Троянская программа - это вредоносный код, совершающий не санкционированные пользователем действия (например, кража информации, уничтожение или модификация информации, использование ресурсов машины в злонамеренных целях и т.д.). Троянские программы являются наиболее распространенными в киберсреде, так как существует множество конструкторов, позволяющих даже неопытному пользователю создавать собственные программы данного типа.
Троянские утилиты удаленного администрирования (Backdoor). Троянские программы этого класса являются утилитами удаленного администрирования (управления) компьютеров. В общем, они очень похожи на «легальные» утилиты того же направления. Единственное, что определяет их как вредоносные программы, - это их действия без ведома пользователя. Данная программа при установке иили загрузке не выдает никаких уведомлений. Таким образом, обладатель конкретной копии данного ПО может без ведома пользователя осуществлять операции разного рода (от выключения компьютера до манипуляций с файлами). Таким образом, троянские программы данного класса являются одними из наиболее опасных. Некоторые backdoor"ы, также могут распространяться по сети, как сетевые черви, но не самостоятельно, а после соответствующей команды владельца копии.
Похитители паролей (Trojan-PSW). Эти занимаются тем, что воруют пароли. Проникнув на компьютер и инсталлировавшись, троянец сразу приступает к поиску файлов, содержащих соответствующую информацию. Кража паролей - не основная спецификация программ этого класса - они также могут красть информацию о системе, файлы, номера счетов, коды активации другого ПО и т.д.
Интернет-кликеры (Trojan-clicker). Данное семейство троянских программ занимается организацией несанкционированных обращений к интернет- ресурсам путем отправления команд интернет-браузерам или подмены системных адресов ресурсов. Злоумышленники используют данные программы для следующих целей: увеличение посещаемости каких-либо сайтов (с целью увеличения количества показов рекламы); организация атаки на сервис; привлечение потенциальных жертв для заражения вредоносным программным обеспечением.
Загрузчики (Trojan-Downloader). Эти трояны занимаются несанкционированной загрузкой программного обеспечения (вредоносного) на компьютер ничего не подозревающего пользователя. После загрузки программа либо инсталлируется, либо записывается трояном в автозагрузку (это в зависимости от возможностей операционной системы).
Установщики (Trojan-Dropper). Эти устанавливают на компьютер-жертву программы - как правило вредоносные. Анатомия троянцев этого класса следующая: основной код, файлы. Основной код собственно и является троянцем. Файлы - это программа/ы, которая/ые он должен установить. Троянец записывает ее/их в каталог (обычно временных файлов) и устанавливает. Установка происходит либо незаметно для пользователя, либо с выбросом сообщения об ошибке.
Троянские прокси-серверы (Trojan-Proxy). Семейство троянских программ, скрытно осуществляющих доступ к различным интернет-ресурсам - обычно с целью рассылки спама.
Шпионские программы (Trojan-Spy). Данные трояны осуществляют шпионаж за пользователем: записывание информации, набранной с клавиатуры, снимки экрана и т.д. В данной категории также присутствуют «многоцелевые» троянские программы - например, те из них, которые одновременно шпионят за пользователем и предоставляют proxy-сервис удаленному злоумышленнику.
Сокрытие присутствия в операционной системе (Rootkit). Понятие rootkit пришло к нам из UNIX. Первоначально это понятие использовалось для обозначения набора инструментов, применяемых для получения прав root. Так как инструменты типа rootkit на сегодняшний день «прижились» и на других ОС (в том числе на Windows), следует признать подобное определение rootkit морально устаревшим и не отвечающим реальному положению дел. Таким образом, Rootkit - программный код или техника, направленная на сокрытие присутствия в системе заданных объектов (процессов, файлов, ключей реестра и т.д.). Для поведения Rootkit в классификации «Лаборатории Касперского» действуют правила поглощения: Rootkit - самое младшее поведение среди вредоносных программ. То есть, если Rootkit-программа имеет троянскую составляющую, то она детектируется как Trojan.
