Троян і його визначення, Безпека ПЗ, Security & Hack, статті

Всі, хто хоч колись чув про комп’ютерні віруси, неодмінно чув і згадка про якесь “троянця”. Що ж це за такий троянець. Багато хто вважає, що це і є комп’ютерний вірус. Однак, це невірно. В рамках цієї статті ми спробуємо розібратися, що ж таке троянська програма і як її виявити на комп’ютері без втручання антивіруса. Давайте почнемо.


Визначення троянської програми


У першу чергу варто сказати, що назва така отримали троянці на честь троянського коня, який, як пам’ятаєте, виявився дерев’яний. Це трохи відображає сутність цих програм, тому і назва така.


Найчастіша помилка користувачів, це зарахування троянської програми до вірусів. Це неправильно в корені. Існує таке поняття, як «шкідливе програмне забезпечення». Під це визначення підходять всі програми, які заподіюють хоч якоїсь шкоди комп’ютеру або користувачеві. Комп’ютерні віруси, точно так само як і троянські програми, ставляться до такого по, а тому вони є окремими класами і не можуть відноситься один до одного. Інша справа, коли комп’ютерний вірус має деякі властивості троянця, але це, знову ж таки, вже окремий клас. Давайте детальніше зупинимося на троях.


Троянської програмою називається програмний код, який здійснює певні дії без відома користувача, до таких дій відносяться: крадіжка інформації, знищення або модифікація інформації, використання ресурсів машини у зловмисних цілях і т.д.


Поширення програм такого роду велике, тому що створити троянця тепер можна за допомогою так званого «конструктора». Необхідно лише відкрити конструктор, вибрати ті можливості, якими буде володіти ваш майбутній троянець, і натиснути відповідну кнопку. Конструктор все складе, скомпілюйте і на виході вийде повнофункціональна програма з шкідливими функціями.


Троянці в свою чергу теж тривають на підвиди, серед яких можна відзначити наступні:


Оповіщення про атаку увінчалася успіхом (Trojan-Notifier)


Троянці даного підвиду призначені для повідомлення хакеру про зараженому комп’ютері. При цьому на адресу «господаря» відправляється інформація про комп’ютер, наприклад, IP-адреса комп’ютера, номер відкритого порту, адресу електронної пошти і т. п. Відсилання здійснюється різними способами: електронним листом, спеціально оформленим зверненням до веб-сторінці «господаря», ICQ-повідомленням.


Архівні бомби (ArcBomb)


Весела штуковина. При спробі архіватора зайнятися розпакуванням або просто обробити такий архів, архіватор починає споживати багато ресурсів, в результаті – комп’ютер зависає. Проте, це далеко не все сюрпризи, тому що деякі трої такого роду при зверненні до них забиваю вінчестер «порожній інформацією», наприклад, порожніми папками.


Приховування присутності в операційній системі (Rootkit)


Поняття rootkit прийшло до нас з UNIX. Спочатку це поняття використовувалося для позначення набору інструментів, що застосовуються для отримання прав root.


Так як інструменти типу rootkit на сьогоднішній день «прижилися» та на інших ОС (у тому числі, на Windows), то слід визнати таке визначення rootkit морально застарілим і не відповідає реальному стану справ.


Таким чином, rootkit – програмний код або техніка, спрямована на приховування присутності в системі заданих об’єктів (процесів, файлів, ключів реєстру і т.д.).


Для поведінки Rootkit в класифікації «Лабораторії Касперського» діють правила поглинання: Rootkit – наймолодше поведінка серед шкідливих програм. Тобто, якщо Rootkit-програма має троянську складову, то вона детектируется як Trojan.


Троянські проксі-сервера (Trojan-Proxy)


Сімейство троянських програм, таємно здійснюють доступ до різних інтернет-ресурсів. Зазвичай з метою розсилки спаму.


Шпигунські програми (Trojan-Spy)


Постфікс «Spy», гадаю, всім тут зрозумілий. Ці «звірятка» здійснюють стеження за користувачем. Вони часто можуть мати модулі, що займаються кейлоггерством. Щоб знімати інформацію вводиться з клавіатури і відсилати хакеру. Частина просто нишпорять по комп’ютеру в пошуках необхідної інформації, наприклад, рахунків банку.


