В данную категорию входят программы, осуществляющие различные несанкционированные пользователем действия:
q сбор информации и ее передачу злоумышленнику,
q ее разрушение или злонамеренную модификацию,
q нарушение работоспособности компьютера,
q использование ресурсов компьютера в неблаговидных целях.
Отдельные категории троянских программ наносят ущерб удаленным компьютерам и сетям, не нарушая работоспособность зараженного компьютера (например, троянские программы, разработанные для массированных DoS-атак на удалённые ресурсы сети).
Троянские программы различаются между собой по тем действиям, которые они производят на зараженном компьютере.
Backdoor — троянские утилиты удаленного администрирования
Троянские программы этого класса являются утилитами удаленного администрирования компьютеров в сети. По своей функциональности они во многом напоминают различные системы администрирования, разрабатываемые и распространяемые фирмами-производителями программных продуктов.
ЧТО ТАКОЕ ТРОЯНСКИЕ ПРОГРАММЫ И КАК ОНИ РАБОТАЮТ?
Единственная особенность этих программ заставляет классифицировать их как вредные троянские программы: отсутствие предупреждения об инсталляции и запуске. При запуске «троянец» устанавливает себя в системе и затем следит за ней, при этом пользователю не выдается никаких сообщений о действиях троянца в системе. Более того, ссылка на «троянца» может отсутствовать в списке активных приложений. В результате «пользователь» этой троянской программы может и не знать о ее присутствии в системе, в то время как его компьютер открыт для удаленного управления.
Утилиты скрытого управления позволяют делать с компьютером все, что в них заложил автор: принимать или отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер и т. д. В результате эти троянцы могут быть использованы для обнаружения и передачи конфиденциальной информации, для запуска вирусов, уничтожения данных и т. п. — пораженные компьютеры оказываются открытыми для злоумышленных действий хакеров.
Таким образом, троянские программы данного типа являются одним из самых опасных видов вредоносного программного обеспечения, поскольку в них заложена возможность самых разнообразных злоумышленных действий, присущих другим видам троянских программ.
Отдельно следует отметить группу бэкдоров, способных распространяться по сети и внедряться в другие компьютеры, как это делают компьютерные черви. Отличает такие «троянцы» от червей тот факт, что они распространяются по сети не самопроизвольно (как черви), а только по специальной команде «хозяина», управляющего данной копией троянской программы.
Trojan-PSW — воровство паролей
Данное семейство объединяет троянские программы, «ворующие» различную информацию с зараженного компьютера, обычно — системные пароли (PSW — Password-Stealing-Ware). При запуске PSW-троянцы ищут сиcтемные файлы, хранящие различную конфиденциальную информацию (обычно номера телефонов и пароли доступа к интернету), и отсылают ее по указанному в коде «троянца» электронному адресу или адресам.
7 языков программирования для Хакера | Какой язык программирования учить в 2022? | UnderMind
Существуют PSW-троянцы, которые сообщают и другую информацию о зараженном компьютере, например, информацию о системе (размер памяти и дискового пространства, версия операционной системы), тип используемого почтового клиента, IP-адрес и т. п. Некоторые троянцы данного типа «воруют» регистрационную информацию к различному программному обеспечению, коды доступа к сетевым играм и прочее.
Trojan-AOL — — семейство троянских программ, «ворующих» коды доступа к сети AOL (America Online). Выделены в особую группу по причине своей многочисленности.
Trojan-Clicker — интернет-кликеры
Семейство троянских программ, основная функция которых — организация несанкционированных обращений к интернет-ресурсам (обычно к веб-страницам). Достигается это либо посылкой соответствующих команд браузеру, либо заменой системных файлов, в которых указаны «стандартные» адреса интернет-ресурсов (например, файл hosts в MS Windows). У злоумышленника могут быть следующие цели для подобных действий:
Ø увеличение посещаемости каких-либо сайтов с целью увеличения показов рекламы;
Ø организация DoS-атаки (Denial of Service) на какой-либо сервер;
Ø привлечение потенциальных жертв для заражения вирусами или троянскими программами.
