Что такое троян?
Троянским конем может называться следующее:
a)
Несанкционированные команды, выполняемые зарегистрированной программой.
Данные команды выполняют функции неизвестные (и по всей вероятности
нежелательные) пользователю.
b) Зарегистрированная программа,
которая была изменена другой программой. Эти изменения приводят к
выполнению функций неизвестных (и по всей вероятности нежелательных)
пользователю.
c) Любая программа, пытающаяся выполнить желательную
и необходимую функцию, но вместо этого (в результате действия сторонних
нелегальных программ) выполняющая функции неизвестные (и по всей
вероятности нежелательные) пользователю.
Работая в
ограниченной среде (среда Unix, либо ограниченная среда Windows),
трояны ограничены в своих действиях и не могут сделать многого. Однако
на домашнем ПК, действия троянов могут быть смертельными и весьма
разрушительными.
Почему называется 'троянский конь'?
В
12-ом столетии до н.э., Греция объявила войну г. Троя. Все началось с
того, что принц Трои похитил королеву Спарты и заявил, что хочет
сделать ее своей женой. Это разъярило греков, в особенности самого
короля Спарты.
Греки начали 10-ти летнюю войну против Трои. Все это время город оставался неприступным.
Тогда
греки сделали вид, что отступают, и оставили небольшой отряд внутри
большого деревянного коня. Увидев большую статую, жители Трои решили,
что это какой-то подарок, и затащили коня в город. Они и не
подозревали, что статуя полая изнутри, и что там находятся греческие
солдаты.
Под покровом ночи греческие солдаты открыли ворота города,
а затем, объединившись с остальной частью армии, уничтожили всю армию
Трои.
Вот почему подобные программы называют троянскими коням
- они выполняют что-то, прикрываясь действиями других программ, что
делает их действия незаметными.
Далее будет дано объяснение основных типов троянских коней.
Трояны удаленного администрирования (Remote Administration Trojans)
Эти
траяны сейчас наиболее популярны. Каждому хочется стать обладателем
такого трояна, потому что он может предоставить доступ к жесткому диску
жертвы, а также позволяет выполнять различные действия на удаленном
компьютере (отрывать и закрывать CD-ROM, запускать программы и т.д.),
которые могут напугать большинство пользователей, и доставить уйму
веселья хозяину трояна.
Современные RAT-ы (remote administration
trojans) очень просты в использовании. Они обычно состоят из двух
файлов - серверный файл и клиентский файл (если вы не знаете какой файл
для чего нужен, то прочтите хелп файл, FAQ, readme файл или же
инструкцию по использованию). Всучите кому-нибудь серверную часть
программы, узнайте его IP адрес и вы получите полный контроль над
его/ее компьютером (некоторые трояны ограничены в своих функциях, т.к.
программы с большим количеством функций имеют большой размер файла.
Есть трояны, которые используются лишь для загрузки и запуска на
компьютере жертвы другого трояна (файла большего по размеру), такие
трояны занимают очень мало места). Можно также "присоединить" троян к
какой-нибудь другой программе.
RAT-ы имеют следующие функции
удаленного администрирования: кейлоггинг (keylogging) (запись того, что
было набрано на клавиатуре, а иногда и взаимодействие с клавиатурой,
что дает возможность набора различных команд на удаленном компьютере,
это может ввести в панику многих юзеров), функция, при помощи которой
можно загружать и скачивать файлы, вывод различных картинок и сообщений
на мониторе удаленного компьютера, и др.
Очень многие используют
трояны для того, чтоб поиздеваться над кем-нибудь. Они используют их,
что бы напугать или навредить своим друзьям и врагам, чтоб выглядеть в
глазах окружающих "супер хакерами", и чтоб получить какую-нибудь
конфиденциальную информацию, или же просто чтоб удалить что-нибудь.
Есть
множество программ, которые могут найти, определить и обезвредить
большую часть троянов (например Nemesis с сайта blacksun.box.sk,
которая также засекает людей, пытающихся получить доступ к компьютеру),
однако, каждый день появляются все новые и новые виды троянов, и
бороться с ними становится все сложнее.
Обычно трояны пытаются
автоматически запустится при запуске компьютера. Если вы используете
Windows, то вам следует достать b00tm0n с сайта blacksun.box.sk. Для
Unix-а, советую достать программу типа IDS (Intrusion Detection
System), которая осуществляет контроль и мониторинг системы.
Большинство
троянов, работающих под Windows, не видны в меню, появляющемся при
нажатии клавиш Alt+Ctrl+Del (я не знаю пока ни одной программы,
работающей под Unix, которая была бы не видна в processes list-е, но
никогда не знаешь, что будет завтра и возможно скоро кто-то придумает
такую программу, а может и уже придумал). И это очень плохо, потому что
именно таким способом многие проверяют, какие программы сейчас
работают. Хотя есть программы, которые могут точно сказать какие
процессы запущены на компьютере (например Wintop, являющаяся Windows
версией одной популярной программы, работающей под Unix). К тому же,
некоторые трояны используют поддельные и вымышленные названия, из-за
чего некоторым людям бывает трудно определить заражены они трояном или
нет.
Также, некоторые трояны могут создать на компьютере FTP сервер
(обычно для этого НЕ используется 21-й порт, стандартный FTP порт, все
это для того, чтоб сделать работу менее заметной). Обычно FTP сервер не
имеет пароля, или же там стоит пароль, установленный хозяином трояна.
Это позволяет скачивать и загружать, а также запускать файлы на
удаленном компьютере. За более подробно информацией об FTP серверах и
мерах безопасности при работе с FTP читайте соответствующую статью на
сайте blacksun.box.sk.
