Компьютерный вирус троян: что такое, описание, характеристика

Блоатвар

Допу­стим, вы реши­ли пока­чать тор­рен­ты. Само по себе это не пре­ступ­ле­ние, поэто­му вы идё­те на сайт попу­ляр­но­го торрент-клиента и ска­чи­ва­е­те при­ло­же­ние. Откры­ва­ет­ся офи­ци­аль­ный уста­нов­щик, вы быст­ро про­кли­ки­ва­е­те все экра­ны. Потом глядь — у вас на ком­пью­те­ре объ­яви­лась какая-то новая систе­ма без­опас­но­сти, вме­сто стан­дарт­но­го бра­у­зе­ра теперь «Опе­ра», а в пане­ли про­грамм появи­лись какие-то новые ребя­та. Отку­да это?

Если посмот­реть вни­ма­тель­но, ока­жет­ся, что при уста­нов­ке торрент-клиента вы неза­мет­но для себя не сня­ли галоч­ки с попут­ной уста­нов­ки все­го осталь­но­го. И теперь у вас в памя­ти целый зоо­парк из ненуж­но­го соф­та — bloatware.

Если у вас высо­кий уро­вень ком­пью­тер­ной гра­мот­но­сти, ско­рее все­го, вы смо­же­те уда­лить все вне­зап­но нале­тев­шие про­грам­мы. А если под ата­ку попа­ли ваши роди­те­ли или дети, они могут не сориентироваться.

Сам по себе бло­ат­вар не все­гда опа­сен: это могут быть обыч­ные про­грам­мы раз­ной сте­пе­ни полезности.

Во вре­мя уста­нов­ки uTorrent Web этот экран лег­ко при­нять за реклам­ную кар­тин­ку, но там уже сто­ит галоч­ка «Уста­но­вить бра­у­зер Opera».

Методы противодействия

Ежедневная работа за компьютером, особенно если за ним работает несколько человек, сама по себе несет потенциальную опасность незаметно «получить» троянца. Как же распознать и обезвредить скрытую, но опасную троянскую программу?

Во-первых, следует заведомо минимизировать (или исключить вовсе) вероятность попадания её на компьютер. В качестве распространённого профилактического метода для MS Windows и других операционных систем используется «файрвол» (он же межсетевой экран или брандмауэр), который следит за проходящим через себя трафиком и может накладывать на него ограничения или вовсе блокировать (фильтрация трафика в соответствие с заданными правилами). Ограничение исходящего или входящего трафика для сомнительных программ существенно повысит безопасность персонального компьютера. Обычно файрвол оповещает пользователя о несанкционированной попытке передачи данных от конкретной программы или приложения. И пользователь может запретить отправку (или приём) данных, нажав на соответствующую кнопку всплывающего окна файрвола , например: «Запретить исходящий трафик».

Во-вторых, стоит предпринять и более радикальные меры. Важный компонент защиты персонального ПК от троянского программного обеспечения – антивирусная программа со встроенным межсетевым экраном. Популярные антивирусные программные продукты имеют богатый набор инструментов для проверки компьютера (и сети в целом). Эффективным инструментарием для распознавания и борьбы с троянским ПО располагают «Антивирус Касперского», «Dr.Web» и другие не менее известные антивирусы, в том числе — бесплатные.

Третье. На рынке программного обеспечения представлено множество узкоспециализированных программ-сканеров с постоянно обновляемыми базами потенциальных угроз для безопасности компьютера. Настоятельно рекомендуется периодически запускать проверку на предмет наличия «троянов» среди файлов пользователя, либо добавить соответствующую задачу в планировщик вашей операционной системы.

Также крайне не рекомендуется отключать средства защиты от вредоносного ПО, интегрированные в операционную систему. Разумеется, кроме случаев замены стандартного набора инструментов на прикладную программу из стороннего антивирусного пакета.

Соблюдая все перечисленные меры защиты можно надеяться, что даже самый «хитрый» троян не попадет на ваш компьютер. Если же такое произошло, для восстановления работоспособности компьютера стоит обращаться к специалистам.

Как работают троянские вирусы

Вирус данного типа не может попасть на компьютер сам по себе. Прежде чем троян сможет выполнить вредоносные действия в операционной системе, пользователю необходимо загрузить исполняемый код, который представляет собой небольшое приложение. Чтобы начать процесс заражения ОС, необходимо запустить на выполнение исполняемый файл, который развернет вредоносное ПО. В ОС Windows расширение имен таких файлов выглядит как .exe. По умолчанию показ расширений в системе отключен, что увеличивает вероятность открытия неопытными пользователями.

