Современные «троянские кони» в захвате городов не участвуют, но доставляют много головной боли ИБ-специалистам и рядовым пользователям.
Своё название этот тип вредоносных программ получил в честь троянского коня, описанного в древнегреческом эпосе «Илиада». Суть в том, что жители Трои позволили провезти в город огромную деревянную лошадь, подаренную им данайцами якобы в честь примирения. Внутри того коня сидели отряды противника, которые под покровом ночи захватили и разрушили город.
Чтобы компьютер или смартфон не пал, как Троя, сегодня разберёмся:
Чем опасны трояны
Трояны могут долго жить в системе под видом безвредного софта, повреждая файлы или собирая информацию о пользователе для злоумышленников. Такие вредоносные программы попадают на ПК, например, в виде частей установочных файлов популярных программ, скачанных с неофициальных сайтов.
После запуска трояны добавляют себя в автозагрузку, меняют настройки системы, начинают собирать необходимые данные и отправлять их злоумышленнику. А некоторые зловреды даже способны принимать от него команды. Рассмотрим несколько известных примеров троянов.
Troyan.Mayachok.2
Linux.Sshdkit
Хотя в целом Linux можно назвать безопасной операционной системой, она не лишена уязвимостей. Linux.Sshdkit проникая в систему под видом библиотеки, заражал процесс sshd, перехватывая учётные данные пользователя и отправлял злоумышленникам ключи для удалённого доступа, превращая станцию с Linux в участника зомби-сети, связывающей заражённые компьютеры. Такие сети используются для DDoS-атак.
Кадр: сериал «Чёрное зеркало» / Netflix
Trojan.Yontoo.1
Этот троян вредил системам с macOS X. Trojan.Yontoo.1 проникал на компьютер под видом полезного программного обеспечения или плагина и передавал данные о просматриваемой пользователем веб-странице. Получая ответ от сервера, он встраивал на сайт рекламу, ведущую на фишинговые сайты, которая воспринималась пользователями как часть веб-страницы.
Android.SmsSend
Как работают трояны
Троян не способен к самостоятельному запуску, в отличие от любых компьютерных вирусов. Пользователи сами по незнанию или невнимательности запускают зловредный код на устройстве.
Чаще всего троян распространяется как полезная программа с внедрённым вредоносным софтом в виде:
- добавленного кода в модифицированном установщике абсолютно безвредной программы;
- изображения или документа во вложении электронного письма;
- части самораспаковывающегося архива (SFX).
Также трояны могут попасть на компьютер через поддельные Wi-Fi-сети или программные уязвимости, когда злоумышленник может получить удалённый доступ к компьютеру и скачать на него вредоносные программы.
Сразу после запуска троян старается получить контроль над операционной системой, меняя конфигурации, отключая системы защиты и открывая необходимые порты. Как мы говорили, он собирает информацию о паролях, информацию, вводимую с клавиатуры, IP-адрес и другие данные, отправляя их злоумышленникам. Дальнейшее развитие событий зависит от вида трояна.
Виды троянов
Бэкдор
Классическая версия трояна. Выполняя роль шлюза, троян подгружает с удалённого сервера тела других зловредов, чтобы получить ещё больше контроля над компьютером. Чаще всего этот тип зловредов используется для организации зомби-сетей. Это группы из десятков заражённых машин по всему миру, используемых для проведения DDoS-атак.
Примером является семейство троянов Backdoor.MSIL, которое позволяло злоумышленникам удалённо управлять компьютерами. Впоследствии такие устройства объединяли в ботнеты для DDoS-атак.
Кадр: сериал «Компьютерщики» / Channel 4
Блокировщик
Блокирует действия пользователя или доступ системы к файлам, иногда требуя выкуп. Часто выступает в паре с шифровальщиком.
Пример блокировщика — Trojan.Winlock.3794 — распространённый в эпоху Windows XP. Зловред выводил на экран пользователя окно, похожее на окно для активации операционной системы, но в нём были требования ввести данные банковской карты. Если от этого отказаться, появлялся «синий экран смерти» и компьютер перезагружался.
