Какие трояны известны? Как проникают в систему?
Что такое трояны и вирусы — на самом деле
Возьмите любой хакерский фильм, и там будет обязательно что-нибудь про вирусы и трояны. На экране может выглядеть красиво и романтично, а вот как в жизни.
Сразу главное: как защититься
Вирусы, трояны и зловредные программы существуют. Дальше будет их подробное описание, но сначала — как от всего этого защититься.
- Используйте антивирусы. Они защитят от большей части вирусов, троянов и червей. Необязательно покупать самые дорогие и навороченные антивирусы, достаточно базовых версий.
- Если операционка предлагает обновление — установите его. Обновления закрывают дыры, через которые черви и вирусы могут попасть в систему.
- Используйте лицензионные платные программы, подписывайтесь на официальные музыкальные сервисы, смотрите сериалы по подписке — сейчас это недорого. Почти все зловредные программы попадают на компьютер через взломанный софт и сайты типа «Скачать сериалы без регистрации».
- Делайте резервные копии важных документов в облаке (например на «Яндекс.Диске») и на внешних носителях — флешках и жёстких дисках.
- Относитесь к фотогалерее на телефоне так, как будто её в любой момент могут опубликовать в Сети.
Лучший порядок действий при серьёзном заражении компьютера или телефона — стереть систему под ноль. Посмотрите на них и подумайте: «Что если завтра мне придётся стереть тут всё?»
Вирусы
Вирус — это программа, которая копирует сама себя против вашего желания. Также она может делать что-то вредное для вас или полезное для хакеров, но вирусом её делает именно способность к распространению.
Действуют они так.
- Вирус оказывается на компьютере — вставили заражённую флешку, скачали файл из интернета, открыли подозрительное письмо.
- С помощью механизма распространения (у каждого вируса он свой) вирус запускается и попадает в оперативную память.
- Вирус находит и заражает файлы по определённому принципу — например, все исполняемые файлы или все файлы на флешках. Если теперь заражённый файл запустить на другом компьютере, вирус раскроется и воспроизведётся там.
- Параллельно с этим вирус делает с компьютером то, что от него нужно: удаляет данные, форматирует диски, сливает ваши фотографии в Сеть, шифрует файлы или ворует пароли. Это уже необязательно и зависит от фантазии разработчика.
Черви
Эти программы похожи на вирусы, но с одним отличием — в них встроены механизмы распространения по Сети, в то время как вирус нужно переносить в файлах. Для этого черви используют уязвимости в почтовых программах, сетевых протоколах и операционных системах. Проще говоря, чтобы заразиться червём, ничего делать не надо.
Первым сетевым червём был червь Морриса. В ноябре 1988 года он заразил 6000 узлов ARPANET — будущего родителя интернета. Для того времени это была почти катастрофа, потому что червь нарушил нормальную работу сети и принёс убытков на 96 миллионов долларов.
Из недавнего — в 2010 году червь Stuxnet использовался для того, чтобы нарушить работу некоторых промышленных предприятий и собирать данные важных объектов: аэропортов, электростанций и городских систем. Этот же червь работал на иранских ядерных объектах.
Сейчас опасность червей снижается, потому что на ключевых сетевых шлюзах всё чаще стоят средства защиты: когда червь выползает в «большой интернет», его могут сразу вычислить и остановить — но только если об этом черве уже известно или он использует уже обнаруженную сетевую уязвимость.
Трояны
Трояны сами себя не копируют и не запускают, но от этого не становятся менее опасными. Название они получили в честь троянского коня, в котором греческий спецназ проник в Трою. Трояны на компьютере действуют похожим образом.
- Берётся какая-то полезная программа. Хакер добавляет в неё код трояна. Чаще всего это будет какой-нибудь взломанный пиратский софт или программа для бесплатного скачивания музыки.
- Когда пользователь запускает полезную программу, на самом деле начинают работать две: полезная, которую и хотели запустить, и вредная, которая тихо и незаметно делает что-то плохое.
- Пользователь может даже с первого раза не заметить, что что-то пошло не так. Троян может работать незаметно или «спать» до определённого момента.
- В результате троян может сделать что угодно: заблокировать компьютер, открыть доступ к нему для других компьютеров или удалить файлы.
Часто люди скачивают трояны из интернета под видом как бы нужных программ: блокировщиков рекламы, ускорителей загрузок, новейшего оптимизатора системы и прочего. Но на деле эти программы делают мало чего полезного, а риск заразить свой компьютер высок. Поэтому качайте софт только с официальных сайтов производителей и разработчиков.
В магазинах приложений для смартфонов можно встретить много загадочных программ типа «Фонарик»: они бесплатные, с одной стороны, но когда начинаешь ими пользоваться, то просят доступ к контактам, файлам, фотографиям, камере… Может ли быть так, что под видом фонарика вы получаете шпионский троян?
Шпионы
Программа-шпион собирает ваши данные и куда-то их отправляет. Самый простой вариант — ждёт, когда вы начнёте вводить данные кредитки где-нибудь в интернет-магазине, перехватывает эти данные и отправляет хакерам. Шпионы могут быть частью вируса, червя или трояна.
Что ещё могут делать шпионы:
- следить за всеми нажатыми клавишами и движениями мышки;
- делать скриншоты экрана;
- передавать ваши файлы на чужой сервер;
- записывать аудио и видео через микрофон и веб-камеру;
- смотреть за тем, какие сайты вы посещаете, чтобы продавать эти данные рекламодателям.
Если вы думаете, что никому не будет интересно за вами следить, — вы ошибаетесь. Тысячи рекламодателей по всему миру охотятся за точными данными о пользователях, и часть из них может использовать именно такой софт.
Когда начиналась лихорадка Pokemon Go, многие специалисты по безопасности тревожились: сама игрушка требовала доступ не только к камере и геолокации, но и почти ко всему телефону. Что делала эта программа на фоне, когда люди ловили покемонов?
