49104 (Способы защиты операционной системы от вирусных программ), страница 5

"Основной код" выделяет из своего файла остальные компоненты (файл 1, файл 2,. .), записывает их на диск и открывает их (запускает на выполнение).

Обычно один (или более) компонентов являются троянскими программами, и как минимум один компонент является "обманкой": программой-шуткой, игрой, картинкой или чем-то подобным. "Обманка" должна отвлечь внимание пользователя и/или продемонстрировать то, что запускаемый файл действительно делает что-то "полезное", в то время как троянская компонента инсталлируется в систему.

В результате использования программ данного класса хакеры достигают двух целей:

скрытная инсталляция троянских программ и/или вирусов;

защита от антивирусных программ, поскольку не все из них в состоянии проверить все компоненты внутри файлов этого типа.

Trojan-Proxy - троянские прокси-сервера

Семейство троянских программ, скрытно осуществляющих анонимный доступ к различным интернет-ресурсам. Обычно используются для рассылки спама.

Trojan-Spy - шпионские программы

Данные троянцы осуществляют электронный шпионаж за пользователем зараженного компьютера: вводимая с клавиатуры информация, снимки экрана, список активных приложений и действия пользователя с ними сохраняются в какой-либо файл на диске и периодически отправляются злоумышленнику.

Троянские программы этого типа часто используются для кражи информации пользователей различных систем онлайновых платежей и банковских систем.

Trojan - прочие троянские программы

К данным троянцам относятся те из них, которые осуществляют прочие действия, попадающие под определение троянских программ, т.е. разрушение или злонамеренная модификация данных, нарушение работоспособности компьютера и прочее.

В данной категории также присутствуют "многоцелевые" троянские программы, например, те из них, которые одновременно шпионят за пользователем и предоставляют proxy-сервис удаленному злоумышленнику.

Rootkit - сокрытие присутствия в операционной системе

Понятие rootkit пришло из UNIX. Первоначально это понятие использовалось для обозначения набора инструментов, применяемых для получения прав root.

Так как инструменты типа rootkit на сегодняшний день "прижились" и на других ОС (в том числе, на Windows), то следует признать подобное определение rootkit морально устаревшим и не отвечающим реальному положению дел.

Таким образом, rootkit - программный код или техника, направленная на сокрытие присутствия в системе заданных объектов (процессов, файлов, ключей реестра и т.д.).

Для поведения Rootkit в классификации "Лаборатории Касперского" действуют правила поглощения: Rootkit - самое младшее поведение среди вредоносных программ. То есть, если Rootkit-программа имеет троянскую составляющую, то она детектируется как Trojan.

ArcBomb - "бомбы" в архивах

Представляют собой архивы, специально оформленные таким образом, чтобы вызывать нештатное поведение архиваторов при попытке разархивировать данные - зависание или существенное замедление работы компьютера или заполнение диска большим количеством "пустых" данных. Особенно опасны "архивные бомбы" для файловых и почтовых серверов, если на сервере используется какая-либо система автоматической обработки входящей информации - "архивная бомба" может просто остановить работу сервера.

Встречаются три типа подобных "бомб": некорректный заголовок архива, повторяющиеся данные и одинаковые файлы в архиве.

Некорректный заголовок архива или испорченные данные в архиве могут привести к сбою в работе конкретного архиватора или алгоритма разархивирования при разборе содержимого архива.

Значительных размеров файл, содержащий повторяющиеся данные, позволяет заархивировать такой файл в архив небольшого размера (например, 5ГБ данных упаковываются в 200КБ RAR или в 480КБ ZIP-архив).

Огромное количество одинаковых файлов в архиве также практически не сказывается на размере архива при использовании специальных методов (например, существуют приемы упаковки 10100 одинаковых файлов в 30КБ RAR или 230КБ ZIP-архив).

Trojan-Notifier - оповещение об успешной атаке

Троянцы данного типа предназначены для сообщения своему "хозяину" о зараженном компьютере. При этом на адрес "хозяина" отправляется информация о компьютере, например, IP-адрес компьютера, номер открытого порта, адрес электронной почты и т.п. Отсылка осуществляется различными способами: электронным письмом, специально оформленным обращением к веб-странице "хозяина", ICQ-сообщением.

Данные троянские программы используются в многокомпонентных троянских наборах для извещения своего "хозяина" об успешной инсталляции троянских компонент в атакуемую систему.

2.3 Краткая история возникновения троянских программ

1998-й год можно смело назвать годом троянцев. Конечно, атаки такого рода происходили и раньше, техника небольшой модификации кода, приводящая к возможности захвата хоста, была очень популярна в unix-системах, но это никогда еще не было таким массовым явлением. Год начался со скромных поделок, представляющих собой обычные пакетные файлы DOS, сжатые с помощью в WinZip в самораспаковывающиеся архивы. Иногда фантазии авторов хватало на преобразование bat-файлов в com, внутри же, как правило, были всевозможные комбинации из деструктивных команд. Чуть позже были освоены конструкции, включающие в себя программы типа pwlview, предназначенные для извлечения из системных файлов имен и паролей для доступа к Internet, а также средства для отправки полученных результатов на некоторый адрес. Разумеется, чтобы заставить пользователя запустить это изделие, придумывались всевозможные приманки. Почетные места в этом ряду занимают "крак интернета", позволяющий получить заветный бесплатный доступ у любого провайдера, всевозможные 3dfx-эмуляторы и icq-ускорители, а также личные письма от компании Microsoft, в знак большой признательности присылающей лично вам последние заплатки, исправляющие очень опасную брешь в системе.

