1.5. Що за звір – троянський кінь?

Примітка

Хоча, на відміну вірусу, троянець неспроможний до саморозмноження, від цього не стає менш небезпечним.

В останньому випадку може прийти лист з проханням подивитися фотографію та прикріпленим файлом на зразокsuperfoto.bmp.exe (як варіант, після BMP може бути велика кількість прогалин, щоб користувач нічого не запідозрив). У результаті одержувач сам встановлює шкідливу програму. Звідси походить назва таких додатків: згадайте, як ахейці захопили Трою. Місто було добре укріплене, ахейці довго не могли його взяти і обдурили захисників. Для жителів Трої кінь був символом світу, і ахейці, нібито для примирення, збудували дерев'яну статую коня, всередину якої посадили своїх найкращих воїнів. Троянці, які нічого не підозрюють, затягли подарунок до міста, а вночі ахейці вилізли зі статуї, знешкодили варту і відчинили ворота, впустивши основні сили.

Розмноженню троянської програми може сприяти сам користувач, копіюючи його друзям та колегам. Можливий варіант, коли програма потрапляє на комп'ютер користувача як хробак, а далі працює як троян, забезпечуючи творцю можливість дистанційного керування зараженим комп'ютером. Найчастіше такі програми таки відносять до хробаків.

Сучасні троянці, зазвичай, не тягнуть все поспіль. Вони цілеспрямовано займаються збиранням конкретної інформації. Наприклад, «банківські» шпигуни крадуть номери кредитних карток та інших банківських даних. У зв'язку зі зростанням популярності інтернет-ігор з'явився інтерес до крадіжки ігрових предметів або персонажів, ціна яких часом сягає кількох тисяч доларів, тому крадіжка облікових записів для шахраїв не менш приваблива, ніж крадіжка банківських атрибутів.

Як визначити, що у системі оселилася троянська програма? По-перше, погодьтеся, дивно, коли встановлений плагін до Winamp не виявляється в списку. По-друге, при інсталяції трояна може бути виведено повідомлення, причому як про успішне закінчення установки (на зразокInternet Exsplorer already patched ), так і, навпаки, говорить про те, що утиліта не встановлена, тому що системна бібліотека несумісна з версією програми чи архів пошкоджено. Можливо, будуть також виведені рекомендації щодо усунення помилки. Після довгих мук користувач навряд чи отримає очікуваний результат, швидше за все, залишить усі спроби і буде впевнений, що це корисна програма, яка просто не запустилася з незрозумілих причин. Троянець тим часом пропишеться автозапуском. Наприклад, у Windows необхідно бути уважним до наступних гілок реєстру:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunservices

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunservicesOnce

Можливе поміщення ярлика трояна в папкуАвтозавантаження (це зустрічається дуже рідко, тому що присутність шкідливої програми в цій папці легко виявити) або запис у файлиautoexec.bat,win.ini,system.ini. Часто розробники вживають заходів, щоб трояна не було видно у вікніДиспетчер завдань, що виводиться натисканням клавішCtrl+Alt+Delete. Найбільш складні троянські програми вміють самостійно оновлюватись через Інтернет, ховатися від антивірусів та розшифровувати файли паролів. Управляти троянцем можна кількома способами - відпрямого підключення до комп'ютера до перевірки певного мережного ресурсу, на який господар надсилає e-mail, ICQ та IRC-команди.

Часто троянець складається з двох частин: клієнтської, встановленої у господаря, та серверної, що працює на машині жертви. Такі програми також називають backdoor (потаємний хід). Запустивши програму-клієнт, зловмисник перевіряє, чи знаходиться сервер у Мережі: якщо відгук отримано, то віддаленим комп'ютером можна керувати своїм.

Враховуючи невміння троянських програм поширюватися самостійно, простим та ефективним правилом, що дозволяє уникнути зараження, є завантаження файлів лише з надійних джерел. Незважаючи на те, що, на відміну від вірусних епідемій, про троянські епідемії поки що ніхто не чув, та й навряд чи почує, враховуючи нездатність цих програм до самостійного розмноження, вони не менші (а, можливо, навіть більше) небезпечні, ніж віруси. Адже часто такі програми створюються для персонального використання, тому сьогоднішні антивіруси не можуть знати про них. Це означає, що користувач може довго працювати на зараженій машині, не підозрюючи про це. Щоб знайти троянський додаток, потрібні спеціальні утиліти та спостереження за мережевою активністю комп'ютера за допомогою штатних засобів операційної системи та встановленого брандмауера, про що буде докладніше розказано у розділі 4.