Вымогатели и порнобаннеры
Программы-вымогатели блокируют компьютер и требуют выкуп за разблокировку или шифруют файлы и требуют выкуп за расшифровку. Они распространяются как вирусы, черви или трояны.
Программы-вымогатели создают для заработка, поэтому их цель — заставить жертву как можно скорее заплатить. Чтобы создать ощущение срочности, вымогатели могут говорить, что до уничтожения файлов осталось столько-то времени.
Могут давить на стыд: например, угрожают жертве, что на её компьютере найдено детское порно и вот-вот будет передано в полицию. Растерявшаяся жертва скорее переведёт деньги, чем будет разбираться.
Волна таких вирусов-вымогателей прокатилась по миру несколько лет назад, а самой громкой атакой было массовое распространение вымогателей Petya и NotPetya в 2016 и 2017 годах. Однако эксперты говорят, что вымогательство было лишь маскировкой, а вообще хакеры просто хотели нанести ущерб.
Переводить деньги вымогателям, конечно, нельзя: во-первых, чаще всего они не разблокируют после этого ваш компьютер; во-вторых, перевод денег лишь вдохновляет вымогателей на новые трудовые подвиги.
Рекламные зловреды
Представьте: вы работаете как обычно, а раз в 10 минут появляется рекламное окно на весь экран. Через 20 секунд оно пропадает само. Вреда немного, но бесит. Или вы заходите на сайт банка, а вас направляют на какой-то левый партнёрский сайт, где предлагают открыть кредитную карту без регистрации и СМС.
- Какой-то недобросовестный веб-мастер зарабатывает на открутке рекламы и привлечении людей на сайты.
- Так как он недобросовестный, ему плевать на качество аудитории. Ему главное — чтобы реклама была показана.
- Он создаёт рекламный вирус, который заражает всё подряд и откручивает на компьютерах жертв нужную рекламу.
- За каждый показ веб-мастер получает какую-то копейку.
- С миру по копейке — мёртвому на костюм (как-то так говорят).
Сами по себе рекламные зловреды несложные в изготовлении и чаще всего распространяются по троянской модели: тебе предлагают какую-нибудь программу типа «Скачай музыку из ВКонтакте», а вместе с ней в систему устанавливается рекламный троян. Причём при удалении программы для музыки троян остаётся.
Важно сказать, что реклама, которую показывают такие трояны, совершенно необязательно будет от недобросовестных рекламодателей. Например, на скриншоте ниже вылезла реклама 1XBet — но это не значит, что эта фирма причастна к созданию зловреда. Скорее всего, она разместила рекламу на какой-то сомнительной (но легальной) площадке. Хакеры зарегистрировались на этой площадке как рекламный сайт, а вместо сайта внедрили рекламу в зловред. И теперь они зарабатывают, откручивая рекламу там, где её быть не должно.
Ботнеты
Ботнеты — это группы компьютеров, которые управляются из одной точки и делают то, что нужно хозяину ботнета. Если ваш компьютер станет частью ботнета, то незаметно для вас его могут использовать для атак на другие сайты, отправки спама или ещё чего похуже.
Например, сто тысяч человек скачали приложение «Бесплатные сериалы». Вместе с приложением (которое могло вообще не работать) на их компьютер установился невидимый сервис. Он никак себя не проявляет и ждёт команды из «центра».
В какой-то момент в «центр» поступает заказ завалить какой-нибудь сайт — например, политического оппонента. «Центр» даёт команду своему ботнету: «Сделайте миллион запросов на такой-то сайт». И весь ботнет, все сто тысяч компьютеров начинают это делать. Сайт перегружается и перестаёт работать. Это называют DDoS-атакой — Distributed Denial of Service. Всё равно что всем москвичам сказали бы сходить в «Ашан» за гречкой, а если гречка закончится — без скандала не уходить.
Если ваш компьютер был частью ботнета, вы можете об этом даже никогда не узнать, потому что все запросы происходят в фоновом режиме. Но ущерб от массового ботнета может быть существенным.
Ботнеты делают не только на стационарных компьютерах, но и на смартфонах. Представьте: десять-двадцать миллионов смартфонов в огромном ботнете, которые будут совершать несколько сотен запросов в секунду на протяжении многих часов. Очень опасное оружие.
Майнеры
Ботнеты нужны от случая к случаю, а криптовалюта — всегда. Можно совместить приятное с полезным: добавить в программу возможности майнинга криптовалют. Один компьютер вряд ли намайнит злоумышленнику целый биткоин, но миллион компьютеров в ботнете — смогут.
Вред майнера в том, что он под завязку загружает ваш процессор, из-за чего снижается его срок службы, а сам компьютер начинает тормозить. А если у вас ноутбук, который работает от батареи, то посадить её майнер может за полчаса.
Майнеры встраивают внутрь взломанных программ. Из последнего — хакеры взломали музыкальную программу Ableton Live и раздавали её бесплатно, но на борту работал майнер. Ещё иногда можно встретить майнеры на сайтах.
Разумеется, вы никогда не встретите майнер в официальном софте и на официальных сайтах. Вся эта грязь и погань живёт только в царстве халявы, взломанных программ и сериалов без СМС. Будьте осторожны.
Блоатвар
Допустим, вы решили покачать торренты. Само по себе это не преступление, поэтому вы идёте на сайт популярного торрент-клиента и скачиваете приложение. Открывается официальный установщик, вы быстро прокликиваете все экраны. Потом глядь — у вас на компьютере объявилась какая-то новая система безопасности, вместо стандартного браузера теперь «Опера», а в панели программ появились какие-то новые ребята. Откуда это?
Если посмотреть внимательно, окажется, что при установке торрент-клиента вы незаметно для себя не сняли галочки с попутной установки всего остального. И теперь у вас в памяти целый зоопарк из ненужного софта — bloatware.
Если у вас высокий уровень компьютерной грамотности, скорее всего, вы сможете удалить все внезапно налетевшие программы. А если под атаку попали ваши родители или дети, они могут не сориентироваться.
