На удаленные ресурсы сети). Трояны отличаются отсутствием механизма создания собственных копий.

Некоторые трояны способны к автономному преодолению защиты компьютерной системы, с целью проникновения и заражения системы. В общем случае, троян попадает в систему вместе с вирусом либо червем, в результате неосмотрительных действий пользователя или же активных действий злоумышленника.

Большинство троянских программ предназначено для сбора конфиденциальной информации. Их задача, чаще всего, состоит в выполнении действий, позволяющих получить доступ к данным, которые не подлежат широкой огласке. К таким данным относятся пользовательские пароли, регистрационные номера программ, сведения о банковских счетах и т. д. Остальные троянцы создаются для причинения прямого ущерба компьютерной системе, приводя ее в неработоспособное состояние.

Виды троянских программ

Наиболее распространены следующие виды троянов:

• Клавиатурные шпионы (Trojan-SPY) - трояны, постоянно находящиеся в памяти и сохраняющие все данные поступающие от клавиатуры с целью последующей передачи этих данных злоумышленнику. Обычно таким образом злоумышленник пытается узнать пароли или другую конфиденциальную информацию
• Похитители паролей (Trojan-PSW) - трояны, также предназначенные для получения паролей, но не использующие слежение за клавиатурой. Обычно в таких троянах реализованы способы извлечения паролей из файлов, в которых эти пароли хранятся различными приложениями
• Утилиты удаленного управления (Backdoor) - трояны, обеспечивающие полный удаленный контроль над компьютером пользователя. Существуют легальные утилиты такого же свойства, но они отличаются тем, что сообщают о своем назначении при установке или же снабжены документацией, в которой описаны их функции. Троянские утилиты удаленного управления, напротив, никак не выдают своего реального назначения, так что пользователь и не подозревает о том, что его компьютер подконтролен злоумышленнику. Наиболее популярная утилита удаленного управления - Back Orifice
• Анонимные smtp-сервера и прокси (Trojan-Proxy) - трояны, выполняющие функции почтовых серверов или прокси и использующиеся в первом случае для спам-рассылок, а во втором для заметания следов хакерами
• Модификаторы настроек браузера (Trojan-Cliker) - трояны, которые меняют стартовую страницу в браузере, страницу поиска или еще какие-либо настройки, для организации несанкционированных обращений к интернет-ресурсам
• Инсталляторы прочих вредоносных программ (Trojan-Dropper) - трояны, представляющие возможность злоумышленнику производить скрытую установку других программ
• Загрузчики вредоносных программ (Trojan Downloader) - трояны, предназначенные для загрузки на компьютер-жертву новых версий вредоносных программ, или рекламных систем
• Уведомители об успешной атаке (Trojan-Notifier) - трояны данного типа предназначены для сообщения своему "хозяину" о зараженном компьютере
• "Бомбы" в архивах (ARCBomb) - трояны, представляющие собой архивы, специально оформленные таким образом, чтобы вызывать нештатное поведение архиваторов при попытке разархивировать данные - зависание или существенное замедление работы компьютера, заполнение диска большим количеством "пустых" данных
• Логические бомбы - чаще не столько трояны, сколько троянские составляющие червей и вирусов, суть работы которых состоит в том, чтобы при определенных условиях (дата, время суток, действия пользователя, команда извне) произвести определенное действие: например, уничтожение данных
• Утилиты дозвона - сравнительно новый тип троянов, представляющий собой утилиты dial-up доступа в интернет через платные почтовые службы. Такие трояны прописываются в системе как утилиты дозвона по умолчанию и влекут за собой крупные счета за пользование интернетом

Принцип действия троянских программ

Все "Троянские кони" имеют две части: клиент и сервер. Клиент осуществляет управление серверной частью программы по протоколу TCP/IP . Клиент может иметь графический интерфейс и содержать в себе набор команд для удалённого администрирования.

Серверная часть программы - устанавливается на компьютере жертвы и не содержит графического интерфейса. Серверная часть предназначена для обработки (выполнения) команд от клиентской части и передаче запрашиваемых данных злоумышленнику. После попадания в систему и захвата контроля, серверная часть трояна прослушивает определённый порт, периодически проверяя соединение с интернетом и если соединение активно, она ждёт команд от клиентской части. Злоумышленник при помощи клиента пингует определённый порт инфицированного узла (компьютера жертвы). Если серверная часть была установлена, то она ответит подтверждением на пинг о готовности работать, причём при подтверждении серверная часть сообщит взломщику IP-адрес компьютера и его сетевое имя, после чего соединение считается установленным. Как только с Сервером произошло соединение, Клиент может отправлять на него команды, которые Сервер будет исполнять на машине-жертве. Также многие трояны соединяются с компьютером атакующей стороны, который установлен на приём соединений, вместо того, чтобы атакующая сторона сама пыталась соединиться с жертвой.

