|
Детектирование добавлено |
19 фев 2006 01:05 MSK |
|
Обновление выпущено |
19 фев 2006 02:36 MSK |
|
Поведение |
Троянские программы этого класса написаны в целях скрытной инсталляции других программ и практически всегда используются для «подсовывания» на компьютер-жертву вирусов или других троянских программ.
Данные троянцы обычно без каких-либо сообщений (либо с ложными сообщениями об ошибке в архиве или неверной версии операционной системы) сбрасывают на диск в какой-либо каталог (в корень диска C:, во временный каталог, в каталоги Windows) другие файлы и запускают их на выполнение.
Обычно один (или более) компонентов являются троянскими программами, и как минимум один компонент является «обманкой»: программой-шуткой, игрой, картинкой или чем-то подобным. «Обманка» должна отвлечь внимание пользователя и/или продемонстрировать то, что запускаемый файл действительно делает что-то «полезное», в то время как троянская компонента инсталлируется в систему.
Троянские программы этого класса являются утилитами удаленного администрирования компьютеров в сети. По своей функциональности они во многом напоминают различные системы администрирования, разрабатываемые и распространяемые фирмами-производителями программных продуктов.
Единственная особенность этих программ заставляет классифицировать их как вредные троянские программы: отсутствие предупреждения об инсталляции и запуске. При запуске «троянец» устанавливает себя в системе и затем следит за ней, при этом пользователю не выдается никаких сообщений о действиях троянца в системе. Более того, ссылка на «троянца» может отсутствовать в списке активных приложений. В результате «пользователь» этой троянской программы может и не знать о ее присутствии в системе, в то время как его компьютер открыт для удаленного управления.
Утилиты скрытого управления позволяют делать с компьютером все, что в них заложил автор: принимать или отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер и т. д. В результате эти троянцы могут быть использованы для обнаружения и передачи конфиденциальной информации, для запуска вирусов, уничтожения данных и т. п. — пораженные компьютеры оказываются открытыми для злоумышленных действий хакеров.
Таким образом, троянские программы данного типа являются одним из самых опасных видов вредоносного программного обеспечения, поскольку в них заложена возможность самых разнообразных злоумышленных действий, присущих другим видам троянских программ.
Отдельно следует отметить группу бэкдоров, способных распространяться по сети и внедряться в другие компьютеры, как это делают компьютерные черви. Отличает такие «троянцы» от червей тот факт, что они распространяются по сети не самопроизвольно (как черви), а только по специальной команде «хозяина», управляющего данной копией троянской программы.
Данное семейство объединяет троянские программы, «ворующие» различную информацию с зараженного компьютера, обычно — системные пароли (PSW — Password-Stealing-Ware). При запуске PSW-троянцы ищут сиcтемные файлы, хранящие различную конфиденциальную информацию (обычно номера телефонов и пароли доступа к интернету) и отсылают ее по указанному в коде «троянца» электронному адресу или адресам.
Существуют PSW-троянцы, которые сообщают и другую информацию о зараженном компьютере, например, информацию о системе (размер памяти и дискового пространства, версия операционной системы), тип используемого почтового клиента, IP-адрес и т. п. Некоторые троянцы данного типа «воруют» регистрационную информацию к различному программному обеспечению, коды доступа к сетевым играм и прочее.
Trojan-AOL — семейство троянских программ, «ворующих» коды доступа к сети AOL (America Online). Выделены в особую группу по причине своей многочисленности.
Семейство троянских программ, основная функция которых — организация несанкционированных обращений к интернет-ресурсам (обычно к веб-страницам). Достигается это либо посылкой соответствующих команд браузеру, либо заменой системных файлов, в которых указаны «стандартные» адреса интернет-ресурсов (например, файл hosts в MS Windows).
У злоумышленника могут быть следующие цели для подобных действий:
Троянские программы этого класса предназначены для загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки «троянцев» или рекламных систем. Загруженные из интернета программы затем либо запускаются на выполнение, либо регистрируются «троянцем» на автозагрузку в соответствии с возможностями операционной системы. Данные действия при этом происходят без ведома пользователя.