Сам по себе блоатвар не всегда опасен: это могут быть обычные программы разной степени полезности.
Бонус
Напоследок посмотрите, как работает антивирус в разных ситуациях:
- при распаковке программы с вирусом;
- при запуске вируса;
- что будет, если запустить вирус, а потом включить антивирус — обезвредит или нет?
Трояны: какие бывают, и чем занимаются?
Какие бывают трояны? Основные типы и чем они занимаются ?
После того, как мы познакомились с определением Что такое троян и чем они отличаются от прочих зловредов, в этой статье рассмотрим основные типы троянов, как они попадают на ваш компьютер, чем отличаются друг от друга и на что нужно обратить внимание пользователю. Каждый из них мы рассмотрим отдельно чуть позже.
Трояны на Command Shell. Их основное направление – предоставить контроль над командным процессором компьютера жертвы. Самый из известных типов троян Netcat.
Троян-вложение, маскирующийся в документе под файл-приложение. Троян вкладывается в документ, например, документ PDF. Документ открывается – троян запускается. Частое применение RAT-троянов и какой ущерб RAT троян способен причинить вашему компьютеру.
Почтовый троян. Хакеры получают контроль над компьютером жертвы после отправки сообщения. Фактически никакие средства персональной защиты (например, ни шатко, ни валко настроенный фаервол) помешать ему не смогут. Теперь хакер через почтовые команды может рыскать по папкам и директориям, прикрываясь «официально» запущенным процессом. Самые известные среди таких – RemoteByMail троян.
Троян-искажатель. Или исказитель, поправьте меня… Суть проста: вы думаете, что запускаете утилиту Калькулятор от Windows (calc.exe) – запускается троян. Однако, точь в точь похожий на родной калькулятор. В создании искажателей используется особый вид программ-редакторов, позволяющих просматривать, редактировать, извлекать и заменять целые цепочки в коде «родной» программы на нужные взломщику. Причём программа-троян может не иметь по функционалу ничего общего с настоящей, но благодаря возможности выудить с помощью редакторов иконки, символы Windows, от реальной утилиты трояна не отличить: те же фреймы, диалоговые окна – всё натурально. Типичный представитель таких троянов Restorator.
Трояны – ботнеты. В этом случае понятие трояна перемежуется с понятием вирус. Но, конечно, дело не в терминологии. Причина этого в том, что троян заражает огромное количество машин (по идее, чем больше, тем лучше и здесь важно не столько количество машин, сколько диапазон IP адресов и под-сетей). И создаётся собственная сеть из заражённых компьютеров, в каждом из которых сидит троян, ждущий команды из своеобразного командного центра. В час Х по команде сверху с вашего компьютера (или через него) пойдут DDOS атаки на сайты, спам-рассылки по почтовым адресам и прочее. Самая известная среди программ ботнет-создателей Illusion Bot и NetBot Attacker.
Прокси-трояны. Этот вид троянов устанавливается на компьютер жертвы с одной целью – использовать компьютер ничего не подозревающего пользователя в качестве прокси, используя его IP и MAC адреса предающих устройств. Используя эту технику, можно заразить тысячи машин, а владельцы и подозревать о том не будут. Самый известный представитель троянов в своём роде имеет названием вот такое: W3bPrxy Trj4nCr34tr .
FTP-трояны ставят на компьютер жертвы FTP серверы. После установки в системе распахиваются FTP порты. Теперь взломщик может скачать с вашего компьютера абсолютно любой файл. Типичный представитель троянов: TinyFTPD.
VNC троян. Системой идентифицируется в качестве отдельно запускаемого приложения, так что вполне вероятно, антивирус может на него внимания не обратить. Подключается в машине жертвы через просмотрщик VNC . И скрытым процессом запускается сервер. В числе их WinVNC и VNC Stealer.
HTTP(S) трояны в идеальном их виде способны проникать сквозь фаервол системы и работать в противоположном направлении в прямом коридоре протокола передачи данных HTTP. Троян активирует некое приложение, которое определяется фаерволом системы как программа, запущенная от имени пользователя. И потому проходит незаметно для пользователя. Типичный представитель троянов – HTTP Rat.
SHTTPD трояны. SHTTPD – это малюсенький HTTP сервер, упакованный хакером в программу, предлагаемую для скачивания. Как только вы запустите программу, начнёт работать и троян, превращая компьютер в незаметный для пользователя сервер.
CCTT трояны. ССТТ – от английских Covert Channel Tunneling Tool – инструмент прокладки скрытого канала. Использует целый спектр техник эксплойта, создавая случайные каналы передачи данных в их общем потоке, инициированного системой контроля доступа к сети. Это позволит хакеру создать дополнительную серверную оболочку с доступом из внутренней сети (и наоборот), создавая каналы передачи данных по протоколам HTTP, TCP и UDP между внешним сервером и программным блоком (что в него входит, разберём отдельно) внутренней сети.
Банковский троян. Слово «банковский» не является точным определением, а лишь выделяет трояны этого типа по общей схеме работы с жертвами. Он, троян, не может быть всеобъемлемым, и на разных этапах обмана «подключает» различные техники и инструменты. Задача же банковских троянов очевидна – выудить финансовую информацию о жертве. Сложность их реализации состоит не столько в техническом исполнении, сколько в правильном применении техники социальной инженерии. Жертва не должна почуять подвох и забить тревогу раньше времени ни на одном из этапов взлома: от перехвата личных вводимых пользователем идентификационных данных и подделки онлайн страниц интернет-приложений банков до компрометирования форм обратной связи в текущем окне браузера жертвы. Так что рассмотрим старого приятеля Zeus.