Архивные бомбы (ArcBomb). Вот это интересная штука... дело в том, что такого рода архив при попытке архиватора его обработать вызывает «нестандартные» действия последнего. Компьютер может просто зависнуть или его работа существенно замедлится. Также жесткий диск может заполниться бальшим колличесвом «пустой» информации. Встречаются три типа подобных «бомб»: некорректный заголовок архива, повторяющиеся данные и одинаковые файлы в архиве. Некорректный заголовок архива или испорченные данные в архиве могут привести к сбою в работе конкретного архиватора или алгоритма разархивирования при разборе содержимого архива. Значительных размеров файл, содержащий повторяющиеся данные, позволяет заархивировать такой файл в архив небольшого размера (например, 5 Гб данных упаковываются в 200 Кб RAR- или в 480 Кб ZIP-архив). Огромное количество одинаковых файлов в архиве также практически не сказывается на размере архива при использовании специальных методов (например, существуют приемы упаковки 10100 одинаковых файлов в 30 Кб RAR- или 230 Кб ZIP-архив).
Оповещение об атаке, увенчавшейся успехом (Trojan-Notifier). Троянцы данного типа предназначены для сообщения своему «хозяину» о зараженном компьютере. При этом на адрес «хозяина» отправляется информация о компьютере - например, его IP-адрес, номер открытого порта, адрес электронной почты и т.п. Отсылка осуществляется различными способами: электронным письмом, специально оформленным обращением к веб-странице «хозяина», ICQ-сообщением. Данные троянские программы используются в многокомпонентных троянских наборах для оповещения «хозяина» об успешной инсталляции троянских компонент в атакуемую систему.
Привет админ! Две недели работал без антивируса, в интернете особо в это время никуда не лазил, но вот сегодня установил антивирус и он нашёл при сканировании три троянских программы! Они могли что-то наделать за такой короткий промежуток времени в моей операционной системе?
Троянским отдельный тип вредоносного ПО назван из-за сравнения с троянским конём, который, согласно древнегреческой мифологии, жителям Трои подарили греки. Внутри троянского коня прятались греческие воины. Ночью они вылезли из укрытия, перебили троянских стражников и открыли городские ворота остальной воинской силе.
В чём суть троянских программ?
Троянская программа, она же троян, она же троянец – это тип вредоносного ПО, отличающийся от классических вирусов, которые самостоятельно внедряются в компьютер, плодятся там и размножатся, участием в процессе активации человека – пользователя. Троянские программы, как правило, сами не способны распространяться, как это делают вирусы или сетевые черви. Троянские программы могут маскироваться под различные типы файлов – под инсталляторы, документы, мультимедиафайлы. Пользователь, запуская файл, под который маскируется троян, запускает его самого. Троянские программы могут прописаться в системном реестре и активироваться во время запуска Windows. Трояны иногда бывают модулями вирусов.
Как можно подцепить троянскую программу?
Троянами часто оснащаются инсталляторы программ или игр, а затем таковые выкладываются на низкокачественных файлообменниках, сайтах-варезниках и прочих далёких от идеала софт-порталах для массового скачивания пользователями Интернета. Троянскую программу можно подцепить также по почте, в интернет-мессенджерах, в социальных сетях и на прочих сайтах.
Друзья, сейчас я продемонстрирую Вам как можно скачать настоящий троян. К примеру Вы решили скачать себе , набрали в браузере соответствующий запрос и попали вот на этот сайт, естественно жмёте Скачать
И вместо винды нам нагло дают скачать троян, загрузку которого прерывает моя антивирусная программа. Будьте осторожны.
Сценарий внедрения троянов может быть разным. Это просьбы загрузить какой-то дополнительный софт – кодеки, флеш-плееры, браузеры, различные обновления для веб-приложений, естественно, не с их официальных сайтов. К примеру, бороздя просторы интернета Вам может попасться такое предупреждение, за которым опять же скрывается троянская программа. Обратите внимание, на баннере даже имеется орфографическая ошибка.
Это ссылки от неизвестных пользователей, по которым вас активно убеждают перейти. Впрочем, «заражённую» ссылку в социальной сети, Skype, ICQ или прочем мессенджере может прислать и знакомый пользователь, правда, он сам об даже и не будет подозревать, поскольку вместо него это будет делать троян. Подцепить трояна можно, поддавшись на любые другие ухищрения его распространителя, цель которого – заставить вас скачать вредоносный файл с Интернета и запустить его у себя на компьютере.
