Троян та його визначення

Всі, хто хоч колись чув про комп'ютерні віруси, обов'язково чув і згадка про якесь "троянця". Що ж це за такий троянець. Багато хто вважає, що це і є комп'ютерний вірус. Однак, це невірно. У рамках даної статті ми спробуємо розібратися, що ж таке троянська програма і як її виявити на комп'ютері без втручання антивіруса. Давайте почнемо.


Визначення троянської програми


У першу чергу варто сказати, що назва така отримали троянці на честь троянського коня, який, як пам'ятаєте, виявився дерев'яний. Це трохи відображає сутність цих програм, тому й назва така.


Найчастіша помилка користувачів, це зарахування троянської програми до вірусів. Це неправильно в корені. Існує таке поняття, як «шкідливе програмне забезпечення». Під це визначення підходять всі програми, які заподіюють хоч якоїсь шкоди комп'ютеру чи користувача. Комп'ютерні віруси, точно так само як і троянські програми, ставляться до такого по, а тому вони є окремими класами і не можуть відноситься один до одного. Інша справа, коли комп'ютерний вірус має деякі властивості троянця, але це, знову ж таки, вже окремий клас. Давайте докладніше зупинимося на троях.


Троянської програмою називається програмний код, який здійснює певні дії без відома користувача, до таких дій належать: крадіжка інформації, знищення або модифікація інформації, використання ресурсів машини у зловмисних цілях і т.д.


Розповсюдження програм такого роду велике, тому що створити троянця тепер можна за допомогою так званого «конструктора». Необхідно лише відкрити конструктор, вибрати ті можливості, якими буде володіти ваш майбутній троянець, і натиснути відповідну кнопку. Конструктор всі складе, скомпілюються і на виході вийде повнофункціональна програма з шкідливими функціями.


Троянці у свою чергу теж тривають на підвиди, серед яких можна відзначити наступні:


Оповіщення про атаку увінчалася успіхом (Trojan-Notifier)


Троянці даного підвиду призначені для повідомлення хакеру про зараженому комп'ютері. При цьому на адресу «господаря» відправляється інформація про комп'ютер, наприклад, IP-адреса комп'ютера, номер відкритого порту, адресу електронної пошти і т. п. Перевести здійснюється різними способами: електронним листом, спеціально оформленим зверненням до веб-сторінці «господаря», ICQ-повідомленням.


Архівні бомби (ArcBomb)


Весела штуковина. При спробі архіватора зайнятися розпакуванням або просто обробити такий архів, архіватор починає споживати багато ресурсів, в результаті – комп'ютер зависає. Однак, це далеко не всі сюрпризи, тому що деякі трої такого роду при зверненні до них забиваю вінчестер «порожньою інформацією», наприклад, порожніми папками.


Приховування присутності в операційній системі (Rootkit)


Поняття rootkit прийшло до нас з UNIX. Спочатку це поняття використовувалося для позначення набору інструментів, що застосовуються для отримання прав root.


Так як інструменти типу rootkit на сьогоднішній день «прижилися» та на інших ОС (в тому числі, на Windows), то слід визнати подібне визначення rootkit морально застарілим і не відповідає реальному стану справ.


Таким чином, rootkit – програмний код або техніка, спрямована на приховування присутності в системі заданих об'єктів (процесів, файлів, ключів реєстру і т.д.).


Для поведінки Rootkit в класифікації «Лабораторії Касперського» діють правила поглинання: Rootkit – наймолодше поведінку серед шкідливих програм. Тобто, якщо Rootkit-програма має троянську складову, то вона детектируется як Trojan.


Троянські проксі-сервера (Trojan-Proxy)


Сімейство троянських програм, потай здійснюють доступ до різних інтернет-ресурсів. Зазвичай з метою розсилки спаму.


Шпигунські програми (Trojan-Spy)


Постфікс «Spy», гадаю, всім тут зрозумілий. Ці «звірята» здійснюють стеження за користувачем. Вони часто можуть мати модулі, що займаються кейлоггерством. Щоб знімати інформацію вводиться з клавіатури і відсилати хакеру. Частина просто нишпорять по комп'ютеру в пошуках необхідної інформації, наприклад, рахунків банку.