Информация об именах и расположении загружаемых программ содержится в коде и данных троянца или скачивается троянцем с «управляющего» интернет-ресурса (обычно с веб-страницы).
Троянские программы этого класса написаны в целях скрытной инсталляции других программ и практически всегда используются для «подсовывания» на компьютер-жертву вирусов или других троянских программ.
Данные троянцы обычно без каких-либо сообщений (либо с ложными сообщениями об ошибке в архиве или неверной версии операционной системы) сбрасывают на диск в какой-либо каталог (в корень диска C:, во временный каталог, в каталоги Windows) другие файлы и запускают их на выполнение.
Обычно структура таких программ следующая:
|
Основной код |
|
Файл 1 |
|
Файл 2 |
|
... |
«Основной код» выделяет из своего файла остальные компоненты (файл 1, файл 2, ...), записывает их на диск и открывает их (запускает на выполнение).
Обычно один (или более) компонентов являются троянскими программами, и как минимум один компонент является «обманкой»: программой-шуткой, игрой, картинкой или чем-то подобным. «Обманка» должна отвлечь внимание пользователя и/или продемонстрировать то, что запускаемый файл действительно делает что-то «полезное», в то время как троянская компонента инсталлируется в систему.
В результате использования программ данного класса хакеры достигают двух целей:
Семейство троянских программ, скрытно осуществляющих анонимный доступ к различным интернет-ресурсам. Обычно используются для рассылки спама.
Данные троянцы осуществляют электронный шпионаж за пользователем зараженного компьютера: вводимая с клавиатуры информация, снимки экрана, список активных приложений и действия пользователя с ними сохраняются в какой-либо файл на диске и периодически отправляются злоумышленнику.
Троянские программы этого типа часто используются для кражи информации пользователей различных систем онлайновых платежей и банковских систем.
К данным троянцам относятся те из них, которые осуществляют прочие действия, попадающие под определение троянских программ, т. е. разрушение или злонамеренная модификация данных, нарушение работоспособности компьютера и прочее.
В данной категории также присутствуют «многоцелевые» троянские программы, например, те из них, которые одновременно шпионят за пользователем и предоставляют proxy-сервис удаленному злоумышленнику.
Понятие rootkit пришло к нам из UNIX. Первоначально это понятие использовалось для обозначения набора инструментов, применяемых для получения прав root.
Так как инструменты типа rootkit на сегодняшний день «прижились» и на других ОС (в том числе, на Windows), то следует признать подобное определение rootkit морально устаревшим и не отвечающим реальному положению дел.
Таким образом, rootkit — программный код или техника, направленная на сокрытие присутствия в системе заданных объектов (процессов, файлов, ключей реестра и т.д.).
Для поведения Rootkit в классификации «Лаборатории Касперского» действуют правила поглощения: Rootkit — самое младшее поведение среди вредоносных программ. То есть, если Rootkit-программа имеет троянскую составляющую, то она детектируется как Trojan.
Представляют собой архивы, специально оформленные таким образом, чтобы вызывать нештатное поведение архиваторов при попытке разархивировать данные — зависание или существенное замедление работы компьютера или заполнение диска большим количеством «пустых» данных. Особенно опасны «архивные бомбы» для файловых и почтовых серверов, если на сервере используется какая-либо система автоматической обработки входящей информации — «архивная бомба» может просто остановить работу сервера.
Встречаются три типа подобных «бомб»: некорректный заголовок архива, повторяющиеся данные и одинаковые файлы в архиве.
Некорректный заголовок архива или испорченные данные в архиве могут привести к сбою в работе конкретного архиватора или алгоритма разархивирования при разборе содержимого архива.
Значительных размеров файл, содержащий повторяющиеся данные, позволяет заархивировать такой файл в архив небольшого размера (например, 5ГБ данных упаковываются в 200КБ RAR или в 480КБ ZIP-архив).
Огромное количество одинаковых файлов в архиве также практически не сказывается на размере архива при использовании специальных методов (например, существуют приемы упаковки 10100 одинаковых файлов в 30КБ RAR или 230КБ ZIP-архив).