Для внедрения вредоносного кода на компьютер жертвы киберпреступники часто применяют стратегии социальной инженерии с целью внедриться в доверие пользователя и убедить загрузить хакерское приложение. Социальные ловушки часто присутствуют во всплывающих окнах браузера, в рекламных баннерах, в рекламных ссылках на непроверенных веб-сайтах и пр.

Однако самым популярным способом распространения троянов является электронная почта в комбинации с социальной инженерией. Злоумышленники создают тематические, привлекательные для жертв, электронные письма, замаскированные под полезную корреспонденцию. Внутри письма, как правило, содержится мотивирующий текст, целью которого является заставить пользователя скачать и запустить вложение либо перейти по рекламной ссылке на веб-сайт и загрузить определенное приложение. Используя методы спама, рассылка таких писем может быть осуществлена сразу тысячам пользователей. После открытия вложений или загрузок, исполняемый код вируса внедряется в системные файлы и в очередь автозапуска.

В зависимости от программного кода и целей хакера, вредоносное ПО может распространяться на другие узлы сети, образуя ботнет. Для достижения такой цели злоумышленнику необходимо заразить одну из машин, превратив в т.н. компьютер-зомби. При этом вредоносные действия трояна остаются полностью анонимными и незаметными для пользователя такого устройства.

Жертвой атаки троянов могут стать не только пользователи ноутбуков и персональных компьютеров. Известны случаи заражения мобильных устройств, включая планшеты и смартфоны. Такая форма заражения может привести к тому, что злоумышленник перенаправит трафик на эти устройства, подключенные к Wi-Fi для дальнейшего их использования с целью совершения киберпреступлений.  

Рассмотрим процесс работы трояна на конкретном примере:

1. На электронный адрес пользователя приходит целевое письмо с вложением. После прочтения текста он открывает вложение.

2. Компьютер продолжает работать в стандартном режиме, и пользователь не подозревает, что стал жертвой хакерской атаки, продолжая работать с машиной привычным способом.

3. Троянский вирус на компьютере не выполняет активных действий и остается незамеченным до наступления определенного действия или даты. Например, до ввода пользователем данных авторизации в рабочий сервис или посещения банковского веб-сайта.

4. После совершения требуемого действия вредоносный код активируется и выполняет запланированные действия.

5. В зависимости от целей хакера, конечной стадией является либо удаление вируса из системы после выполнения требуемых действий, либо переход в неактивную фазу во избежание обнаружения, либо продолжение активных действий и распространение по сети.

Виды троянских программ

Троянец состоит из 2 частей: серверной и клиентской. Обмен данными между ними происходит по протоколу TCP/IP черед любой порт. На работающем ПК жертвы инсталлируется серверная часть, которая работает незаметно, а клиентская – находится у владельца или заказчика вредоносной утилиты. Для маскировки трояны имеют названия, аналогичные офисным, а их расширения совпадают с популярными: DOC, GIF, RAR и прочие. Виды троянских программ разделяются в зависимости от типа действий, выполняемых в компьютерной системе:

1. Trojan-Downloader. Загрузчик, который устанавливает на ПК жертвы новые версии опасных утилит, включая рекламные модули.
2. Trojan-Dropper. Дезактиватор программ безопасности. Используется хакерами для блокировки обнаружения вирусов.
3. Trojan-Ransom. Атака на ПК для нарушения работоспособности. Пользователь не может осуществлять работу на удаленном доступе без оплаты злоумышленнику требуемой денежной суммы.
4. Эксплойт. Содержит код, способный воспользоваться уязвимостью ПО на удаленном или локальном компьютере.
5. Бэкдор. Предоставляет мошенникам удаленно управлять зараженной компьютерной системой, включая закачивание, открытие, отправку, изменение файлов, распространение неверной информации, регистрацию нажатий клавиш, перезагрузку. Используется для ПК, планшета, смартфона.
6. Руткит. Предназначен для сокрытия нужных действий или объектов в системе. Основная цель – увеличить время несанкционированной работы.

Как удалить троянский вирус, если он уже попал в систему

Выше в данном материале было рассмотрено, что такое троянский вирус, принципы его работы и способы обнаружения. Теперь поговорим о способах удаления вредоносного ПО.

При выявлении на компьютере трояна, первостепенной задачей является отключение устройства от сети. Далее необходимо удалить последние скачанные файлы и программы, провести сканирование файловой системы антивирусным ПО. При невозможности сканирования необходимо переустановить операционную систему.

