Как троянская программа попадает в компьютер

Безопасен ли Интернет для ваших конфиденциальных данных? Знаете ли вы, что ваши данные могут быть похищены троянскими программами?

Троянские программы – это настоящие сетевые монстры. Это вредоносные шпионские программы, которые способны незаметно проникнуть в ваш компьютер и вести наблюдение за вашими действиями. Трояны – так их называют неформально – могут сканировать пользовательские файлы с целью найти в них конфиденциальные данные как то: номера банковских счетов и кошельков платежных систем, логины и пароли к ним. Отсканированные данные трояны отсылают своим создателям – мошенникам, которые уже и решают, как использовать полученную информацию. И решают, как правило, не в пользу жертвы.

Есть и самый опасный тип троянов, которые предоставляют своим создателям полный контроль над зараженным компьютером. Это позволяет мошенникам тихо и незаметно для жертвы проводить те или иные действия в Интернете. К примеру, мошенники могут перечислить деньги с банковских счетов или электронных кошельков от имени ничего не догадывающейся жертвы.

Как дешифровать вирус Petya

Что представляют из себя троянские программы? И как можно себя от них защитить? Об этом читайте в данной статье.

1. Два основных типа троянов

Рассмотрим два основных типа троянов – бекдоры и майлеры.

1.1 Бекдоры

Бекдоры – это тип троянских программ, которые являются типичными шпионскими клиент-серверными приложениями. Серверная часть вредоносной программы внедряется через Интернет на компьютер жертвы для открытия в операционной системе пользователя сетевого порта – некого прохода, чтобы мошенник имел свободный доступ. Таким образом мошенник может беспрепятственно попасть в компьютер жертвы. А об открытии такого прохода мошенник узнает с помощью программы-сканера, которая сообщит о зараженных трояном входах в систему. Трояны, которые самостоятельно сообщают своему создателю о заражении компьютера, используются гораздо реже, поскольку риск их обнаружения намного больше.

Независимо от того, каким образом создатель трояна узнает об успехе дела, остальная часть работы зависит от запуска клиентской троянской программы, которая соединяет компьютер жертвы и мошенника, дабы передать последнему полное управление. В зависимости от функциональных возможностей троянской программы, мошенник сможет проводить ряд операций, как правило, это практически все, что может делать жертва на собственном компьютере.

1.2 Майлеры

Майлеры – еще один тип опасных троянских программ. Это также шпионские программы, которым присуща большая скрытость и самостоятельность, нежели бекдорам. Майлерам нет необходимости открывать всяческие лазейки в операционной системе жертвы, поскольку их принцип работы базируется на самостоятельном сборе информации, в которой заинтересован мошенник. Эти трояны периодически и незримо сканируют компьютер жертвы, ища нужную информацию. Майлеры также умеют фиксировать пользовательский ввод данных с клавиатуры – т.е. определять, какие клавиши пользователь нажимает в определенные моменты.

Вирус в компе/компьютере троян/Virus in the comp/computer trojan

Собранная майлерами информация отправляется на специальный интернет-ресурс мошенника, как правило, это его электронная почта. Отсюда, собственно, и название этого типа троянов – майлеры, от слова майл, т.е. почта в переводе с английского.

2. Как троянские программы проникают в операционную систему пользователя

Беспечность пользователя – это, пожалуй, основной фактор, который способствует проникновению троянских программ в операционную систему. Полезные платные программные продукты, скачанные совершенно бесплатно с непроверенных интернет-ресурсов, являются основным инструментом, с помощью которого мошенники распространяют шпионское программное обеспечение. Любой труд должен быть оплачен. И если какой-то интернет-ресурс услужливо предлагает бесплатно скачать то, что официально стоит денег, при этом не монетизирует свои усилия с помощью рекламы, стоит призадуматься о содержимом такого бесплатного предложения.

Троянские программы могут попасть в компьютер пользователя не только через установку бесплатного сомнительного софта. Заразиться шпионской программой можно, даже бездействуя в Сети – достаточно всего лишь быть подключенным к Интернету. Через ошибки операционной системы вредоносный код троянских программ может попасть и обосноваться в системе жертвы.

3. Как защититься от троянских программ?

Защита от троянских программ – это соблюдение основных мер безопасности подключения к Интернету и веб-серфинга. Мошенников, распространяющих троянское программное обеспечение, не интересуют пользователи, которые заботятся о безопасности своего компьютера, поскольку создателям шпионских программ хватает и тех пользователей, которые к своей информационной безопасности относятся халатно. Ниже представлены основные правила, следование которым может существенно повысить вашу защиту от вредоносного программного обеспечения.