Вот так может выглядеть живой троянчик, я его вчера только выловил на компьютере знакомого, мог друг думал, что он скачал бесплатный антивирус Norton Antivirus 2014. Если запустить этот"антивирус", то
рабочий стол Windows будет заблокирован !
Признаки наличия в компьютере трояна
О том, что в компьютер проникла троянская программа, могут свидетельствовать различные признаки. Например, компьютер сам перезагружается, выключается, сам запускает какие-то программы или системные службы, сам открывает и закрывает CD-ROM консоль. Браузер может сам загружать веб-страницы, которые вы даже не посещали ранее. В большинстве случаев это различные порно-сайты или игровые порталы. Самопроизвольное скачивание порно – видео или картинок – это также признак того, что в компьютере уже вовсю орудует троян. Самопроизвольные вспышки экрана, а иногда ещё и в сопровождении щелчков, как это происходит при снятии скриншотов – явный признак того, что вы стали жертвой трояна-шпиона. О наличии троянского ПО в системе также могут свидетельствовать новые, ранее неизвестные вам, приложения в автозагрузке.
Но троянские программы не всегда работают, выдавая себя, не всегда их признаки очевидны. В таких случаях пользователям маломощных компьютерных устройств куда проще, чем владельцам производительных машин. В случае проникновения трояна первые смогут наблюдать резкий спад производительности. Это, как правило, 100%-ная загрузка процессора, оперативной памяти или диска, но при этом не активны никакие пользовательские программы. А в диспетчере задач Windows практически все ресурсы компьютера будут задействованы неизвестным процессом.
Для каких целей создаются троянские программы?
Кража данных пользователей
Номера кошельков, банковских карт и счетов, логины, пароли, пин-коды и прочие конфиденциальные данные людей – всё это представляет для создателей троянских программ особый коммерческий интерес. Именно поэтому платёжные интернет-системы и системы онлайн-банкинга стараются обезопасить виртуальные деньги своих клиентов, внедряя различные механизма безопасности. Как правило, такие механизмы реализуются путём ввода дополнительных кодов, которые присылаются в СМС на мобильный телефон.
Трояны охотятся не только за данными финансовых систем. Объектом воровства могут быть данные входа в различные интернет-аккаунты пользователей. Это аккаунты социальных сетей, сайтов знакомств, Skype, ICQ, а также прочих интернет-площадок и мессенджеров. Завладев с помощью трояна аккаунтом пользователя, мошенники могут применять к его друзьям и подписчикам различные схемы выуживания денег – просить денег, предлагать различные услуги или продукты. А, например, аккаунт какой-нибудь симпатичной девушки мошенники могут превратить в точку сбыта порно-материалов или перенаправления на нужные порно-сайты.
Для кражи конфиденциальных данных людей мошенники, как правило, создают специальное троянское ПО – шпионские программы, они же программы Spyware.
Спам
Трояны могут создаваться специально для сбора адресов электронной почты пользователей Интернета, чтобы затем присылать им спам.
Скачивание файлов и накрутка показателей сайтов
Файлообменники – далеко не самый прибыльный вид заработка, если делать всё честно. Некачественный сайт – также не самый лучший способ завоевать пользовательскую аудиторию. Чтобы увеличить число скачиваемых файлов в первом случае и показатель посещаемости во втором, можно внедрить троян в компьютеры пользователей, которые, сами того не подозревая, будут способствовать мошенникам в улучшении их финансового благосостояния. Троянские программы откроют в браузере пользователей нужную ссылку или нужный сайт.
Скрытное управление компьютером
Не только накрутку показателей сайтов или скачивание нужных файлов с файлообменников, но даже хакерские атаки на сервера компаний и государственных органов осуществляются с помощью троянов, которые являются установщиками бэкдоров (Backdoor). Последние – это специальные программы, созданные для удалённого управления компьютером, естественно, скрытно, чтобы пользователь ни о чём не догадался и не забил тревогу.