Известные трояны

2019

Троян Casbaneiro охотился за криптовалютой бразильских и мексиканских пользователей

Как и Amavaldo, троян Casbaneiro использует всплывающие окна и формы для обмана жертв. Такие методы социальной инженерии направлены на первичные эмоции - человека срочно, без раздумий заставляют принять решение. Поводом может быть обновление ПО , верификация кредитной карты или запрос из банка .

После заражения Casbaneiro ограничивает доступ к различным банковским сайтам, а также следит за нажатием клавиш и делает снимки экрана. Кроме того, троян отслеживает буфер обмена - если малварь видит личные данные криптовалютного кошелька, то заменяет адрес получателя на кошелек мошенника.

Семейство Casbaneiro применяет множество сложных алгоритмов для маскировки кода, расшифровки скачанных компонентов и данных конфигураций. Основной способ распространения Casbaniero - вредоносная фишинговая рассылка, как и у Amavaldo.

8 октября 2019 года стало известно о том, что специалисты вирусной лаборатории «Доктор Веб » обнаружили копию сайта Федеральной службы судебных приставов (ФССП) России . Хакеры используют сайт-подделку для заражения пользователей троянцем Trojan.DownLoader28.58809.

Как сообщалось, копия сайта ФССП России была обнаружена специалистами по адресу 199.247.***.***. Внешне подделка почти не отличается от оригинала, но, в отличие от официального сайта, на ней некорректно отображаются некоторые элементы.

При попытке перейти по некоторым ссылкам на сайте, пользователь будет перенаправлен на страницу с предупреждением о необходимости обновить Adobe Flash Player . Одновременно с этим на устройство пользователя загрузится.exe файл, при запуске которого будет установлен Trojan.DownLoader28.58809.

Этот троянец устанавливается в автозагрузку в системе пользователя, соединяется с управляющим сервером и скачивает другой вредоносный модуль – Trojan.Siggen8.50183. Кроме этого, на устройство пользователя скачивается файл, имеющий действительную цифровую подпись Microsoft и предназначенный для запуска основной вредоносной библиотеки. После чего Trojan.Siggen8.50183 собирает информацию о системе пользователя и отправляет ее на управляющий сервер. После установки троянец будет всегда запущен на устройстве пользователя и сможет выполнять различные действия по команде от управляющего сервера.

Запустившись на устройстве жертвы, троянец может:

• получить информацию о дисках ;
• получить информацию о файле;
• получить информацию о папке (узнать количество файлов, вложенных папок и их размер);
• получить список файлов в папке;
• удалить файлы;
• создать папку;
• переместить файл;
• запустить процесс;
• остановить процесс;
• получить список процессов.

Согласно данным на октябрь 2019 года, хакеры еще не запускали масштабные вирусные кампании с использованием сайта-подделки, но он мог использоваться в атаках на отдельных пользователей или организации.

Все версии этого троянца детектируются и удаляются антивирусом Dr.Web .

Android-троян Fanta своровал в России 35 млн руб. Под прицелом - пользователи Avito

17 сентября 2019 года компания Group-IB сообщила, что её специалисты зафиксировали кампанию Android -трояна FANTA, атакующего клиентов 70 банков , платежных систем , web-кошельков в России и странах СНГ. Троян нацелен на пользователей, размещающих объявления о купле-продаже на интернет-сервисе Avito . Только с начала 2019 года потенциальный ущерб от FANTA в России составил не менее 35 млн руб.

Несмотря на то, что различные вариации Android-троянов семейства Flexnet известны с 2015 года, и подробно изучены, сам троян и связанная с ним инфраструктура постоянно развиваются: злоумышленники разрабатывают новые эффективные схемы распространения, добавляют функциональные возможности, позволяющие эффективнее воровать деньги с зараженных устройств и обходить средства защиты.

Зафиксированная кампания использует качественные фишинговые страницы под популярный интернет -сервис Avito и нацелена на пользователей, размещающих объявления о купле-продаже. Схема работает так: спустя некоторое время после публикации продавец получает именное SMS о «переводе» на его счет необходимой суммы - полной стоимости товара. Детали платежа ему предлагается посмотреть по ссылке.

Довольный продавец кликает на ссылку: открывается фишинговая страница, подделанная под реальную страницу Avito, уведомляющая продавца о совершении покупки и содержащая описание его товара и суммы, полученной от «продажи» товара. После клика на кнопку «Продолжить» на телефон пользователя загружается вредоносный APK FANTA, замаскированный под приложение Avito. Такая маскировка усыпляет бдительность пользователя и он устанавливает вредоносное приложение . Получение данных банковских карт осуществляется стандартным для Android-троянов образом: пользователю демонстрируются фишинговые окна, маскирующиеся под легитимные мобильные приложения банков, куда жертва сама вводит данные своей банковской карты.

FANTA анализирует, какие приложения запускаются на зараженном устройстве. При открытии целевого приложения - троян демонстрирует фишинговое окно поверх всех остальных, которое представляет собой форму для ввода информации о банковской карте. Пользователю необходимо ввести следующие данные: номер карты, срок действия карты, CVV, имя держателя карты (не для всех банков).