3.1. Антивирус

Антивирусные программные продукты с актуальными обновлениями — самое основное средство защиты от шпионских программ. Антивирусный пакет должен включать защиту от сетевых атак и защиту системы в реальном времени.

3.2. Обновление операционной системы

Модули операционной системы, которые уже устарели, — это идеальная среда для вредоносного программного обеспечения, в частности, троянов. Новые версии операционных систем или обновленные их сборки предусматривают обновленные модули для защиты от сетевых атак.

3.3. Обновление программного обеспечения

Интернет-браузеры, загрузчики, почтовые клиенты, flash-движки — это программы, в которые может быть внедрен вредоносный код. Именно поэтому важно программы, которые взаимодействуют с Интернетом, постоянно обновлять, доводя до актуальных версий. Обновление программ необходимо проводить с официального сайта разработчика.

3.4. Тестирование софта в виртуальной среде

Если вы все же используете бесплатный софт, скачанный с торрентов или бесплатных сайтов, тестируйте его в виртуальной среде, которые создаются программами типа Hyper-V, Virtual Box или утилитами, входящими в состав антивирусных пакетов.

3.5. Сайты с опасным содержимым

Не переходите по ссылкам на веб-сайты с опасным содержимым. Как правило, они содержат кричащие лозунги и зазывы, рассчитанные на мгновенную интригу. Это шокирующие новости шоу-бизнеса, порно-сайты, предложения заработать баснословные суммы, ничего не делая, и т.п.

3.6. Разные пароли для разных интернет-сервисов

Для разных интернет-сервисов, связанных с денежными операциями в Интернете, не стоит применять один и тот же пароль. Всегда придумывайте разные пароли для важных интернет-аккаунтов.

3.7. Не работайте под учетной записью администратора

Не работайте под учетной записью администратора операционной системы. Учетная запись администратора операционной системы представляет более широкий спектр полномочий, нежели необычная учетная запись пользователя. Так, если компьютер может быть заражен троянской программой, все полномочия учетной записи администратора могут быть открыты для мошенников.

3.8. Использование SMS-подтверждения для денежных переводов

Желательно, чтобы ваша банковская или электронная платежная система поддерживала проведение платежных операций (в частности, перевод средств с ваших счетов или электронных кошельков) только посредством ввода специального кода подтверждения платежа, который высылается SMS-сообщением на мобильный телефон. Никогда не отключайте функцию кодового SMS-подтверждения денежного перевода. Таким образом, если даже ваш компьютер будет заражен троянской программой, мошенник, попав в ваш интернет-аккаунт банковской или платежной системы, не сможет перевести ваши денежные средства на свой счет.

Помогла ли Вам данная статья?

Смотрите также:

Uninstall Tool – быстрый и удобный деинсталлятор компьютерных программ Удаление программного обеспечения с компьютера должно быть проведено правильно — с этими основами компьютерной грамотности наверняка знакомы даже новички. Благо, на рынке софта сегодня имеется масса аналогов штатному функционалу Windows…

Назначаем свои горячие клавиши для быстрого запуска программ в Windows Сделать работу с компьютером быстрее, эффективнее и удобнее можно с помощью горячих клавиш, которые предусматриваются как для работы в конкретных программах, так и для функций самой операционной системы. ОС Windows…

Утилита MInstAll — создаем сборку программ для тихой установки В интернете на сайтах софтверной тематики вам наверняка приходилось встречать сборки программ, распространяемые в виде одного ISO-файла или нескольких каталогов с одним удобным меню инсталляции. Хотите узнать, как делаются такие…

Запись опубликована в рубрике Разное с метками Безопасность, Вирусы. Добавьте в закладки постоянную ссылку.

Источник: tavalik.ru

Как троянская программа попадает в компьютер

Основные способы распространения троянских программ Как троянцы попадают на компьютер? К сожалению, однозначно тут сказать ничего нельзя, иначе можно было бы просто перекрыть эти пути и не беспокоиться. Чаще всего заражение происходит, когда пользователь запускает какую-то программу, полученную из «сомнительного источника».

Поэтому основной задачей злоумышленника является провоцирование пользователя на запуск вредноносного кода на своей машине. Как это сделать? Читайте дальше.