Деструктивные трояны. Деньги не воруют, но ущербом от их заражения может послужить крах операционной системы вцелом: от форматирования локальных и сетевых томов до затирания загрузочной записи Windows. Пакость таких троянов усугубляется простотой команд: они могут быть написаны на простых языках типа VBScript и не определяться антивирусом. Пример такого трояна, который способен проникнуть на компьютер и, не обнаружив себя, предоставить хакеру полный к системе, доступ я привожу в статье Как написать троян на VBScript?
Трояны-уведомители. Его цель – отослать хакеру расположение IP адреса жертвы всякий раз, когда он выходит в сеть. Для этого используются различные каналы: «аськи», почта, net команды и т.д.
Трояны-кредитки. Могут входить в состав банковских, специализируясь на воровстве данных, содержащихся на титуле банковской карты: её номер, три цифры CVV2, деталей банковского счёта. Часто для этого применяются поддельные сайты, внешний облик которых напоминает интернет-банк жертвы, созданный с одной лишь целью: заставить человека ввести нужную информацию в соответствующих полях.
Трояны – шифровальщики или блокеры. Их задача: шифрование определённых расширений файлов, что вызывает невозможность прочесть и открыть целые директории, содержащие важные для вас данные. Или речь идёт о блокировании системы в целом. Этот же троян будет содержать и окно с предложением выкупа за обратимость изменений. Если вариант с блокировщиком Windows базируется на блокировании и подмене некоторых файлов (что легко лечится), то атака шифрованием лечению часто не поддаётся – вакцина хранится только у хакеров. Если вообще есть. Потому и мало готовых решений для рассмотрения конкретных примеров – обычно это конкретные языки программирования типа С.
Трояны шпионы. Основная их задача – шпионство. Один из самых ярких представителей, модифицируемых от одного взломщика к другому, PhoneSnoop. Изначально был нацелен на коммуникаторы премиум класса семейства BlackBerry – одну из самых рекламируемых марок в США (в России малоизвестную). Принцип действия таков: на коммуникатор, заражённый PhoneSnoop-ом с определённого номера проходит звонок, троян автоматически поднимает трубку и сразу переходит на домашнюю страницу устройства, не вызывая подозрений хозяина. Хакер теперь слышит происходящее.
Ладно, хватит. Пока вы тут читали, трояны разрабатывались кем-то в поте лица, и их стало ещё больше. Не теряйте бдительности.
Троянская программа: как защититься и удалить ее
Иногда под видом легального ПО (программного обеспечения) в компьютер проникает вредоносная программа. Независимо от действий пользователя, она самостоятельно распространяется, заражая уязвимую систему. Троянская программа опасна тем, что вирус не только разрушает информацию и нарушает работоспособность компьютера, но и передает ресурсы злоумышленнику.
Что такое троянская программа
Как известно из древнегреческой мифологии, в деревянном коне, который был дан в дар жителям Трои, прятались воины. Они открыли ночью городские ворота и впустили своих товарищей. После этого город пал. В честь деревянного коня, уничтожившего Трою, была названа вредоносная утилита. Что такое троянский вирус? Программа с этим термином создана людьми для модификации и разрушения информации, находящейся в компьютере, а также для использования чужих ресурсов в целях злоумышленника.
В отличие от других червей, которые распространяются самостоятельно, она внедряется людьми. По своей сути, троянская программа – это не вирус. Ее действие может не носить вредоносный характер. Взломщик нередко хочет проникнуть в чужой компьютер лишь с целью получения нужной информации. Трояны заслужили плохую репутацию из-за использования в инсталляции программ для получения повторного внедрения в систему.
Особенности троянских программ
Вирус троянский конь – это разновидность шпионского ПО. Основная особенность троянских программ – это замаскированный сбор конфиденциальной информации и передача третьей стороне. К ней относятся реквизиты банковских карт, пароли для платежных систем, паспортные данные и другие сведения. Вирус троян по сети не распространяется, не производит уничтожение данных, не делает фатального сбоя оборудования. Алгоритм этой вирусной утилиты не похож на действия уличного хулигана, который все на своем пути разрушает. Троян – это диверсант, сидящий в засаде, и ждущий своего часа.
Виды троянских программ
Троянец состоит из 2 частей: серверной и клиентской. Обмен данными между ними происходит по протоколу TCP/IP черед любой порт. На работающем ПК жертвы инсталлируется серверная часть, которая работает незаметно, а клиентская – находится у владельца или заказчика вредоносной утилиты. Для маскировки трояны имеют названия, аналогичные офисным, а их расширения совпадают с популярными: DOC, GIF, RAR и прочие. Виды троянских программ разделяются в зависимости от типа действий, выполняемых в компьютерной системе:
- Trojan-Downloader. Загрузчик, который устанавливает на ПК жертвы новые версии опасных утилит, включая рекламные модули.
- Trojan-Dropper. Дезактиватор программ безопасности. Используется хакерами для блокировки обнаружения вирусов.
- Trojan-Ransom. Атака на ПК для нарушения работоспособности. Пользователь не может осуществлять работу на удаленном доступе без оплаты злоумышленнику требуемой денежной суммы.
- Эксплойт. Содержит код, способный воспользоваться уязвимостью ПО на удаленном или локальном компьютере.
- Бэкдор. Предоставляет мошенникам удаленно управлять зараженной компьютерной системой, включая закачивание, открытие, отправку, изменение файлов, распространение неверной информации, регистрацию нажатий клавиш, перезагрузку. Используется для ПК, планшета, смартфона.
- Руткит. Предназначен для сокрытия нужных действий или объектов в системе. Основная цель – увеличить время несанкционированной работы.
Какие вредоносные действия выполняют троянские программы
Трояны – сетевые монстры. Заражение происходит с помощью флешки или другого компьютерного устройства. Основные вредоносные действия троянских программ – это проникновение на ПК владельца, загрузка его личных данных на свой компьютер, копирование файлов, похищение ценной информации, наблюдение за действиями в открытом ресурсе. Полученная информация используется не в пользу жертвы. Самый опасный вид действий – полный контроль над чужой компьютерной системой с функцией администрирования зараженного ПК. Мошенники незаметно проводят те или иные операции от имени жертвы.
