Презентация на тему: » Троянские программы. Оглавление 1) Определение 2) Маскировка 3) Виды 4) Описания 5) Глоссарий.» — Транскрипт:
2 Оглавление 1) Определение 2) Маскировка 3) Виды 4) Описания 5) Глоссарий
3 Троянская программа – вредоносная программа, выполняющая несанкционированную пользователем передачу управления компьютером (администрирование) удаленному пользователю, а также действия по удалению, модификации, сбору информации третьим лицам. Троянская программа – вредоносная программа, выполняющая несанкционированную пользователем передачу управления компьютером (администрирование) удаленному пользователю, а также действия по удалению, модификации, сбору информации третьим лицам. Троянская программа Троянская программа
4 Больша́я часть троянских программ маскируется под безвредные или полезные программы, чтобы пользователь запустил их на своем компьютере. Именно поэтому их называют троянцами по аналогии с легендой о троянском коне. Больша́я часть троянских программ маскируется под безвредные или полезные программы, чтобы пользователь запустил их на своем компьютере. Именно поэтому их называют троянцами по аналогии с легендой о троянском коне.
ЧТО ТАКОЕ ТРОЯНСКИЕ ПРОГРАММЫ И КАК ОНИ РАБОТАЮТ?
5 Маскировка Троянская программа может имитировать или даже полноценно выполнять задачу какой либо программы (в последнем случае вредоносный код встраивается злоумышленником в существующую программу). Троянская программа может имитировать или даже полноценно выполнять задачу какой либо программы (в последнем случае вредоносный код встраивается злоумышленником в существующую программу).
6 Backdoor троянские утилиты удаленного администрирования Trojan-Notifier оповещение об успешной атаке Trojan-PSW воровство паролей Trojan-Clicker Интернет — кликеры Trojan-Proxy троянские прокси — сервера Trojan-Downloader доставка прочих вредоносных программ Trojan.Winlock Trojan-Spy шпионские программы ArcBomb «бомбы» в архивах Trojan прочие троянские программы Trojan-Dropper инсталляторы прочих вредоносных программ
7 Троянские программы этого класса являются утилитами удаленного администрирования компьютеров в сети. По своей функциональности они во многом напоминают различные системы администрирования, разрабатываемые и распространяемые фирмами-производителями программных продуктов.
Троянские программы этого класса являются утилитами удаленного администрирования компьютеров в сети. По своей функциональности они во многом напоминают различные системы администрирования, разрабатываемые и распространяемые фирмами-производителями программных продуктов.
Считаются вирусами, так как пользователь не знает об их существовании – отсутствует предупреждения об инсталляции и запуске; процессы бэкдоров не отображаются в диспетчере задач. Пользователь не догадывается, что его компьютер открыт для управления злоумышленником. Считаются вирусами, так как пользователь не знает об их существовании – отсутствует предупреждения об инсталляции и запуске; процессы бэкдоров не отображаются в диспетчере задач. Пользователь не догадывается, что его компьютер открыт для управления злоумышленником. Backdoor
Что такое ТРОЯН?
8 Trojan-Spy Trojan-Spy Похитители паролей (Trojan-PSW) — трояны, предназначенные для получения паролей и прочей конфиденциальной информации, но не использующие слежение за клавиатурой. Обычно в таких троянах реализованы способы извлечения паролей из файлов, в которых эти пароли хранятся различными приложениями.
Похитители паролей (Trojan-PSW) — трояны, предназначенные для получения паролей и прочей конфиденциальной информации, но не использующие слежение за клавиатурой. Обычно в таких троянах реализованы способы извлечения паролей из файлов, в которых эти пароли хранятся различными приложениями. Trojan-PSW Программы категории Trojan-SPY предназначены для явного шпионажа за пользователем.
Это в первую очередь клавиатурные шпионы, всевозможные системы слежения за активностью пользователя. Интересной особенностью многих программ данной категории является то, что они зачастую вполне легально распространяются и продаются, снабжены подробной документаций и инсталлятором. Однако решаемые ими задачи (скрытный сбор информации, скрытная отправка собранной информации в соответствии с настройками) не оставляет сомнений в вредоносности данных программ.
9 Trojan-Downloader Вредоносные программы категории Trojan-Downloader предназначены для скрытной загрузки на пораженный компьютер постороннего программного обеспечения и его последующей регистрацией в реестре или запуском. В некоторых случаях Trojan- Downloader может выступать в роли «первой ступени» почтового вируса — в этом случае с зараженного ПК ведется рассылка не писем с вирусом, а писем с Trojan-Downloader небольшого размера, который в случае запуска загружает основное тело вируса. Вредоносные программы категории Trojan-Downloader предназначены для скрытной загрузки на пораженный компьютер постороннего программного обеспечения и его последующей регистрацией в реестре или запуском. В некоторых случаях Trojan- Downloader может выступать в роли «первой ступени» почтового вируса — в этом случае с зараженного ПК ведется рассылка не писем с вирусом, а писем с Trojan-Downloader небольшого размера, который в случае запуска загружает основное тело вируса.
