попасть в вашу компьютерную систему. Но одно вы должны помнить: они не смогут активизироваться, если вы сами не активизируете файл, в котором они скрыты. Именно поэтому настолько важно проверять неизвестные файлы и, по возможности, вообще их не открывать, ведь если в системе появиться Троян, это может привести к печальным последствиям
Троянец — это тип вируса-червя, который может послужить причиной серьезного повреждения Вашего компьютера. Червь — это программа, которая на первый взгляд может показаться безвредной и безопасной, но, на самом деле, она содержит кое-что весьма вредное для Вашего компьютера. Настолько вредное, что может разрушить Ваш компьютер посредством широкого повреждения, которое может оказаться необратимым.
Если Вы хорошо помните историю, то Вам не трудно будет вспомнить, как греки выиграли троянскую войну, скрываясь в большой полой деревянной лошади для того, чтобы войти в хорошо укрепленную Трою. В действительности, троянец также получает доступ к Вашему компьютеру. Троянцы попадают в Ваш компьютер при загрузке безопасных программ, таких, как игры, изображения, музыка или видео файлы, но как только эти программы выполняются, троянцы начинают свою работу. Троянцы могут сделать не только то, что Вас будет очень сильно раздражать; но также они могут серьезно повредить Ваш компьютер. Еще троянцы могут стереть Ваш диск, посылать номера Вашей кредитной карточки и пароли незнакомцам или позволить другим использовать Ваш компьютер в незаконных целях, таких, как отказ от сервисной защиты, тем самым, нанося вред сетям.
Ваша лучшая защита — это антивирусное программное обеспечение, которое автоматически обновляется и внимательно следит за тем, что Вы загружаете из Интернета. Благодаря антивирусному программному обеспечению, Вы загружаете с вебсайтов только то, что безопасно, и, тем самым, защищаете компьютер от вирусов. Антивирусное программное обеспечение — Ваша лучшая защита не только против троянских вирусов, но и от многого другого — защищает Вас от шпионского программного обеспечения, бесплатного программного продукта с размещенной в нем рекламой и других типов злонамеренных атак на Ваш компьютер. С хорошим антивирусным программным обеспечением Вам не придется волноваться о потере Ваших данных или пропаже личной информации
Замаскированные вредоносные программы
Какие бы меры для защиты ни принимались, никакую сеть невозможно оградить от одной серьезной опасности — человеческой доверчивости. Этим пользуются вредоносные программы, называемые «троянскими конями», зловредные коды которых прячутся внутри чего-нибудь совершенно безобидного. А ведь если программа была установлена по доброй воле, она может преодолеть любые брандмауэры, системы аутентификации и сканеры вирусов.
«Троянские кони» отличаются друг от друга тем, какие вредные действия они выполняют, оказавшись в компьютере. Это может быть как безобидная проделка, связанная с выводом на экран какой-нибудь непристойности или политического лозунга, так и настоящая информационная катастрофа, приводящая к уничтожению данных на диске и порче оборудования. Некоторые из «троянских коней», объединившись с вирусами, распространяются между системами по электронной почте.
Самые же изощренные действуют очень вероломно и не ограничиваются нанесением ущерба системе. Помимо хакерства «троянские кони» могут использоваться для шпионажа за людьми и действовать как настоящие преступники, хотя и виртуальные. Никто не может чувствовать себя в безопасности. Осенью 2000 г. корпорация Microsoft пострадала от получившего широкую огласку нападения хакеров, когда был украден и, возможно, видоизменен исходный код будущей операционной системы. Это стало результатом внедрения «троянского коня», скрывавшего в себе «червя» — программу, «ползающую» по сети и копирующую себя на другие компьютеры. Будучи установленной на одном из компьютеров Microsoft, программа начала распространяться по сети и делала это до тех пор, пока она не попала на компьютер, где содержалась важная секретная информация. После этого «троянский конь» подал хакеру сигнал о своем присутствии и открыл в сети «потайную дверь».
Итак, что же можно сделать, чтобы избежать участи Microsoft? Конечно, изгнать всех пользователей из сети вы не можете. Однако есть несколько способов минимизировать риск, и начать надо с бдительности и обучения. Регулярное резервное копирование является необходимой процедурой для восстановления информации после воздействия тех «троянских коней», вмешательство которых ограничивается уничтожением данных. Использование полного набора программных средств защиты, таких, как брандмауэры и сканеры вирусов, может помочь поймать некоторых наиболее известных нарушителей. Но важнее всего усвоить самому и объяснить пользователям сети, что такое «троянские кони», как они действуют и какого типа программы могут в себе скрывать. Кроме того, надо уяснить, как отличить «троянского» от настоящего «дареного коня», прежде чем он попадет в вашу сеть.
