Троянские программы (Trojans)

Троянская программа (Trojan) – это вредоносная программа, основное отличие которой от вируса в том, что в систему она проникает под видом обычной программы. Попав в систему, троян может делать многое: может собирать информацию об устройстве и его владельце, или воровать данные с ПК, целью некоторых троянов является вывод ИС из строя. Пример трояна - Trojan.WinLock, который воздействует на компьютеры под управлением ОС Windows, полностью блокируя доступ пользователя к ней.

Классификация троянских программ

Существует несколько видов троянского софта:

  1. RAT
  2. Вымогатели
  3. Шифровальщики
  4. Загрузчики
  5. Дезактиваторы систем защиты
  6. Банкеры
  7. DDoS-трояны

RAT ( Remote Administration Tools) – это троянская программа (trojan), предназначенная для шпионажа. После установки в систему предоставляет злоумышленнику широчайший спектр возможностей: захват видео с экрана жертвы, доступ в файловую систему, запись видео с веб-камеры, запись звука с микрофона, кража cookie, установка программ из сети Интернет, и т.д. Пример такой программы – DarkComet, AndroRAT.

Троянские программы (Trojans)

Вымогатели – такие программы попадая в систему «терроризируют» жертву сообщениями с вымогательским посылом, угрожая при этом удалением файлов с компьютера, или распространением личных данных жертвы в сети Интернет, могут блокировать доступ к системе. В любом случае, троян-вымогатель требует деньги у жертвы. Пример – WinLock.

Шифровальщики - трояны-шифровальщики зашифровывают файлы в файловой системе особым ключом жертвы, требуя деньги за расшифровку. Зачастую, ключ для расшифровки есть в антивирусном ПО. Пример шифровальщика – CryZip.

Загрузчики – данный вид вредоносных программ предназначен для загрузки из сети Интернет других программ или файлов. Пример – Nemucode.

Дезактиваторы систем защиты – такие трояны удаляют или деактивируют антивирусное ПО в системе жертвы.

Банкеры – троянская программа, специализируюшаяся на краже банковских данных жертвы (номер счета, пин-код, CVV и т.д.)

DDoS-трояны (боты) – вредоносные программы, никак не взаимодействуют с жертвой. Используются хакерами для формирования ботнета, с целью дальнейших DDoS-атак.

Все трояны загружаются в систему под видом легального ПО. Они могут специально загружаться злоумышленниками в облачные хранилища данных или файлообменные ресурсы. Также трояны могут попадать в систему посредством установки такого ПО хакером-инсайдером при физическом контакте с компьютером-жертвой. Также, трояны могут распространяться при спам-рассылке.

Объект воздействия троянских программ

Чаще всего, цель трояна – обычный ПК, и его пользователь, но шанс подхватить трояна есть и в корпоративной среде. Возможна хакерская спам-рассылки с целью заражения множества компьютеров троянами для формирования ботнета. Некоторые трояны «вшиваются» в легальное ПО, и не мешают его функционированию. Таким образом, жертва даже не замечает действий трояна в системе. Кроме ПК, хакер может заразить мобильные устройства с целью шпионажа за жертвой или для кражи ее конфиденциальной информации.

Интересный факт – на встрече G20 в России многие USB-накопители и USB-переходники для мобильных устройств политиков были заражены троянскими программами.

Источник угрозы

Источником угрозы могут являться файлообменики, на которые злоумышленник может загрузить вредоносное ПО под видом легального, торрент-трекеры, распространяющие троянское ПО, спам-рассылки, и т.д. Важное правило для защиты – не переходить по недоверительным ссылкам и не открывать подозрительные программы. Большая часть троянов успешно обнаруживается антивирусным и антишпионским ПО. Правоохранительные органы могут устанавливать трояны в компьютер или иные устройства подозреваемого с целью сбора информации и улик. Разведка многих стран использует такой софт для шпионажа. Вообще, трояны очень распространены благодаря тому, что существует огромное количество различных инструментов для создания такого софта. Например – msf – утилита позволяет добавить троян в легальное ПО, что способствует распространению зловреда. Еще один пример – AndroRAT Binder, который направлен на устройства под Android.

Анализ риска

Троянские программы (trojan) могут представлять серьезную опасность для жертвы (RAT, банкеры), а могут никак не взаимодействовать с жертвой (DDoS-трояны).  Многие трояны очень сложно обнаружить, так как их код добавлен в код легальной программы и не мешают ее функционированию. Признак трояна – автозагрузка. В обязательном порядке троян добавит себя в автозагрузку. Еще один признак  – медленная работа компьютера. Троян своими процессами сильно нагружает процессор (особенно это касается DDoS-троянов) из-за чего может замедляться работа ПК, и повышаться температура ЦП. Если антивирусное ПО не помогает, то единственный надежный выход – переустановка ОС или обращение к специалистам.