Троянські утиліти вилученого адміністрування (Backdoor)


Троянські програми цього класу є утилітами віддаленого адміністрування (управління) комп’ютерів. Загалом, вони дуже схожі на «легальні» утиліти того ж спрямування. Єдине, що визначає їх як шкідливі програми, це дії без відома користувача. Дана програма при установці іілі завантаженні не видає ніяких повідомлень.


Таким чином, володар конкретної копії даного ПЗ може без відома користувача здійснювати операції різного роду (від вимикання комп’ютера, до маніпуляцій з файлами). Таким чином, троянські програми даного класу є одними з найбільш небезпечних.


Деякі backdoor’и, так само можуть поширюватися по мережі, як мережеві черв’яки, але не самостійно, а після відповідної команди власника копії.


Викрадачі паролів (Trojan-PSW)


Ці займаються тим, що крадуть паролі. Проникнувши на комп’ютер і інсталювати, троянець відразу приступає до пошуку файлів містять відповідну інформацію.


Крадіжка паролів не основна специфікація програм цього класу, вони так само можуть красти інформацію про систему, файли, номери рахунків, коди активації іншого ПЗ і т.д.


Інтернет-клікери (Trojan-clicker)


Дане сімейство троянських програм займається організацією несанкціонованих звернень до інтернет-ресурсів, шляхом відправлення команд інтернет-браузерів або підміною системних адрес ресурсів. Зловмисники використовують дані програми для наступних цілей: збільшення відвідуваності яких сайтів (з метою збільшення кол-ва показів реклами); організація атаки на сервіс, залучення потенційних жертв, для зараження шкідливим програмним забезпеченням.


Завантажувачі (Trojan-Downloader)


Ці Трояни займаються несанкціонованою інсталяції програмного забезпечення (зловмисних) на комп’ютер який нічого не підозрює користувача. Після завантаження програма, або інсталюється, або записується троянцем на автозавантаження (це в залежності від можливостей операційної системи).


Установники (Trojan-Dropper)


Ці встановлюють на комп’ютер-жертву програми, як правило – шкідливі. Анатомія троянців цього класу наступна: основний код, файли. Основний код – власне і є троянцем. Файли – це програма (И), яка (і) він повинен встановити. Троянець записує її (їх) в каталог (зазвичай тимчасових файлів) і встановлює. Установка відбувається, або непомітно для користувача, або з викидом повідомлення про помилку.


Ну от і все про класифікацію, продовжимо. Як же можна виявити працюючого троянця на вашому комп’ютері без використання антивіруса?


Виявлення троянської програми


Більшість троянців використовується для віддаленого управління / адміністрування, крадіжки конфіденційної інформації і т.д. А це все має на увазі використання мережі та технології клієнт-сервер. І так чи інакше троянцу доведеться використовувати якийсь порт для здійснення поставленого завдання. Дуже часто використовується навіть кілька портів, для поділу завдань (наприклад, через один порт здійснюється відсилання інформації, а через інший отримання команд).


Звідси випливає, що необхідно знати порти, використовувані службами виндовс. Нижче наведено короткий список таких портів:



При цьому треба враховувати, що порти вказані вище використовуються тільки службами виндовс і при відключенні-якої служби, порт ставати вільним для інших додатків. Так само порти можуть використовувати і сторонні програми (наприклад, icq).


У такому разі логічно розглянути ще й список портів, які зазвичай юзаются тими чи іншими троянськими програмами:



Знову ж неповний список, за повним прошу сюди.


Загалом, озброївшись усім цим, відкриваємо командний рядок і вводимо команду netstat з параметром-an. На екран відразу виводиться список активних підключень і порти використовуються ними (рис.1). Потім беремо і аналізуємо.

Троян та його визначення


Більшість вірусів при написанні вірусів в код програми включають алгоритм, який робить процес невидимим (природно, це діє не на всі утиліти, що працюють з процесами) (рис.2).


Але, деякі цього алгоритму не вводять, за цим процес Трояна легко помітити.


У представленому нижче списку йде спочатку процес позначений у диспетчері, а потім програма, яка «стоїть» за цим процесом:



Варто також знати процеси системи:



Ось так можна визначити троянця, активно діючого у вашій системі. Але, не варто спокушатися, антивірус необхідно ставити, адже людина має властивість робити не вірні висновки (ну, власне як і антивірус), а в зв’язці з антивірусною програмою буде набагато простіше.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*