Исследуя троян, было обнаружено, что кроме демонстрации заранее заготовленных фишинговых страниц, Fanta также читает текст уведомлений около 70 приложений банков, систем быстрых платежей и электронных кошельков.

Проанализированные специалистами Group-IB Threat Hunting Intelligence фишинговые страницы под интернет-сервис для размещения объявлений Avito, указывают на то, что они готовились целенаправленно под конкретную жертву.

При исследовании трояна обнаружено, что помимо Avito, разработчики FANTA нацелены на пользователей порядка 30 различных интернет-сервисов, включая AliExpress , Юла , Pandao, Aviasales , Booking , Trivago, а также такси и каршеринговых служб и тд.

FANTA работает на всех версиях Android не ниже 4.4. Как и другие андроид-трояны, FANTA способна читать и отправлять SMS, совершать USSD -запросы, демонстрировать собственные окна поверх приложений. Однако в зафиксированной кампании мобильный троян начал использовать AccessibilityService (сервис для людей с ограниченными возможностями), что позволяет ему читать содержимое уведомлений других приложений, предотвращать обнаружение и остановку исполнения трояна на зараженном устройстве.

Троян «проверяет» тип устройства, после чего выводит на экран смартфона пользователя сообщение якобы о системном сбое. После этого пользователю демонстрируется окно «Безопасность системы» - запрос предоставление прав для использования AccessibilityService. После получения прав приложение уже без посторонней помощи получает права и на другие действия в системе, эмулируя нажатия клавиш пользователя.

Важной функцией FANTA, которой создатели уделили особое внимание, является обход на Android-смартфоне антивирусных средств. Так троян препятствует запуску пользователем приложений: Clean, Meizu Applicatiom Permission Management, MIUI Security, Kaspersky Antivirus AppLock & Web Security Beta, Mobile AntiVirus Security PRO, AVG Protection для Xperia , Samsung Smart Manager, Dr.Web Mobile Control Center, Dr.Web Security Space Life, Kaspersky Internet Security и другие.

«Поводом для этого исследования послужил реальный кейс: специалист по информационной безопасности , опубликовавший объявление на Avito, получил подозрительное СМС. Он сразу переслал его команде Group-IB Threat Hunting Intelligence, которая в ходе исследования выявила масштабную кампанию Android-трояна FANTA. Однако далеко не все истории заканчиваются так удачно, поэтому мы рекомендуем пользователям регулярно устанавливать обновления ОС Android, не переходить по подозрительным ссылкам, полученным в СМС-сообщениях, не посещать подозрительные ресурсы и не скачивать оттуда файлы , а также не устанавливать приложения из неофициальных источников. Что касается банков и вендоров мобильных приложений, на которые нацелено это семейство Android-троянов, мы можем порекомендовать использование систем для проактивного предотвращения банковского мошенничества на всех устройствах (смартфон, планшет , ноутбук , ПК) через любые каналы взаимодействия с банком (мобильное приложение, онлайн-банкинг и др)»,

Банковский троян Amavaldo использует снимки экрана для хищения информации

8 августа 2019 года международная антивирусная компания ESET сообщила, что изучила ряд банковских троянов, которые атакуют пользователей Латинской Америки.

Троянцы-кликеры - распространенные вредоносные программы для накрутки посещений веб-сайтов и монетизации онлайн-трафика. Они имитируют действия пользователей на веб-страницах, нажимая на расположенные на них ссылки и другие интерактивные элементы.

Троянец представляет собой вредоносный модуль, который по классификации Dr.Web получил имя Android.Click.312.origin. Он встроен в обычные приложения - словари, онлайн-карты, аудиоплееры, сканеры штрих-кодов и другое ПО . Все эти программы работоспособны, и для владельцев Android-устройств выглядят безобидными. Кроме того, при их запуске Android.Click.312.origin начинает вредоносную деятельность лишь через 8 часов, чтобы не вызвать подозрений у пользователей.

Начав работу, троянец передает на управляющий сервер следующую информацию о зараженном устройстве:

• производитель и модель;
• версия ОС ;
• страна проживания пользователя и установленный по умолчанию язык системы;
• идентификатор User-Agent;
• наименование мобильного оператора;
• тип интернет -соединения;
• параметры экрана;
• временная зона;
• информация о приложении, в которое встроен троянец.

В ответ сервер отправляет ему необходимые настройки. Часть функций вредоносного приложения реализована с использованием рефлексии, и в этих настройках содержатся имена методов и классов вместе с параметрами для них. Эти параметры применяются, например, для регистрации приемника широковещательных сообщений и контент -наблюдателя, с помощью которых Android.Click.312.origin следит за установкой и обновлением программ.

При инсталляции приложения или скачивании apk-файла клиентом Play Маркет троянец передает на управляющий сервер информацию об этой программе вместе с некоторыми техническими данными об устройстве. В ответ Android.Click.312.origin получает адреса сайтов, которые затем открывает в невидимых WebView, а также ссылки, которые он загружает в браузере или каталоге Google Play.