Троянцы данного типа предназначены для сообщения своему «хозяину» о зараженном компьютере. При этом на адрес «хозяина» отправляется информация о компьютере, например, IP-адрес компьютера, номер открытого порта, адрес электронной почты и т. п. Отсылка осуществляется различными способами: электронным письмом, специально оформленным обращением к веб-странице «хозяина», ICQ-сообщением.
Данные троянские программы используются в многокомпонентных троянских наборах для извещения своего «хозяина» об успешной инсталляции троянских компонент в атакуемую систему.
Источник: http://www.viruslist.com/ru/viruses/encyclopedia?chapter=156769330
В программах, относящихся к классу троянских, на сегодняшний день можно выделить следующие основные тенденции:
Отдельного рассмотрения требуют такие классы программ, как Trojan-Dropper и Trojan-Downloader.
Конечные цели у них абсолютно идентичны — установка на компьютер другой вредоносной программы, которая может быть как червем, так и «троянцем». Отличается только принцип их действия. «Дропперы» могут содержать в себе уже известную вредоносную программу или наоборот — устанавливать новую ее версию. Также «дропперы» могут устанавливать не одну, а сразу несколько вредоносных программ, принципиально отличающихся по поведению и даже написанных разными людьми.
Фактически «дропперы» являются своеобразными архивами, внутрь которых может быть помещено все что угодно. Очень часто они применяются для установки в систему уже известных «троянцев», поскольку написать «дроппер» гораздо проще, чем переписывать «троянца», пытаясь сделать его недетектируемым для антивируса. Весьма значительную часть «дропперов» составляют их реализации на скрипт-языках VBS и JS, что объясняется сравнительной простотой программирования на них и универсальностью подобных программ.
«Даунлоадеры», или «загрузчики», активно используются вирусописателями как по причинам, описанным выше для «дропперов» (скрытая установка уже известных троянцев), так и по причине их меньшего по сравнению с «дропперами» размера, а также благодаря возможности обновлять устанавливаемые троянские программы. Здесь также выделяется группа программ на скрипт-языках, причем, как правило, использующих различные уязвимости в Internet Explorer.
Оба эти класса вредоносных программ используются для установки на компьютеры не только троянских программ, но и различных рекламных (advware) или порнографических (pornware) программ.
Что касается классических файловых вирусов, царствовавших в 90-х годах прошлого века, то в настоящее время они практически исчезли, уступив свое место сетевым червям. Сейчас можно насчитать с десяток файловых вирусов, которые продолжают оставаться активными и даже иногда испытывают всплески активности. Эти всплески связаны с недавно проявившейся у таких вирусов побочной способностью заражать исполняемые файлы почтовых червей. Таким путем они пересылают себя вместе с инфицированными червями электронными письмами, в качестве своеобразных прилипал. Очень часто попадаются экземпляры почтовых червей Mydoom, NetSky или Bagle, зараженные такими файловыми вирусами, как Funlove, Xorala, Parite или Spaces.
В целом опасность появления нового файлового вируса, способного вызвать глобальную эпидемию, сейчас практически равна нулю. Даже появление первого вируса, работающего на Win64-платформе (Win64.Rugrat.a), не сможет изменить эту ситуацию в ближайшем будущем.
Если попробовать оценить проявляющиеся новые возможности вредоносных программ, то нельзя не отметить весьма вероятное увеличение числа программ, написанных на языке программирования .NET. Первые концептуальные вирусы и черви на этом языке появились довольно давно, и с каждым днем популярность этой платформы все увеличивается, что, в конечном итоге, неминуемо привлечет внимание вирусописателей.
Linux-платформы, вероятно, по-прежнему будут оставаться полем действия программ класса rootkit, а также простейших файловых вирусов. Однако основная угроза для них будет исходить не от вирусов, а от обнаруживаемых уязвимостей в программных продуктах для данной платформы, что в принципе также может дать вирусописателям помощь в достижении их цели — тотального контроля за все большим числом машин в интернете.
