Троян (троянський кінь) — тип шкідливих програм, основною метою яких є шкідливий вплив стосовно
комп'ютерної системи. Трояни відрізняються відсутністю механізму створення
власних копій. Деякі трояни здатні до автономного подолання систем захисту КС,
з метою проникнення й зараження системи. У загальному випадку, троян попадає в
систему разом з вірусом або хробаком, у результаті необачних дій користувача
або ж активних дій зловмисника.
Життєвий цикл
У силу відсутності в троянів
функцій розмноження й поширення, їхній життєвий цикл украй короткий - усього
три стадії:
- Проникнення на комп'ютер
- Активація
- Виконання закладених функцій
Це, саме собою, не означає малого
часу життя троянів. Навпроти, троян може тривалий час непомітно перебувати в
пам'яті комп'ютера, ніяк не видаючи своєї присутності, доти, поки не буде
виявлений антивірусними засобами.
Способи проникнення
Завдання проникнення на комп'ютер
користувача трояни вирішують звичайно одним із двох наступних методів.
<!--
[if !supportLists]
-->
1.
Маскування
— троян видає себе за
корисний додаток, що користувач самостійно завантажує з Інтернет і запускає.
Іноді користувач виключається із цього процесу за рахунок розміщення на
Web-сторінці спеціального скріпта, що використовуючи діри в браузері
автоматично ініціює завантаження й запуск трояна.
<!--
[endif]
-->
Приклад. Trojan.SymbOS.Hobble.a є архівом для
операційної системи Symbian (SIS-архівом). При цьому він маскується під
антивірус Symantec і має ім'я symantec.sis. Після запуску на смартфоні троян
підмінює оригінальний файл оболонки FExplorer.app на ушкоджений файл. У
результаті при наступному завантаженні операційної системи більшість функцій
смартфона виявляються недоступними
Одним
з варіантів маскування може бути також впровадження зловмисником троянського
коду в код іншого додатка. У цьому випадку розпізнати троян ще складніше, тому
що заражений додаток може відкрито виконувати які-небудь корисні дії, але при
цьому тайкома завдавати шкоди за рахунок троянських функцій.
Розповсюджений
також спосіб впровадження троянів на комп'ютери користувачів через веб-сайти.
При цьому використається або шкідливий скріпт, що завантажує й запускає
троянську програму на комп'ютері користувача, використовуючи уразливість у
веб-браузері, або методи соціальної інженерії - наповнення й оформлення
веб-сайту провокує користувача до самостійного завантаження трояна. При такому
методі впровадження може використатися не одна копія трояна, а поліморфний
генератор, що створює нову копію при кожнім завантаженні. Застосовувані в таких
генераторах технології поліморфізму звичайно не відрізняються від вірусних
поліморфних технологій.
<!--
[if !supportLists]
-->
2.
Кооперація
з вірусами й хробаками —
троян подорожує разом із хробаками або, рідше, з вірусами. У принципі, такі пари
хробак-троян можна розглядати цілком як складеного хробака, але в сформованій
практиці прийнято троянську складову хробаків, якщо вона реалізована окремим
файлом, уважати незалежним трояном із власним ім'ям. Крім того, троянська
складова може попадати на комп'ютер пізніше, ніж файл хробака.
<!--
[endif]
-->
Приклад. Використовуючи backdoor-функціонала
хробаків сімейства Bagle, автор хробака проводив сховану інсталяцію трояна
SpamTool.Win32.Small.b, що збирав і відсилав на певну адресу адреси електронної
пошти, що були у файлах на зараженому комп'ютері.
Нерідко
спостерігається кооперація хробаків з вірусами, коли хробак забезпечує
транспортування вірусу між комп'ютерами, а вірус поширюється по комп'ютері,
заражаючи файли.
Приклад. Відомий у минулому хробак
Email-Worm.Win32.Klez.h при зараженні комп'ютера також запускав на ньому вірус
Virus.Win32.Elkern.c. Навіщо це було зроблено, сказати важко, оскільки вірус
сам по собі, крім зараження й пов'язаних з помилками в коді шкідливих проявів
(явно виражених шкідливих процедур у ньому немає), ніяких дій не виконує, тобто
не є "посиленням" хробака в якому б те не було змісті.
Активація
Тут прийоми ті ж, що й у
хробаків: очікування запуску файлу користувачем, або використання автоматичного
запуску.
Виконувані функції
На відміну від вірусів і
хробаків, розподіл яких на типи виробляється по способах розмноження/поширення,
трояни діляться на типи по характері виконуваних ними шкідливих дій.
Найпоширеніші наступні види троянів.
<!--
[if !supportLists]
-->
·
Клавіатурні шпигуни - трояни, що постійно перебувають
у пам'яті й дані, що зберігають всі, вступники від клавіатури з метою наступної
передачі цих даних зловмисникові. Звичайно в такий спосіб зловмисник намагається довідатися паролі або іншу
конфіденційну інформацію.