Темные лошадки
В большинстве «троянских коней» спрятаны вирусы или «черви». И те и другие паразиты существуют, главным образом, ради воспроизведения себе подобных, но могут и причинять серьезный ущерб (см. врезку «Виды программ-паразитов»). «Троянцы» приобрели особое значение для распространения вирусов, поскольку большинство из них сейчас посылается по электронной почте в виде вложенных файлов. Для активации вируса пользователь должен открыть такой вложенный файл, в то время как ранние вирусы, распространявшиеся на дискетах, активировались автоматически при загрузке ПК.
Не считая Bubbleboy, который встречался очень редко и проникал через уже устраненную «дыру» в системе безопасности Microsoft Outlook, вирус практически невозможно подхватить, просто читая сообщение электронной почты. Пользователя нужно обманным путем заставить запустить вложенный файл, и создатели вирусов не без оснований полагают, что сделать это не так уж сложно. Многие люди автоматически дважды щелкают мышью по любому файлу, приходящему по электронной почте, так что им нужно привить привычку поступать иначе.
Какизвестно, файлыWindows срасширениями*.com (command — командный), *.exe (executable — выполняемый) и*.dll (dynamic link library — динамическиподключаемаябиблиотека) являютсяпрограммами. Потенциально они способны сделать с системой практически все что угодно, поэтому с ними нужно обращаться с особой осторожностью, т. е. запускать их следует только в том случае, если источник, из которого вы их получили, заслуживает полного доверия, и вам точно известно, для чего предназначены данные программы. Тот факт, что программа была прислана по электронной почте вашим другом или коллегой, не является достаточным основанием, чтобы запускать ее. «Троянский конь» мог проникнуть в почтовую систему вашего приятеля и разослать себя по всем адресам из адресной книги.
Чтобы предотвратить заражение вирусами, многие организации вводят специальные правила, запрещающие пользователям устанавливать неразрешенное программное обеспечение. Однако соблюдение такого рода ограничений часто трудно проконтролировать, и, кроме того, это может помешать сотрудникам использовать для выполнения своей работы действительно лучшие программные средства, имеющиеся на рынке. Независимо от того, применяете вы подобные правила или нет, важно, чтобы пользователи были осведомлены о потенциальной опасности. Если сотрудникам разрешено загружать программы, то они должны знать, какие из них представляют наибольшую угрозу. Если же это им запрещено, то они больше будут обращать внимание на правила, понимая, чем они продиктованы.
Наиболее серьезную опасность представляют пиратские программы, поскольку источник, из которого они поступают, по определению не заслуживает доверия. Серьезные программисты давно точат зуб на пиратов, распространяющих «троянских коней» под видом нелегальных программ. Под эту категорию подпадает первая известная атака на платформу Palm, предпринятая с помощью программы, представленной как эмулятор популярной программы GameBoy под названием Liberty. Вместо обещанной эмуляции она удаляет все файлы и приложения.
Список расширений имен файлов, используемых программами, постоянно пополняется, что затрудняет задачу их отслеживания с помощью сканеров вирусов. Большинство антивирусных программ проверяет около 30 различных видов файлов, но они все же «споткнулись» на файлах с расширением *.vbs (Visual Basic Script), которыми в 2000 г. воспользовался вирус Love Bug. Если ваша антивирусная программа старее, чем этот вирус, то вам следует либо обновить ее, либо вручную настроить на проверку всех типов файлов. Автоматические обновления, распространяемые через Internet, обычно содержат только новые списки вирусов и исправления, а не новые типы файлов, в которых те могут скрываться.
Наиболее опасным типом файлов являются системные файлы-фрагменты, предназначение которых состоит в передаче частей документов между приложениями и рабочим столом (shell scrap object) — они как будто специально созданы для использования в качестве «троянского коня». И хотя они должны были бы иметь расширение *.shs или *.shb, они остаются скрытыми в среде Windows 98/Me, маскируясь под любой другой тип файла. Первой программой, где была использована подобная уязвимость, был появившийся в июне 1998 г. вирус Stages. Прикидываясь безобидным текстовым файлом, он на самом деле был сценарием Visual Basic и рассылал себя по электронной почте всем, кто был указан в адресной книге пользователя.