Таким образом, в зависимости от настроек управляющего сервера и поступающих от него указаний троянец может не только рекламировать приложения в Google Play, но и незаметно загружать любые сайты, в том числе с рекламой (включая видео) или другим сомнительным содержимым. Например, после установки приложений, в которые был встроен этот троянец, пользователи жаловались на автоматические подписки на дорогостоящие услуги контент-провайдеров .

Специалистам «Доктор Веб» не удалось воссоздать условия для загрузки троянцем таких сайтов, однако потенциальная реализация этой мошеннической схемы в случае с Android.Click.312.origin достаточно проста. Поскольку троянец сообщает управляющему серверу информацию о типе текущего интернет-соединения, то при наличии подключения через сеть мобильного оператора сервер может передать команду на открытие веб-сайта одного из партнерских сервисов, поддерживающих технологию WAP-Сlick. Эта технология упрощает подключение различных премиальных сервисов, однако часто применяется для незаконной подписки пользователей на премиум-услуги. Указанную проблему компания освещала в 2017 и 2018 годах. В некоторых случаях для подключения ненужной услуги не требуется подтверждение пользователя - за него это сможет сделать скрипт, размещенный на той же странице, или же сам троянец. Он и «нажмет» на кнопку подтверждения. А поскольку Android.Click.312.origin откроет страницу такого сайта в невидимом WebView, вся процедура пройдет без ведома и участия жертвы.

Троян-бэкдор маскируется под ПО для обновления графического интерфейса OpenGL ES

Node.js-троян добывает криптовалюту TurtleCoin

Эти уведомления поддерживаются в браузерах как ПК и ноутбуков , так и мобильных устройств. Обычно жертва попадает на сомнительный ресурс-спамер, перейдя по специально сформированной ссылке или рекламному баннеру. Android.FakeApp.174 - один из первых троянцев, которые «помогают» злоумышленникам увеличить число посетителей этих сайтов и подписать на такие уведомления именно пользователей смартфонов и планшетов .

Android.FakeApp.174 распространяется под видом полезных программ – например, официального ПО известных брендов. Две такие модификации троянца вирусные аналитики «Доктор Веб» обнаружили в начале июня в каталоге Google Play . После обращения в корпорацию Google вредоносные программы были удалены, но их успели загрузить свыше 1100 пользователей.

При запуске троянец загружает в браузере Google Chrome веб-сайт, адрес которого указан в настройках вредоносного приложения. С этого сайта в соответствии с его параметрами поочередно выполняется несколько перенаправлений на страницы различных партнерских программ. На каждой из них пользователю предлагается разрешить получение уведомлений. Для убедительности жертве сообщается, что выполняется некая проверка (например, что пользователь - не робот), либо просто дается подсказка, какую кнопку диалогового окна необходимо нажать. Это делается для увеличения числа успешных подписок.

После активации подписки сайты начинают отправлять пользователю многочисленные уведомления сомнительного содержания. Они приходят даже если браузер закрыт, а сам троянец уже был удален, и отображаются в панели состояния операционной системы . Их содержимое может быть любым. Например, ложные уведомления о поступлении неких денежных бонусов или переводов, о поступивших сообщениях в соцсетях, реклама гороскопов, казино, товаров и услуг и даже различные «новости».

Многие из них выглядят как настоящие уведомления реальных онлайн-сервисов и приложений, которые могут быть установлены на устройстве. Например, в них отображается логотип того или иного банка, сайта знакомств, новостного агентства или социальной сети, а также привлекательный баннер. Владельцы Android-устройств могут получать десятки таких спам-сообщений в день.

Несмотря на то, что в этих уведомлениях указан и адрес сайта, с которого оно пришло, неподготовленный пользователь может просто его не заметить, либо не придать этому особого значения.

При нажатии на такое уведомление пользователь перенаправляется на сайт с сомнительным контентом . Это может быть реклама казино, букмекерских контор и различных приложений в Google Play, предложение скидок и купонов, поддельные онлайн-опросы и фиктивные розыгрыши призов, сайт-агрегатор партнерских ссылок и другие онлайн-ресурсы, которые разнятся в зависимости от страны пребывания пользователя.

Многие из этих ресурсов замешаны в известных мошеннических схемах кражи денег, однако злоумышленники способны в любое время организовать атаку для похищения конфиденциальных данных . Например, отправив через браузер «важное» уведомление от имени банка или социальной сети. Потенциальная жертва может принять поддельное уведомление за настоящее, нажмет на него и перейдет на фишинговый сайт, где у нее попросят указать имя, логин, пароль , адрес электронной почты , номер банковской карты и другие конфиденциальные сведения.

Специалисты «Доктор Веб» полагают, что злоумышленники будут активнее использовать этот метод продвижения сомнительных услуг, поэтому пользователям мобильных устройств при посещении веб-сайтов следует внимательно ознакомиться с их содержимым и не подписываться на уведомления, если ресурс незнаком или выглядит подозрительным. Если же подписка на нежелательные спам-уведомления уже произошла, нужно выполнить следующие действия:

• зайти в настройки Google Chrome, выбрать опцию «Настройки сайтов» и далее - «Уведомления»;
• в появившемся списке веб-сайтов и уведомлений найти адрес интересующего ресурса, нажать на него и выбрать опцию «Очистить и сбросить».

