Троянские программы: ликбез и самостоятельная защита

Евгений Мищенко

Троянские программы
В данную категорию входят программы, осуществляющие различные несанкционированные пользователем действия: сбор информации и передача ее злоумышленнику, ее разрушение или злонамеренная модификация, нарушение работоспособности компьютера, использование ресурсов компьютера в злоумышленных целях.
Отдельные категории троянских программ наносят ущерб удаленным компьютерам и сетям, не нарушая работоспособности зараженного компьютера (например, троянские программы, разработанные для массированных DoS-атак на удаленные ресурсы сети).
Определение с сайта www.viruslist.ru

 

Сегодня вряд ли найдется пользователь ПК, который не слышал бы о существовании троянских программ. Многие относят их к вирусам, но это слишком упрощенный и неточный подход. Пожалуй, главное, что роднит троянцев с вирусами, — то, что и те и другие могут быть отнесены к категории вредоносных программ. Впрочем, вредоносность здесь следует понимать в широком смысле — пользователь может и не ощущать явного вреда от этих программ, но они так или иначе, но отрицательно влияют на работу системы. Такие программы устанавливаются либо под видом полезных продуктов подобно мифологическому троянскому коню, либо вообще незаметно для пользователя.

Принципиальное различие троянских программ и вирусов состоит в том, что вирус представляет собой самостоятельно размножающуюся программу, тогда как троянец не имеет возможности самостоятельного распространения. Однако в настоящее время довольно часто встречаются гибриды — вирусы (в основном e-mail и сетевые черви), вместе с которыми распространяются троянские программы.

Что будет делать подобная программа, внедрившись в компьютер, известно одному только ее создателю и зависит лишь от его фантазии и от стоящих перед ним целей. В то же время можно выделить ряд наиболее распространенных действий, имеющих явно вредоносную направленность:

  • Воровство паролей. Раньше, когда основным и фактически единственным способом массового доступа в Интернет было модемное соединение, большинство троянских программ создавались именно с целью кражи паролей для связи с Интернетом. Однако в последнее время все труднее найти пользователя, использующего dial-up, и сейчас крадут в основном пароли от почты, форумов, чатов, ICQ и других сервисов. Хотя обычно это не наносит прямого ущерба большинству пользователей, но последствия, связанные с получением злоумышленниками доступа к конфиденциальной информации, могут оказаться очень серьезными.
  • Удаленное администрирование. Программы этого класса аналогичны профессиональным утилитам удаленного администрирования, однако устанавливаются без согласия пользователя и позволяют злоумышленнику держать компьютер под полным контролем. При этом иногда с помощью такой утилиты злоумышленник имеет возможность совершать на компьютере-жертве даже больше действий, чем сам владелец, не применяющий специальных средств. Нередко данные программы внедряются друзьями или знакомыми пользователя — для организации дружеских розыгрышей (которые, впрочем, далеко не всегда оказываются безобидными).
  • Рассылка спама. Такой троянец после установки на компьютер пользователя начинает рассылать спам по заранее заданным адресам либо собирать адреса электронной почты, имеющиеся на компьютере пользователя и на тех сайтах, где тот бывает, и организует массовую рассылку по ним. Другой вариант использования компьютера-жертвы для рассылки спама — установка на нем SMTP-сервера, самостоятельно задействуемого злоумышленником для рассылки спама. Хотя от такого поведения троянца страдает больше не сам пользователь, а миллионы получателей нежелательных писем с его компьютера, однако и для пользователя последствия могут быть весьма неприятные (например, блокировка IP-адреса в большинстве почтовых систем).
  • Proxy-серверы. Троянская программа устанавливает на компьютер один или несколько видов прокси-серверов (Socks, HTTP и пр.), с помощью которых злоумышленник может совершать любые действия в Интернете, не опасаясь обнаружения истинного IP-адреса, поскольку вместо него подставляется адрес жертвы.
  • Шпионские программы. Программы этого класса собирают сведения с зараженного компьютера (это может быть вся переписка, все нажимаемые клавиши, посещаемые страницы, установленные программы и многое другое) и пересылают их по адресу, прописанному в троянце.
  • Программы DDoS-атаки. Зараженные такой троянской программой компьютеры участвуют в DDoS-атаках, вызывая перегрузку атакуемого сервера. И опять с точки зрения атакуемого все выглядит так, словно один из нападавших — это компьютер жертвы.
  • Программы распределенных вычислений. Эти программы можно назвать одним из самых «интеллигентных» классов троянцев. Цели таких программ могут быть различным, в том числе — установка модулей открытых проектов распределенных вычислений (distributed.net), где, например, отыскиваются алгоритмы взлома систем шифрования, а тот, на чьем компьютере получен искомый результат, может претендовать на денежное вознаграждение. Злоумышленник, стремясь получить вознаграждение, конфигурирует официальный модуль системы распределенных вычислений с внесенными в него своими идентификационными данными и встраивает его в троянскую программу, которая незаметно его устанавливает и запускает. Наука наукой, но в любом случае человек, участвующий в проекте, должен делать это добровольно. Распределенные вычисления могут использоваться и для менее благовидных дел: для поиска сервисов в Интернете (например, прокси-серверов), а также для подбора паролей. В этой ситуации автору для достижения результата не потребуется так много времени, как если бы он работал на своем компьютере.
  • Рекламные модули и модули накрутки рекламы. Троянские программы могут демонстрировать пользователю зараженного компьютера рекламную информацию разного рода, например всплывающие окна, баннеры, которые встраиваются в системные панели, просматриваемые страницы. Другой вариант применения зараженного компьютера в рекламных целях — накрутка баннерных систем путем имитации заходов пользователя на ресурс, где размещена реклама.
  • Троянцы, устанавливающие дополнительные модули либо ждущие команды от своего автора. Такие программы загружают на зараженный компьютер файлы с запрограммированного адреса или ждут получения команды от автора (каналом связи может быть получение электронного письма, появление сообщения на форуме или на сайте и т.д.) на совершение каких-либо действий (как перечисленных выше, так и любых других). В некотором смысле это может считаться вариантом удаленного администрирования, только более узко направленным.