Основной сложностью удаления трояна является распознание зараженных системных файлов. После успешной идентификации процесс удаления упрощается. Иногда пользователи могут найти зараженные файлы с помощью ошибки библиотеки динамической компоновки DLL, которая часто формируется системой для обозначения присутствия трояна. Эту ошибку можно скопировать и выполнить поиск в сети для нахождения информации о затронутом файле .exe. После успешного обнаружения файлов следует отключить опцию восстановления системы во избежание восстановления вредоносного кода и повторного заражения.

Следующим шагом является загрузка системы в безопасном режиме и удаление зараженных программ путем использования стандартного системного средства «Установки и удаления программ». Далее необходимо перейти в папку, где была установлена программа, и полностью удалить все оставшиеся файлы, это позволит избавиться от возможных оставшихся расширений, связанных с ней.

После завершения всех действий необходимо перезагрузить компьютер в обычном режиме и проверить результат. На крайний случай рекомендуется иметь резервные копии файловой системы и критически важных данных. Если удаление трояна вышеописанными способами не помогло по какой-то причине, единственным выходом является переустановка системы. При потере данных всегда можно произвести аварийное восстановление из заранее подготовленных копий.

Классификация троянских программ

Одним из вариантов классификации является деление на следующие типы:

1. RAT (Remote Access / Administration Tool)
2. Вымогатели
3. Шифровальщики
4. Загрузчики
5. Дезактиваторы систем защиты
6. Банкеры
7. DDoS-трояны

RAT — это троянская программа (trojan), предназначенная для шпионажа. После установки в систему она предоставляет злоумышленнику широкий спектр возможностей: захват видео с экрана жертвы, доступ к файловой системе, запись видео с веб-камеры и звука с микрофона, кража идентификационных файлов браузера (cookie), установка других программ и т.д. В качестве примеров можно назвать DarkComet или AndroRAT.

Вымогатели — разновидность вредоносных объектов, которые блокируют доступ к системе или данным, угрожают пользователю удалением файлов с компьютера или распространением личных данных жертвы в интернете и требуют заплатить выкуп, чтобы избежать таких негативных последствий. Пример подобного поведения — семейство WinLock.

Шифровальщики — усовершенствованная разновидность вымогателей, которая использует криптографию в качестве средства блокировки доступа. Если в случае с обычным «винлокером» можно было просто удалить вредоносную программу и тем самым вернуть себе доступ к информации, то здесь уничтожение самого шифровальщика ничего не дает — зашифрованные файлы остаются недоступными. Впрочем, в некоторых случаях антивирусное ПО может восстановить данные. Пример шифровальщика — CryZip.

Загрузчики — вид вредоносных агентов, которые предназначены для загрузки из интернета других программ или файлов. Пример — Nemucode.

Дезактиваторы систем защиты — это троянские программы, которые удаляют или останавливают антивирусы, сетевые экраны и другие средства обеспечения безопасности.

Банкеры — разновидность «троянских коней», специализирующаяся на краже банковских данных (номер счета, PIN-код, CVV и т.д.).

DDoS-трояны (боты) — вредоносные программы, которые используются хакерами для формирования ботнета с целью проведения атак типа «отказ в обслуживании».

Все трояны загружаются в систему под видом легального программного обеспечения. Они могут специально загружаться злоумышленниками в облачные хранилища данных или на файлообменные ресурсы. Также троянские программы могут попадать в систему посредством их установки инсайдером при физическом контакте с компьютером. Кроме того, их часто распространяют посредством спам-рассылок.

Как не стать жертвой трояна

Мы видели, что такое банковский троян, как он может заразить нас и как он действует. Но самое главное это предотвратить. Мы дадим ряд основных советов, чтобы не стать жертвами такого рода проблем. Цель состоит в том, чтобы предотвратить их заражение наших систем.

Инструменты безопасности

Что-то важное, чтобы иметь средства безопасности , Хороший антивирус может предотвратить проникновение угроз, которые подвергают риску наши компьютеры. Мы располагаем широким спектром возможностей

Есть программное обеспечение безопасности, которое является бесплатным и другим платным. Он должен применяться независимо от типа используемого устройства или операционной системы.

Держите команды в курсе

Иногда уязвимости возникают, которые используются хакерами для развертывания своих атак. Обычно сами производители выпускают исправления и обновления для системы безопасности. Мы всегда должны обновлять системы и устанавливать патчи.