Как RAT-ы работают
-------------
Троян
открывает порт на вашем компьютере, создает серверный файл, и наблюдает
за подключениями и всей информацией, проходящей через открытый порт.
Впоследствии, если кто-то запустит клиентскую часть программы и введет
IP адрес жертвы, троян начнет принимать команды, и выполнять их на
компьютере жертвы.
Некоторые трояны могут менять порт и даже
устанавливать новый пароль, что делает доступ к компьютеру возможным
лишь хозяину данного трояна. Однако многие из этих паролей можно
взломать, из-за ошибок в самом трояне (люди, программирующие трояны,
обычно не являются профессиональными программистами), а в некоторых
случаях создатель трояна оставляет небольшую лазейку, или backdoor
(которую можно заметить при определенных условиях) в серверном файле,
чтобы иметь доступ к любому компьютеру, на котором запущен созданный им
троян. По-английски это называется "a backdoor within a backdoor".
Самыми
популярными RAT-ами являются: Netbus (из-за своей простоты), BO (имеет
множество функций и его достаточно трудно обнаружить) и Sub7 (также
имеет множество функций и прост в использовании). Все они работают под
Windows.
Если вы никогда ими не пользовались, то советую достать
себе один из этих троянов, и поэкспериментировать с ним, чтоб знать,
как он работает.
Типы троянов
----------------------------
Некоторые
используют RAT-ы для доступа к удаленным компьютерам, к которым у них
уже есть права полного и законного доступа. Все это конечно хорошо, но
в любом случае, нужно быть очень осторожным при работе с RAT-ами.
Прежде чем использовать троян, убедитесь, что у вас есть законное право
доступа к удаленному компьютеру.
Password Trojans
Эти
трояны находят на вашем компьютере пароли и отправляют их хозяину. Нет
разницы, какой пароль, будь то интернет пароль, пароль от почтового
ящика на Hotmail, пароль ICQ или пароли IRC, этот троян найдет все эти
пароли.
Обычно информация с паролями отсылается хозяину трояна по электронной почте.
Priviledges-Elevating Trojans
Эти
трояны используются для того, чтобы изменять/давать доступ на
компьютере, настроенным неопытным системным администратором. Эти трояны
могут быть встроены в какою-нибудь полезную программу. После запуска
программы с этим трояном, вирус предоставляет различные привилегии и
доступ к компьютеру.
Также эти трояны могут менять уровень доступа другим пользователям.
Keyloggers
Эти
трояны очень просты в использовании. Они записывают все, что было
набрано на клавиатуре (включая пароли) в файл и впоследствии отправляют
это все по электронной почте хозяину.
Keylogger-ы обычно занимают
мало места, и могут маскироваться под другие полезные программы, из-за
чего их бывает трудно обнаружить.
Некоторые трояны этого типа могут выделять и расшифровывать пароли, найденные в специальных полях для ввода паролей.
Destructive Trojans
Эти
маленькие троянчики всего лишь уничтожают всю информацию на вашем
компьютере. Они портят информацию, содержащуюся на жестком диске,
шифруют файлы и многое такое, от чего становится не по себе. Кто-то
может сравнить их с какими-нибудь прикольными программками, однако,
когда твои файлы разделяют на несколько кусков, это уже не шутки.
Joke Programs
Эти
программы безвредны по своей сути. Они могут вывести сообщение о том,
что сейчас начнется форматирование жесткого диска, или же, что все
пароли сейчас будут отправлены какому-то злому хакеру, о том, что
начинается процесс самоуничтожения компьютера, а также что вся
информация, об используемых вами пиратских программах, будет отправлена
в ФБР и др. Конечно же, тут нет никаких причин для волнения, если
конечно за этим компьютером не работают другие юзеры, которых подобные
сообщения могут сильно напугать.
Как защититься от троянов, работая под Unix
----------
При
работе на своем ПК, не работайте как root! Если вы запустите троян,
работая как root, то подвергните опасности всю систему! Установка
многопользовательского режима на системе где работает один юзер, в
подобных случаях (или в случаях, когда вы не хотите наделать глупостей)
весьма целесообразна. Переключайтесь на root только в том случае, когда
вам ДЕЙСТВИТЕЛЬНО это надо, и когда вы знаете с чем работаете. Также,
следует помнить, что даже работая с ограничениями, вам приходится
вводить различные пароли, и риск все еще остается. К тому же, Если
кто-то установил на вашей системе keylogger, и вы ввели какой-нибудь
пароль (в особенности root пароль), то этот пароль обязательно
запишется трояном!
И НЕ скачивайте файлы с сомнительных и
непроверенных сайтов (домашние странички, underground сайты, Usenet
ресурсы, IRC и т.д.).
Как защититься от троянов, работая под Windows
-------------
В
Windows в данном аспекте все иначе. Ограничение прав юзера под Windows
может быть весьма раздражительным и непрактичным. К тому же, в отличии
от Unix, в подобных условиях работать совсем невозможно.
Не следует
пользоваться какими-либо сомнительными программами. Трояны, созданные
для работы под Windows, более разрушительны чем трояны для Unix, т.к.
люди, программирующие трояны для Unix более мотивированы, т.е. трояны
имеют свою конкретную цель и задачи (и все это, не смотря на защиту
Unix). Следует помнить, что даже у юзера с ограниченными привилегиями
можно выкрасть пароль, к тому же некоторые трояны могут использовать
доступ администратора, и виной этому слабая система безопасности
Windows.
Ну и последний совет - загрузите и поработайте хотя
бы с одним из троянов, указанных в статье, чтоб знать, как трояны
работают, и чтоб знать как их удалить с инфицированного компьютера.
|