Трояны часто маскируются под внешне «полезные» программы. Как правило пользователю вместе с программой такого рода дается яркое, эмоциональное описание подсовываемых пользователю программ. Например:

— «Вам не надоело дожидаться загрузки страниц в браузере? Хватит. Теперь с помощью SPEED браузер будет работать в 3 раза быстрее. «.

-«В условиях российских телефонных сетей работать в Интернет практически невозможно. Требуется корректировка и фильтрация сигналов.

Учитывая множественные просьбы и заявления пользователей Интернет, оборонной промышленностью был разработан радикально новый метод очистки телефонных сетей, заключенный в небольшую программу. Теперь вы сможете значительно ускорить работу в Интернет, достигнув небывалого качества связи — 115 КБ/С. От таких предложения не отказываются».

Неопытные пользователи как правило не задумываясь запускают подобные программы, даже не проверив их антивирусом.

Кроме того, вредноносные программы можно маскировать под . трояны, нюкеры, генераторы номеров, вирус-мейкеры. Действительно, некоторые пользователи очень хотят что-нибудь взломать. И увидев описания «чудо» программ наподобие:

— «Введите адрес сервера и через 2-3 минуты вы получите все содержащиеся пароли».

— «Теперь вы можете получать номера кредитных карт системы VISA в любом количестве, причем полученные номера будут исключительно рабочими, и вы сможете производить покупки в онлайн магазинах»

вполне могут загрузить и запустить такого рода программы. Но здесь главное не переусердствовать, иначе запускать разрекламированные программы будут лишь наимение опытные пользователи. Необходимо соблюдать разумный баланс между яркостью описания и здравым смыслом.

Чрезмерное преувеличение возможностей распостраняемых программ может оттолкнуть достаточно много потенциальных пользователей. В этом способе распостранения грамотное описание подсовываемых троянов намного важнее чем их тонкая реализация. Так как слабо подготовленные пользователи обычно не используют специализированных антитроянских программ, не проверяют регулярно свой компьютер на наличие вредноносных программ, то такие пользователи не сумеют обнаружить даже самые известные или плохо написанные троянские программы. Так распостраняемые трояны могут использоваться для кражи паролей для интернет, серийных номеров программ, паролей на e-mail ICQ, IRC и т.д.

Главным образом, такие трояны распостраняются как вложения (attachment) в письма от известных компаний (Microsoft, Kaspersky, Symantec. ). Необходимо заметить, что при использовании электронной почты не стоит надеятся на анализ заголовков. Дело в том, что протокол SMTP не поддерживает механизмов аутентификации и идентификации. Поэтому элементарные знания заголовков позволяет создать достаточно правдоподобную иллюзию того, что письмо отправлено именно из заявленного источника. А если использовать специальные скрипты, то отличить поддельное письмо от настоящего можно будет только анализом логов на всех промежуточных серверах, что практически невозможно для рядового пользователя.

Как и в большинстве случаев здесь пользователю придет на помощь элементарная логика. Например Microsoft сама никому никогда ничего не отправляет. Тем более незарегистрированным пользователям. Так, что если к Вам пришло письмо с прикрепленным исполняющемся файлом, о котором Вы заранее не договаривались с отправителем (особенно если Вы не знаете его лично), то есть большая вероятность того, что это поддельное сообщение.

Многие пользователи (в том числе и опытные) считают, что троян — это обязательно исполняемый файл. Это может вызвать иллюзию безопасности. Ведь они не будут запускать «интересные» программы, как из пункта #1, не будут запускать прикрепленные файлы от «Microsoft». Однако есть несколько способов обмануть таких пользователей, то есть установить на их компьютер троянскую программу.

Достаточно много пользователей используют стандартные настройки Windows, при которых не отображаются расширения у файлов зарегистрированных типов. Это позволяет создать исполняемый файл с иконкой, как у текстового(txt), графического(jpg), музыкального или любого другого типа файла. Например с иконкой архива (несамораспаковывающегося).

Как правило, пользователь не задумываясь щелкнет мышкой по такому файлу, тем самым запустив его. Но вместо запуска ассоциированного приложения программа-инсталлятор трояна может просто вывести сообщение об ошибке. Скорее всего пользователь, после нескольких неудачных попыток, просто удалит такой файл и забудет об инциденте.

У этого способа есть еще одна вариация на случай отказа от стандартных настроек Windows или использования альтернативных графических оболочек (типа Frigate). Программа-инсталятор создается с иконкой «безобидного» файла, а имя файла выглядит примерно так: «update.rar (много пробелов) .exe» или «photo.jpg (много пробелов) .exe». Поэтому, если Вам присылает свою фотографию новый знакомый в чате, то лучше сначала посмотреть описание этого файла, чем сразу же открывать его.