Файлы-фрагменты настолько опасны, что антивирусный исследовательский центр компании Symantec рекомендует вообще отказаться от их использования. Поскольку с этими файлами имеет дело очень мало легальных приложений, многие пользователи вполне могли бы вообще обойтись без них, удалив файл schscrap.dll из каталога Windows/system на своем ПК. В качестве менее радикальной меры можно запретить системе скрывать такие файлы, удалив элемент реестра HKEY_ CLASSES_ROOT\ShellScrap.
Натягивая поводья
Какую бы серьезную угрозу ни несли в себе вирусы и «черви», они все же являются не самой опасной начинкой, которая может быть спрятана в «троянских конях». Многие из них предназначены для получения доступа к вашей сети и прячут небольшие серверные программы, работающие практически незаметно. С помощью этих программ хакер может выведать ваши секреты или даже получить контроль над вашим ПК.
Самым бессовестным хакерским инструментом считается Back Orifice 2000, часто называемый просто BO2K, созданный командой хакеров «Культ дохлой коровы». Авторы определяют свою программу как «средство дистанционного администрирования», позволяющее управлять компьютером без ведома и согласия пользователя. Она может практически незаметно работать под любой версией Windows, обеспечивая постороннему пользователю практически полный доступ к системе. Кроме копирования и изменения содержимого файлов хакеры, имеющие на вооружении BO2K, могут записывать каждое действие пользователя и даже в реальном времени получать поток видеоинформации с его экрана.
--PAGE_BREAK--По иронии судьбы, команда «Культ дохлой коровы» сама стала жертвой «троянского коня». Первые компакт-диски с Back Orifice 2000, предназначавшиеся для распространения, были заражены страшным вирусом Chernobyl («Чернобыль»), способным нанести необратимый ущерб оборудованию. Честолюбивые хакеры, участвовавшие в 1999 г. в конференции DefCon, обнаружили, что вместо того, чтобы получить контроль на компьютерами других людей, они потеряли контроль над своими собственными, так как их жесткие диски оказались перезаписаны, а микросхемы BIOS стерты.
В нападении на Microsoft осенью 2000 г. использовался «троянский конь» под названием QAZ, который маскировался под утилиту Notepad, размещаясь в файле notepdad.exe. Исходная программа Notepad была по-прежнему доступна, но переименована в note.exe, так что пользователи не замечали изменений. Администратор, зная, что этот файл не входит в стандартную установку Windows, мог удалить его, в результате чего программа Notepad переставала работать, а «троянский конь» оставался нетронутым.
Даже если злоумышленники не заинтересованы в вашей информации, получение ими контроля над компьютерами по-прежнему представляет серьезную опасность. Атаки по типу распределенный отказ в обслуживании (Distributed Denial of Service, DDoS), в результате которых в начале 2000 г. оказались недоступны некоторые популярные Web-сайты, были произведены с помощью «троянских коней». Принцип действия подобных программ основывается на использовании тысяч компьютеров, работающих вместе, и поэтому они не могут быть просто запущены на каком-то одном из них. Однако атака становится возможной, когда один из компьютеров получает контроль над тысячами других.
Последствия вашего участия в атаках наподобие DdoS не исчерпывается тем, что вы получаете неодобрение как член сетевого сообщества, а ваша организация подвергается риску судебного разбирательства. К примеру, в результате атак на Yahoo! и eBay пострадали не только эти серверы, но и тысячи домашних и офисных пользователей, чьи компьютеры были задействованы в данных атаках. Если ваш почтовый сервер занят в атаке, то он не сможет выполнять своего основного назначения.
Любой ПК, подключенный к телефонной линии, является потенциальной мишенью для нападения по финансовым мотивам, поскольку его модем может быть перепрограммирован на звонки по дорогостоящим телефонным номерам. Известны «троянские кони», заменяющие в параметрах настройки коммутируемого доступа пользователя обычный телефонный номер на международный, звонки по которому могут стоить несколько долларов в минуту. И если этот номер действительно подключен к провайдеру Internet, жертва может ничего не заметить до тех пор, пока не получит счета за телефонные разговоры.