Мы описали лишь те проявления троянских программ, которые поддаются обобщению и систематизации. Однако существуют троянские программы, в которых скомбинировано сразу несколько из перечисленных проявлений. Бывают троянские программы, написанные специально для установки на конкретный компьютер, и соответственно выполняемые ими задачи могут быть в высшей степени специфическими. Интересно, что некоторые троянские программы не терпят конкуренции и удаляют во время установки обнаруженные модули других троянцев.

Возможно, все вышеизложенное покажется кому-то не представляющим конкретной угрозы для него лично, но так ли это? И в чем заключаются скрытые опасности троянских программ? Прежде всего очевидна опасность потери конфиденциальной информации. Но даже если на вашем компьютере не хранятся никакие важные данные и вы не пользуетесь популярными службами, требующими ввода паролей, то троянские программы все равно способны доставить вам неприятности. Речь идет о замедлении работы системы либо вообще о ее крахе, о непроизвольном расходовании Интернет-трафика, причем нередко в очень больших объемах. К тому же вполне вероятно и малоприятное общение с правоохранительными органами или службами безопасности крупных организаций в том случае, если с вашего IP-адреса произойдет взлом или DoS-атака какого-либо сервера.

Для того чтобы понять, как уберечь себя от троянских программ, разберемся со способами их проникновения на компьютер пользователя. Эти способы весьма разнообразны, но из них можно выделить наиболее типичные.

Самый распространенный способ проникновения троянца — установка его самим пользователем, считающим, что перед ним — нужная программа (собственно, именно такому пути распространения троянцы и обязаны своим названием). Особенно часто троянцы встречаются в архивах на сайтах, распространяющих взломанное и нелицензионное программное обеспечение, а также на хакерских сайтах под видом дистрибутивов программ, генераторов серийных номеров либо хакерских утилит.

Однако даже если вы и не загружаете из Сети подозрительного содержимого, то все равно не можете считать себя в безопасности — троянские функции бывают встроены и в лицензионное программное обеспечение. Например, в сентябре 2002 года «Лаборатория Касперского» сообщила об обнаружении троянских функций в коммерческой программе, предназначенной для просмотра и редактирования графических изображений Firehand Ember Millennium. Регулярно встречаются случаи распространения троянских программ с использованием «социального инжиниринга» — когда злоумышленник, войдя в доверие к пользователю, высылает ему троянца под видом нужного файла (например, фотографии или прайс-листа). Известно также о массовой рассылке троянских программ с подменой обратного адреса. При этом очень часто прикрываются именами и адресами известных компаний. Взять, например, рассылку писем с обратным адресом update@microsoft.com, где предлагается установить прилагаемое критическое обновление, которое в действительности не имеет никакого отношения к Microsoft. Зафиксированы случаи взлома сайтов производителей программного обеспечения (чаще всего такое происходит с сайтами частных разработчиков, расположенными на бесплатных площадках), когда в архивы с программами, распространяемыми на этих сайтах, внедрялись троянские программы.

