Дело в том, что большинство троянцев являются частью других программ, которые хранятся в компьютере в откомпилированном виде. Текст этих программ представляет собой последовательность команд на машинном языке, состоящую из нулей и единиц. Рядовой пользователь, как правило, не имеет ни малейшего понятия о внутренней структуре таких программ. Он просто запускает их на исполнение путем задания имени соответствующей программы в командной строке или двойным щелчком на имени ее файла.
Когда выясняется, что в какую-то откомпилированную программу проник троянец, в сети Internet немедленно начинают распространяться бюллетени с информацией об обнаруженном троянце. Чаще всего в этих бюллетенях кратко сообщается о том, какой вред может причинить данный троянец и где можно найти замену пораженной троянцем программе.
Иногда ущерб, который может нанести троянец, оценить довольно легко. Например, если он предназначен для пересылки по электронной почте содержимого файла /etc/passwd, в котором операционные системы семейства UNIX хранят информацию о пользовательских паролях, достаточно установить «чистую» версию программы взамен той, в которой обосновался этот троянец. Затем пользователи должны будут обновить свои пароли, и на этом борьба с ним успешно завершается.
КАК УДАЛИТЬ ТРОЯН? 100% СПОСОБ УДАЛИТЬ ТРОЯН! LOARIS TROJAN REMOVER | Помощь в ПК
Однако далеко не всегда степень компрометации компьютерной системы, в которой поселилась троянская программа, бывает так легко определить. Предположим, что цель внедрения троянца состоит в создании дыры в защитных механизмах компьютерной системы, через которую злоумышленник сможет, например, проникать в нее, имея администраторские полномочия. И если взломщик окажется достаточно хитрым и смекалистым, чтобы замести следы своего присутствия в системе путем внесения соответствующих изменений в регистрационные файлы, то определить, насколько глубоко он проник сквозь системные защитные механизмы, будет почти невозможно, если учесть еще тот факт, что саму троянскую программу обнаружат лишь несколько месяцев спустя после ее внедрения в компьютерную систему. В этом случае может понадобиться целиком переустановить операционную систему и все приложения.
Идентификация троянских программ. Большинство программных средств, предназначенных для защиты от троянских программ, в той или иной степени использует так называемое согласование объектов. При этом в качестве объектов фигурируют файлы и каталоги, а согласование представляет собой способ ответить на вопрос – изменились ли файлы и каталоги с момента последней проверки.
В ходе согласования характеристики объектов сравниваются с характеристиками, которыми они обладали раньше. Берется, например, архивная копия системного файла и ее атрибуты сравниваются с атрибутами этого файла, который в настоящий момент находится на жестком диске. Если атрибуты различаются и никаких изменений в операционную систему не вносилось, значит в компьютер, скорее всего, проник троянец.
Одним из атрибутов любого файла является отметка о времени его последней модификации: всякий раз, когда файл открывается, изменяется и сохраняется на диске, автоматически вносятся соответствующие поправки. Однако отметка времени не может служить надежным индикатором наличия в системе троянца. Дело в том, что ею очень легко манипулировать. Можно подкрутить назад системные часы, внести изменения в файл, затем снова вернуть часы в исходное состояние, и отметка о времени модификации файла останется неизменной.
Что такое Trojan и как от них защищаться
Анализ размера файла. Нередко текстовый файл, который изначально занимал, скажем, 8 Кбайт дискового пространства, после редактирования и сохранения имеет тот же самый размер. Несколько иначе ведут себя двоичные файлы. Вставить в чужую программу фрагмент собственного кода так, чтобы она не утратила работоспособности и в откомпилированном виде сохранила свой размер, достаточно непросто. Поэтому размер файла является более надежным показателем, чем отметка о времени внесения в него последних изменений.