И напоследок обратимся к такому пока экзотическому классу как вредоносные программы для КПК. Стремительный рост популярности ОС Windows Mobile 2003, широкие возможности сетевой коммутации данных устройств и наличие среды разработки приложений (.NET framework) неминуемо приведут к появлению в скором времени не только троянских программ (для PalmOS они уже существуют), но и их более опасных разновидностей, не исключая и сетевых червей.
Источник: http://www.viruslist.com/ru/viruses/encyclopedia?chapter=156764268
Основная масса вирусов и троянских программ в прошлом создавалась студентами и школьниками, которые только что изучили язык программирования, хотели попробовать свои силы, но не смогли найти для них более достойного применения. Отраден тот факт, что значительная часть подобных вирусов их авторами не распространялась и вирусы через некоторое время умирали сами вместе с дисками, на которых хранились. Такие вирусы писались и пишутся по сей день только для самоутверждения их авторов.
Вторую группу создателей вирусов также составляют молодые люди (чаще — студенты), которые еще не полностью овладели искусством программирования. Единственная причина, толкающая их на написание вирусов, это комплекс неполноценности, который компенсируется компьютерным хулиганством. Из-под пера подобных «умельцев» часто выходят вирусы крайне примитивные и с большим числом ошибок («студенческие» вирусы). Жизнь подобных вирусописателей стала заметно проще с развитием интернета и появлением многочисленных веб-сайтов, ориентированных на обучение написанию компьютерных вирусов. На подобных веб-ресурсах можно найти подробные рекомендации по методам проникновения в систему, приемам скрытия от антивирусных программ, способам дальнейшего распространения вируса. Часто здесь же можно найти готовые исходные тексты, в которые надо всего лишь внести минимальные «авторские» изменения и откомпилировать рекомендуемым способом.
«Хулиганские» вирусы в последние годы становятся все менее и менее актуальными (несмотря на то что на смену повзрослевшим тинейджерам-хулиганам каждый раз приходит новое поколение тинейджеров) — за исключением тех случаев, когда такие вредоносные программы вызвали глобальные сетевые и почтовые эпидемии. На текущий момент доля подобных вирусов и троянских программ занимает не более 10% «материала», заносимого в антивирусные базы данных. Оставшиеся 90% гораздо более опасны, чем просто вирусы.
Став старше и опытнее, многие из подобных вирусописателей попадают в третью, наиболее опасную группу, которая создает и запускает в мир «профессиональные» вирусы. Эти тщательно продуманные и отлаженные программы создаются профессиональными, часто очень талантливыми программистами. Такие вирусы нередко используют достаточно оригинальные алгоритмы проникновения в системные области данных, ошибки в системах безопасности операционных сред, социальный инжиниринг и прочие хитрости.
Отдельно стоит четвертая группа авторов вирусов — «исследователи», довольно сообразительные программисты, которые занимаются изобретением принципиально новых методов заражения, скрытия, противодействия антивирусам и т. д. Они же придумывают способы внедрения в новые операционные системы. Эти программисты пишут вирусы не ради собственно вирусов, а скорее ради исследования потенциалов «компьютерной фауны». Часто авторы подобных вирусов не распространяют свои творения, однако активно пропагандируют свои идеи через многочисленные интернет-ресурсы, посвященные созданию вирусов. При этом опасность, исходящая от таких «исследовательских» вирусов, тоже весьма велика — попав в руки «профессионалов» из предыдущей группы, эти идеи очень быстро появляются в новых вирусах.
С появлением и популяризацией платных интернет-сервисов (почта, WWW, хостинг) компьютерный андеграунд начинает проявлять повышенный интерес к получению доступа в сеть за чужой счет, т. е. посредством кражи чьего-либо логина и пароля (или нескольких логинов/паролей с различных пораженных компьютеров) путем применения специально разработанных троянских программ.
В начале 1997 года зафиксированы первые случаи создания и распространения троянских программ, ворующих пароли доступа к системе AOL. В 1998 году, с распространением интернет-услуг в Европе и России, аналогичные троянские программы появляются и для других интернет-сервисов. До сих пор троянцы, ворующие пароли к dial-up, пароли к AOL, коды доступа к другим сервисам, составляют заметную часть ежедневных «поступлений» в лаборатории антивирусных компаний всего мира.