<!--
[endif]
-->
Приклад. У минулому, буквально пари років тому ще
зустрічалися клавіатурні шпигуни, які фіксували всі натискання клавіш і
записували їх в окремий файл. Trojan-Spy.Win32.Small.b, наприклад, у
нескінченному циклі зчитував коди клавіш, що натискають, і зберігав їх у файлі
C:\SYS
Сучасні
програми-шпигуни оптимізиовані для збору інформації, переданої користувачем в
Інтернет, оскільки серед цих даних можуть зустрічатися логіни й паролі до
банківських рахунків, PIN-коди кредитних карт й інша конфіденційна інформація,
що ставиться до фінансової діяльності користувача. Trojan-Spy.Win32.Agent.fa
відслідковує відкриті вікна Internet Explorer і зберігає інформацію з
відвідуваних користувачем сайтів, уведення клавіатури в спеціально створений
файл servms.dll із системному каталозі Windows.
<!--
[if !supportLists]
-->
·
Викрадачі паролів - трояни, також призначені для
одержання паролів, але не використають спостереження за клавіатурою. У таких троянах реалізовані способи
добування паролів з файлів, у яких ці паролі зберігаються різними додатками.
<!--
[endif]
-->
Приклад. Trojan-PSW.Win32.LdPinch.kw збирає
відомості про систему, а також логіни й паролі для різних сервісів і прикладних
програм - месенджерів, поштових клієнтів, програм дозвонуи. Часто ці дані
виявляються слабко захищені, що дозволяє трояну їх одержати й відправити
зловмисникові по електронній пошті
<!--
[if !supportLists]
-->
·
Утиліти вилученого керування - трояни, що
забезпечують повний вилучений контроль над комп'ютером користувача. ' Існують легальні утиліти такої ж
властивості, але вони відрізняються тим, що повідомляють про своє призначення
при установці або ж постачені документацією, у якій описані їхні функції.
Троянські утиліти вилученого керування, навпроти, ніяк не видають свого
реального призначення, так що користувач і не підозрює про те, що його
комп'ютер підконтрольний зловмисникові. Найбільш популярна утиліта вилученого
керування - Back Orifice.
<!--
[endif]
-->
Приклад. Backdoor.Win32.Netbus.170 надає повний
контроль над комп'ютером користувача, включаючи виконання будь-яких файлових
операцій, завантаження й запуск інших програм, одержання знімків екрана й т.д.
<!--
[if !supportLists]
-->
·
Люки (backdoor) - трояни які надають зловмисникові
обмежений контроль над комп'ютером користувача. Від утиліт вилученого керування відрізняються
більше простим пристроєм й, як наслідок, невеликою кількістю доступних дій.
Проте, звичайно одними з дій є можливість завантаження й запуску будь-яких
файлів по команді зловмисника, що дозволяє при необхідності перетворити
обмежений контроль у повен.
<!--
[endif]
-->
Приклад. Останнім часом backdoor-функціонал став
характерною рисою хробаків. Наприклад, Email-Worm.Win32.Bagle.at використає
порт 81 для одержання вилучених команд або завантаження троянів, що розширюють
функціонала хробака.
Є й
окремі трояни типу backdoor. Троян Backdoor.win32.Wootbot.gen використає
IRC-канал для одержання команд від "хазяїна". По команді троян може
завантажувати й запускати на виконання інші програми, сканувати інші комп'ютери
на наявність вразливостей і встановлювати себе на комп'ютери через виявлені вразливості.
<!--
[if !supportLists]
-->
·
Анонімні smtp-сервера й проксі - трояни, що
виконують функції поштових серверів або проксі й, що використаються в першому
випадку для спам-розсилань, а в другому для замітання слідів хакерами.
<!--
[endif]
-->
Приклад. Трояни із сімейства
Trojan-Proxy.Win32.Mitglieder поширюються з різними версіями хробаків Bagle.
Троян запускається хробаком, відкриває на комп'ютері порт і відправляє авторові
вірусу інформацію про IP-адресу зараженого комп'ютера. Після цього комп'ютер
може використатися для розсилання спаму.
<!--
[if !supportLists]
-->
·
Утиліти дозвону - порівняно новий тип троянів, що
представляє собою утиліти dial-up доступу в Інтернет через дорогі поштові
служби. Такі трояни
прописуються в системі як утиліти дозвону за замовчуванням і спричиняють
величезні рахунки за користування Інтернетом.
<!--
[endif]
-->
Приклад. Trojan.Win32.Dialer.a при запуску
здійснює дозвон в Інтернет через платні поштові служби. Ніяких інших дій не
робить, у тому числі не створює ключів у реєстрі, тобто навіть не реєструється
як стандартна програма дозвону й не забезпечує автозапуск.
<!--
[if !supportLists]
-->
·
Модифікатори настроювань браузера - трояни, які
міняють стартову сторінку в браузері, сторінку пошуку або ще які-небудь
настроювання, відкривають додаткові вікна браузера, імітують натискання на банери
й т.п.
<!--
[endif]
-->
Приклад. Trojan-Clicker.JS.Pretty звичайно
втримується в html-сторінках. Він відкриває додаткові вікна з певними веб-сторінками
й обновляє їх із заданим інтервалом
<!--
[if !supportLists]
-->
·
Логічні бомби - частіше не стільки трояни, скільки
троянські складових хробаків і вірусів, суть роботи яких полягає в тому, щоб за
певних умов (дата, час доби, дії користувача, команда ззовні) зробити певну
дію: наприклад, знищення даних
<!--
[endif]
-->
Приклад. Virus.Win9x.CIH, Macro.Word97.Thus