Злоумышленник, решивший запустить в компьютер троянца, обычно пытается сделать его частью системного файла. Такие файлы входят в дистрибутив операционной системы и их присутствие на любом компьютере, где эта операционная система установлена, не вызывает никаких подозрений. Однако любой системный файл имеет вполне определенную длину. Если данный атрибут будет каким-либо образом изменен, это встревожит пользователя.
Зная это, злоумышленник постарается достать исходный текст соответствующей программы и внимательно проанализирует его на предмет присутствия в нем избыточных элементов, которые могут быть удалены безо всякого ощутимого ущерба. Тогда вместо найденных избыточных элементов он вставит в программу своего троянца и перекомпилирует ее заново. Если размер полученного двоичного файла окажется меньше или больше размера исходного, процедура повторяется. И так до тех пор, пока не будет получен файл, размер которого в наибольшей степени близок к оригиналу (если исходный файл достаточно большой, этот процесс может растянуться на несколько дней).
Итак, в борьбе с троянцами положиться на отметку о времени последней модификации файла и его размер нельзя, поскольку злоумышленник может их довольно легко подделать. Более надежной в этом отношении является так называемая контрольная сумма файла. Для ее подсчета элементы файла суммируются, и получившееся в результате число объявляется его контрольной суммой. Например, в операционной системе SunOS существует специальная утилита sum, которая выводит на устройство стандартного вывода STDOUT контрольную сумму файлов, перечисленных в строке аргументов этой утилиты.
Однако и контрольную сумму в общем случае оказывается не так уж трудно подделать. Поэтому для проверки целостности файловой системы компьютера используется особая разновидность алгоритма вычисления контрольной суммы, называемая односторонним хэшированием.
Функция хэширования называется односторонней, если задача отыскания двух аргументов, для которых ее значения совпадают, является труднорешаемой. Отсюда следует, что функция одностороннего хэширования может быть применена для того, чтобы отслеживать изменения, вносимые злоумышленником в файловую систему компьютера, поскольку попытка злоумышленника изменить какой-либо файл так, чтобы значение, полученное путем одностороннего хэширования этого файла, осталось неизменным, обречена на неудачу.
Исторически сложилось так, что большинство утилит, позволяющих бороться с проникновением в компьютерную систему троянских программ путем однонаправленного хэширования файлов, было создано для операционных систем семейства UNIX. Одной из наиболее удобных в эксплуатации и эффективных является утилита Trip Wire, которую можно найти в Internet по адресу http://www.tripwiresecurity.com/. Она позволяет производить однонаправленное хэширование файлов при помощи нескольких алгоритмов, в том числе – MD43, MD54 и SHA5. Вычисленные хэш-значения файлов хранятся в специальной базе данных, которая, в принципе, является самым уязвимым звеном утилиты TripWire. Поэтому пользователям TripWire предлагается в обязательном порядке принимать дополнительные меры защиты, чтобы исключить доступ к этой базе данных со стороны злоумышленника (например, помещать ее на съемном носителе, предназначенном только для чтения).
Средства борьбы с троянцами в операционных системах семейства Windows (95/98/NT/2000/Vista) традиционно являются частью их антивирусного программною обеспечения. Поэтому, чтобы отлавливать Back Orifice, Net Bus, SubSeven и другие подобные им троянские программы, необходимо обзавестись самым современным антивирусом (например, программой Avira, которая позволяет обнаруживать присутствие в компьютерной системе наиболее распространенных троянцев и избавляться от них). Следует регулярно проверять свой компьютер на присутствие в нем вирусов.
Обзор средств борьбы с троянскими программами был бы далеко не полным, если обойти вниманием недавно появившиеся на рынке программные пакеты, предназначенные для комплексной зашиты от угроз, с которыми сталкиваются пользователи настольных компьютеров при работе в Internet. Одним из таких пакетов является eSafe Protect компании Aladdin Knowledge Systems (демонстрационную версию eSafe Protect можно найти в Internet no адресу www.esafe.com).