Данный троян пока не обнаруживается антивирусами ни одного поставщика программ безопасности . Он был распространен с помощью серии эксплойтов, основанных на последовательностях команд центра управления, включая 8-ю, наиболее эксплуатируемую уязвимость - инъекция команд в HTTP -заголовки. Исследователи Check Point рассматривают Speakup как серьезную угрозу, поскольку его можно использовать для загрузки и распространения любых вредоносных программ.

В январе первые четыре строчки рейтинга самых активных вредоносных программ заняли криптомайнеры. Coinhive остается главным вредоносным ПО, атаковавшим 12% организаций по всему миру. XMRig снова стал вторым по распространенности зловредом (8%), за которым последовал криптомайнер Cryptoloot (6%). Несмотря на то, что в январском отчете представлены четыре криптомайнера, половина всех вредоносных форм из первой десятки может использоваться для загрузки дополнительного вредоносного ПО на зараженные машины.

В январе произошли небольшие изменения в формах вредоносных программ, ориентированных на организации по всему миру, однако мы находим другие способы распространения вредоносных программ. Подобные угрозы являются серьезным предупреждением о грядущих угрозах. Бэкдоры, такие как Speakup, могут избежать обнаружения, а затем распространять потенциально опасное вредоносное ПО на зараженные машины. Поскольку Linux широко используется именно на корпоративных серверах, мы ожидаем, что Speakup станет угрозой для многих компаний, масштабы и серьезность которой будут расти в течение года. Кроме того, второй месяц подряд в тройке самых активных вредоносных программ в России оказывается BadRabbit.Так что злоумышленники используют все возможные уязвимости для получения прибыли.

Самое активное вредоносное ПО января 2019:

(Стрелки показывают изменение позиции по сравнению с предыдущим месяцем.)

• ↔ Coinhive (12%) - криптомайнер, предназначенный для онлайн-майнинга криптовалюты Monero без ведома пользователя, когда он посещает веб-страницу. Встроенный JavaScript использует большое количество вычислительных ресурсов компьютеров конечных пользователей для майнинга и может привести к сбою системы.
• ↔ XMRig (8%) - Программное обеспечение с открытым исходным кодом, впервые обнаруженное в мае 2017 года. Используется для майнинга криптовалюты Monero.
• Cryptoloot (6%) - криптомайнер, использующий мощность ЦП или видеокарты жертвы и другие ресурсы для майнинга криптовалюты, зловред добавляет транзакции в блокчейн и выпускает новую валюту.

Когда пользователь установит и запустит вредоносное приложение, на экране появится всплывающее окно. В нем сообщается, что программа не может работать на устройстве и будет удалена. В Eset наблюдали образцы с сообщениями на английском и персидском языках (в зависимости от языковых настроек). После «удаления» иконка приложения исчезнет, а троян продолжит работу скрытно от пользователя.

Операторы HeroRat управляют зараженными устройствами через Telegram с помощью бота. Троян позволяет перехватывать и отправлять сообщения, красть контакты, совершать вызовы, записывать аудио, делать скриншоты, определять местоположение устройства и менять настройки. Для управления функциями предусмотрены интерактивные кнопки в интерфейсе Telegram-бота - пользователь получает набор инструментов в соответствии с выбранной комплектацией.

Передача команд и кража данных с зараженных устройств реализована в рамках протокола Telegram - эта мера позволяет противодействовать обнаружению трояна.

Антивирусные продукты Eset детектируют угрозу как Android/Spy.Agent.AMS и Android/Agent.AQO.

Microsoft Security Intelligence Report

Как отличить фальшивые приложения от подлинных

1. Официальные приложения будут распространяться только через Google Play; ссылки на скачивание публикуются на сайтах самих банков. Если приложения размещены где-то еще, это, вероятнее всего, фальшивка.
2. Особенное внимание следует обращать на доменные имена, откуда предлагается скачать приложение. Злоумышленники нередко используют домены, чьи названия похожи на официальные, но отличаются на один-два символа, или же используют домены второго уровня и ниже.
3. Смартфоны снабжены мерами защиты от наиболее распространенных угроз, и если смартфон выводит сообщение о том, что то или иное приложение несет угрозу, его ни в коем случае не стоит устанавливать. В случае обнаружения фальшивых банковских приложений о них настоятельно рекомендуется уведомлять службы безопасности банков. Этим пользователи уберегут и себя, и других от множества неприятностей.
4. Если вы заметили что-либо подозрительное на сайте, с которого предлагается скачать приложение, сразу же сообщите об этом в службу безопасности банка или в официальную группу банка в социальных сетях , не забыв приложить скриншот.