Как найти троян на компьютере
Определяются троянские программы и защита от них, в зависимости от класса вируса. Можно делать поиск троянов с помощью антивирусов. Для этого надо скачать на жесткий диск одно из приложений типа Kaspersky Virus или Dr. Web. Однако следует помнить, что не всегда скачивание антивирусника поможет обнаружить и удалить все трояны, ведь тело вредоносной утилиты может создавать много копий. Если описанные продукты не справились с задачей, то вручную просмотрите в реестре своего ПК такие каталоги, как runonce, run, windows, soft , чтобы проверить на предмет зараженных файлов.
Удаление троянской программы
Если ПК заражен, его необходимо срочно лечить. Как удалить троян? Воспользоваться бесплатным антивирусом Касперского, Spyware Terminator, Malwarebytes или платным софтом Trojan Remover. Эти продукты отсканируют, покажут результаты, предложат убрать найденные вирусы. Если снова появляются новые приложения, показывается закачка видеопрограмм или создаются снимки экрана, значит, удаление троянов прошло безуспешно. В этом случае следует попробовать загрузить утилиту для быстрого сканирования зараженных файлов с альтернативного источника, к примеру, CureIt.
Защита от троянских программ
Легче предотвратить попадание вируса на ПК, чем его лечить. Главная защита от троянов – это установка эффективных ПО, которые способны обезвредить атаку вредоносных утилит. Помимо этого, защититься от проникновения троянцев помогут следующие действия:
- обновляемый периодически антивирус;
- всегда включенный брандмауэр;
- регулярно обновляемая операционная система;
- использование информации только с проверенных источников;
- запрет на переход на сомнительные сайты;
- использование разных паролей для сервисов;
- адреса сайтов, где есть учетная запись с ценными данными лучше вводить вручную.
Видео: троянский вирус
Нашли в тексте ошибку? Выделите её, нажмите Ctrl + Enter и мы всё исправим!
SetupComp
Основные виды троянов
Как думаете, насколько безопасны прогулки по Интернету для Ваших личных информационных данных? Ведь чем больше человек переносит свою повседневную деятельность, будь то общение, работа, учеба или развлечения в виртуальное пространство, тем больше личной информации, приходиться доверять Интернету. А от нее быть зависит личностное финансовое или психическое состояние. В этой статье я затрону такую опасный фактор в Интернете, связанную с хищением личных данных, как троянские программы или попросту говоря трояны.
Целью этих маленьких сетевых монстров является незаметное проникновение в систему пользователя и наблюдение за его действиями или сканирование файлов компьютера на предмет наличия данных о паролях к различным сервисам, а также кража сведений о кредитных картах и электронных кошельках. Существуют и такие трояны, которые предоставляют их хозяевам полный контроль над зараженной машиной, что позволяет практически незаметно действовать в сети от имени самого пользователя. К примеру, можно проводить различные финансовые операции по снятию и перечислению денег со счетов, принадлежащих пользователю.
Два основных вида троянов
1. Бекдоры
Этот вид троянов представляет их себя обычные клиент-серверные приложения. На компьютер жертвы внедряется серверная, управляющая часть вредоносной программы. Такой модуль, обычно малого размера, открывает в системе пользователя сетевой порт для свободного доступа хакеру. Таким образом, появляется некий проход, через который, в последствии, злоумышленник, без лишних сложностей, попадет в систему пользователя. Но хакеру нужно еще узнать об открытии этой лазейки. Для этого он обычно запускает программу-сканер, которая прозвонит определенный ряд сетевых адресов и сообщит о тех из них, где вход в систему будет возможен в следствии удачного заражения трояном (то есть будут найдены открытые трояном в системе порты). Возможно также, что при успешном внедрении трояны сами сообщают хозяину о зараженном компьютере и его адресе в сети Интернет. Однако в таком случае возрастает и риск обнаружения трояна.
При любом раскладе злоумышленнику достаточно запустить у себя вторую часть программы, называемую клиентом, которая произведет соединение с программой сервером на компьютере жертвы и передаст управление системой прямо в руки хакера. Тут уж, в зависимости от функционала троянской программы, в системе пользователя можно будет делать все то же самое, что может позволить себе и он сам.
2. Майлеры
Не менее опасный вид троянов-шпионов называют майлерами. Отличаются они от бекдоров большей самостоятельностью и скрытностью. Майлеры не открывают лазейки в системе, они сами собирают информацию о данных, в которых заинтересован их хозяин, например о различных паролях. Эти типы троянов могут тихо и постепенно сканировать вашу систему в поисках нужной информации, а могут и просто следить за всеми действиями пользователя, такими как нажатие клавиш клавиатуры в определенные моменты.
По окончании сбора данных вся информация будет отправлена на некий ресурс в сети, принадлежащий хакеру. Обычно в качестве такого ресурса выступает старая добрая электронная почта, отсюда и название этого типа троянов – майлеры, от слова майл или mail, обозначающего почту.
Как трояны проникают на компьютер пользователя
В подавляющем большинстве случаев виновником проникновения заразы в систему является сам пользователь. Я хочу сказать, что вредоносные программы в основном запускаются либо от руки пользователя, либо по причине его бездействия в правилах элементарной информационной безопасности. Вы спросите, каким же надо быть идиотом невнимательным, чтобы собственноручно запустить вирус у себя на машине. Однако не все так просто. Вспомните, как древним данайцам удалось подсунуть в Трою своего коня. Город был хорошо защищен и не имел видимых уязвимостей, которые можно было бы найти. Охотливые до подарков троянцы с радостью приняли деревянное животное и сами привезли в свой город погибельный презент. Так же и хакер, пытаясь подсунуть троянскую программу пользователю, применяет всевозможные психологические техники, в простонародье называемые методом ловли на халяву. В далеком прошлом автор этих строк и сам имел неосторожность попасться в подобную ловушку.