Этот вид «троянских коней» впервые появился в 1998 г., когда тысячи пользователей в Европе, загружавшие порнографическое слайд-шоу, обнаружили, что их модемы звонят по очень дорогому номеру в Республике Гана. Данная атака была занесена под №3 в список наиболее опасных случаев мошенничества в Internet, составленный Федеральной торговой комиссией (Federal Trade Commission), и считается более опасным явлением, чем телефонное пиратство и финансовые пирамиды.
Плотно закрывайте дверь
Большинство «троянских коней» посылает хакеру сигнал о своем присутствии через заданный порт TCP, поэтому правильно настроенный брандмауэр может обнаружить и заблокировать их. Списки портов, используемых популярными «троянскими конями», публикуются на специальных Web-сайтах (см. врезку «Ресурсы Internet»), некоторые из них могут даже выполнять сканирование. Однако последние версии многих вредительских программ могут менять заданный порт, усложняя их обнаружение. Антивирусное ПО также может обнаруживать «троянских коней», хотя это и связано с определенным риском. Поскольку такое ПО необходимо регулярно обновлять, компания, производящая антивирусные программы, получает доступ к вашей сети. В ноябре 2000 г. обновление ПО McAfee VirusScan компании Network Associates привело к сбою некоторых систем и потере несохраненных данных. Это произошло из- за ошибки в ПО, а не в результате умышленных действий, однако для уже скомпрометированных компаний, таких, как Microsoft, выходящих на рынок антивирусного ПО, существует риск, что отдельные «троянские кони» могут использовать данный метод нападения.
Правительство Германии считает, что Windows 2000 возможно уже является убежищем для «троянского коня». Оно дошло до того, что грозится наложить запрет на распространение данного ПО, пока Microsoft не удалит из него утилиту Disk Defragmenter (программу дефрагментации диска), в которой якобы скрывается этот опасный код. Microsoft отказалась это делать, но опубликовала на своем немецком сайте технической поддержки подробные инструкции, объясняющие пользователям, как удалить утилиту самостоятельно. Те менеджеры, которых беспокоит этот факт, должны иметь в виду, что до сих пор нет доказательств того, что упомянутый «троянский конь» вообще существует. Действительно, правительство США настолько уверено в безопасности Windows 2000, что использует это ПО во многих своих организациях, включая военные.
Виды программ-паразитов
Хотя пресса и некоторые пользователи часто называют любую вредную программу вирусом, специалисты по безопасности знают, что это не так. Вот краткое описание трех наиболее распространенных видов зловредных программ, каждая из которых может скрываться внутри «троянского коня».
Вирус (virus) представляет собой самовоспроизводящийся код, присоединяющийся к другому файлу точно так же, как настоящие вирусы прикрепляются к живым клеткам. Изначально вирусы поражали программные файлы, имеющие расширения *.com или *.exe, однако распространение языков сценариев позволило им заражать офисные документы и даже сообщения электронной почты.
«Червь» (worm) — это автономная программа, обычно воспроизводящаяся путем копирования себя на другие компьютеры в сети. Иногда их называют бактериями, поскольку они не зависят от других программ. Наибольшее распространение получила программа happy99.exe, парализовавшая множество компьютеров два года назад и все еще изредка появляющаяся — особенно под Новый год.
«Логическая бомба» (logic bomb) не воспроизводится, но может принести серьезный ущерб. Обычно это простые программы, выполняющие вредные функции, такие, как удаление пользовательских файлов при выполнении. Современный Интернет — это не только крайне полезная информационная среда, но и потенциальный источник различных опасностей, угрожающих как компьютерам простых пользователей, так и серверам. И если верить статистике, то самой серьезной из этих угроз являются вирусы, особенно так называемые троянскиекони. Происхождение этого термина известно всем еще из школьного курса истории. Он определяет подарок, который таит в себе какую-то угрозу для его получателя. В принципе это очень точно описывает данный класс зловредных программ. Эти «подарочки» могутнанести интернетчикам серьезный ущерб. Ну а для того чтобы не быть голословными, давайте мы с вами, уважаемые читатели, рассмотрим действие троянскихконей поподробнее.