Троянец-шифровальщик парализовал работу целого города в США

Администрация округа Ликинг в штате Огайо в феврале вынуждена была отключить свои серверы и системы телефонной связи, чтобы остановить распространение троянца-шифровальщика .

Стало известно, что более тысячи компьютеров в США , относящихся к сетям администрации одного из американских округов, оказались заражены. Все системы были отключены, чтобы заблокировать дальнейшее распространение зловреда, предотвратить потерю данных и сохранить улики для расследования.

Все приемные и административные учреждения работают, но работа с ними возможна только при личном визите.

Размер требуемого выкупа представители администрации не называют; они также отказываются комментировать вероятность выплаты. По словам члена окружной комиссии Ликинга Тима Бабба (Tim Bubb), сейчас ведутся консультации с экспертами по кибербезопасности и правоохранительными органами.

Ручной режим

Отключение телефонных линий и сетевых коммуникаций означает, что все службы округа, в чьей работе задействованы информационные технологии, перешли на "ручной режим". Это касается даже центра помощи 911: телефоны и рации спасателей работают, но доступа к компьютерам нет. По крайней мере, вызовы полиции, пожарных и скорой помощи по-прежнему принимаются, но, как выразился директор центра спасения Шон Грейди (Sean Grady), работа службы в том, что касается скорости обработки вызовов, отброшена на четверть века назад.

И лишить колледж возможности вернуть доступ к данным.

Тут же выяснилось, что восстановить данные из резервных копий невозможно. После совещания с привлечёнными экспертами по безопасности, администрация колледжа пришла к выводу, что иных вариантов кроме как выплатить требуемую сумму, у неё не осталось.

28 тысяч долларов - это самый крупный выкуп, информация о котором попала в публичное пространство. По некоторым сведениям, случаются и более масштабные выплаты, но жертвы - обычно это крупные предпочитают их не афишировать. В 2016 году средняя "ставка" со стороны кибервымогателей составляла 679 долларов, годом ранее - 294 доллара .

Более чем двухкратный рост, по всей видимости, связан с увеличившимся количеством инцидентов, закончившихся выплатами выкупа, причём в суммах, значительно превышающих "среднюю ставку". В феврале 2016 года Пресвитерианский медицинский центр в Голливуде после атаки шифровальщиком выплатил выкуп в размере 17 тысяч долларов.

Это очень плохой прецедент – когда официальная структура идёт на поводу у преступников, выплачивает выкуп и вдобавок сообщает об этом публично. Теперь ставки будут расти и дальше, - говорит Дмитрий Гвоздев , генеральный директор компании "Монитор безопасности" . - если организации готовы выплачивать пятизначные суммы, то будут расти и требования. Единственный эффективный способ противодействовать шифровальщикам - это регулярное "холодное" резервирование данных, правильная настройка доступа к ним при работе и плотное взаимодействие с правоохранительными органами.

Троянская программа - это программа, которую применяют злоумышленники для добычи, уничтожения и изменения информации, а также для создания сбоев в работе устройства.

Данная программа является вредоносной. Однако троян не являет собой вирус за способом проникновения на устройство и за принципом действий, потому что не имеет способности саморазмножаться.

Название программы «Троян» пошло от словосочетания «троянский конь». Как гласит легенда, древние греки преподнесли обитателям Трои деревянного коня, в котором скрывались воины. Ночью они выбрались и открыли городские ворота грекам. Так и современная троянская программа несет в себе опасность и скрывает настоящие цели разработчика программы.

Троянскую программу применяют для того, чтобы провести систему безопасности. Такие программы могут запускаться вручную или автоматически. Это приводит к тому, что система делается уязвимой и к ней могут получить доступ злоумышленники. Для автоматического запуска разработку привлекательно именуют или маскируют ее под другие программы.

Часто прибегают и к другим способам. Например, к исходному коду уже написаной программы добавляют троянские функции и подменяют ее с оригиналом. К примеру, троян может быть замаскирован под бесплатную заставку для рабочего стола. Тогда при ее установке подгружаются скрытые команды и программы. Это может происходить как с согласия пользователя, так и без него.

Существует вдоволь разных видов троянских программ. Из-за этого нет одного единственного способа их уничтожения. Хотя сейчас практически любой антивирус умеет автоматически найти и уничтожить троянские программы. В том случае, если антивирусная программа все таки не может выявить троян, поможет загрузка операционной системы с альтернативного источника. Это поможет антивирусной программе отыскать и уничтожить троян. Не стоит забывать о постоянном обновлении базы данных антивируса. От регулярности обновлений напрямую зависит качество обнаружения троянов. Самым простым решение будет вручную найти зараженный файл и удалить его в безопасном режиме или полностью очистить каталог Temporary Internet Files.

Троянская программа, которая маскируется под игры, прикладные программы, установочные файлы, картинки, документы, способна довольно неплохо имитировать их задачи (а в некоторых случаях и вообще полноценно). Подобные маскирующие и опасные функции также применяются и в компьютерных вирусах, но они, в отличии от троянов, могут сами по себе распространяться. Наряду с этим, троян может быть вирусным модулем.