Скачать из достоверных источников

Конечно, при загрузке программного обеспечения, это должно быть сделано из официальных источников , Таким образом мы избегаем установки программного обеспечения, которое было злонамеренно изменено хакерами

Крайне важно, чтобы мы устанавливали программы из официальных магазинов и не попадали в ловушки, которые могут привести к мошенническому программному обеспечению

Здравый смысл

Последнее, но, возможно, самое важное, это здравый смысл , Мы видели, что многие угрозы приходят, например, через простое электронное письмо, которое мы получаем. Также через вредоносную ссылку мы посетили или загрузили программу, которая была модифицирована для атаки

Крайне важно, чтобы мы использовали здравый смысл во всех случаях

Мы должны предотвратить проникновение банковских троянов через вложения, которые мы получаем по электронной почте, загрузку вредоносного программного обеспечения или несоблюдение соответствующих мер предосторожности. Только тогда мы сможем не стать жертвами проблемы, которая все больше затрагивает больше пользователей на всех типах устройств

Только тогда мы сможем не стать жертвами проблемы, которая все больше затрагивает больше пользователей на всех типах устройств.

Короче говоря, мы можем сказать, что банковские трояны представляют собой тип угрозы, который очень присутствует сегодня. Он действует по-разному, но мы также можем использовать различные инструменты и методы, чтобы не стать жертвами этой проблемы.

Сообщения электронной почты

Когда на 1 уроке мы рассказывали про почтовые вирусы, то
заметили, что каналы электронной почты с успехом могут быть использованы для
распространения вирусов.

По этим каналам распространяются обычные вирусы, черви, троянские программы, программы Backdoor, а также почтовые вирусы, созданные специально для распространения через системы электронной почты.

Сегодня электронная почта служит основным каналом
распространения вредоносных программ самых разных типов. По этим каналам не
распространяется разве лишь загрузочные вирусы (но комбинированные файлово-загрузочные распространяются).

Электронная
почта служит каналом распространения вредоносных программ практически любых
типов

Вредоносные объекты могут внедряться в почтовые сообщения
следующими способами:

·в виде присоединенных файлов (файлов вложений);

·в виде ссылок на вредоносные объекты ActiveXили аплеты Java, расположенные на троянских Web-сайтах или на Web-сайтах злоумышленников;

·в виде конструкций, встраиваемых непосредственно в тело сообщения
электронной почты, имеющего формат HTML 

Если вирус попал на компьютер пользователя в виде
присоединенного файла, то для его активизации пользователь должен извлечь и
запустить такой файл на выполнение.

Многие пользователи запускают присоединенные файлы, не
задумываясь о последствиях. Если в качестве присоединенного файла выступает
зараженный программный (исполняемый или интерпретируемый) файл, троянская
программа или вредоносная программа другого типа, такие действия обычно приводят
к инфицированию компьютера.

Отправители почтовых вирусов часто маскируют истинное
назначение присоединенных файлов, выбирая для них такое имя, которое
потенциально может вызвать у пользователя интерес. Такие почтовые сообщения
называются троянскими почтовыми сообщениями.

Присоединенные
файлы в сообщениях электронной почты могут содержать компьютерные вирусы и
другие вредоносные объекты

Особенности настройки и ошибки в программном обеспечении
почтового клиента, а также ошибки в ОС приводят к тому, что некоторые
вредоносные объекты, внедренные в почтовые сообщения, активизируются сразу
после просмотра сообщения.

При этом пользователь может и не выполнять никаких
специальных действий. При наличии ошибок в почтовом клиенте и в ОС вирус может
активизироваться даже в процессе просмотра заголовков сообщений электронной
почты.

Почтовые вирусы могут сами рассылать себя по адресам,
извлеченным из адресной книги почтовой программы клиента.

Увеличение
исходящего трафика электронной почты может свидетельствовать о том, что на
компьютере активизировался почтовый вирус, рассылающий свой код по адресам, взятым
из записной книги пользователя или из других источников

Полученный по каналам электронной почты вирус, троянская
программа или вредоносный объект другого типа может запускаться автоматически
при загрузке ОС. Для этого она обычно использует следующий ключ регистрационной
базы данных MicrosoftWindows, отвечающий за запуск программ после загрузки ОС:

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run

Краткая история заражения Трояном

Этот термин впервые прозвучал в 1974 году в отчете ВВС США, в котором анализировалась уязвимость компьютеров. К 1983 году он стал широко распространен после того, как Кен Томпсон использовал это выражение в своей знаменитой лекции Тьюринга, где он заявил:

“В какой мере следует доверять утверждению о том, что в программе нет троянских коней? Возможно, более важно доверять людям, написавшим программное обеспечение.”