Однако несомненным событием года стало появление BackOrifice. Эта программа стала основоположником нового поколения троянцев, количество которых на данный момент исчисляется десятками. Фактически она представляет собой средство удаленного администрирования и состоит из двух частей - сервера и клиента. До сих пор все вполне прилично и ничем не отличается от любого средства удаленного доступа - того же PCAnywhere. Однако что принципиально отличается - так это поведение сервера, который после запуска тихо добавляет себя в раздел реестра Windows, отвечающий за автоматическую загрузку приложений при старте системы, и начинает ждать соединения на определенном порту. Соединившись с сервером с помощью отдельного клиентского приложения, с серверным компьютером можно делать практически все, что угодно - получать список процессов, запускать/удалять процессы, копировать/удалять файлы, каталоги, перенаправлять входящие пакеты на другие адреса, работать с реестром, выводить диалоговые окна, блокировать систему. Одним словом, компьютер оказывается под полным контролем.

Жертвами BackOrifice порой становились не только пользователи, но и целые системы, включающие в том числе и web-серверы. Так, прошлогодний взлом Relcom-Ukraine был осуществлен именно с помощью BackOrifice, внедренного всего лишь на один компьютер в офисе провайдера.

2.3.1 Обзор текущего состояния проблемы

По данным отчета Aladdin Malware Report 2006, уровень активности угроз, содержащихся в веб-контенте, увеличился за прошлый год на 1300%. По мнению авторов отчета, наибольшую опасность представляют шпионские и троянские программы.

В отчете Aladdin отмечается резкое увеличение числа вредоносных программ, "вшитых" в приложения и наносящих значительный ущерб операционной системе.95% новых приложёний, возникших сразу после выявления уязвимости, мгновенно нашли свое применение у разработчиков и распространителей вредоносных приложений, которые якобы позволяют избавиться от программ-шпионов. Многие из таких приложений окончательно выводят систему из строя без возможности восстановления.

Из вышесказанного можно сделать вывод, что из рассмотренных программ наиболее опасными являются троянские программы, поэтому рассмотрим их подробнее.

Рассмотрим также 10 самых опасных троянских программ.

Trojan-Downloader. Win32. Agent. jc - троянский загрузчик

Другие названия: Generic Downloader. p (McAfee), Trojan. DownLoader.1670 (Doctor Web), Troj/Teadoor-A (Sophos), TR/Dldr. Agent. JC (H+BEDV), Trojan. Downloader. Agent. JC (SOFTWIN), Trojan. Downloader. Agent-61 (ClamAV), Trj/Downloader. AMH (Panda)

Троянская программа, скачивающая из Интернет другие (любые, возможно, также троянские) программы и запускающая их незаметно для пользователя. В начале работы пытается выгрузить из памяти все возможные антивирусы и перенести свой исполняемый файл в системный каталог OS Windows.

Trojan. Win32. KillAV. id - троянская программа, выгружающая из памяти различные легальные программы. Является приложением Windows (PE EXE-файл). Имеет размер 3104 байта, упакована при помощи UPX. Размер распакованного файла - около 13 КБ.

Троян Conycspa. AJ предназначен для демонстрации рекламы. Его действие проявляется в том, что он изменяет несколько записей реестра Windows, а также изменяет результаты поиска в Интернете. Благодаря этому троян перенаправляет пользователей на определенные веб-страницы, в основном имеющие отношение к медицине. Также Conycspa. AJ подключается к определенному сайту, с которого загружает различные файлы. Среди них mm 4839. exe, предназначенный для рассылки с компьютеров пользователей спама о лекарствах. Троян также загружает из Интернета разные зараженные файлы, содержащие следующее вредоносное ПО: рекламный код MalwareAlarm, потенциально нежелательные программы DriveCleaner, WinAntivirus 2006 и PsKill. J, троянов Stox. A и Cimuz. EI, а также cookie DriveCleaner и MediaPlex. Также этот опасный троян вносит изменения в папку восстановления файлов за счет создания собственной папки. Следовательно, при попытке операционной системы Windows восстановить поврежденную библиотеку, она заменяется файлами, созданными самим трояном. Так троян защищает внесенные им изменения и предотвращает их удаление операционной системой.