Вы можете даже не подозревать, что троянская программа находится на Вашем компьютере. Трояны могут объединяться с обычными файлами. При запуске такого файла или приложения, активируется также и троянская программа. Бывает, что трояны автоматически запускаются после включения компьютера. Это происходит, когда они прописаны в Реестре.

Троянские программы располагают на дисках, флешках, открытых ресурсах, файловых серверах или отправляют при помощи электронной почты и сервисов для обмена сообщениями. Ставка делается на то, что их запустят на определенном ПК, особенно если такой компьютер является частью сети.
Будьте осторожны, ведь трояны могут быть только небольшой частью большой многоуровневой атаки на систему, сеть или отдельные устройства.

Иногда под видом легального ПО (программного обеспечения) в компьютер проникает вредоносная программа. Независимо от действий пользователя, она самостоятельно распространяется, заражая уязвимую систему. Троянская программа опасна тем, что вирус не только разрушает информацию и нарушает работоспособность компьютера, но и передает ресурсы злоумышленнику.

Что такое троянская программа

Как известно из древнегреческой мифологии, в деревянном коне, который был дан в дар жителям Трои, прятались воины. Они открыли ночью городские ворота и впустили своих товарищей. После этого город пал. В честь деревянного коня, уничтожившего Трою, была названа вредоносная утилита. Что такое троянский вирус? Программа с этим термином создана людьми для модификации и разрушения информации, находящейся в компьютере, а также для использования чужих ресурсов в целях злоумышленника.

В отличие от других червей, которые распространяются самостоятельно, она внедряется людьми. По своей сути, троянская программа – это не вирус. Ее действие может не носить вредоносный характер. Взломщик нередко хочет проникнуть в чужой компьютер лишь с целью получения нужной информации. Трояны заслужили плохую репутацию из-за использования в инсталляции программ для получения повторного внедрения в систему.

Особенности троянских программ

Вирус троянский конь – это разновидность шпионского ПО. Основная особенность троянских программ – это замаскированный сбор конфиденциальной информации и передача третьей стороне. К ней относятся реквизиты банковских карт, пароли для платежных систем, паспортные данные и другие сведения. Вирус троян по сети не распространяется, не производит уничтожение данных, не делает фатального сбоя оборудования. Алгоритм этой вирусной утилиты не похож на действия уличного хулигана, который все на своем пути разрушает. Троян – это диверсант, сидящий в засаде, и ждущий своего часа.

Виды троянских программ

Троянец состоит из 2 частей: серверной и клиентской. Обмен данными между ними происходит по протоколу TCP/IP черед любой порт. На работающем ПК жертвы инсталлируется серверная часть, которая работает незаметно, а клиентская – находится у владельца или заказчика вредоносной утилиты. Для маскировки трояны имеют названия, аналогичные офисным, а их расширения совпадают с популярными: DOC, GIF, RAR и прочие. Виды троянских программ разделяются в зависимости от типа действий, выполняемых в компьютерной системе:

1. Trojan-Downloader. Загрузчик, который устанавливает на ПК жертвы новые версии опасных утилит, включая рекламные модули.
2. Trojan-Dropper. Дезактиватор программ безопасности. Используется хакерами для блокировки обнаружения вирусов.
3. Trojan-Ransom. Атака на ПК для нарушения работоспособности. Пользователь не может осуществлять работу на удаленном доступе без оплаты злоумышленнику требуемой денежной суммы.
4. Эксплойт. Содержит код, способный воспользоваться уязвимостью ПО на удаленном или локальном компьютере.
5. Бэкдор. Предоставляет мошенникам удаленно управлять зараженной компьютерной системой, включая закачивание, открытие, отправку, изменение файлов, распространение неверной информации, регистрацию нажатий клавиш, перезагрузку. Используется для ПК, планшета, смартфона.
6. Руткит. Предназначен для сокрытия нужных действий или объектов в системе. Основная цель – увеличить время несанкционированной работы.

Какие вредоносные действия выполняют троянские программы

Трояны – сетевые монстры. Заражение происходит с помощью флешки или другого компьютерного устройства. Основные вредоносные действия троянских программ – это проникновение на ПК владельца, загрузка его личных данных на свой компьютер, копирование файлов, похищение ценной информации, наблюдение за действиями в открытом ресурсе. Полученная информация используется не в пользу жертвы. Самый опасный вид действий – полный контроль над чужой компьютерной системой с функцией администрирования зараженного ПК. Мошенники незаметно проводят те или иные операции от имени жертвы.

Как найти троян на компьютере

Определяются троянские программы и защита от них, в зависимости от класса вируса. Можно делать поиск троянов с помощью антивирусов. Для этого надо скачать на жесткий диск одно из приложений типа Kaspersky Virus или Dr. Web. Однако следует помнить, что не всегда скачивание антивирусника поможет обнаружить и удалить все трояны, ведь тело вредоносной утилиты может создавать много копий. Если описанные продукты не справились с задачей, то вручную просмотрите в реестре своего ПК такие каталоги, как runonce, run, windows, soft , чтобы проверить на предмет зараженных файлов.