Одной из самых действенных техник на сегодня является внедрение зловредного кода в редкие или дорогостоящие программные продукты и преподнесение их пользователю в качестве бесплатного подарка для скачивания. Чаще всего хакеры любят скрывать свои вирусы в тех информационных ресурсах, бесплатный доступ к которым обычно ограничен по тем или иным причинам. Это относится и к веб-сайтам с каталогами бесплатных программ, которые на прилавках обычно стоят весьма недешево. Не нужно пытаться искать бесплатный доступ к тем продуктам, которые официально распространяются только с коммерческими целями. Предоставляя возможность халявного скачивания таких продуктов, мошенники ловят в свои сети многих доверчивых любителей бесплатного сыра.
Надо сказать, что поймать трояна в сети можно даже в том случае, когда Вы абсолютно бездействуете в Интернете. Достаточно лишь того факта, что в этот момент Ваша система имеет активное Интернет-подключение. Вредоносный код сам может найти путь к системе незадачливого пользователя через так называемые дыры, которые он в ней может обнаружить. Дырами при этом можно считать ошибки в операционной системе и программных продуктах, запущенных в ней, благодаря которым хакер может самостоятельно запустить торян или любую другую вредоносную программу для заражения системы. Но это уже вопрос того, какими правилами Вы будете руководствоваться выстраивая информационно-техническую защиту своих данных.
Как защититься от троянов.
Спешу сообщить что не все так мрачно как может показаться на первый взгляд. Соблюдая основные правила безопасности при подключении к сети и серфинга в Интернете можно многократно снизить риск заражения Вашей системы. Злоумышленникам нет резона целенаправленно охотиться конкретно за Вашими секретными данными, им вполне хватает и тех пользователей, которые своим пренебрежением к информационной безопасности попадают в их ловушки. Приведу список рекомендаций к информационной безопасности, которыми должен руководствоваться каждый, кто взаимодействует с Интернетом или другими сетями и хочет защитить свои данные и свою систему от проникновения троянов и других зловредов.
1. Установи и периодически обновляй антивирус.
Сейчас практически все антивирусы поддерживают ежедневное обновление в автоматическом режиме, а иные еще и умеют обновлять свои программные модули при выпуске новых версий. После установки обязательно проверь настройки автоматических обновлений. Программе ничего не должно мешать при скачивании обновленных вирусных баз данных из сети. Раз в неделю желательно проводить полное сканирование всей системы на вирусы. Хорошие коммерческие антивирусы весьма успешно справляются с любыми троянами.
2. Держи брандмауэр всегда включенным.
Конечно стандартный брандмауэр Windows лучше чем вообще ничего, но в идеале рекомендую установить брандмауэр стороннего производителя с функцией извещения о попытках той или иной программы переслать данные через Интернет.
3. Обновляй операционную систему.
Устаревшие модули операционной системы это лакомые кусочки для всех видов вирусов, в том числе и троянов. Разработчики операционных систем постоянно улучшают их защиту и обновляют свои модули с целью обеспечения лучшей защиты от сетевой заразы. Будет намного безопасней, если Ваша операционная система настроена на автоматическое обновление. Если по какой-либо причине у Вас нет возможности использовать коммерчески лицензионную версию операционки и приходиться работать под нелегальной ее копией, Вы подвергаете себя опасности, в следствии того, что такая система не может качественно обновляться. В таком случае рекомендую изучить основы работы в любой бесплатной Linux подобной системе и переходить на нее.
4. Обновляй свое программное обеспечение с появлением новых версий.
Особенно это касается программ, которые, так или иначе, взаимодействуют с Интернетом. В первую очередь это качается браузеров, почтовых программ, даунлойдеров и движков для проигрывания Flash роликов. В большинстве случаев все эти программы настроены на самостоятельное извещение пользователя о появлении новых версий, а некоторые могут производить такие обновления и самостоятельно в скрытом режиме. Но надо иметь в виду, что предложения о обновлении программ, которые Вы можете увидеть на различных сайтах не нужно принимать вообще. Дело в том, что такие сообщения об обновлении можно запросто подделать на взломанном веб-ресурсе. Неискушенный в таких делах пользователь может просто не заметить подлога и запустить вместе с обновлением прикрепленный к нему вирус. Однако отказываться от обновлений совсем было бы глупо, поэтому если Вы не уверены в источнике, предлагающем новую версию, лучше перейдите на официальный сайт нужной программы и скачайте обновление оттуда.
5. Пользуйтесь программным обеспечением только с проверенных источников.
Таковыми являются официальные сайты разработчиков или крупные, хорошо себя зарекомендовавшие софтверные порталы. Перед запуском новой программы обязательно просканируйте ее антивирусом. Свое мнение, о взломанных программах я уже излагал выше.
6. Никогда не переходите на сомнительные веб-сайты.
Особенно это касается сайтов, ссылки на которые сулят заманчивые предложения вроде “Бесплатные развлечения для взрослых”, “халявные коммерческие программы”, “такого вы еще никогда не видели” и тому подобные. Если Вам хочется бесцельно посерфить по Интернету пользуйтесь ссылками из крупных Интернет-каталогов.
7. Адреса сайтов, на которых храниться Ваша учетная запись с ценной информацией лучше вводить вручную.
В виду широкого применения фишинговых методов хищения информации, пользователь по ссылке рискует перейти на точную копию подставного сайта и передать свой пароль злоумышленникам. При качественно проведенной фишинговой атаке, пользователь даже не узнает об этом. Тренируйте вашу память и используйте ввод наиболее важных адресов в адресную строку браузера ручным методом.
8. Не используйте одинаковые пароли для разных сервисов.
В идеале рекомендую периодически менять пароли на особо важных для Вас интернет-ресурсах. При регистрации на новом сервисе, где требуется указывать адрес электронной почты, никогда не используйте пароль схожий с паролем от указанного электронного ящика, если он Вам хоть чем-то дорог. Если паролей накопилось очень много, можно использовать специализированные программы хранения паролей или записывать их в отдельном бумажном блокноте.
