Троян та його визначення

Усі, хто хоч колись чув про комп'ютерні віруси, неодмінно чув і згадку про якогось «трояна». В рамках цієї статті ми спробуємо розібратися, що таке троянська програма і як її виявити на комп'ютері без втручання антивірусу. Давайте почнемо.

Усі, хто хоч колись чув про комп'ютерні віруси, неодмінно чув і згадку про якогось «троянца». Що це за такий троянець. Багато хто вважає, що це і є комп'ютерний вірус. Однак це не так. В рамках цієї статті ми спробуємо розібратися, що таке троянська програма і як її виявити на комп'ютері без втручання антивірусу. Давайте почнемо.

Визначення троянської програми

Насамперед варто сказати, що назву таку отримали троянці на честь троянського коня, який, як пам'ятаєте, виявився дерев'яним. Це трохи відображає суть цих програм, тому й назва така.

Найчастіша помилка користувачів - це зарахування троянської програми до вірусів. Це неправильно докорінно. Існує таке поняття, як "шкідливе програмне забезпечення". Під це визначення підходять усі програми, які завдають хоч якоїсь шкоди комп'ютеру чи користувачеві. Комп'ютерні віруси, так само як і троянські програми, відносяться до такого, а тому вони є окремими класами і не можуть ставитися один до одного. Інша річ, коли комп'ютерний вірус має деякі властивості троянця, але це знову ж таки вже окремий клас. Давайте докладніше зупинимося на трьох.

Троянською програмою називається програмний код, який здійснює певні дії без відома користувача, до таких дій належать: крадіжка інформації, знищення чи модифікація інформації, використання ресурсів машини у зловмисних цілях тощо.

Поширення програм такого роду велике, т.к. створити троянця тепер можна за допомогою так званого конструктора. Необхідно тільки відкрити конструктор, вибрати ті можливості, які матиме ваш майбутній троянець, і натиснути відповідну кнопку. Конструктор все складе, скомпілює і на виході вийде повнофункціональна програма із шкідливими функціями.

Троянці також поділяються на підвиди, серед яких можна відзначити такі:

Оповідання про атаку увінчаної успіхом (Trojan-Notifier)

Архівні бомби (ArcBomb)

Весела штуковина. При спробі архіватора зайнятися розпакуванням або просто обробити такий архів, архіватор починає споживати багато ресурсів, в результаті комп'ютер зависає. Проте, це далеко ще не всі сюрпризи, т.к. деякі троє такого роду при зверненні до них забивають вінчестер «порожньою інформацією», наприклад, пустими папками.

Приховування присутності в операційній системі (Rootkit)

Концепція rootkit прийшла до нас з UNIX. Спочатку це поняття використовувалося для позначення набору інструментів, які застосовуються для отримання прав root.

Так як інструменти типу rootkit на сьогоднішній день «прижилися» і на інших ОС (у тому числі, на Windows), слід визнати подібне визначення rootkit морально застарілим і таким, що не відповідає реальному стану справ.

Таким чином, rootkit - програмний код або техніка, спрямована на приховування присутності в системі заданих об'єктів (процесів, файлів, ключів реєстру тощо).

Для поведінки Rootkit у класифікації «Лабораторії Касперського» діють правила поглинання: Rootkit — наймолодша поведінка серед шкідливих програм. Тобто якщо Rootkit-програма має троянську складову, то вона детектуєтьсяяк Trojan.

Троянські проксі-сервери (Trojan-Proxy)

Сімейство троянських програм, що приховано здійснюють доступ до різних інтернет-ресурсів. Зазвичай з метою розсилки спаму.

Шпигунські програми (Trojan-Spy)

Постфікс «Spy», гадаю, всім тут зрозумілий. Ці «звірятка» здійснюють стеження за користувачем. Вони часто можуть мати модулі, що займаються кейлоггерством. Щоб знімати інформацію, що вводиться з клавіатури, і надсилати хакеру. Частина просто нишпорять комп'ютером у пошуках необхідної інформації, наприклад, рахунків банку.

Троянські утиліти віддаленого адміністрування (Backdoor)

Троянські програми цього є утилітами віддаленого адміністрування (управління) комп'ютерів. Загалом вони дуже схожі на «легальні» утиліти того ж напряму. Єдине, що визначає їх як шкідливі програми, це дії без відома користувача. Ця програма при установці та завантаженні не видає жодних повідомлень.

Таким чином, власник конкретної копії цього програмного забезпечення може без відома користувача здійснювати операції різного роду (від вимкнення комп'ютера до маніпуляцій з файлами). Таким чином, троянські програми цього класу є одними з найнебезпечніших.

Деякі backdoor'и, також можуть поширюватися по мережі, як мережеві черв'яки, але не самостійно, а після відповідної команди власника копії.

Викрадачі паролів (Trojan-PSW)

Ці займаються тим, що крадуть паролі. Проникнувши на комп'ютер і встановившись, троянець відразу приступає до пошуку файлів, що містять відповідну інформацію.

Крадіжка паролів не основна специфікація програм цього класу, вони можуть красти інформацію про систему, файли, номери рахунків, коди активації іншого ПЗі т.д.

Інтернет-клікери (Trojan-clicker)

Завантажувачі (Trojan-Downloader)

Ці Трояни займаються несанкціонованим завантаженням програмного забезпечення (шкідливого) на комп'ютер нічого не підозрюваного користувача. Після завантаження програма або встановлюється, або записується троянцем на автозавантаження (це в залежності від можливостей операційної системи).

Установники (Trojan-Dropper)

Ці встановлюють на комп'ютер-жертву програми, зазвичай - шкідливі. Анатомія троянців цього класу така: основний код, файли. Основний код – власне, і є троянцем. Файли – це програма (и), яку він повинен встановити. Троянець записує її (їх) у каталог (зазвичай тимчасових файлів) та встановлює. Установка відбувається або непомітно для користувача, або з викидом повідомлення про помилку.

Ну ось і все про класифікацію, продовжимо. Як же можна знайти працюючого троянця на вашому комп'ютері без використання антивірусу?

---