Троянські утиліти віддаленого адміністрування (Backdoor)


Троянські програми цього класу є утилітами віддаленого адміністрування (управління) комп'ютерів. Загалом, вони дуже схожі на «легальні» утиліти того ж напрямку. Єдине, що визначає їх як шкідливі програми, це дії без відома користувача. Дана програма при установці іілі завантаженні не видає ніяких повідомлень.


Таким чином, володар конкретної копії даного ПЗ може без відома користувача здійснювати операції різного роду (від виключення комп'ютера, до маніпуляцій з файлами). Таким чином, троянські програми даного класу є одними з найбільш небезпечних.


Деякі backdoor'и, так само можуть розповсюджуватися по мережі, як мережеві черв'яки, але не самостійно, а після відповідної команди власника копії.


Викрадачі паролів (Trojan-PSW)


Ці займаються тим, що крадуть паролі. Проникнувши на комп'ютер і інсталювати, троянець відразу приступає до пошуку файли, що містять відповідну інформацію.


Крадіжка паролів не основна специфікація програм цього класу, вони так само можуть красти інформацію про систему, файли, номери рахунків, коди активації іншої ПЗ і т.д.


Інтернет-КЛИКЕР (Trojan-clicker)


Дане сімейство троянських програм займається організацією несанкціонованих звернень до інтернет-ресурсів, шляхом відправлення команд інтернет-браузерів або підміною системних адрес ресурсів. Зловмисники використовують дані програми для наступних цілей: збільшення відвідуваності будь-яких сайтів (з метою збільшення кол-ва показів реклами); організація атаки на сервіс, залучення потенційних жертв, для зараження шкідливим програмним забезпеченням.


Завантажувачі (Trojan-Downloader)


Ці Трояни займаються несанкціонованою завантаженням програмного забезпечення (зловмисних) на комп'ютер нічого не підозрює користувача. Після завантаження програма, або інсталюється, або записується троянцем на автозавантаження (це залежно від можливостей операційної системи).


Установники (Trojan-Dropper)


Ці встановлюють на комп'ютер-жертву програми, як правило – шкідливі. Анатомія троянців цього класу наступна: основний код, файли. Основний код – власне і є троянцем. Файли – це програма (И), яка (і) він повинен встановити. Троянець записує її (їх) в каталог (зазвичай тимчасових файлів) і встановлює. Установка відбувається, або непомітно для користувача, або з викидом повідомлення про помилку.


Ну от і все про класифікацію, продовжимо. Як же можна виявити працюючого троянця на вашому комп'ютері без використання антивіруса?


Виявлення троянської програми


Більшість троянців використовується для віддаленого управління / адміністрування, крадіжки конфіденційної інформації і т.д. А це все має на увазі використання мережі та технології клієнт-сервер. І так чи інакше троянці доведеться використовувати який-небудь порт для здійснення поставленої задачі. Дуже часто використовується навіть кілька портів, для поділу завдань (наприклад, через один порт здійснюється відсилання інформації, а через інший отримання команд).


Звідси випливає, що необхідно знати порти, використовувані службами віндовс. Нижче наведено короткий список таких портів:



При цьому треба враховувати, що порти зазначені вище використовуються тільки службами виндовс і при відключенні будь-якої служби, порт ставати вільним для інших додатків. Так само порти можуть використовувати і сторонні програми (наприклад, icq).


У такому разі логічно розглянути ще й список портів, які зазвичай юзаются тими чи іншими троянськими програмами:



Знову ж неповний список, за повним прошу сюди.


Загалом, озброївшись усім цим, відкриваємо командний рядок і вводимо команду netstat з параметром-an. На екран відразу виводиться список активних підключень і порти використовуються ними (рис.1). Потім беремо і аналізуємо.


Більшість вірусописьменників при написанні вірусів в код програми включають алгоритм, який робить процес невидимим (природно, це діє не на всі утиліти, що працюють з процесами) (рис.2).


Але, деякі цього алгоритму не вводять, з цього процес Трояна легко помітити.


У представленому нижче списку йде спочатку процес позначений у диспетчері, а потім програма, яка «стоїть» за цим процесом:



Варто також знати процеси системи:



Ось так можна визначити троянця, активно діючого у вашій системі. Але, не варто спокушатися, антивірус необхідно ставити, адже людина має властивість робити не вірні висновки (ну, власне як і антивірус), а в зв'язці з антивірусною програмою буде набагато простіше.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*