Авторы троянских программ внимательно следят за новостями об обнаружении дыр в операционных системах и прикладных программах работы с электронной почтой, а также в Интернет-браузерах. Нередко они же и ведут работу по поиску неизвестных дыр. А цель — проникновение троянцев в компьютеры через такие дыры в операционной системе Windows либо их загрузка при просмотре Web-страниц. Например, троянец Trojan.JS.Scob и его модификации, написанные на языке JavaScript, размещались на взломанных серверах и при просмотре страниц этого сервера вызывали загрузку на компьютер пользователя других троянских программ. В дальнейшем можно ожидать выявления новых способов установки троянцев на наши компьютеры.

После проникновения в систему пользователя троянская программа может либо однократно выполнить свою задачу и самоуничтожиться (возможно, прихватив с собой ценную информацию), либо прописаться в системе для регулярного запуска и выполнять свои функции постоянно.

Вариантов автоматической загрузки имеется множество, в том числе и неочевидных. Стандартными, а следовательно, наиболее распространенными являются помещение программы в папку «Автозагрузка» и запись в системном реестре в разделах:

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run;
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce;
  • HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run;
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run;
  • HKEY_LOCAL_MACHINE \Software\Microsoft\Windows\CurrentVersion\RunOnce.

К стандартным способам работы троянца относится также запись этой вредоносной программы как сервиса с автоматическим запуском. А ведь аналогичные способы автозапуска используются антивирусами, брандмауэрами и иными программами, призванными обеспечить защиту и покой пользователя.

Однако есть и другие способы запуска троянцев, специфические только для вредоносных программ:

  • запуск при старте каждого *.exe-файла. Для этого троянец меняет в реестре значение параметра HKEY_CLASSES_ROOT\ exefile\shell\open\command с “%1” %* на “Trojan” “%1” %*. Для реализации такого способа загрузки троянская программа должна иметь возможность после своего запуска загрузить файл, который намеревался загрузить пользователь, передав при этом ему параметры запуска %*;
  • запуск при старте каждого bat-, com-, scr- и любого другого файла реализуется аналогично предыдущему способу путем внесения соответствующих корректировок в системный реестр;
  • троянская программа запускается при выполнении какого-либо действия с любой специальной или обычной папкой либо файлом. Например, при добавлении записи о себе в раздел HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\Manage\command троянец будет запускаться при выборе пункта «Управление» в контекстном меню объекта «Мой компьютер»;
  • автозапуск при открытии диска. Немногие знают, что автозапуск может работать не только при помещении компакт-диска в привод, но и при открытии любого локального диска — для этого создается файл autorun.inf, аналогичный тем, что содержатся на компакт-дисках, примерно со следующим содержимым:
    [AUTORUN]
    OPEN=trojan.exe;
  • загрузка при переходе компьютера в неактивный режим. Файлы заставок (запускающихся при отсутствии активности) *.scr на самом деле являются обычными исполняемыми файлами, поэтому троянец может быть прописан как экранная заставка и запускаться, когда пользователь отойдет от компьютера;
  • запуск вместо программы. Троянец может подменить собой какой-нибудь часто используемый пользователем файл, например notepad.exe или winword.exe, и запускаться вместо него. При этом исходный файл может быть либо полностью удален, либо переименован (в первом случае при попытке запустить программу троянская программа, скорее всего, будет выдавать собственное окно с сообщением о какой-либо ошибке, из-за которой требуемый файл не может быть запущен, во втором случае программа будет успешно запускаться после загрузки троянца). Также существуют специально подготовленные троянские программы, включающие заменяемый файл в свое тело;
  • запуск под видом драйвера. Троянская программа выполняется в виде vxd-, drv-, dll-файла либо других файлов, загружаемых системой.

Возможности автозапуска далеко не исчерпываются вышеперечисленными, однако описывают большую часть использующихся в настоящее время способов запуска троянских программ. В семействе Windows 9x/Me имелось еще больше возможностей автоматического запуска, например посредством записей в системных файлах конфигурации win.ini и system.ini.