9. Не работайте под административной учетной записью в операционной системе.
Запомните, что проникнув в вашу систему, троян может произвести только те действия, что позволены правилами текущей учетной записи. Если в этот момент будет активна учетная запись администратора, вирусный код сможет перехватить все доступные в системе ресурсы с целью наиболее плодотворной своей работы и скрытия от антивирусов. Естественно, что административная учетная запись обязательно должна быть под надежным паролем.
Вот собственно и все достаточно несложные правила, соблюдая которые Вы вряд ли столкнетесь с таким явлением в Интернете как трояны.
Классификация вирусов
Трояны
Приведем интуитивное определение троянской программы или трояна.
Жизненный цикл
В силу отсутствия у троянов функций размножения и распространения, их жизненный цикл крайне короток – всего три стадии:
- Проникновение на компьютер
- Активация
- Выполнение заложенных функций
Это, само собой, не означает малого времени жизни троянов . Напротив, троян может длительное время незаметно находиться в памяти компьютера, никак не выдавая своего присутствия, до тех пор, пока не будет обнаружен антивирусными средствами.
Способы проникновения
Задачу проникновения на компьютер пользователя трояны решают обычно одним из двух следующих методов.
Маскировка — троян выдает себя за полезное приложение, которое пользователь самостоятельно загружает из Интернет и запускает. Иногда пользователь исключается из этого процесса за счет размещения на Web-странице специального скрипта, который используя дыры в браузере автоматически инициирует загрузку и запуск трояна.
Одним из вариантов маскировки может быть также внедрение злоумышленником троянского кода в код другого приложения. В этом случае распознать троян еще сложнее, так как зараженное приложение может открыто выполнять какие-либо полезные действия, но при этом тайком наносить ущерб за счет троянских функций.
Распространен также способ внедрения троянов на компьютеры пользователей через веб-сайты. При этом используется либо вредоносный скрипт, загружающий и запускающий троянскую программу на компьютере пользователя, используя уязвимость в веб-браузере, либо методы социальной инженерии – наполнение и оформление веб-сайта провоцирует пользователя к самостоятельной загрузке трояна. При таком методе внедрения может использоваться не одна копия трояна, а полиморфный генератор, создающий новую копию при каждой загрузке. Применяемые в таких генераторах технологии полиморфизма обычно не отличаются от вирусных полиморфных технологий.
Кооперация с вирусами и червями — троян путешествует вместе с червями или, реже, с вирусами. В принципе, такие пары червь- троян можно рассматривать целиком как составного червя, но в сложившейся практике принято троянскую составляющую червей, если она реализована отдельным файлом, считать независимым трояном с собственным именем. Кроме того, троянская составляющая может попадать на компьютер позже, чем файл червя.
Нередко наблюдается кооперация червей с вирусами, когда червь обеспечивает транспортировку вируса между компьютерами, а вирус распространяется по компьютеру, заражая файлы.
Активация
Здесь приемы те же, что и у червей: ожидание запуска файла пользователем, либо использование уязвимостей для автоматического запуска.
Выполняемые функции
В отличие от вирусов и червей, деление которых на типы производится по способам размножения/распространения, трояны делятся на типы по характеру выполняемых ими вредоносных действий. Наиболее распространены следующие виды троянов .
Клавиатурные шпионы — трояны, постоянно находящиеся в памяти и сохраняющие все данные, поступающие от клавиатуры с целью последующей передачи этих данных злоумышленнику. Обычно таким образом злоумышленник пытается узнать пароли или другую конфиденциальную информацию.
Пример. В прошлом, буквально пару лет назад еще встречались клавиатурные шпионы , которые фиксировали все нажатия клавиш и записывали их в отдельный файл. Trojan -Spy.Win32.Small.b, например, в бесконечном цикле считывал коды нажимаемых клавиш и сохранял их в файле C:SYS
Современные программы-шпионы оптимизированы для сбора информации, передаваемой пользователем в Интернет, поскольку среди этих данных могут встречаться логины и пароли к банковским счетам, PIN-коды кредитных карт и прочая конфиденциальная информация, относящаяся к финансовой деятельности пользователя. Trojan -Spy.Win32.Agent.fa отслеживает открытые окна Internet Explorer и сохраняет информацию с посещаемых пользователем сайтов, ввод клавиатуры в специально созданный файл servms.dll с системном каталоге Windows.
Похитители паролей — трояны, также предназначенные для получения паролей, но не использующие слежение за клавиатурой. В таких троянах реализованы способы извлечения паролей из файлов, в которых эти пароли хранятся различными приложениями.
Утилиты удаленного управления — трояны, обеспечивающие полный удаленный контроль над компьютером пользователя. ‘ Существуют легальные утилиты такого же свойства, но они отличаются тем, что сообщают о своем назначении при установке или же снабжены документацией, в которой описаны их функции. Троянские утилиты удаленного управления , напротив, никак не выдают своего реального назначения, так что пользователь и не подозревает о том, что его компьютер подконтролен злоумышленнику. Наиболее популярная утилита удаленного управления – Back Orifice.
Люки (backdoor) — трояны предоставляющие злоумышленнику ограниченный контроль над компьютером пользователя. От утилит удаленного управления отличаются более простым устройством и, как следствие, небольшим количеством доступных действий. Тем не менее, обычно одними из действий являются возможность загрузки и запуска любых файлов по команде злоумышленника, что позволяет при необходимости превратить ограниченный контроль в полный.
Пример. В последнее время backdoor-функционал стал характерной чертой червей. Например, Email- Worm .Win32.Bagle.at использует порт 81 для получения удаленных команд или загрузки троянов , расширяющих функционал червя.