Троянские программы данного типа, как и вирусы, обычно создаются молодыми людьми, у которых нет средств для оплаты интернет-услуг. Характерен тот факт, что по мере удешевления интернет-сервисов уменьшается и удельное количество таких троянских программ.
«Мелкими воришками» также создаются троянские программы других типов: ворующие регистрационные данные и ключевые файлы различных программных продуктов (часто — сетевых игр), использующие ресурсы зараженных компьютеров в интересах своего «хозяина» и т. п.
Наиболее опасную категорию вирусописателей составляют хакеры-одиночки или группы хакеров, которые осознанно или неосознанно создают вредоносные программы с единственной целью: получить чужие деньги (рекламируя что-либо или просто воруя их), ресурсы зараженного компьютера (опять-таки, ради денег — для обслуживания спам-бизнеса или организации DoS-атак с целью дальнейшего шантажа).
Обслуживание рекламного и спам-бизнеса — один из основных видов деятельности таких хакеров. Для рассылки спама ими создаются специализированные троянские proxy-сервера, которые затем внедряются в десятки тысяч компьютеров. Затем такая сеть «зомби-машин» поступает на черный интернет-рынок, где приобретается спамерами. Для внедрения в операционную систему и дальнейшего обновления принудительной рекламы создаются утилиты, использующие откровенно хакерские методы: незаметную инсталляцию в систему, разнообразные маскировки (чтобы затруднить удаление рекламного софта), противодействие антивирусным программам.
Вторым видом деятельности подобных вирусописателей является создание, распространение и обслуживание троянских программ-шпионов, направленных на воровство денежных средств с персональных (а если повезет — то и с корпоративных) «электронных кошельков» или с обслуживаемых через интернет банковских счетов. Троянские программы данного типа собирают информацию о кодах доступа к счетам и пересылают ее своему «хозяину».
Третьим видом криминальной деятельности этой группы является интернет-рэкет, т. е. организация массированной DoS-атаки на один или несколько интернет-ресурсов с последующим требованием денежного вознаграждения за прекращение атаки. Обычно под удар попадают интернет-магазины, букмекерские конторы — т. е. компании, бизнес которых напрямую зависит от работоспособности веб-сайта компании.
Вирусы, созданные этой категорией «писателей», становятся причиной многочисленных вирусных эпидемий, инициированных для массового распространения и установки описанных выше троянских компонент.
Системы навязывания электронной рекламы, различные «звонилки» на платные телефонные номера, утилиты, периодически предлагающие пользователю посетить те или иные платные веб-ресурсы, прочие типы нежелательного программного обеспечения — они также требуют технической поддержки со стороны программистов-хакеров. Данная поддержка требуется для реализации механизмов скрытного внедрения в систему, периодического обновления своих компонент и противодействия антивирусным программам.
Очевидно, что для решения данных задач в большинстве случаев также используется труд хакеров, поскольку перечисленные задачи практически совпадают с функционалом троянских программ различных типов.
Источник: http://www.viruslist.com/ru/viruses/encyclopedia?chapter=152526515
Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Также червь обладает функцией размножения через P2P-сети и доступные HTTP и FTP каталоги.
Основной компонент червя представляет собой PE EXE-файл, размером около 29KB. Червь упакован FSG, размер распакованного файла около 40KB.
Червь ищет файлы с электронными адресами, ищет в них адреса электронной почты и рассылает свои копии по найденным адресам. Для отправки писем червь использует собственную SMTP-библиотеку. Червь пытается осуществить прямое подключение к серверу получателя зараженного письма.
Зараженные письма формируются из произвольных комбинаций:
Также червь способен посылать свои копии в виде ZIP-архивов.
Червь может посылать письма, содержащие IFRAME Exploit (аналогично червям Klez.h или Swen). В таком случае, при просмотре письма из уязвимого почтового клиента - произойдет автоматический запуск вложенного файла червя.