Практически любой троянец должен обмениваться данными через Интернет — для этого может использоваться электронная почта, ICQ, IRC, News-группы, форумы и чаты, а также прямое соединение с требуемым адресом либо открытие на компьютере-жертве TCP- или UDP-порта и ожидание соединения по нему. Поэтому если у пользователя установлены брандмауэр и антивирус, у него может возникнуть иллюзия защищенности (почему это иллюзия — мы расскажем ниже).

Авторы троянских программ вносят в свои творения всевозможные алгоритмы, позволяющие обойти антивирусы и межсетевые экраны. Многие брандмауэры хранят в системном реестре или в собственном файле конфигурации записи о том, какая программа может беспрепятственно получать доступ к Интернету. Часто эти записи не подвергаются даже элементарному шифрованию и проверке на наличие в них несанкционированных изменений. Пользуясь этим, троянская программа может внести запись о себе в раздел разрешенных, а затем, незаметно для пользователя, делать все, что пожелает. Аналогично обстоит дело и с некоторыми антивирусами, которые позволяют настраивать запрещенные для сканирования файлы и каталоги — прописавшись туда, троянец не будет обнаружен. К тому же антивирусы обычно хорошо обнаруживают уже известные троянские программы, тогда как написанный конкретно для атаки на вас или просто очень новый троянец останется незамеченным.

Чтобы не засветиться, многие троянцы могут скрывать свою деятельность, пользуясь при обращении к Интернету теми средствами, которым доступ туда в любом случае разрешен. Например, они могут отправлять почту при помощи средств MS Outlook или The Bat!, а с Интернетом связываться посредством установленного браузера, не вызывая при этом беспокойства систем защиты. Антивирусы и брандмауэры в таком случае становятся бессильными. Поэтому наилучшим средством для снижения риска заражения компьютера троянскими программами (что во многом относится и к вирусам) является соблюдение следующих правил:

  • не работать в системе с правами администратора. Желательно работать с ограниченными правами, а для запуска программ, требующих больших прав, использовать пункт «Запустить от имени» в контекстном меню;
  • не загружать программ из непроверенных источников — прежде всего это относится к сайтам, распространяющим взломанное, нелицензионное программное обеспечение и хакерские утилиты;
  • по возможности не допускать к своему компьютеру посторонних;
  • регулярно делать снимки для восстановления системы и резервные копии важной информации и файлов;
  • пользоваться малораспространенными программами для работы в сети или хотя бы не теми, что установлены по умолчанию (например, браузером Opera, Mozilla, почтовым клиентом Thunderbird, The Bat! и т.д.). Этот подход, несомненно, имеет массу недостатков, но на уровне частных пользователей нередко оказывается самым действенным;
  • пользоваться нестандартными брандмауэрами, пусть даже не самыми лучшими по результатам тестирований, поскольку злоумышленник, как правило, не будет встраивать средства для обхода всех существующих брандмауэров, ограничившись несколькими самыми популярными;
  • переименовывать исполняемые файлы антивирусов и брандмауэров, а также сервисы, используемые ими, а при наличии соответствующих навыков — изменять заголовки их окон;
  • пользоваться мониторами реестра, в которых необходимо включить слежение за указанными в данной статье разделами;
  • сделать снимок файлов в системных директориях и при появлении новых попытаться определить, что это за файл и откуда он взялся, либо применять специальные программы — ревизоры диска, которые позволяют выявить новые подозрительные файлы, а также изменение размера существующих;
  • не запускать программ, полученных от неизвестных лиц;
  • включать на компьютере отображение всех расширений файлов и внимательно следить за полным именем файла. Троянская программа может скрываться в файле, имеющем двойное расширение (первое — безопасное, служащие для маскировки, например картинки gif, а второе — реальное расширение исполняемого файла);
  • регулярно устанавливать заплатки для операционной системы и используемых программ;
  • не разрешать браузеру запоминать пароли и не хранить их в слабо защищенных программах хранения паролей. В том случае, если вам удобнее не запоминать пароли, а хранить их на компьютере, стоит подумать над установкой программы, которая сохраняет вводимые в нее записи в стойко зашифрованном виде.

Эти правила могут показаться кому-то слишком жесткими и чересчур сложными для выполнения, однако заражение компьютера троянскими программами порой приводит к намного большим проблемам, в том числе и финансовым.