Есть и отдельные трояны типа backdoor. Троян Backdoor.win32.Wootbot.gen использует IRC-канал для получения команд от “хозяина”. По команде троян может загружать и запускать на выполнение другие программы, сканировать другие компьютеры на наличие уязвимостей и устанавливать себя на компьютеры через обнаруженные уязвимости.
Анонимные smtp-сервера и прокси — трояны, выполняющие функции почтовых серверов или прокси и использующиеся в первом случае для спам-рассылок, а во втором для заметания следов хакерами.
Утилиты дозвона — сравнительно новый тип троянов , представляющий собой утилиты dial-up доступа в Интернет через дорогие почтовые службы. Такие трояны прописываются в системе как утилиты дозвона по умолчанию и влекут за собой огромные счета за пользование Интернетом.
Модификаторы настроек браузера — трояны, которые меняют стартовую страницу в браузере, страницу поиска или еще какие-либо настройки, открывают дополнительные окна браузера, имитируют нажатия на баннеры и т. п.
Логические бомбы — чаще не столько трояны, сколько троянские составляющие червей и вирусов, суть работы которых состоит в том, чтобы при определенных условиях (дата, время суток, действия пользователя, команда извне) произвести определенное действие: например, уничтожение данных
Троянские программы (Trojans)
Троянская программа (Trojan) — это вредоносный агент, основное отличие которого от классического вируса состоит в методе распространения: обычно он проникает в систему под видом обычной, легитимной программы, чем и обусловлена традиция называть его «троянским конем». После проникновения он способен на многое: может собирать информацию об устройстве и его владельце, воровать хранящиеся на компьютере данные, блокировать доступ к пользовательской информации, выводить операционную систему из строя и т.п.
Классификация троянских программ
Одним из вариантов классификации является деление на следующие типы:
- RAT (Remote Access / Administration Tool)
- Вымогатели
- Шифровальщики
- Загрузчики
- Дезактиваторы систем защиты
- Банкеры
- DDoS-трояны
RAT — это троянская программа (trojan), предназначенная для шпионажа. После установки в систему она предоставляет злоумышленнику широкий спектр возможностей: захват видео с экрана жертвы, доступ к файловой системе, запись видео с веб-камеры и звука с микрофона, кража идентификационных файлов браузера (cookie), установка других программ и т.д. В качестве примеров можно назвать DarkComet или AndroRAT.
Вымогатели — разновидность вредоносных объектов, которые блокируют доступ к системе или данным, угрожают пользователю удалением файлов с компьютера или распространением личных данных жертвы в интернете и требуют заплатить выкуп, чтобы избежать таких негативных последствий. Пример подобного поведения — семейство WinLock.
Шифровальщики — усовершенствованная разновидность вымогателей, которая использует криптографию в качестве средства блокировки доступа. Если в случае с обычным «винлокером» можно было просто удалить вредоносную программу и тем самым вернуть себе доступ к информации, то здесь уничтожение самого шифровальщика ничего не дает — зашифрованные файлы остаются недоступными. Впрочем, в некоторых случаях антивирусное ПО может восстановить данные. Пример шифровальщика — CryZip.
Загрузчики — вид вредоносных агентов, которые предназначены для загрузки из интернета других программ или файлов. Пример — Nemucode.
Дезактиваторы систем защиты — это троянские программы, которые удаляют или останавливают антивирусы, сетевые экраны и другие средства обеспечения безопасности.
Банкеры — разновидность «троянских коней», специализирующаяся на краже банковских данных (номер счета, PIN-код, CVV и т.д.).
DDoS-трояны (боты) — вредоносные программы, которые используются хакерами для формирования ботнета с целью проведения атак типа «отказ в обслуживании».
Все трояны загружаются в систему под видом легального программного обеспечения. Они могут специально загружаться злоумышленниками в облачные хранилища данных или на файлообменные ресурсы. Также троянские программы могут попадать в систему посредством их установки инсайдером при физическом контакте с компьютером. Кроме того, их часто распространяют посредством спам-рассылок.
Объект воздействия троянских программ
Чаще всего цель такого вредоносного агента — обычный ПК и его пользователь, но возможны инциденты и в корпоративной среде. Существует вероятность спам-рассылки с целью заражения множества компьютеров для формирования ботнета. Некоторые троянские программы «вшиваются» в легальное ПО и не мешают его функционированию; таким образом, жертва даже не замечает их действий в системе. Кроме персональных компьютеров, злоумышленник может заразить мобильные устройства с целью шпионажа за жертвой или для кражи ее конфиденциальной информации.
Источник угрозы
Источником угрозы могут являться файлообменники и торрент-трекеры, на которые злоумышленник загрузил вредоносную программу под видом легального ПО, поддельные веб-сайты, спам-рассылки и т.д. Важное правило для защиты — не переходить по сомнительным ссылкам и не запускать подозрительные программы. Большая часть «троянских коней» успешно обнаруживается антивирусным и антишпионским ПО. Правоохранительные органы могут устанавливать трояны в компьютер или иные устройства подозреваемого с целью сбора информации и улик. Разведка многих стран использует такие средства для шпионажа. Вообще, троянские программы очень распространены из-за того, что существует огромное количество различных инструментов для их создания. Например, есть утилиты, позволяющие добавить вредоносный агент в существующее легальное программное обеспечение.
Анализ риска
Риску подвержены и домашние, и корпоративные пользователи. Троянские программы (trojan) могут представлять серьезную опасность для жертвы (RAT, банкеры), а могут никак не взаимодействовать с ней (DDoS-трояны). Многие из них с трудом поддаются обнаружению, так как внедрены в код легальной программы и не мешают ее функционированию. Характерный признак трояна — автозагрузка: как правило, он нуждается в автоматическом запуске при старте системы или при входе пользователя. Еще один признак — медленная работа компьютера. Троянская программа нагружает процессор (особенно это касается DDoS-троянов), из-за чего может замедляться работа ПК и повышаться температура ЦП. Если антивирусное ПО не помогает, то единственный надежный выход — переустановка ОС или обращение к специалистам.