10 «Следует признать тот факт, что хакеры, как никогда ранее, активны в написании новых вирусов и становятся все более агрессивны в своих попытках отследить новые компьютеры с целью получения полного контроля над ними. Если подключить к Интернету новый компьютер, не защищенный патчами, межсетевым экраном и самым современным антивирусным ПО, он может попасть под контроль хакеров уже через 10 минут», — Грэм Клули, антивирусный аналитик.
12 Блокирует работу операционной системы Windows. Троянец требует отправить СМС или переслать деньги на электронный кошелек и в ответном сообщении или прямо на чеке из платежного терминала получить код разблокировки. Блокирует работу операционной системы Windows.
Троянец требует отправить СМС или переслать деньги на электронный кошелек и в ответном сообщении или прямо на чеке из платежного терминала получить код разблокировки. Это следует сделать: 1)Воспользоваться онлайн-сервисами подбора кода разблокировки на сайтах производителей антивирусного ПО 2)Произвести полное сканирование компьютера антивирусной утилитой со свежими обновлениями антивирусной базы Этого нельзя делать: Выполнять требования злоумышленников. Так Вы не будете спонсировать деятельность хакеров. К тому же, в большинстве случаев, вы не получаете код после снятия денежных средств с Вашего баланса.
13 Борьба с троянцами. Большинство антивирусных программ эффективно защищают от данных вирусов. Рекомендуется скачивать программы с официальных сайтов издателей. После удаления вирусов следует исправить записи системного реестра, в который троянские программы могли внести изменения. Это можно сделать с помощью программы CCleaner.
14 Глоссарий Троянец: Синонимы: Троянская программа В данную категорию входят программы, осуществляющие различные несанкционированные пользователем действия: сбор информации и ее передачу злоумышленнику, ее разрушение или злонамеренную модификацию, нарушение работоспособности компьютера, использование ресурсов компьютера в неблаговидных целях. Отдельные категории троянских программ наносят ущерб удаленным компьютерам и сетям, не нарушая работоспособность зараженного компьютера (например, троянские программы, разработанные для распределенных DoS-атак на удаленные ресурсы сети).
Шпионская программа Синонимы: Spyware Под определение «spyware» («шпионские программы») подпадают программы, скрытно собирающие различную информацию о пользователе компьютера и затем отправляющие её своему автору. Эти программы иногда проникают на компьютер под видом adware-компонентов других программ и не имеют возможности деинсталляции пользователем без нарушения функционирования использующей их программы.
Иногда spyware-компоненты обнаруживаются в весьма распространенных программных продуктах известных на рынке производителей. Шпионские программы, проникающие на компьютер пользователя при помощи интернет-червей, троянских программ или при атаках хакерами уязвимостей в установленных программных продуктах, в классификации «Лаборатории Касперского» были отнесены к категории TrojanSpy.
Компью́терный ви́рус разновидность компьютерных программ, отличительной особенностью которых является способность к размножению (саморепликация). В дополнение к этому вирусы могут без ведома пользователя выполнять прочие произвольные действия, в том числе наносящие вред пользователю и/или компьютеру. По этой причине вирусы относят к вредоносным программам.
Неспециалисты ошибочно относят к компьютерным вирусам и другие виды вредоносных программ — программы-шпионы и даже спам. Известны десятки тысяч компьютерных вирусов, которые распространяются через Интернет по всему миру. Создание и распространение вредоносных программ (в том числе вирусов) преследуется в России согласно Уголовному Кодексу РФ (глава 28, статья 273). Согласно доктрине информационной безопасности РФ, в России должен проводиться правовой ликбез в школах и вузах при обучении информатике и компьютерной грамотности по вопросам защиты информации в ЭВМ, борьбы с компьютерными вирусами и обеспечению информационной безопасности в сетях ЭВМ.
15 Вредоносная программа AdWare.Win32.FunWeb.kd Trojan-Downloader.JS.Agent.fxq AdWare.Win32.FunWeb.jp Trojan.JS.Popupper.aw Trojan.JS.Redirector.pz Trojan.HTML.Iframe.dl Trojan.JS.Redirector.qa Trojan.JS.Redirector.py Trojan.JS.Redirector.qb Exploit.HTML.CVE bc Trojan-Downloader.JS.Agent.gbj Trojan-Downloader.JS.Agent.fzn Trojan-Downloader.JS.Agent.gay Trojan-Downloader.JS.Iframe.cfw Trojan.JS.Iframe.tm Exploit.JS.Pdfka.dyi Exploit.JS.Pdfka.duj Trojan-Ransom.JS.SMSer.id Trojan-Downloader.JS.Agent.gaf Hoax.Win32.Screensaver.b Позиция Топ 20 вредоносных программ в интернете
Источник: www.myshared.ru
Какой ущерб наносят троянские вирусы?