Функционально eSafe Protect делится на три компонента – антивирус, персональный брандмауэр и модуль защиты компьютерных ресурсов. Антивирус избавляет компьютер от вредоносных программ благодаря применению антивирусного модуля VisuSafe, сертифицированного американским Национальным агентством компьютерной безопасности. Персональный брандмауэр контролирует весь входящий и исходящий трафик по протоколу TCP/IP, наделяя используемые IP-адреса определенными правами (например, ограничивая доступ в Internet в определенные часы или запрещая посещение некоторых Web-узлов).
Для защиты ресурсов компьютера, на котором установлен программный пакет eSafe Protect, создается специальная изолированная область – так называемая песочница. Все автоматически загружаемые из Internet Java-аплеты и компоненты ActiveX сначала помещаются в «песочницу», где они находятся под неусыпным наблюдением eSafe Protect.
Если попавшая в «песочницу» программа попытается выполнить какое-либо недозволенное действие, то оно будет немедленно блокировано. В течение заданного интервала времени (от 1 до 30 дней) каждое приложение, загруженное в компьютер из Internet, проходит «карантинную» проверку в «песочнице». Полученная в ходе такой проверки информация заносится в особый журнал. По истечении «карантина» приложение будет выполняться вне «песочницы», однако ему будут дозволены только те действия, перечень которых определяется на основе имеющихся журнальных записей.
Таким образом, по сравнению с другими подобными программными пакетами eSafe Protect обеспечивает наиболее развитые и эффективные средства комплексной зашиты от троянских программ. Входящий в состав eSafe Protect антивирус помогает быстро выявлять троянцев и расправляться с ними, используя технологии, которые хорошо зарекомендовали себя при борьбе с вирусами. Персональный брандмауэр блокирует любые попытки связаться извне с проникшими в компьютерную систему троянскими программами. И, наконец, с помощью «песочницы» своевременно предотвращается внедрение троянцев в компьютеры под видом Java-аплетов и компонентов ActiveX.
Примеры классификации троянских программ [8] (http://www.totalmalwareinfo.com/rus/):
Trojan-Clicker.BAT
Trojan-Clicker.Win32
Trojan-DDoS.Win32
Trojan-Downloader.Win32
Trojan-Downloader.BAT
Trojan-Downloader.HTML
Trojan-Downloader.JS
Trojan-Downloader.Perl
Trojan-Downloader.Small
Trojan-Downloader.VBS
Trojan-Downloader.Win32
Trojan-Dropper.BAT
Trojan-Dropper.JS
Trojan-Dropper.VBS
Trojan-Dropper.Win32
Trojan-IM.Win32
Trojan-Notifier.Win32
Trojan-PSW.BAT
Trojan-PSW.Win32
Trojan-Proxy.Win32
Trojan-Spy..Win32
Trojan-Spy.HTML
Trojan-Spy.JS
Trojan-Spy.Linux
Trojan-Spy.VBS
Trojan-Spy.Win32
Trojan.BAT
Trojan.HTML
Список литературы
1. Гошко С.В. Энциклопедия по защите от вирусов. – М.: Изд-во «СО-ЛОН-Пресс», 2004. – 301 с.
2. Гульев И.А. Создаем вирус и антивирус. 2-е изд. – М.: ДМК Пресс, 2000. – 304 с.
3. Касперски К. Записки исследователя компьютерных вирусов. – СПб.: Питер, 2004. – 320 с.
4. Касперски К. Компьютерные вирусы изнутри и снаружи. – СПб: Питер Ком, 2006. – 526 с.
5. Коваль И. Как написать компьютерный вирус. Практикум программи-рования на ассемблере. – СПб.: Символ-Плюс, 2000. – 192 с.
6. Козлов Д.А., Парандовский А.А., Парандовский А.К. Энциклопедия компьютерных вирусов. – М.: СОЛОН-Р, 2001. – 457 с.
