Чтение онлайн

Человек, который занимается написанием троянских коней, умело маскирует их. Один из вариантов – замаскировать троянского коня под какую-либо полезную программу. После ее запуска сначала происходит выполнение его кода, который затем передает управление основной программе. Троянский конь также может быть просто, но эффективно замаскирован под файл с любым дружественным расширением, например GIF.

Приведем некоторые примеры троянских коней.

Ворующие пароли:

• Trojan-PSW.Win32.QQPass.du – китайский троянский конь, ворующий Windows-пароли;

• Bandra.BOK – скачивается на компьютер жертвы при посещении определенного сайта, пытается украсть пароли от определенных банковских сайтов;

• Bancos.LU – сохраняет пароли во временных файлах, а затем пытается отослать их хозяину;

• Banker.XP – собирает конфиденциальные данные, пароли, счета и т. д., отправляя их на определенный адрес.

Утилиты удаленного администрирования– backdoor ("потайная дверь"):

• Backdoor.Win32.Whisper.a – троянский конь со встроенной функцией удаленного управления компьютером;

• Back Orifice – позволяет постороннему контролировать ваш ПК как свой собственный (более подробно об этой программе см. далее).

Программы-дозвонщики отличаются тем, что могут нанести жертве значительный финансовый урон, устанавливая соединение с зарубежным интернет-провайдером: таким образом, с телефонного номера абонента происходит установление "незаказанного" международного соединения, например с островами Кука, Сьерра-Леоне, Диего-Гарсиа или другим диковинным регионом в зависимости от чувства юмора создавшего программу:

• Trojan-PSW.Win32.DUT;

• Trojan-PSW.Win32.Delf.gj;

• PSWTool.Win32.DialUpPaper.

Троянские кони типа клавиатурных шпионов способны отслеживать нажатия клавиш клавиатуры и отсылать эту информацию злонамеренному пользователю; это может осуществляться по почте или отправкой прямо на сервер, расположенный где-либо в Сети:

• Backdoor.Win32.Assasin.2 ;

• Backdoor.Win32.BadBoy;

• Backdoor.Win32.Bancodor.d.

Загрузчики – представляют собой троянского коня, загружающего из Интернета файлы без ведома пользователя; загружаемое может быть как HTML-стра-ницами нецензурного содержания, так и просто вредоносным ПО:

• Trojan-Downloader.Win32.Agent.fk – представляет собой Windows PE EXE-файл. Размер зараженных файлов существенно варьируется;

• Trojan-Downloader.Win32.Small.bxp – троянский конь первоначально был разослан при помощи спам-рассылки. Представляет собой Windows PE EXE-файл. Имеет размер около 5 Кбайт. Упакован FSG. Размер распакованного файла около 33 Кбайт.

Дропперы (Dropper) – троянские кони, созданные для скрытной установки в систему других троянских коней (пример – Trojan-Dropper.Win32.Agent.vw).

Proxy-серверы – троянский конь устанавливает в вашу систему один из нескольких прокси-серверов (socks, HTTP), а затем кто угодно, заплатив хозяину троянского коня, либо сам его создатель совершает интернет-серфинг через этот прокси, не боясь, что его IP-адрес вычислят, так как это уже не его IP, а ваш!

Деструктивные троянские кони – помимо своих непосредственных функций сбора и отсылки конфиденциальной информации, могут форматировать диски и убивать операционные системы.

Как подхватить "заразу"? Вы можете поймать вирус одним из следующих способов.

Скачивая файлы из сомнительных источников.

С помощью электронной почты – самый распространенный способ заражения. Несмотря на многочисленные предупреждения, прогрессирует благодаря методам социальной инженерии. Прикрепленный файл, даже если он выглядит как картинка, может быть удачно замаскированным троянским конем.

Через дискету, CD, флэш-диск либо другой сменный носитель – довольно распространенный способ заражения.

Просто выйдя в Интернет без установки последних обновлений Windows.

Эти пути проникновения неновы, однако именно они наиболее часто используются злоумышленниками.

Изобретательность вирусописателей не знает границ. Живой пример – Trojan horse.Bat.Format C, который сидел… в программном коде Trojan Remover (пакет для удаления троянских коней). Разобраться в таких случаях бывает нелегко. Правильность заключения можно проверить, лишь дизассемблировав такую программу.

Довольно оригинальный способ заражения – через autorun при попытке прочитать содержимое CD или флэшки. Как вы уже догадались, autorun.exe в данном случае выступает в довольно оригинальной роли. Лучшим способом защиты может стать отключение автозапуска на всех сменных носителях.

А теперь горячий пример, который, как я надеюсь, поможет вам лучше разобраться в сути троянизации, заглянув "по ту сторону баррикад".

Наш герой – Back Orifice. Без преувеличения будет сказано, с азартным трепетом и чувством глубокого уважения к создателям рассмотрим «анатомию» самой известной и нашумевшей в свое время утилиты удаленного администрирования – Back Orifice (BO).

С чего же все началось? Наверняка история создания знаменитого BO была бы неполной без упоминания ее создателей – известнейшей хакерской группы "Cult of the Dead Cow" (cDc). Основанная в середине 1980-х, команда с достоинством прошла огонь, воду и медные трубы и до сих пор процветает и здравствует.

В 1993 году участник группы – Drunkfix – создал официальный сайт в Сети, после чего известность хак-группы начала распространятся не только через BBS. Большую заслугу в обретении широкой известности cDc внес один из участников группы – Ratte, который играл роль вроде пресс-атташе.

1 августа 1998 года на конференции Defcon один из членов группы – Sir Dystic – представил Back Orifice широкой публике. Как заявил автор, его детище – лишь подтверждение того, насколько уязвима может быть Windows.

Очень скоро BO приобрела статус троянского коня: антивирусные базы пополнились записями типа BackDoor: BOrifice, Trojan.Bo – чему, собственно, удивляться особенно и не приходится, ведь BO с успехом можно использовать и для удаленного управления чужим ПК. Графический, интуитивно понятный интерфейс программы и ее внушительные возможности произвели настоящий фурор, после чего в известных кругах установка BO на чужой ПК превратилась во что-то вроде увлекательного соревнования.

Back Orifice работает по принципу "клиент – сервер" и позволяет удаленно администрировать ПК, на котором предварительно установлена серверная часть.