Троянскиекони— это одна из самых опасных для компьютера и его владельца угроз в Интернете
Итак, как мы уже говорили, троянскиекони— это одна из самых опасных для компьютера и его владельца угроз в Интернете. Причем эти зловредные программы могутбыть чрезвычайно разнообразными. По сути, даже большинство современных интернет-червей можно отнести к троянскимконям. Описать их, как-то классифицировать — задача явно не простая. Однако есть один параметр, по которому всех троянскихконей можно очень легко распределить по разным группам. Речь идет об их предназначении, то есть фактически о том действии, которое они оказывают на компьютер-жертву. Если подойти к данному вопросу внимательно, то можно выделить целых шесть классов зловредных программ, оказывающих различное деструктивное влияние на систему жертвы.
Удаленное администрирование
Трояны, реализующие удаленное администрирование, позволяют хакеру управлять компьютером-жертвой
Сегодня можно найти немало программ, позволяющих осуществлять удаленное администрирование как отдельных компьютеров, так и целых компьютерных систем. Это очень удобные утилиты, существенно облегчающие задачу администраторов локальной сети и позволяющие экономить их время (а значит, и деньги компаний). Принцип работы таких программ прост. На удаленный ПК устанавливается специальный агент. После этого администратор может в любой момент запустить на своей машине основной модуль, подключиться к другому компьютеру и получить возможность полностью им управлять.
А теперь представьте, что пользователь персонального компьютера не знает об установленном в его системе агенте. А последний связывается не с соседней по локальной сети машиной, а с удаленным за тысячи километров ПК, за которым сидит хакер. В этом случае злоумышленник может сделать все что угодно: получить пароли, скопировать личные документы, установить любое программное обеспечение, просто перегрузить или выключить компьютер… Именно поэтому троянскиекони(фактически это агенты утилит удаленного администрирования) рассмотренного класса считаются самыми опасными. Они предоставляют злоумышленнику практически неограниченные возможности по управлению машиной жертвы.
Кража данных
Некоторые трояны могутворовать пароли пользователей
К другой крайне опасной группе троянскихконей относятся те из них, которые нацелены на воровство информации у пользователей. Особенно серьезную угрозу они представляют для владельцев домашних ПК. Казалось бы, все должно быть совсем наоборот. Ну какие могутбыть секретные данные у простых пользователей? Гораздо интересней хакерам должны быть компании, у каждой из которых полно коммерческих тайн, а их всегда можно попытаться продать конкурентам. Однако здесь есть одна проблема. Ведь троянскийконь не может самостоятельно найти файлы с секретной документацией. Кроме того, незаметно передать через Интернет сколько-нибудь существенные объемы данных довольно сложно. А вот с компьютеров домашних пользователей (зачастую менее защищенных) можно легко украсть, например, пароли для доступа в операционную систему или в Интернет.
Причем наибольшую популярность получил именно последний вариант. С помощью троянскихконей, ворующих пароли для доступа к Сети, злоумышленники, которые подключены у того же провайдера, что и жертва, могутлегко переложить свои затраты на Интернет на других людей, просто пользуясь их авторизационными данными. Кроме того, иногда встречаются зловредные программы с достаточно сложным алгоритмом, которые могутпопытаться вытащить сохраненные в браузере пароли от различных веб-сервисов, FTP-серверов и т. п.
Шпионаж
Трояны-шпионы позволяют хакеру получить подробную информацию о пользователе вплоть до его паролей к разным сервисам
Сегодня злоумышленники все чаще и чаще используют шпионаж. Суть его заключается в следующем. На компьютере жертвы устанавливается специальный агент, который, работая незаметно для пользователя, собирает определенную информацию о нем и через Интернет отправляет ее хакеру. Для такого ПО придумали даже специальный термин — spyware. Современные программы-шпионы умеют делать очень многое: вести лог нажатых человеком клавиш на клавиатуре, периодически делать скриншоты всего экрана и активного окна, записывать названия запущенных программ, открытых документов и адреса посещенных веб-страниц.
Все это позволяет злоумышленникам получить весьма подробные данные о своей жертве вплоть до паролей, необходимых для выхода в Сеть и использования различных сервисов.
Впрочем, справедливости ради стоит отметить, что подавляющее большинство троянскихконей, осуществляющих шпионаж, записывают только последовательность нажатых клавиш. Во-первых, это — самая критичная информация. Именно так можно узнать пароли пользователя, например, к различным онлайновым сервисам: электронной почте, интернет-магазинам и т. п. А получив их, злоумышленник сможет в будущем спокойно пользоваться этими ресурсами от имени жертвы. Во-вторых, список нажатых клавиш занимает относительно малый объем. А чем меньше данных, тем проще незаметно передать их на компьютер хакера.
