Віруси – трояни

Троян (троянський кінь) — тип шкідливих програм, основною метою яких є шкідливий вплив стосовно комп’ютерної системи. Трояни відрізняються відсутністю механізму створення власних копій. Деякі трояни здатні до автономного подолання систем захисту КС, з метою проникнення й зараження системи. У загальному випадку, троян попадає в систему разом з вірусом або хробаком, у результаті необачних дій користувача або ж активних дій зловмисника.

Життєвий цикл

У силу відсутності в троянів функцій розмноження й поширення, їхній життєвий цикл украй короткий – усього три стадії:

  • Проникнення на комп’ютер
  • Активація
  • Виконання закладених функцій

Це, саме собою, не означає малого часу життя троянів. Навпроти, троян може тривалий час непомітно перебувати в пам’яті комп’ютера, ніяк не видаючи своєї присутності, доти, поки не буде виявлений антивірусними засобами.

Способи проникнення

Завдання проникнення на комп’ютер користувача трояни вирішують звичайно одним із двох наступних методів.

1.      Маскування — троян видає себе за корисний додаток, що користувач самостійно завантажує з Інтернет і запускає. Іноді користувач виключається із цього процесу за рахунок розміщення на Web-сторінці спеціального скріпта, що використовуючи діри в браузері автоматично ініціює завантаження й запуск трояна.

Приклад. Trojan.SymbOS.Hobble.a є архівом для операційної системи Symbian (SIS-архівом). При цьому він маскується під антивірус Symantec і має ім’я symantec.sis. Після запуску на смартфоні троян підмінює оригінальний файл оболонки FExplorer.app на ушкоджений файл. У результаті при наступному завантаженні операційної системи більшість функцій смартфона виявляються недоступними

Одним з варіантів маскування може бути також впровадження зловмисником троянського коду в код іншого додатка. У цьому випадку розпізнати троян ще складніше, тому що заражений додаток може відкрито виконувати які-небудь корисні дії, але при цьому тайкома завдавати шкоди за рахунок троянських функцій.

Розповсюджений також спосіб впровадження троянів на комп’ютери користувачів через веб-сайти. При цьому використається або шкідливий скріпт, що завантажує й запускає троянську програму на комп’ютері користувача, використовуючи уразливість у веб-браузері, або методи соціальної інженерії – наповнення й оформлення веб-сайту провокує користувача до самостійного завантаження трояна. При такому методі впровадження може використатися не одна копія трояна, а поліморфний генератор, що створює нову копію при кожнім завантаженні. Застосовувані в таких генераторах технології поліморфізму звичайно не відрізняються від вірусних поліморфних технологій.

2.      Кооперація з вірусами й хробаками — троян подорожує разом із хробаками або, рідше, з вірусами. У принципі, такі пари хробак-троян можна розглядати цілком як складеного хробака, але в сформованій практиці прийнято троянську складову хробаків, якщо вона реалізована окремим файлом, уважати незалежним трояном із власним ім’ям. Крім того, троянська складова може попадати на комп’ютер пізніше, ніж файл хробака.

Приклад. Використовуючи backdoor-функціонала хробаків сімейства Bagle, автор хробака проводив сховану інсталяцію трояна SpamTool.Win32.Small.b, що збирав і відсилав на певну адресу адреси електронної пошти, що були у файлах на зараженому комп’ютері.

Нерідко спостерігається кооперація хробаків з вірусами, коли хробак забезпечує транспортування вірусу між комп’ютерами, а вірус поширюється по комп’ютері, заражаючи файли.

Приклад. Відомий у минулому хробак Email-Worm.Win32.Klez.h при зараженні комп’ютера також запускав на ньому вірус Virus.Win32.Elkern.c. Навіщо це було зроблено, сказати важко, оскільки вірус сам по собі, крім зараження й пов’язаних з помилками в коді шкідливих проявів (явно виражених шкідливих процедур у ньому немає), ніяких дій не виконує, тобто не є “посиленням” хробака в якому б те не було змісті.

Активація

Тут прийоми ті ж, що й у хробаків: очікування запуску файлу користувачем, або використання автоматичного запуску.

Виконувані функції

На відміну від вірусів і хробаків, розподіл яких на типи виробляється по способах розмноження/поширення, трояни діляться на типи по характері виконуваних ними шкідливих дій. Найпоширеніші наступні види троянів.

·         Клавіатурні шпигуни – трояни, що постійно перебувають у пам’яті й дані, що зберігають всі, вступники від клавіатури з метою наступної передачі цих даних зловмисникові. Звичайно в такий спосіб зловмисник намагається довідатися паролі або іншу конфіденційну інформацію.