Троянские программы установлены на огромном количестве компьютеров, причем работающие на них пользователи даже не догадываются об этом. Большинство троянских программ не афиширует своего присутствия на компьютере пользователя, однако предположить, что компьютер заражен, можно по ряду косвенных признаков:

  • отказ работы одной либо нескольких программ, особенно антивируса и брандмауэра;
  • появление всплывающих окон, содержащих рекламу;
  • периодическое появление окна dial-up-соединения с попытками соединиться с провайдером либо вообще с неизвестным номером (часто зарубежным);
  • при отсутствии вашей активности на подключенном к Интернету компьютере (вы ничего не скачиваете, программы общений неактивны и т.д.) индикаторы подключения к сети продолжают показывать обмен информацией;
  • стартовая страница браузера постоянно меняется, а страница, указанная вами в роли стартовой, не сохраняется;
  • при попытке посетить сайты, куда вы раньше легко заходили (например, в поисковые системы), компьютер переадресовывает вас на незнакомый сайт, часто содержащий порнографическую либо рекламную информацию.

Если по перечисленным признакам вы обнаружили троянскую программу, установленную в вашей системе, то можно попробовать удалить ее самостоятельно, то есть без применения антивирусов либо специальных программ (типа The Cleaner). В подавляющем большинстве случаев вам удастся избавиться от троянской программы, удалив вручную запись автозапуска, а затем перезагрузиться в безопасном режиме и удалить исполняемый файл. Такой подход даст вам уверенность в том, что зараза удалена полностью (антивирусы периодически оказываются не способны удалить тело троянской программы), а кроме того, вы лучше узнаете систему, на которой работаете, и в будущем сможете с легкостью найти и обезвредить троянца, не дожидаясь сигнала от антивирусов. После удаления троянской программы необходимо поменять все пароли системы, программ и используемых служб общения и передачи информации.

Автоматизированную проверку и удаление троянских программ выполняет множество продуктов, предлагаемых как очень, так и не очень известными производителями. Обзоры антивирусов, антитроянских программ, а также программ удаления шпионских модулей можно найти в Сети практически на любом сайте, распространяющем программное обеспечение либо освещающем вопросы ИТ-безопасности. Неоднократно эти обзоры публиковались и в нашем журнале. Какую из программ использовать — личный выбор каждого исходя из опыта и вкуса. Однако хотелось обратить ваше внимание на недавно вышедшую новинку от компании Microsoft — Microsoft Windows AntiSpyware. Программа абсолютно бесплатна, но еще сохраняет статус бета-версии. У нее приятный интерфейс (правда, пока только на английском языке). Базы для детектирования шпионских программ регулярно обновляются. Программа обладает возможностями сканирования памяти и устанавливаемых, и скачиваемых программ в реальном времени, а также сканирования по запросу и по расписанию. Принципиальное отличие этой программы от ее аналогов в том, что она выпускается непосредственно разработчиком операционной системы Windows, а следовательно, позволяет обнаружить программы-шпионы, и всевозможные троянские модули, используя алгоритмы, отличные от алгоритмов других программ. А кому, как не авторам Windows и Internet Explorer, лучше знать о наличии скрытых способов установки в систему!

В заключение отметим, что в большинстве случаев защита от троянских программ не требует особо сложных средств и высокой квалификации, — необходима лишь дисциплина пользователей и осознание ими тех рисков, которые могут последовать за заражением системы. Надеемся, что эта статья позволит вам избежать возможных опасностей.

КомпьютерПресс 4'2005

Наш канал на Youtube

1999 1 2 3 4 5 6 7 8 9 10 11 12
2000 1 2 3 4 5 6 7 8 9 10 11 12
2001 1 2 3 4 5 6 7 8 9 10 11 12
2002 1 2 3 4 5 6 7 8 9 10 11 12
2003 1 2 3 4 5 6 7 8 9 10 11 12
2004 1 2 3 4 5 6 7 8 9 10 11 12
2005 1 2 3 4 5 6 7 8 9 10 11 12
2006 1 2 3 4 5 6 7 8 9 10 11 12
2007 1 2 3 4 5 6 7 8 9 10 11 12
2008 1 2 3 4 5 6 7 8 9 10 11 12
2009 1 2 3 4 5 6 7 8 9 10 11 12
2010 1 2 3 4 5 6 7 8 9 10 11 12
2011 1 2 3 4 5 6 7 8 9 10 11 12
2012 1 2 3 4 5 6 7 8 9 10 11 12
2013 1 2 3 4 5 6 7 8 9 10 11 12
Популярные статьи
КомпьютерПресс использует