Помимо простой маскировки исполняемого файла под другие виды файлов, злоумышленник может внедрить троян в объект, который считается безопасным: объект ActiveX, компоненты для различных программ (например для Delphi) и т.д.

Даже если Вы получаете программы из надежных источников, это не гарантирует 100% гарантии отсутствия вредноносного кода. Вот несколько реальных примеров:

Источник: http://www.softodrom.ru/article/1/525_1.shtml
Неизвестный попытался внедрить троян в код следующей версии Linux-ядра. В репозитории с исходными кодами Linux kernel, известном как BitKeeper, были обнаружены сомнительные изменения за прошедшие 24 часа, из-за чего публичное хранилище сразу было закрыто, — сообщил ключевой разработчик. Вероятнее всего, модифицированные строки кода являлись «закладкой» для последующего получения администраторских прав на системах, использующих данный код.

Источник: http://www.mcafee.ru/articles/archive.html?id=19
Эксперты организации CERT сообщили об обнаружении в исходном коде пакета Sendmail 8.12.6 троянского коня. Исходный код, хранившийся на ftp-сервере разработчиков Sendmail, был модифицирован неизвестным злоумышленником. «Троянские» версии Sendmail находятся в файлах с именами sendmail.8.12.6.tar.Z и sendmail.8.12.6.tar.gz. Модифицированные версии Sendmail появились на ftp.sendmail.org 28 сентября, а обнаружить и удалить их удалось лишь 6 октября.

Выше был рассмотрен «человеческий фактор». Так как известно, что человек является самым уязвимым звеном в цепочке любой системы безопасности. По этой причине человеческий фактор эксплуатируется различными червями, вирусами и троянскими программами чаще, чем перечисленные ниже ошибки и «особенности» программного обеспечения. Однако при распространении разного рода «сюрпризов» не стоит пренебрегать ошибками(дырами) в программном обеспечении или документированными особенностями обычных программ.

Как известно, любая программа содержит ошибки. Будь то операционная система или медиа-плейер. В результате данных ошибок существует возможность либо «заставить» программу выполнять действия, для которых она не предназначена, либо внедрить в неё «вредный» программный код и активизировать его.
Одной из таких ошибок является (и очень активно используется):
переполнение буфера, которое активно используется так называемыми «бестелесными» червями и некоторыми троянскими программами (код червя или троянца попадает непосредственно в активный процесс атакуемого приложения и немедленно активизируется. Правда обычно он «живет» лишь до первой перезагрузки.) Эта ошибка встречается в самых разных приложениях. И на различных сайтах, посвященных проблемам компьютерной безопасности, регулярно появляются соответствующие статьи. Вот совсем свежий пример:

BUGTRAQ : Переполнение буфера в WinAmp
Добавил: djmouse 28.11.04 09:23
Возможна удаленная атака путем подсовывание пользователю специально подготовленного .m3u-файла с плейлистом. Подтверждено наличие уязвимости в версиях 5.05 и 5.06. Временный рецепт борьбы — убрать ассоциацию с WinAmp у расширений .m3u и .cda.

Другой уязвимостью являются ошибки при работе виртуальных машин, исполняющих скрипты.

Netdex — пример многокомпонентной троянской программы класса BackDoor. Заражение происходит при посещении Web-сайта. http://www.twocom.ru/ Скрипт-программа на заглавной странице получает управление, записывает на компьютер пользователя файл и запускает его. Этот файл скачивает все необходимые для функционирования бэкдора компоненты, инсталлирует их и запускает сам бекдор. При этом используется брешь в защите виртуальной машины, исполняющей скрипты (‘Microsoft ActiveX Component’ Vulnerability). См. http://www.microsoft.com/technet/security/bulletin/MS00-075.asp

Узнать больше о видах ошибок ПО( целочисленного переполнения, переполнения кучи и т.п.), и реализации этих ошибок в конкретных программах можно, посещая различные сайты и форумы по безопасности, или самостоятельно, методом «тыка». Вот некоторые русскоязычные сайты, посвященные данной тематике, на них же можно найти ссылки на другие сайты и эксплоиты:
http://www.security.nnov.ru — сайт об IT-безопасности, созданный человеком, носящим ник ЗАРАЗА.
http://inattack.ru — архив документации для хакера.

Функция «CALL» в MS Excel (до MS Office 97), позволявшая выполнять любые функции Windows API без какого-либо предупреждения, при этом вызов шел напрямую из ячейки (не из макро-процедуры).