7. Копелиович Д.И., Зыков О.И., Морякин Д.Е. Современные угрозы ин-формационной безопасности и тенденции развития вредоносного программного обеспечения // Вестник Брянского государственного технического университе-та. – 2007. – № 1(13). – С. 59-66.
8. http://www.totalmalwareinfo.com/rus/
* Категория работы носит оценочный характер в соответствии с качественными и количественными параметрами предоставляемого материала. Данный материал ни целиком, ни любая из его частей не является готовым научным трудом, выпускной квалификационной работой, научным докладом или иной работой, предусмотренной государственной системой научной аттестации или необходимой для прохождения промежуточной или итоговой аттестации. Данный материал представляет собой субъективный результат обработки, структурирования и форматирования собранной его автором информации и предназначен, прежде всего, для использования в качестве источника для самостоятельной подготовки работы указанной тематики.
Источник: referatbank.ru
Троянские программы и защита от них
ТРОЯНСКИЕ ПРОГРАММЫ
Троянская программа, троянец (от англ. trojan) – вредоносная
программа, которая выполняет несанкционированную пользователем
передачу управления компьютером удаленному пользователю, а
также действия по удалению, модификации, сбору и пересылке
информации третьим лицам.
Троянские
программы обычно
проникают на
компьютер как
сетевые черви, а
различаются
между собой по
тем действиям,
которые они
производят на
зараженном
компьютере.
3.
ТРОЯНСКИЕ ПРОГРАММЫ
Количество обнаруживаемых аналитиками «Лаборатории Касперского»
новых «троянских» программ
4.
ТРОЯНСКИЕ УТИЛИТЫ УДАЛЕННОГО АДМИНИСТРИРОВАНИЯ
Утилиты скрытого управления позволяют принимать или отсылать
файлы, запускать и уничтожать их, выводить сообщения, стирать
информацию, перезагружать компьютер и т. д.
При запуске троянец
устанавливает себя в
системе и затем
следит за ней, при
этом пользователю не
выдается никаких
сообщений о
действиях троянской
программы в системе.
В 2003 году широкое распространение получила троянская программа
Backdoor.Win32.ВО, которая осуществляет следующие действия:
• высылает имена компьютера, пользователя и информацию о системе: тип процессора,
размер памяти, версию системы, информацию об установленных устройствах;
• посылает/принимает, уничтожает, копирует, переименовывает, исполняет любой файл;
• отключает пользователя от сети;
• «завешивает» компьютер;
• читает или модифицирует системный реестр.
5.
ТРОЯНСКИЕ ПРОГРАММЫ, ВОРУЮЩИЕ ИНФОРМАЦИЮ
Троянские программы ворующие информацию, при запуске ищут
файлы, хранящие конфиденциальную информацию о пользователе
(банковские реквизиты, пароли доступа к Интернету и др.) и отсылают
ее по указанному в коде троянца электронному адресу или адресам.
Троянцы данного типа также сообщают
информацию о зараженном компьютере (размер
памяти и дискового пространства, версию
операционной системы, IP-адрес и т. п.).
Некоторые троянцы воруют регистрационную
информацию к программному обеспечению.
6.
ТРОЯНСКИЕ ПРОГРАММЫ –
ИНСТАЛЛЯТОРЫ ВРЕДОНОСНЫХ ПРОГРАММ
Троянские программы этого класса скрытно инсталлируют
другие вредоносные программ и используются для
«подсовывания» на компьютер-жертву вирусов или других
троянских программ.
Загруженные без
ведома пользователя
из Интернета
программы либо
запускаются на
выполнение, либо
включаются троянцем в
автозагрузку
операционной
системы.
7.
ТРОЯНСКИЕ ПРОГРАММЫ — ШПИОНЫ
Данные троянцы осуществляют электронный шпионаж за
пользователем зараженного компьютера: вводимая с
клавиатуры информация, снимки экрана, список активных
приложений и действия пользователя с ними сохраняются в
каком-либо файле на диске и периодически отправляются
злоумышленнику.