Trojan-Spy. Win32. Briss. g - программа-шпион

Другие названия: TrojanSpy. Win32. Briss. g ("Лаборатория Касперского"), Keylog-Briss (McAfee), Trojan. Briss (Doctor Web), Troj/Briss-A (Sophos), PWS: Win32/Briss (RAV), DR/Bridge. A.2 (H+BEDV), Win32: Trojan-gen. (ALWIL), PSW. Briss. C (Grisoft), Trojan. PWS. Briss. A (SOFTWIN), Trojan. WinFavorites. Bridge (ClamAV), Spyware/Bridge (Panda), Win32/Spy. Briss. G (Eset)

Во время активной сессии Internet может показывать рекламные сообщения, перехватывать клавиатурный ввод пользователя, а также следить за историей посещения веб-сайтов. Собранную информацию может отсылать на свой сайт.

Каждый час скачивает для себя с www2. flingstone.com обновления. При этом отображает ход этого процесса в файле bridge. log.

Trojan-PSW. Win32. Hooker - троянская программа, относящаяся к семейству троянцев, ворующих пароли пользователя. Представляет собой динамически подключаемую библиотеку (DLL), содержащую набор функций предназначенных для мониторинга информации вводимой с клавиатуры. Библиотека разработана в среде Visual Studio с использованием языка программирования С++.

Trojan-PSW. Win32. Hooker.24. h ("Лаборатория Касперского") также известен как: PWS-Hooker. dll (McAfee), Trojan Horse (Symantec), Trojan. PWS. Hooker.24 (Doctor Web), Troj/PWS-AV (Sophos), Win32/Badtrans. B@mm (RAV), WORM_BADTRANS. B (Trend Micro), Worm/BadTrans. B2 (H+BEDV), Win32: Trojan-gen. (ALWIL), I-Worm/BadTrans (Grisoft), Trojan. PSW. Hooker.2. C (SOFTWIN), Worm. BadTrans. B2 (ClamAV), Trj/PSW. Hooker.24. h (Panda), Win32/Badtrans.29020. A (Eset)

Данная библиотека может быть использована в составе других хакерских модулей. Она предоставляет набор функций для слежения за символами, вводимыми с клавиатуры.

Текст этого Трояна - Приложение 2.

Trojan-Dropper. Win32. Small. hq - троянский контейнер

Другие названия: Trojan-Dropper. Win32. Small. hq ("Лаборатория Касперского"), StartPage-DU (McAfee), Trojan. DownLoader.365 (Doctor Web), TROJ_STARTPAG. DU (Trend Micro), TR/Dldr. Delf. CB.3 (H+BEDV), Win32: Trojano-198 (ALWIL), Startpage.7. H (Grisoft), Trj/StartPage. FH (Panda)

Программа создана для скрытной установки в систему других троянских программ. Основной файл является приложением Windows (PE EXE-файл), имеет размер около 25 КБ.

Программа при запуске скрытно устанавливает в систему другую вредоносную программу, содержащуюся внутри ее исполняемого файла, после чего данный файл запускается на исполнение.

Антивирус Касперского детектирует создаваемый файл как Trojan. Win32. StartPage. is. Также Small. hq пытается скачать и запустить другого троянца с адреса http://81.211.105. xx/, после чего оригинальный запускаемый файл удаляется.

Trojan. Win32. Qhost. dg - троянская программа

Другие названия: Trojan. Win32. Qhost. qs ("Лаборатория Касперского"), Qhosts. apd (McAfee), Trojan. Qhosts. B (SOFTWIN), Trojan. Qhost. A (ClamAV), Trj/Qhost. gen (Panda), Win32/Qhosts (Eset)

Троянская программа представляет собой модифицированный файл ОС Windows%System%\drivers\etc\hosts, который используется для перевода доменных имен (DNS) в IP-адреса. Файл модифицирован таким образом, чтобы сделать недоступным пользователю сервера различных антивирусных компаний, таким образом, что все запросы к определённым серверам будут заблокированы.

Backdoor. Rbot. gen - троянская программа удаленного администрированияДругие названия: Backdoor. Rbot. gen ("Лаборатория Касперского"), IRC-Sdbot (McAfee), W32. Spybot. Worm (Symantec), Win32. HLLW. MyBot (Doctor Web), W32/Rbot-BY (Sophos), Backdoor: Win32/Rbot (RAV), Worm/Sdbot.39936. B (H+BEDV), Win32: SdBot-194-B (ALWIL), IRC/BackDoor. SdBot.28. F (Grisoft), Backdoor. SDBot. Gen (SOFTWIN)

Backdoor. Rbot - семейство троянских программ для ОС Windows, предоставляющих злоумышленнику удалённый доступ к заражённой машине.

Trojan. BAT. AnitV. c - троянская программа

Другие названия: rojan. BAT. AnitV. c ("Лаборатория Касперского"), Bat/dt66 (McAfee), BAT. Trojan (Symantec), BAT/AntiV. C* (RAV), BAT/DelTree@troj (FRISK), BV: Malware (ALWIL), BAT. AnitV. C (SOFTWIN), Trojan. Bat. AnitV. C (ClamAV), Trj/HaltWin (Panda), BAT/AntiV. C (Eset)