Эта троянская программа представляет собой 2 скрипта в HTML-файле. При запуске инфицированной HTML страницы на диск записывается VBS-часть «троянца».
VBS-часть в свою очередь создает еще одну часть (INI-файл), ищет и модифицирует файл настроек клиента mIRC таким образом, что разрешается реакция клиента mIRC на команды удаленных пользователей и отключается система предупреждений mIRC на опасные события.
Далее к клиенту mIRC подключается специальный файл настроек, который позволяет управлять инфицированным компьютером, скачивать и закачивать на инфицированный компьютер файлы, подслушивать «приватные» разговоры в mIRC и т.д.

Вот основные способы распостранения вредноносных программ, все они рассчитаны на достаточно большое количество пользователей. Однако в конкретных случаях, когда злоумышленнику необходимо получить доступ к системе какой-либо организации в ход могут пойти и подкуп одного из младших сотрудников, и написание программы, специально рассчитаной на слабости установленной в организации ОС (зная какая ОС и какие средства защиты стоят в организации, злоумышленник может поставить себе такие же и изменять код вируса/трояна/червя до тех пор, пока средства защиты не перестанут на него реагировать).

Источник: kunegin.com

Троянские программы

Троянская программа (также – Троян, троянец, троянский конь) – разновидность вредоносных программ, подбрасываемая для выполнения на компьютере-жертве, она не имеет средств для самораспространения.

Троян – это не одно и то же, что вирус. В отличие от вирусов, которые в основном портят операционную систему, форматируют диски и способны саморазмножаться, трояны по своей сути существа мирные. Сидят себе тихонько и делают свое черное дело. Область их компетенции – воровство конфиденциальной информации, паролей с последующей передачей всего этого добра хозяину.

В классическом варианте троян состоит из клиента и сервера. Серверная часть обычно на компьютере у жертвы, клиентская – у хозяина, т.е. у того, кто создал троян или просто модифицировал его, заставив работать на себя. Связь клиента и сервера осуществляется через какой-либо открытый порт.

Протокол передачи данных – обычно TCP/IP, но известны трояны, которые используют и другие протоколы связи – в частности, ICMP и даже UDP. Тот, кто создает трояны, умело маскирует их. Один из вариантов – замаскировать троянского коня под какую-либо полезную программу. При ее запуске вначале происходит выполнение кода трояна, который затем передает управление основной программе. Троян также может быть просто, но эффективно замаскирован под файл с любым дружественным расширением – например, GIF.

Таким образом, троянская программа предназначена для нанесения вреда пользователю или делающая возможным несанкционированное использование компьютера другим лицом (то есть превращающая компьютер в «зомби») для выполнения всевозможных задач, включая нанесение вреда третьим лицам.

Троянская программа запускается пользователем вручную, или автоматически – программой или частью операционной системы, выполняемой на компьютере-жертве (как модуль или служебная программа). Для этого файл программы (его название, иконку программы) называют служебным именем, маскируют под другую программу (например, установки другой программы), файл другого типа или просто дают привлекательное для запуска название, иконку и т. п.

Название «троянская программа» происходит от названия «троянский конь» – деревянный конь, по легенде, подаренный древними греками жителям Трои, внутри которого прятались воины, в последствии открывшие завоевателям ворота города. Такое название, прежде всего, отражает скрытность и потенциальную коварность истинных замыслов разработчика программы.

Троянские программы помещаются злоумышленником на открытые ресурсы (файл-серверы, открытые для записи накопители самого компьютера), носители информации или присылаются с помощью служб обмена сообщениями (например, электронной почтой) из расчета на их запуск на конкретном, входящем в определенный круг или произвольном «целевом» компьютере. Иногда, использование троянов является лишь частью спланированной многоступенчатой атаки на определенные компьютеры, сети или ресурсы (в том числе, третьи).

Современная классификация троянов выглядит следующим образом:

1. Программы-шпионы Spyware (англ. Spy – шпион и англ. Software – программное обеспечение) типа Mail sender или типа Adware.
2. Утилиты удаленного администрирования– BackDoor.
3. Программы-дозвонщики– Dialer.
4. Кейлоггеры – KeyLogger.
5. Эмуляторы DDos-атак.
6. Загрузчики– Downloader.
7. Дропперы – Dropper.
8. Прокси-серверы.
9. Деструктивные троянские программы (есть и такие — например, FlashKiller).

Источник: studfile.net