продолжение --PAGE_BREAK--Переходы на страницы
Некоторые трояны заставляют пользователя открывать определенные веб-сайты
Сегодня в Интернете существует немало партнерских программ. Суть их заключается в следующем. Человек привлекает на сайт спонсора посетителей, за каждого из которых получает небольшое вознаграждение. В принципе партнерские программы — явление абсолютно нормальное. Но только до тех пор, пока обе стороны соблюдают правила и придерживаются общепринятых норм. Между тем многие ресурсы с контентом «только для взрослых» смотрят на действия партнеров сквозь пальцы, в результате чего происходит следующее.
Некоторые люди для получения максимального заработка используют троянскихконей. То есть они заражают компьютеры интернетчиков такими зловредными программами, которые постоянно изменяют домашнюю страницу в браузере на адрес сайта партнера, при переходе на который тут же открываются еще несколько всплывающих окон с веб-проектами спонсоров. Кроме того, такие троянскиекониспособны самостоятельно инициировать открытие заданного им адреса при наступлении некоторых событий (подключение к Интернету, открытие нового окна браузера и т. п.).
Проведение атак
Троянские кони используются для проведения DDoS-атак
Наиболее распространенным типом удаленных атак на сегодняшний день являются распределенные атаки, направленные на отказ сервера в обслуживании (DDoS-атаки). Суть их заключается в следующем. Злоумышленники обрушивают на сервер-жертву огромное множество специально созданных сетевых пакетов. В результате компьютер просто-напросто не справляется с этим потоком и перестает обрабатывать информацию, то есть становится недоступным для простых посетителей. Однако создать с одного компьютера настолько большое число потоков, чтобы полностью загрузить сервер, невозможно. Да и для хакеров это опасно.
Поэтому чаще всего злоумышленники действуют по следующей схеме. Сначала они заражают специальным троянскимконем как можно большее число машин обычных интернетчиков. Эта зловредная программа до поры до времени живет на ПК, ничем себя не выдавая и не совершая никаких деструктивных действий. Однако при получении специальной команды от управляющего центра троян активизируется и начинает отправку на указанную жертву требуемых для атаки пакетов. А поскольку таких компьютеров может быть сотни и тысячи, то нет ничего удивительного в том, что сервер «падает». В принципе для самого пользователя троянскиекониэтого класса практически не опасны. За исключением того момента, что во время их работы достаточно серьезно загружается его канал. Кроме того, мало кому из интернетчиков доставит удовольствие тот факт, что он фактически стал соучастником преступления.
Загрузка и инсталляция другого ПО
Троянскиеконимогутиспользоваться для загрузки другого зловредного ПО на компьютер пользователя и его инсталляции
В последнее время требования к зловредному ПО изменились. Если раньше все вирусы были очень маленькими, то современные троянскиеконимогутиметь достаточно большой размер. Это обусловлено большой их функциональностью (например, программы-шпионы и утилиты удаленного администрирования) и используемыми технологиями. Между тем далеко не всегда удается незаметно загрузить на компьютер пользователя такие объемы информации. Поэтому хакеры стали использовать следующий прием. Сначала ПК заражается довольно маленькой утилитой, которая устанавливает связь с определенным сервером, скачивает оттуда другое зловредное ПО, инсталлирует и запускает его. Особенно опасны в этом плане универсальные загрузчики. Они позволяет злоумышленнику устанавливать на ПК жертвы разные троянскиекониили даже целый их букет. Все зависит от того, что в данный момент лежит на указанном сервере.
Подводим итоги
Итак, как мы с вами, уважаемые читатели, убедились, современные троянскиеконидействительно представляют собой серьезную угрозу безопасности любого компьютера, подключенного к Глобальной сети. Причем необходимо учитывать, что сегодня существуют программы, относящиеся сразу к двум, трем, а то и к большему количеству классов. Такие трояны могут, например, следить за пользователем, тайно загружать и устанавливать на его компьютере другое ПО и участвовать в атаках. Между тем защититься от этой угрозы в общем-то несложно. Регулярно обновляемой антивирусной программы, правильно настроенного файрвола и периодического обновления операционной системы и используемого ПО для этого вполне достаточно.
www.ronl.ru