Уничтожение данных
Особо опасный тип троянов может привести к уничтожению данных. И не только. Следствием варварства некоторых троянских программ может быть повреждение аппаратных составляющих компьютера или сетевого оборудования. DDoS-атаки – выведение из строя компьютерной техники – проводятся хакерами, как правило, под заказ. Например, для уничтожения данных конкурирующих компаний или государственных органов. Реже DDoS-атаки – это выражение политического протеста, шантаж или вымогательство. В совершении DDoS-атак без особого какого-то умысла или глобальной цели могут практиковаться хакеры-новички, чтобы в будущем стать опытными гениями зла.
Одной из самых больших неприятностей для пользователя интернета является «троянский конь» - вирус, который распространяется в сети злоумышленниками. И хотя разработчики антивирусного ПО постоянно модифицируют свои программы, делая их более надежными, проблема все же остается, ведь и хакеры тоже не сидят на месте.
Прочитав эту статью, вы узнаете, как защитить свой компьютер от проникновения на него «трояна», а также научитесь удалять данный вирус, если все-таки он оказался на вашем девайсе.
Название этого вируса позаимствовано из легенды, в которой говорится, что греки сделали деревянного коня, внутри которого спрятались войны.
Затем это сооружение доставили к воротам Трои (отсюда и название), якобы в знак примирения. Ночью греческие солдаты открыли ворота вражеского города и нанесли сокрушительное поражение противнику.
Аналогичным образом действует и компьютерный вирус. «Троянский конь» зачастую маскируется злоумышленниками под обычную программу, при загружении которой на ваш компьютер проникает вредоносное ПО.
Этот вирус отличается от других тем, что он не размножается самопроизвольно, а попадает к вам в результате хакерской атаки. В большинстве случаев вы, сами того не подозревая, загружаете «троян» на свое устройство.
"Троянский конь" - вирус, который способен доставить много неприятностей пользователю. О том, какие последствия могут быть, читайте далее.
Если ваш компьютер атаковал «троян», то узнать об этом вы сможете по следующим изменениям в компьютере:
Кроме всех вышеперечисленных проблем, есть еще одна - пропажа денег с электронного кошелька или конфиденциальная информация. Если заметили, что с вами это произошло, то после удаления «трояна» нужно сразу поменять все пароли.
Конечно, проникновение «троянского коня» способно нанести значительный вред пользователю (например, в финансовом плане), но так как это достаточно распространенный вид вирусов, то и избавиться от него можно с помощью любого популярного антивируса (Касперский, "Аваст", "Авира" и т. д.).
Если вы подозреваете, что компьютер атакован «трояном», загрузите устройство в «Безопасном режиме» и просканируйте антивирусной программой систему. Обнаруженное вредоносное ПО поместите в карантин или сразу удалите. После этого откройте раздел «Программы и компоненты» и избавьтесь от подозрительных приложений, которые вы не устанавливали.
Иногда и антивирусную программу блокирует «троянский конь». Вирус этот постоянно модернизируется, поэтому бывают и такие ситуации. В таком случае вы можете воспользоваться одной из специальных утилит, например SuperAntiSpyware или Spyware Terminator. В общем, найдите подходящую вам программу, а затем с помощью нее удалите «троян».
Итак, теперь вы знаете, что такое «троянский конь». Вирус, о котором шла речь в этой статье, вы сможете самостоятельно удалить, если он попадет к вам на компьютер.
Конечно, лучше, чтобы с вами такой неприятности не произошло, но для этого необходимо установить хороший антивирусник , регулярно обновлять его базу, внимательно следить за предупреждениями программы, а также не посещать и ничего не загружать с подозрительных ресурсов.
Перед тем как распаковать какой-нибудь скачанный архив, обязательно проверьте его антивирусом. Также проверяйте флешки - на них должны отсутствовать скрытые файлы. Помните: «троян» способен доставить немало проблем, поэтому относитесь ко всем мероприятиям по его выявлению ответственно.
Отдельные категории троянских программ наносят ущерб удаленным компьютерам и сетям, не нарушая работоспособность зараженного компьютера (например, троянские программы, разработанные для распределенных DoS-атак на удаленные ресурсы сети). Трояны отличаются отсутствием механизма создания собственных копий.
