Удивительно, что за прошедшие с тех пор века люди так ничему и не научились. Истории с «подарками», использовавшимися против своих владельцев, повторялись вновь и вновь. Взять хотя бы деревянного орла (выполненного в виде герба США), подаренного американскому послу в 1946 году. Этот презент провисел в его рабочем кабинете шесть лет, и лишь случайно выяснилось, что внутри резного дара спрятан жучок, а КГБ слышит все, что говорится в комнате.
Сегодня аналогичным способом злоумышленники получают контроль над компьютерами своих жертв. Под видом утилиты или любопытного медиафайла пользователь получает трояна, которого сам же (не ведая того) и устанавливает на свой компьютер.
В последние годы пишется все больше троянских коней и отдельных специализированных троянских компонентов. Пик их роста пришелся на второй-третий квартал 2004 года. Тогда было зарегистрировано аномальное (пятикратное) увеличение числа троянов. Сейчас темп снизился, но продолжает оставаться впечатляющим.
В качестве примера неожиданных проблем, поджидающих пользователя инфицированного ПК, можно привести заражение системы старыми вирусами Ment 1258 и 13172. Они занимались тем, что постоянно названивали через модем на телефонный номер «02». Через какое-то время дежурному надоедало слышать в трубке модемное шипение, и он отправлял наряд милиции на предмет установления личности шалуна и его вразумления. Это сейчас про вирусы и трояны говорят на каждом шагу. Тогда же не каждое отделение милиции имело компьютеры…
По меткому замечанию одного из членов группы сDс [Cult of Dead Cow - авторы самого известного трояна/бэкдора BackOrifice (и его последующей модификации Back Orifice 2000)], «Back Orifice дает атакующему больше возможностей, чем если бы он непосредственно сидел за компьютером жертвы». Учитывая ничем не ограниченную функциональность BO (он поддерживает плагины), это заявление скорее истина, нежели бравада.
Классификация троянских коней - дело неблагодарное. Особенно в свете наметившихся тенденций к слиянию, гибридизации различных методик ведения информационных войн и конкурентной борьбы. Трояны, бэкдоры, сетевые черви, почтовые спам-роботы и сборщики данных запросто могут быть слиты воедино, породив жутких кибермонстров - была бы цель и конкретная жертва. И все же рабочая классификация необходима. Попробуем создать ее прямо сейчас, исходя из известных данных и здравого смысла.
По способу существования выделяют троянов, представляющих собой самостоятельные файлы, и тех, которые внедряют свои тела (инфицируют) в уже имеющиеся, чаще всего системные файлы. Первые не подлежат лечению, так как лечить нечего - надо удалять файл целиком.
В зависимости от целей вторжения различают:
1. Бэкдоры (утилиты скрытого удаленного администрирования, remote access tool - RAT).
2. Деструктивные (Trojan Flash-Killer и т. п.).
3. Похищающие приватную информацию (data miners/data collectors). Здесь можно выделить подклассы троянов, которые:
крадут всевозможные пароли (PWD Steal);
отсылают своему хозяину данные банковских счетов жертвы (аккаунтов Web Money, кредитных карт и т. п.) [Юрий Машевский называет их «banker» в своей статье «Перелом в развитии вредоносных программ»];
похищают документы (особенно актуально для ЛВС предприятий);
протоколируют и отсылают лог всех клавиатурных нажатий и (опционально) скриншоты с атакуемого ПК (keyloggers).
4. Созданные для формирования сетей «зомбированных компьютеров» и использования их для проведения распределенных атак по типу «отказ в обслуживании» (DDoS).
5. Написанные для сбора адресов e-mail и рассылки спама (SPAM). Они частично пересекаются с представителями третьего класса, так как почтовые адреса ваших знакомых тоже являются приватной информацией.
6. Вымогающие деньги у жертвы посредством зашифровывания данных на диске пользователя и последующего «предложения» расшифровать их за плату (Crypto trojans and viruses - отдельное направление, получившее мощный толчок к развитию после распространения ассиметричной криптографии [Если вирусописатель использует обычный симметричный алгоритм, то написать дешифратор разработчикам антивирусов будет довольно просто: пароль (ключ) будет либо одинаковый на всех файлах, либо предсказуемо модифицирующийся. А вот ассиметричные алгоритмы с открытым и секретным ключом (RSA, Эль-Гамаля, Мак-Элиса, PGP) поднимают крипто-вирусологию на качественно иной уровень]).
7. Прокси-трояны, позволяющие действовать атакующему от имени жертвы (точнее, от IP-адреса его компьютера). Здесь же можно выделить подкласс так называемых Trojan-Clicker’ов. Они целенаправленно занимаются тем, что накручивают счетчики посещаемости различных сайтов и имитируют клики на баннеры (тоже с IP-адреса инфицированного ПК). То есть приносят атакующему очевидную выгоду.
8. Отдельные троянские компоненты, сами по себе ни на что не способные, но в сочетании с другим (уязвимым легитимным или дополнительным зловредным) ПО способные действовать по любому из рассмотренных выше сценариев. В случае использования таких троянов для доставки «боевой нагрузки» (скажем, вируса) они именуются «Droppers».
Руткиты (RootKITs) иногда также пытаются представить как отдельный класс троянов. На мой взгляд, такой подход некорректен. За подробной информацией о руткитах отсылаю к своей недавней статье «Корень зол» [offline.computerra.ru/2006/647/279486].
По способу установки в систему можно выделить еще два типа троянов:
1. Те, которым для инфицирования ОС требуются активные действия пользователя (user-interacted, они составляют основную массу).
2. Использующие уязвимость легитимного ПО (user-independed), например MS Outlook или Internet Explorer… это приближает их к exploit-червям.
Если рассматривать механизм активации троянских коней (это справедливо для принципов программирования вообще), выделяют три способа: [Он хоть и не является трояном, но наглядно показывает простейший механизм «подставы» хозяина инфицированного компьютера]
1. Срабатывание по времени (таймеру). Например, Trojan.TimeBomb эпохи MS-DOS, уничтожающий все данные на жестком диске в определенный день. Подобные штуковины являются излюбленным орудием мести уволенных админов.
2. Срабатывание по событию (запуск приложения, установка сетевого соединения и т. п.). Может использоваться для противодействия антивирусным программам (препятствовать их загрузке и нормальной работе).
3. Срабатывание по запросу (например, команде, отправленной по сети) - это уже шаг навстречу удаленному администрированию.
Говоря об уровне инфицирования системы, различают троянцев уровня приложений (большая часть) и уровня ядра ОС (сравнительно молодая и набирающая силы когорта).
При анализе путей распространения выделяют:
IM (Instant Messaging) троянов, инфицирующих ПК пользователей сетей мгновенного обмена сообщениями (MSN, AIM, ICQ, IRC etc).
Mail (почтовых) троянских коней - этот табун до сих пор является самым многочисленным и скандально известным.
FTP-троянцы сравнительно редки. Первый из них - троянец-червь Homer - был написан в апреле 1997 года.
Web-трояны поджидают неосторожных пользователей на сайтах сомнительного содержания (или даже