Шифровальщик
Как можно понять из названия, этот тип шифрует данные, делая их недоступными для пользователя. Для восстановления доступа и получения ключа дешифровки требует выкуп.
Пример — Trojan.Encoder.25129, заражающий компьютеры с Windows за пределами России и стран СНГ. Троян шифрует содержимое системных папок, после чего выводит для пользователя сообщение с требованием выкупа.
Банковский троян
Используется для получения логина и пароля авторизации в личном кабинете банка, данных платёжных карт и перенаправления онлайн-оплаты на фишинговую страницу с целью кражи денег.
Примером такого трояна является Clampi, который иногда встречается под именами Ligats и Ilomo. При заражении устройства он ждёт момента, когда пользователь зайдёт в приложение онлайн-банка или введёт данные банковской карты в интернет-магазине.
Сборщик email
Собирает email-адреса для передачи злоумышленникам. В дальнейшем они могут использоваться для рассылки фишинговых писем. Пример такого трояна — SpamTool.Win32. MagPlayer.a.
Загрузчик
Иногда их называют дропперам (от англ. dropper — бомбосбрасыватель). Такие программы либо содержат в себе, либо скачивают из Сети дополнительные вредоносные компоненты, например банковский троян. Примером является Trojan-Dropper: W32/Agent.PR, создающий несколько пустых файлов и загружающий бэкдор-троян на компьютер.
Загрузчики могут удалённо обновляться до новых версий, чтобы скрываться от антивирусов и расширять свои возможности по загрузке новых файлов.
Аккаунтстиллер
Крадёт данные игровых аккаунтов или профилей в социальных сетях и мессенджерах. Злоумышленники получают доступ к личной переписке и могут шантажировать человека её обнародованием или запускать от имени взломанного аккаунта спам-рассылку с просьбами одолжить денег.
Пример — зловред KPOT, способный воровать данные учётных записей игровых сервисов, Telegram, Skype и других приложений.
SMS-троян
Рассылает сообщения по международным номерам за счёт средств пользователя, подхватившего этот зловред на свой смартфон. Пример — Trojan-SMS.AndroidOS.FakePlayer.a, который был первым подобным трояном для смартфонов с Android.
Шпион
Записывает и отправляет данные, вводимые с клавиатуры, делает скриншоты рабочего стола и приложений, даёт доступ к просмотру истории действий и веб-камере. Так работал Trojan-Spy.Win32.Noon, который собирал и передавал злоумышленникам информацию о паролях, сохранённых в браузере и вводимых на клавиатуре.
Эксплойт
Использует уязвимости в установленном на компьютере ПО, с целью получения доступа к системе и внедрения вредоносного кода. Пример — эксплойт EternalBlue, который многократно использовался для распространения других троянов и вирусов.
Как защититься от троянских программ
Два главных совета — быть внимательным и понять, как трояны попадают на компьютер или смартфон. Разберём основные способы защиты, снижающие риск заражения.
Если вы пользователь Windows, не устанавливайте системы собранные сторонними командами разработчиков. Чаще всего это усечённые образы Windows, где вырезана часть стандартных приложений, таких как «Защитник Windows», «Брандмауэр», и отключены автоматические обновления, а также контроль учётных записей. Такие системы — идеальная цель для троянов.
Эта табличка говорит о том, что запускаемой программе для работы требуется доступ к системе с правами администратора. Понятно, чем чревато наделение такими привилегиями зловредной программы. Поэтому не отключайте контроль учётных записей.
Трояны могут втянуть компьютер или смартфон в зомби-сеть компьютеров для DDoS-атак или украсть персональные данные. Их особенность в сравнении с другими зловредами — невозможность самостоятельного запуска на устройстве. Поэтому успех заражения полностью зависит от действия пользователя и его внимательности.
Процесс sshd — это защищённое и зашифрованное соединение через незащищённую сеть между двумя компьютерами.
Это способ заблокировать работу сайта путём отправки большого количества запросов, превышающих пропускную способность сети.