Большинство людей считают троянов вирусами, но технически это вредоносные программы. Независимо от ярлыка, троян может серьезно повредить компьютеры. В зависимости от типа трояна влияние на ваш компьютер может быть разным. Чтобы избежать повреждений, связанных с троянами, необходимо регулярно обновлять защиту от вирусов.
На жестком диске могут быть спрятаны различные трояны, и вы никогда этого не заметите. Троянское вредоносное ПО названо в честь классического мифа о троянском коне, поскольку обычно оно действует одинаково: заходит на жесткий диск и бездействует, ожидая подходящего момента для принятия мер.
Явный ущерб
Находясь в действии, трояны могут автоматически удалять важные системные файлы, инициировать автоматические загрузки из Интернета, перенаправлять компьютер в качестве веб-сервера или даже блокировать доступ пользователей к компьютеру.
Незначительный ущерб
Чтобы заметить любой другой ущерб, причиненный трояном, может потребоваться некоторое время. Трояны могут позволить хакерам получить удаленный доступ к компьютеру. Они также могут тайно отключить программное обеспечение безопасности.
Типы файлов
Трояны могут быть отдельными файлами или частью больших программ. В некоторых случаях вы можете случайно загрузить весь троянский файл, чтобы просто открыть его и установить троян на свой жесткий диск. В других случаях трояны скроются в более крупных программах.
Типы активации
Он не может быть активирован автоматически. Им требуются определенные условия, чтобы начать повреждение оборудования. Обычными триггерами являются щелчки пользователя, нажатия клавиш и условия даты / времени.
Обнаружение
Хотя вышеупомянутые антивирусные программы обнаруживают большинство троянов, также рекомендуются антишпионские программы. Платные загрузки, такие как Trojan Remover, также предлагают компьютерный анализ и предназначены исключительно для удаления троянских программ.
Ограничения
Поскольку троянские программы технически не являются вирусами, они не могут самовоспроизводиться и требуют определенного уровня прямого взаимодействия с пользователем для работы.
Источник: ru1.whitneyschev.com
Как распознать троянскую программу
Большинство программных средств, предназначенных для защиты от троянских программ, в той или иной степени использует так называемое согласование объектов. При этом в качестве объектов фигурируют файлы и каталоги, а согласование представляет собой способ ответить на вопрос, изменились ли файлы и каталоги с момента последней проверки. В ходе согласования характеристики объектов сравниваются с характеристиками, которыми они обладали раньше. Берется, к примеру, архивная копия системного файла и ее атрибуты сравниваются с атрибутами этого файла, который в настоящий момент находится на жестком диске. Если атрибуты различаются, и никаких изменений в операционную систему не вносилось, значит в компьютер, скорее всего, проник троянец.
Одним из атрибутов любого файла является отметка о времени его последней модификации: всякий раз, когда файл открывается, изменяется и сохраняется на диске, автоматически вносятся соответствующие поправки. Однако отметка времени не может служить надежным индикатором наличия в системе троянца. Дело в том, что ею очень легко манипулировать. Можно подкрутить назад системные часы, внести изменения в файл, затем снова вернуть часы в исходное состояние, и отметка о времени модификации файла останется неизменной.
Может быть, иначе обстоит дело с размером файла? Отнюдь. Нередко текстовый файл, который изначально занимал, скажем, 8 Кбайт дискового пространства, после редактирования и сохранения имеет тот же самый размер. Несколько иначе ведут себя двоичные файлы.
Вставить в чужую программу фрагмент собственного кода так, чтобы она не утратила работоспособности и в откомпилированном виде сохранила свой размер, достаточно непросто. Поэтому размер файла является более надежным показателем, чем отметка о времени внесения в него последних изменений.
Злоумышленник, решивший запустить в компьютер троянца, обычно пытается сделать его частью системного файла. Такие файлы входят в дистрибутив операционной системы и их присутствие на любом компьютере, где эта операционная система установлена, не вызывает никаких подозрений. Однако любой системный файл имеет вполне определенную длину. Если данный атрибут будет каким-либо образом изменен, это встревожит пользователя.
Зная это, злоумышленник постарается достать исходный текст соответствующей программы и внимательно проанализирует его на предмет присутствия в нем избыточных элементов, которые могут быть удалены безо всякого ощутимого ущерба. Тогда вместо найденных избыточных элементов он вставит в программу своего троянца и перекомпилирует ее заново. Если размер полученного двоичного файла окажется меньше или больше размера исходного, процедура повторяется. И так до тех пор, пока не будет получен файл, размер которого в наибольшей степени близок к оригиналу (если исходный файл достаточно большой, этот процесс может растянуться на несколько дней).