Некоторые трояны способны к автономному преодолению защиты компьютерной системы, с целью проникновения и заражения системы. В общем случае, троян попадает в систему вместе с вирусом либо червем, в результате неосмотрительных действий пользователя или же активных действий злоумышленника.
Большинство троянских программ предназначено для сбора конфиденциальной информации. Их задача, чаще всего, состоит в выполнении действий, позволяющих получить доступ к данным, которые не подлежат широкой огласке. К таким данным относятся пользовательские пароли, регистрационные номера программ, сведения о банковских счетах и т. д. Остальные троянцы создаются для причинения прямого ущерба компьютерной системе, приводя ее в неработоспособное состояние.
Наиболее распространены следующие виды троянов:
Все "Троянские кони" имеют две части: клиент и сервер. Клиент осуществляет управление серверной частью программы по протоколу TCP/IP . Клиент может иметь графический интерфейс и содержать в себе набор команд для удалённого администрирования.
Серверная часть программы - устанавливается на компьютере жертвы и не содержит графического интерфейса. Серверная часть предназначена для обработки (выполнения) команд от клиентской части и передаче запрашиваемых данных злоумышленнику. После попадания в систему и захвата контроля, серверная часть трояна прослушивает определённый порт, периодически проверяя соединение с интернетом и если соединение активно, она ждёт команд от клиентской части. Злоумышленник при помощи клиента пингует определённый порт инфицированного узла (компьютера жертвы). Если серверная часть была установлена, то она ответит подтверждением на пинг о готовности работать, причём при подтверждении серверная часть сообщит взломщику IP-адрес компьютера и его сетевое имя, после чего соединение считается установленным. Как только с Сервером произошло соединение, Клиент может отправлять на него команды, которые Сервер будет исполнять на машине-жертве. Также многие трояны соединяются с компьютером атакующей стороны, который установлен на приём соединений, вместо того, чтобы атакующая сторона сама пыталась соединиться с жертвой.
Данный троян пока не обнаруживается антивирусами ни одного поставщика программ безопасности . Он был распространен с помощью серии эксплойтов, основанных на последовательностях команд центра управления, включая 8-ю, наиболее эксплуатируемую уязвимость - инъекция команд в HTTP -заголовки. Исследователи Check Point рассматривают Speakup как серьезную угрозу, поскольку его можно использовать для загрузки и распространения любых вредоносных программ.
В январе первые четыре строчки рейтинга самых активных вредоносных программ заняли криптомайнеры. Coinhive остается главным вредоносным ПО, атаковавшим 12% организаций по всему миру. XMRig снова стал вторым по распространенности зловредом (8%), за которым последовал криптомайнер Cryptoloot (6%). Несмотря на то, что в январском отчете представлены четыре криптомайнера, половина всех вредоносных форм из первой десятки может использоваться для загрузки дополнительного вредоносного ПО на зараженные машины.
В январе произошли небольшие изменения в формах вредоносных программ, ориентированных на организации по всему миру, однако мы находим другие способы распространения вредоносных программ. Подобные угрозы являются серьезным предупреждением о грядущих угрозах. Бэкдоры, такие как Speakup, могут избежать обнаружения, а затем распространять потенциально опасное вредоносное ПО на зараженные машины. Поскольку Linux широко используется именно на корпоративных серверах, мы ожидаем, что Speakup станет угрозой для многих компаний, масштабы и серьезность которой будут расти в течение года. Кроме того, второй месяц подряд в тройке самых активных вредоносных программ в России оказывается BadRabbit.Так что злоумышленники используют все возможные уязвимости для получения прибыли. |
Самое активное вредоносное ПО января 2019:
(Стрелки показывают изменение позиции по сравнению с предыдущим месяцем.)
HeroRat - RAT-троян (Remote Administration Tool) для удаленного управления скомпрометированными устройствами. Авторы предлагают его в аренду по модели Malware-as-a-Service (вредоносное ПО в качестве услуги). Доступны три комплектации (бронзовая, серебряная и золотая), которые различаются набором функций и ценой - $25, $50 и $100 соответственно. Исходный код вредоносной программы продается за $650. Предусмотрен видеоканал техподдержки.