Trojan-Downloader — доставка прочих вредоносных программ
Троянские программы этого класса предназначены для загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки «троянцев» или рекламных систем. Загруженные из интернета программы затем либо запускаются на выполнение, либо регистрируются «троянцем» на автозагрузку в соответствии с возможностями операционной системы. Данные действия при этом происходят без ведома пользователя.
Информация об именах и расположении загружаемых программ содержится в коде и данных троянца или скачивается троянцем с «управляющего» интернет-ресурса (обычно с веб-страницы).
Trojan-Dropper — инсталляторы прочих вредоносных программ
Троянские программы этого класса написаны в целях скрытной инсталляции других программ и практически всегда используются для «подсовывания» на компьютер-жертву вирусов или других троянских программ.
Данные троянцы обычно без каких-либо сообщений (либо с ложными сообщениями об ошибке в архиве или неверной версии операционной системы) сбрасывают на диск в какой-либо каталог (в корень диска C:, во временный каталог, в каталоги Windows) другие файлы и запускают их на выполнение.
Обычно структура таких программ следующая: Основной код Файл 1 Файл 2.
«Основной код» выделяет из своего файла остальные компоненты (файл 1, файл 2. ), записывает их на диск и открывает их (запускает на выполнение)
Обычно один (или более) компонентов являются троянскими программами, и как минимум один компонент является «обманкой»: программой-шуткой, игрой, картинкой или чем-то подобным. «Обманка» должна отвлечь внимание пользователя и/или продемонстрировать то, что запускаемый файл действительно делает что-то «полезное», в то время как троянская компонента инсталлируется в систему. В результате использования программ данного класса хакеры достигают двух целей:
Ø скрытная инсталляция троянских программ и/или вирусов;
Ø защита от антивирусных программ, поскольку не все из них в состоянии проверить все компоненты внутри файлов этого типа.
Trojan-Proxy — троянские прокси-сервера
Семейство троянских программ, скрытно осуществляющих анонимный доступ к различным интернет-ресурсам. Обычно используются для рассылки спама.
Trojan-Spy — шпионские программы
Данные троянцы осуществляют электронный шпионаж за пользователем зараженного компьютера: вводимая с клавиатуры информация, снимки экрана, список активных приложений и действия пользователя с ними сохраняются в какой-либо файл на диске и периодически отправляются злоумышленнику. Троянские программы этого типа часто используются для кражи информации пользователей различных систем онлайновых платежей и банковских систем.
Rootkit — сокрытие присутствия в операционной системе
Понятие rootkit пришло к нам из UNIX. Первоначально это понятие использовалось для обозначения набора инструментов, применяемых для получения прав root.
Таким образом, rootkit — программный код или техника, направленная на сокрытие присутствия в системе заданных объектов (процессов, файлов, ключей реестра и т.д.). Для поведения Rootkit в классификации «Лаборатории Касперского» действуют правила поглощения: Rootkit — самое младшее поведение среди вредоносных программ. То есть, если Rootkit-программа имеет троянскую составляющую, то она детектируется как Trojan.
Хакерские утилиты и прочие вредоносные программы
К данной категории относятся:
Ø утилиты автоматизации создания вирусов, червей и троянских программ (конструкторы);
Ø программные библиотеки, разработанные для создания вредоносного ПО;
Ø хакерские утилиты скрытия кода зараженных файлов от антивирусной проверки (шифровальщики файлов);
Ø «злые шутки», затрудняющие работу с компьютером;
Ø программы, сообщающие пользователю заведомо ложную информацию о своих действиях в системе;
Ø прочие программы, тем или иным способом намеренно наносящие прямой или косвенный ущерб данному или удалённым компьютерам
Trojan-Notifier — оповещение об успешной атаке
предназначены для сообщения своему «хозяину» о зараженном компьютере. При этом на адрес «хозяина» отправляется информация о компьютере, например, IP-адрес компьютера, номер открытого порта, адрес электронной почты и т. п. Отсылка осуществляется различными способами: электронным письмом, специально оформленным обращением к веб-странице «хозяина», ICQ-сообщением. Данные троянские программы используются в многокомпонентных троянских наборах для извещения своего «хозяина» об успешной инсталляции троянских компонент в атакуемую систему.