Троянские программы этого типа часто
используются для кражи информации
пользователей различных систем онлайновых
платежей и банковских систем.
Троянские программы часто изменяют записи
системного реестра операционной системы,
поэтому для их удаления необходимо в том числе
восстановление системного реестра.
8.
КОМПЬЮТЕРНЫЙ ПРАКТИКУМ
Защита от троянских программ
Задание. С помощью программы восстановления системы CСleaner
исправить ошибки системного реестра.
Источник: ppt-online.org
Троянские программы и защита от них
ТРОЯНСКИЕ ПРОГРАММЫ Троянская программа, троянец (от англ. trojan) – вредоносная программа, которая выполняет несанкционированную пользователем передачу управления компьютером удаленному пользователю, а также действия по удалению, модификации, сбору и пересылке информации третьим лицам. Троянские программы обычно проникают на компьютер как сетевые черви, а различаются между собой по тем действиям, которые они производят на зараженном компьютере.
ТРОЯНСКИЕ ПРОГРАММЫ Количество обнаруживаемых аналитиками «Лаборатории Касперского» новых «троянских» программ
ТРОЯНСКИЕ УТИЛИТЫ УДАЛЕННОГО АДМИНИСТРИРОВАНИЯ Утилиты скрытого управления позволяют принимать или отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер и т. д. При запуске троянец устанавливает себя в системе и затем следит за ней, при этом пользователю не выдается никаких сообщений о действиях троянской программы в системе. В 2003 году широкое распространение получила троянская программа Backdoor.Win32.ВО, которая осуществляет следующие действия: • высылает имена компьютера, пользователя и информацию о системе: тип процессора, размер памяти, версию системы, информацию об установленных устройствах; • посылает/принимает, уничтожает, копирует, переименовывает, исполняет любой файл; • отключает пользователя от сети; • «завешивает» компьютер; • читает или модифицирует системный реестр.
ТРОЯНСКИЕ ПРОГРАММЫ, ВОРУЮЩИЕ ИНФОРМАЦИЮ Троянские программы ворующие информацию, при запуске ищут файлы, хранящие конфиденциальную информацию о пользователе (банковские реквизиты, пароли доступа к Интернету и др.) и отсылают ее по указанному в коде троянца электронному адресу или адресам. Троянцы данного типа также сообщают информацию о зараженном компьютере (размер памяти и дискового пространства, версию операционной системы, IP-адрес и т. п.). Некоторые троянцы воруют регистрационную информацию к программному обеспечению.
ТРОЯНСКИЕ ПРОГРАММЫ – ИНСТАЛЛЯТОРЫ ВРЕДОНОСНЫХ ПРОГРАММ Троянские программы этого класса скрытно инсталлируют другие вредоносные программ и используются для «подсовывания» на компьютер-жертву вирусов или других троянских программ. Загруженные без ведома пользователя из Интернета программы либо запускаются на выполнение, либо включаются троянцем в автозагрузку операционной системы.
ТРОЯНСКИЕ ПРОГРАММЫ — ШПИОНЫ Данные троянцы осуществляют электронный шпионаж за пользователем зараженного компьютера: вводимая с клавиатуры информация, снимки экрана, список активных приложений и действия пользователя с ними сохраняются в каком-либо файле на диске и периодически отправляются злоумышленнику. Троянские программы этого типа часто используются для кражи информации пользователей различных систем онлайновых платежей и банковских систем. Троянские программы часто изменяют записи системного реестра операционной системы, поэтому для их удаления необходимо в том числе восстановление системного реестра.
КОМПЬЮТЕРНЫЙ ПРАКТИКУМ Защита от троянских программ Задание. С помощью программы восстановления системы CСleaner исправить ошибки системного реестра.
Источник: cdnpdf.com