HeroRat ищет жертв через неофициальные магазины Android-приложений, социальные сети и мессенджеры . Атакующие маскируют троян под приложения, обещающие биткоины в подарок, бесплатный мобильный интернет или накрутку подписчиков в соцсетях. При этом в Google Play данной угрозы не обнаружено. Большинство заражений зафиксировано в Иране .
Когда пользователь установит и запустит вредоносное приложение, на экране появится всплывающее окно. В нем сообщается, что программа не может работать на устройстве и будет удалена. В Eset наблюдали образцы с сообщениями на английском и персидском языках (в зависимости от языковых настроек). После «удаления» иконка приложения исчезнет, а троян продолжит работу скрытно от пользователя.
Операторы HeroRat управляют зараженными устройствами через Telegram с помощью бота. Троян позволяет перехватывать и отправлять сообщения, красть контакты, совершать вызовы, записывать аудио, делать скриншоты, определять местоположение устройства и менять настройки. Для управления функциями предусмотрены интерактивные кнопки в интерфейсе Telegram-бота - пользователь получает набор инструментов в соответствии с выбранной комплектацией.
Передача команд и кража данных с зараженных устройств реализована в рамках протокола Telegram - эта мера позволяет противодействовать обнаружению трояна.
Антивирусные продукты Eset детектируют угрозу как Android/Spy.Agent.AMS и Android/Agent.AQO.
Как отличить фальшивые приложения от подлинных
Администрация округа Ликинг в штате Огайо в феврале вынуждена была отключить свои серверы и системы телефонной связи, чтобы остановить распространение троянца-шифровальщика .
Стало известно, что более тысячи компьютеров в США , относящихся к сетям администрации одного из американских округов, оказались заражены. Все системы были отключены, чтобы заблокировать дальнейшее распространение зловреда, предотвратить потерю данных и сохранить улики для расследования.
Все приемные и административные учреждения работают, но работа с ними возможна только при личном визите.
Размер требуемого выкупа представители администрации не называют; они также отказываются комментировать вероятность выплаты. По словам члена окружной комиссии Ликинга Тима Бабба (Tim Bubb), сейчас ведутся консультации с экспертами по кибербезопасности и правоохранительными органами.
Ручной режим
Отключение телефонных линий и сетевых коммуникаций означает, что все службы округа, в чьей работе задействованы информационные технологии, перешли на "ручной режим". Это касается даже центра помощи 911: телефоны и рации спасателей работают, но доступа к компьютерам нет. По крайней мере, вызовы полиции, пожарных и скорой помощи по-прежнему принимаются, но, как выразился директор центра спасения Шон Грейди (Sean Grady), работа службы в том, что касается скорости обработки вызовов, отброшена на четверть века назад.
И лишить колледж возможности вернуть доступ к данным.
Тут же выяснилось, что восстановить данные из резервных копий невозможно. После совещания с привлечёнными экспертами по безопасности, администрация колледжа пришла к выводу, что иных вариантов кроме как выплатить требуемую сумму, у неё не осталось.
28 тысяч долларов - это самый крупный выкуп, информация о котором попала в публичное пространство. По некоторым сведениям, случаются и более масштабные выплаты, но жертвы - обычно это крупные предпочитают их не афишировать. В 2016 году средняя "ставка" со стороны кибервымогателей составляла 679 долларов, годом ранее - 294 доллара .
Более чем двухкратный рост, по всей видимости, связан с увеличившимся количеством инцидентов, закончившихся выплатами выкупа, причём в суммах, значительно превышающих "среднюю ставку". В феврале 2016 года Пресвитерианский медицинский центр в Голливуде после атаки шифровальщиком выплатил выкуп в размере 17 тысяч долларов.
Это очень плохой прецедент – когда официальная структура идёт на поводу у преступников, выплачивает выкуп и вдобавок сообщает об этом публично. Теперь ставки будут расти и дальше, - говорит Дмитрий Гвоздев , генеральный директор компании "Монитор безопасности" . - если организации готовы выплачивать пятизначные суммы, то будут расти и требования. Единственный эффективный способ противодействовать шифровальщикам - это регулярное "холодное" резервирование данных, правильная настройка доступа к ним при работе и плотное взаимодействие с правоохранительными органами. |