ArcBomb — «бомбы» в архивах п редставляют собой архивы, специально оформленные таким образом, чтобы вызывать нештатное поведение архиваторов при попытке разархивировать данные — зависание или существенное замедление работы компьютера или заполнение диска большим количеством «пустых» данных. Особенно опасны «архивные бомбы» для файловых и почтовых серверов, если на сервере используется какая-либо система автоматической обработки входящей информации — «архивная бомба» может просто остановить работу сервера.
Встречаются три типа подобных «бомб»:
Ø некорректный заголовок архива,
Ø повторяющиеся данные
Ø одинаковые файлы в архиве.
Источник: studopedia.su
FAQ по троянам
Ответ: Это программа, которая
как правило выдает себя за что-нибудь мирное и
чрезвычайно полезное (взломщик инета ). Нас
интересуют интернет-трояны которые либо дают
досткп к компьютеру с другого компа без ведома
пользователя, либо высылают по определенному
адресу какую-либо информацию с компьютера-жертвы
(как правило пароли)
Вопрос: Что может сделать
человек, проникнув в чужой компьютер?
Ответ: Все чего захочет:
начиная простыми шутками (выдвинуть CD-ROM,
передвинуть мышь, послать сообщение), заканчивая
кражей файлов и деструктивными действиями
(удаление файлов, их изменение, форматирование
диска и т.д.)
Вопрос: Как троян проникает в
компьютер?
Ответ: Начнем с того, что он
попадает туда по глупости самой жертвы. Самый
популярный вариант — получение трояна по почте
(например письмо от Microsoft с новой прогой, которая
бесплатно фиксит все баги и защищает от всех
троянов и т.д.), либо по аське (ну всем хоца на мои
фотки глянуть — а там ехе-шный архив ) или еще
можно скачать трояна с какого-нибудь даунлод
сайта (или хакерского сайта под видом взломщика
инета).
Вопрос: А что Microsoft рассылает
троянов?
Вопрос: Как понять что троян
установлен на компьютере?
Bопрос: А как узнать поточнее?
Ответ: Можно конечно запустить
антивирус, но он не все находит, а можно
посмотреть в реестр, ини-шные файлы, директорию
автозапуска и заодно глянуть на список процессов
(Task Manager).
Вопрос: А где в реестре можно
посмотреть?
Ответ: Вот где находится
автозапуск в реестре:
HKEY_CURRENT_USER
SoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINE
SOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINE
SOFTWAREMicrosoftWindowsCurrentVersionRunServices
HKEY_USERS.DEFAULT
SoftwareMicrosoftWindowsCurrentVersionRun
Вопрос: А что за ini-файлы?
Ответ: Win.ini строки run=; и load=
Вопрос: А вот я нашел файл
трояна в моей директории виндоуз, а он стираться
не хочет!
Oтвет: Сначала надо удалить
запись в реестре, указывающую на него, затем
перезагрузить комп, а уж затем спокойно удалять
этот файл. Иначе система удалить его не сможет,
так как он будет задействован.
Источник: xakep.ru
Троянские программы и хакерские утилиты
Троянской называется любая программа, которая втайне от пользователя выполняет какие-то нежелательные для него действия. Эти действия могут принимать любую форму — от определения регистрационных номеров программного обеспечения, установленного на компьютере, до составления списка каталогов на его жестком диске. Троянец может маскироваться под текстовый редактор, или под сетевую утилиту, или под любую из программ, которую пользователь пожелает установить на свой компьютер.
Trojan-Dropper.Win32.Agent.albv
Вредоносная программа, предназначенная для несанкционированной пользователем скрытой инсталляции на компьютер-жертву вредоносных программ, содержащихся в теле этого типа троянцев.
Рекомендации по удалению:
- При помощи завершить вредоносный процесс.
- Удалить оригинальный файл трояна (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить параметр в ключе системного реестра:
[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun]
«WSVCHO» = «%WinDir%systemsvhost.exe»
%WinDir%systemsvhost.exe
Trojan-GameThief.Win32.Magania.cpct
— вредоносная программа, предназначенная для кражи пользовательской информации, относящейся к сетевым играм. Найденная информация передается злоумышленнику. Для передачи данных «хозяину» могут быть использованы электронная почта, FTP, HTTP и т.д.