В 1980-х годах Bulletin Board System допустила заражение сети через телефонную линию, что послужило росту троянских программ. Поскольку пользователи через компьютеры получили возможность загружать, размещать и делиться файлами, вредоносные расширения внедрялись в операционную систему. Сегодня существуют тысячи версий такого вредоносного ПО.

Как работают трояны?

Как уже было сказано, троян не запускается и не распространяется самостоятельно. Загружает его на устройство сам пользователь, и открывает тоже. Именно поэтому злоумышленники маскируют их под легитимное приложение, которое владелец устройства точно откроет после загрузки. Только после первого запуска троянский вирус начинает активироваться при каждом включении устройства, загружать дополнительную вредоносную нагрузку и вредить. 

В некоторых случаях, первый заражённый трояном компьютер становится разносчиком вируса или, так называемым, «компьютером-зомби». Они используются хакерами для расширения списка жертв, получения доступа ко всем компьютерам, например, одной компании или для создания ботнет-сети. 

Функциональность данного вида вредоносного ПО зависит от вида трояна. Банковские трояны, например, нацелены на приложения онлайн-банкинга и крадут финансовую информацию, трояны удалённого доступа помогают злоумышленникам получить контроль над пользовательским устройством, трояны-инфостилеры нацелены на все личные данные, что хранятся на устройстве. 

После выполнения поставленных задач троян может остаться на устройстве, уйти в спящий режим или даже самоуничтожиться.

Виды троянов

Бэкдор

Классическая версия трояна. Выполняя роль шлюза, троян подгружает с удалённого сервера тела других зловредов, чтобы получить ещё больше контроля над компьютером. Чаще всего этот тип зловредов используется для организации зомби-сетей. Это группы из десятков заражённых машин по всему миру, используемых для проведения DDoS-атак.

Примером является семейство троянов Backdoor.MSIL, которое позволяло злоумышленникам удалённо управлять компьютерами. Впоследствии такие устройства объединяли в ботнеты для DDoS-атак.

Кадр: сериал «Компьютерщики» / Channel 4

Блокировщик

Блокирует действия пользователя или доступ системы к файлам, иногда требуя выкуп. Часто выступает в паре с шифровальщиком.

Пример блокировщика — Trojan.Winlock.3794 — распространённый в эпоху Windows XP. Зловред выводил на экран пользователя окно, похожее на окно для активации операционной системы, но в нём были требования ввести данные банковской карты. Если от этого отказаться, появлялся «синий экран смерти» и компьютер перезагружался.

Шифровальщик

Как можно понять из названия, этот тип шифрует данные, делая их недоступными для пользователя. Для восстановления доступа и получения ключа дешифровки требует выкуп.

Пример — Trojan.Encoder.25129, заражающий компьютеры с Windows за пределами России и стран СНГ. Троян шифрует содержимое системных папок, после чего выводит для пользователя сообщение с требованием выкупа.

Банковский троян

Используется для получения логина и пароля авторизации в личном кабинете банка, данных платёжных карт и перенаправления онлайн-оплаты на фишинговую страницу с целью кражи денег.

Загрузчик

Иногда их называют дропперам (от англ. dropper — бомбосбрасыватель). Такие программы либо содержат в себе, либо скачивают из Сети дополнительные вредоносные компоненты, например банковский троян. Примером является Trojan-Dropper: W32/Agent.PR, создающий несколько пустых файлов и загружающий бэкдор-троян на компьютер.

Загрузчики могут удалённо обновляться до новых версий, чтобы скрываться от антивирусов и расширять свои возможности по загрузке новых файлов.

Аккаунтстиллер

Пример — зловред KPOT, способный воровать данные учётных записей игровых сервисов, Telegram, Skype и других приложений.

SMS-троян

Рассылает сообщения по международным номерам за счёт средств пользователя, подхватившего этот зловред на свой смартфон. Пример — Trojan-SMS.AndroidOS.FakePlayer.a, который был первым подобным трояном для смартфонов с Android.

Шпион

Записывает и отправляет данные, вводимые с клавиатуры, делает скриншоты рабочего стола и приложений, даёт доступ к просмотру истории действий и веб-камере. Так работал Trojan-Spy.Win32.Noon, который собирал и передавал злоумышленникам информацию о паролях, сохранённых в браузере и вводимых на клавиатуре.