Приклад. У минулому, буквально пари років тому ще зустрічалися клавіатурні шпигуни, які фіксували всі натискання клавіш і записували їх в окремий файл. Trojan-Spy.Win32.Small.b, наприклад, у нескінченному циклі зчитував коди клавіш, що натискають, і зберігав їх у файлі C:\SYS

Сучасні програми-шпигуни оптимізиовані для збору інформації, переданої користувачем в Інтернет, оскільки серед цих даних можуть зустрічатися логіни й паролі до банківських рахунків, PIN-коди кредитних карт й інша конфіденційна інформація, що ставиться до фінансової діяльності користувача. Trojan-Spy.Win32.Agent.fa відслідковує відкриті вікна Internet Explorer і зберігає інформацію з відвідуваних користувачем сайтів, уведення клавіатури в спеціально створений файл servms.dll із системному каталозі Windows.

·         Викрадачі паролів – трояни, також призначені для одержання паролів, але не використають спостереження за клавіатурою. У таких троянах реалізовані способи добування паролів з файлів, у яких ці паролі зберігаються різними додатками.

Приклад. Trojan-PSW.Win32.LdPinch.kw збирає відомості про систему, а також логіни й паролі для різних сервісів і прикладних програм – месенджерів, поштових клієнтів, програм дозвонуи. Часто ці дані виявляються слабко захищені, що дозволяє трояну їх одержати й відправити зловмисникові по електронній пошті

·         Утиліти вилученого керування – трояни, що забезпечують повний вилучений контроль над комп’ютером користувача. ‘ Існують легальні утиліти такої ж властивості, але вони відрізняються тим, що повідомляють про своє призначення при установці або ж постачені документацією, у якій описані їхні функції. Троянські утиліти вилученого керування, навпроти, ніяк не видають свого реального призначення, так що користувач і не підозрює про те, що його комп’ютер підконтрольний зловмисникові. Найбільш популярна утиліта вилученого керування – Back Orifice.

Приклад. Backdoor.Win32.Netbus.170 надає повний контроль над комп’ютером користувача, включаючи виконання будь-яких файлових операцій, завантаження й запуск інших програм, одержання знімків екрана й т.д.

·         Люки (backdoor) – трояни які надають зловмисникові обмежений контроль над комп’ютером користувача. Від утиліт вилученого керування відрізняються більше простим пристроєм й, як наслідок, невеликою кількістю доступних дій. Проте, звичайно одними з дій є можливість завантаження й запуску будь-яких файлів по команді зловмисника, що дозволяє при необхідності перетворити обмежений контроль у повен.

Приклад. Останнім часом backdoor-функціонал став характерною рисою хробаків. Наприклад, Email-Worm.Win32.Bagle.at використає порт 81 для одержання вилучених команд або завантаження троянів, що розширюють функціонала хробака.

Є й окремі трояни типу backdoor. Троян Backdoor.win32.Wootbot.gen використає IRC-канал для одержання команд від “хазяїна”. По команді троян може завантажувати й запускати на виконання інші програми, сканувати інші комп’ютери на наявність вразливостей і встановлювати себе на комп’ютери через виявлені вразливості.

·         Анонімні smtp-сервера й проксі – трояни, що виконують функції поштових серверів або проксі й, що використаються в першому випадку для спам-розсилань, а в другому для замітання слідів хакерами.

Приклад. Трояни із сімейства Trojan-Proxy.Win32.Mitglieder поширюються з різними версіями хробаків Bagle. Троян запускається хробаком, відкриває на комп’ютері порт і відправляє авторові вірусу інформацію про IP-адресу зараженого комп’ютера. Після цього комп’ютер може використатися для розсилання спаму.

·         Утиліти дозвону – порівняно новий тип троянів, що представляє собою утиліти dial-up доступу в Інтернет через дорогі поштові служби. Такі трояни прописуються в системі як утиліти дозвону за замовчуванням і спричиняють величезні рахунки за користування Інтернетом.

Приклад. Trojan.Win32.Dialer.a при запуску здійснює дозвон в Інтернет через платні поштові служби. Ніяких інших дій не робить, у тому числі не створює ключів у реєстрі, тобто навіть не реєструється як стандартна програма дозвону й не забезпечує автозапуск.

·         Модифікатори настроювань браузера – трояни, які міняють стартову сторінку в браузері, сторінку пошуку або ще які-небудь настроювання, відкривають додаткові вікна браузера, імітують натискання на банери й т.п.

Приклад. Trojan-Clicker.JS.Pretty звичайно втримується в html-сторінках. Він відкриває додаткові вікна з певними веб-сторінками й обновляє їх із заданим інтервалом

·         Логічні бомби – частіше не стільки трояни, скільки троянські складових хробаків і вірусів, суть роботи яких полягає в тому, щоб за певних умов (дата, час доби, дії користувача, команда ззовні) зробити певну дію: наприклад, знищення даних

Приклад. Virus.Win9x.CIH, Macro.Word97.Thus

Попередня стаття
Наступна стаття