Итак, в борьбе с троянцами положиться на отметку о времени последней модификации файла и его размер нельзя, поскольку злоумышленник может их довольно легко подделать. Более надежной в этом отношении является так называемая контрольная сумма файла. Для ее подсчета элементы файла суммируются, и получившееся в результате число объявляется его контрольной суммой. Например, в операционной системе SunOS существует специальная утилита sum, которая выводит на устройство стандартного вывода STDOUT контрольную сумму файлов, перечисленных в строке аргументов этой утилиты.
Однако и контрольную сумму в общем случае оказывается не так уж трудно подделать. Поэтому для проверки целостности файловой системы компьютера используется особая разновидность алгоритма вычисления контрольной суммы, называемая односторонним хешированием.
Функция хеширования называется односторонней, если задача отыскания двух аргументов, для которых ее значения совпадают, является труднорешаемой. Отсюда следует, что функция одностороннего хеширования может быть применена для того, чтобы отслеживать изменения, вносимые злоумышленником в файловую систему компьютера, поскольку попытка злоумышленника изменить какой-либо файл так, чтобы значение, полученное путем одностороннего хеширования этого файла, осталось неизменным, обречена на неудачу.
Средства борьбы с троянцами в операционных системах семейства Windows традиционно являются частью их антивирусного программного обеспечения. Поэтому, чтобы отлавливать Back Orifice, Net Bus, SubSeven и другие подобные им троянские программы, необходимо обзавестись самыми современным антивирусами типа: ESET NOD32, DoctorWEB, Антивирус Касперского, Anti-Trojan и т.п.
Тем, кто хочет иметь в своем распоряжении утилиту, предназначенную именно для обнаружения троянцев в компьютерах, которые работают под управлением операционных систем семейства Windows (W9x, Windows NT, 2000 Professional и Server, XP Home Edition и XP Professional Windows 2003, Windows Vista, Windows 7) можно посоветовать популярную программу AVZ (Рис.1).
Антивирусная утилита AVZ предназначена для обнаружения и удаления:
· SpyWare и AdWare модулей — это основное назначение утилиты
· Сетевых и почтовых червей
· TrojanSpy, TrojanDownloader, TrojanDropper
Утилита является прямым аналогом программ TrojanHunter и LavaSoft Ad-aware 6. Первичной задачей программы является удаление SpyWare и троянских программ.
Особенностями утилиты AVZ (помимо типового сигнатурного сканера) является:
· Микропрограммы эвристической проверки системы. Микропрограммы проводят поиск известных SpyWare и вирусов по косвенным признакам — на основании анализа реестра, файлов на диске и в памяти.
· Обновляемая база безопасных файлов. В нее входят цифровые подписи десятков тысяч системных файлов и файлов известных безопасных процессов. База подключена ко всем системам AVZ и работает по принципу «свой/чужой» — безопасные файлы не вносятся в карантин, для них заблокировано удаление и вывод предупреждений, база используется антируткитом, системой поиска файлов, различными анализаторами. В частности, встроенный диспетчер процессов выделяет безопасные процессы и сервисы цветом, поиск файлов на диске может исключать из поиска известные файлы (что очень полезно при поиске на диске троянских программ);
· Встроенная система обнаружения Rootkit. В системе Windows термином «RootKit» принято называть программу, которая внедряется в систему и перехватывает системные функции или производит замену системных библиотек. Поиск RootKit идет без применения сигнатур на основании исследования базовых системных библиотек на предмет перехвата их функций.
AVZ может не только обнаруживать RootKit, но и производить корректную блокировку работы UserMode RootKit для своего процесса и KernelMode RootKit на уровне системы. Противодействие RootKit распространяется на все сервисные функции AVZ, в результате сканер AVZ может обнаруживать маскируемые процессы, система поиска в реестре «видит» маскируемые ключи и т.п. Антируткит снабжен анализатором, который проводит обнаружение процессов и сервисов, маскируемых RootKit. Главной особенностью является универсальная система обнаружения и блокирования KernelMode RootKit, работоспособная под Windows NT, Windows 2000 pro/server, XP, XP SP1, XP SP2, XP SP3 Windows 2003 Server, Windows 2003 Server SP1
· Детектор клавиатурных шпионов (Keylogger) и троянских DLL. Поиск Keylogger и троянских DLL ведется на основании анализа системы без применения базы сигнатур, что позволяет достаточно уверенно детектировать заранее неизвестные троянские DLL и Keylogger; и пр.
Рис.1. Внешний вид антивирусной утилиты AVZ
Источник: studentopedia.ru