Рекомендации по удалению:
- Удалить файл:
%Temp%xvassdf.exe
[HKCUSoftwareMicrosoftWindows
CurrentVersionRun] 54dfsger=%System%xvassdf.exe
[HKLMSOFTWAREMicrosoftWindowsCurrentVersion
ExplorerAdvancedFolderHiddenSHOWALL] «CheckedValue» = «0»
[HKCUSOFTWAREMicrosoftWindowsCurrentVersion
ExplorerAdvanced] «Hidden» = «2»
%System%4tddfwq0.dll
:r1bd.exe :autorun.inf где, X – буква диска.
Trojan-Spy.Win32.PcGhost.340
вредоносная программа, предназначенная для ведения электронного шпионажа за пользователем (вводимая с клавиатуры информация, снимки экрана, список активных приложений и т.д.). Найденная информация передается злоумышленнику. Для передачи используются электронная почта, FTP, HTTP (посредством указания данных в запросе) и другие способы;
Рекомендации по удалению:
- При помощи «Диспетчера Задач» завершить троянский процесс.
- Удалить троянский файл (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
PcGhost.exe
%System%SYSKEY.DAT
[HKLMSoftwareSunpcGhost] [HKLMSoftwareMicrosoftWindowsCurrentVersionRun] «PcGhost»
Хакерские утилиты – программы, предназначенные для нанесения вреда удаленным компьютерам. Хакерские утилиты сами по себе не являются ни вирусами, ни троянскими программами и не причиняют никакого вреда локальным компьютерам, на которых они установлены.
Вирусные мистификаторы (Hoax)
— программы, которые не причиняют компьютеру какого-либо прямого вреда, однако выводят сообщения о том, что такой вред уже причинен, либо будет причинен при каких-либо условиях, либо предупреждают пользователя о несуществующей опасности. К «злым шуткам» относятся, например, программы, которые «пугают» пользователя сообщениями о форматировании диска (хотя никакого форматирования на самом деле не происходит), выводят странные вирусоподобные сообщения и т.д. (в зависимости от «чувства юмора» автора такой программы);
Рекомендации по удалению:
- При помощи Диспетчера задач завершить процесс браузера, в котором открыта страница.
- Удалить оригинальный файл данной программы (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы (Как удалить инфицированные файлы в папке Temporary Internet Files?).
- Произвести полную проверку компьютера Антивирусом
Spoofer
— программы, позволяющие отправлять сообщения и сетевые запросы с поддельным адресом отправителя. Программы данного типа могут быть использованы с различными целями (например, затруднить обнаружение отправителя или выдать сообщение за сообщение, отправленное оригиналом);
Рекомендации по удалению:
- Удалить оригинальный файл вредоносной программы (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Произвести полную проверку компьютера Антивирусом.
HackTool
— программа, используемая злоумышленниками при организации атак на локальный или удаленный компьютер (например, несанкционированное пользователем внесение нелегального пользователя в список разрешенных посетителей системы; очистка системных журналов с целью сокрытия следов присутствия в системе; снифферы с выраженным вредоносным функционалом и т.д.);
Рекомендации по удалению:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Произвести полную проверку компьютера Антивирусом.
Заключение
В настоящее время известно более 5000 программных вирусов, число которых непрерывно растет.
Причины появления и распространения вирусов скрыты с одной стороны в психологии человека, с другой стороны — с отсутствием средств защиты у операционной системы.
Итак, можно привести массу фактов, свидетельствующих о том, что угроза информационному ресурсу возрастает с каждым днем, подвергая в панику ответственных лиц в банках, на предприятиях и в компаниях во всем мире. И угроза эта исходит от компьютерных вирусов, которые искажают или уничтожают жизненно важную, ценную информацию, что может привести не только к финансовым потерям, но и к человеческим жертвам.
Итак, здоровье ваших компьютеров, сохранность ваших данных — в ваших руках!
Источник: slides.com