Удаление троянской программы

Если ПК заражен, его необходимо срочно лечить. Как удалить троян? Воспользоваться бесплатным антивирусом Касперского, Spyware Terminator, Malwarebytes или платным софтом Trojan Remover. Эти продукты отсканируют, покажут результаты, предложат убрать найденные вирусы. Если снова появляются новые приложения, показывается закачка видеопрограмм или создаются снимки экрана, значит, удаление троянов прошло безуспешно. В этом случае следует попробовать загрузить утилиту для быстрого сканирования зараженных файлов с альтернативного источника, к примеру, CureIt.

Выражение «троянский конь» появилось из истории, и мы до сих пор его используем в разговоре. Выражение «троянский конь» подразумевает что-то, что на первый взгляд выглядит вполне обычно и невинно, но, на самом деле, может причинить вред. Троянский вирус (или ещё его называют Троян) - файл, который выглядит вполне безобидно, но, на самом деле, представляет угрозу. Хотя они и появились относительно недавно, они уже упрочнились в нашей жизни и своей репутацией затмили деревянного троянского коня из далёкого прошлого. Далее мы опишем некоторые из видов троянских вирусов, с которыми можно столкнуться.

Первый троянский вирус, который мы обсудим, входит в категорию «западня». Он также более известен под названием Spy Sheriff, и уже успел заразить миллионы компьютерных систем по всему миру. Этот троянский вирус классифицируется как malware (зловредное программное обеспечение). Он не влияет на компьютерную систему и не причиняет ей вреда, но он заставляет появляться всякие нудные всплывающие окна.

Большинство этих окон выглядят как системные сообщения, в которых содержатся предупреждения, заявляющие, что вы должны установить тот или иной тип программного обеспечения. Как только Spy Sheriff попадает на ваш компьютер, его очень трудно удалить. Если вы попробуете удалить его обычным способом, то он просто заново установиться с помощью скрытых файлов, которые он заразил на вашей системе. Большинство антивирусных и antispyware программ не смогут обнаружить этот вирус. Также его невозможно удалить, с помощью функции восстановления системы, поскольку он контролирует компоненты, которые управляют этой особенностью в Windows.

Иногда троянские вирусы могут содержаться в архивах, которые с виду кажутся безопасными. Некоторые Трояны используются злоумышленниками для удалённого управления чужим компьютером. Они также используются для атаки и взлома компьютерных систем. Один из самых известных случаев, связанных с Трояном произошёл с профессором, на компьютере которого обнаружились тысячи детских порнографических фотографий. Сначала его обвинили в том, что он сознательно их загрузил. Хотя, в конечном счёте, он был оправдан и выяснилось, что это действие Трояна, всё равно ситуация вышла пренеприятная.

Другой известный тип вирусной проблемы, который оказал след в истории - вирус Vundo. Этот вирус в различных интервалах использует память Windows и создаёт всплывающие окна, в которых указано, что потеряны важные системные файлы. Он также вызывает множество сообщений, в которых говорится, что вам следует установить несколько программных обеспечений безопасности, многие из которых в действительности являются вирусами. К счастью, этот вирус легко подаётся удалению, поскольку на рынке существует множество автоматических программ для этого процесса.

Троянский вирус может разными способами попасть в вашу компьютерную систему. Но одно вы должны помнить: они не смогут активизироваться, если вы сами не активизируете файл, в котором они скрыты. Именно поэтому настолько важно проверять неизвестные файлы и, по возможности, вообще их не открывать, ведь если в системе появиться Троян, это может привести к печальным последствиям

Троянец - это тип вируса-червя, который может послужить причиной серьезного повреждения Вашего компьютера. Червь - это программа, которая на первый взгляд может показаться безвредной и безопасной, но, на самом деле, она содержит кое-что весьма вредное для Вашего компьютера. Настолько вредное, что может разрушить Ваш компьютер посредством широкого повреждения, которое может оказаться необратимым.

Если Вы хорошо помните историю, то Вам не трудно будет вспомнить, как греки выиграли троянскую войну, скрываясь в большой полой деревянной лошади для того, чтобы войти в хорошо укрепленную Трою. В действительности, троянец также получает доступ к Вашему компьютеру. Троянцы попадают в Ваш компьютер при загрузке безопасных программ, таких, как игры, изображения, музыка или видео файлы, но как только эти программы выполняются, троянцы начинают свою работу. Троянцы могут сделать не только то, что Вас будет очень сильно раздражать; но также они могут серьезно повредить Ваш компьютер. Еще троянцы могут стереть Ваш диск, посылать номера Вашей кредитной карточки и пароли незнакомцам или позволить другим использовать Ваш компьютер в незаконных целях, таких, как отказ от сервисной защиты, тем самым, нанося вред сетям.

Ваша лучшая защита - это антивирусное программное обеспечение, которое автоматически обновляется и внимательно следит за тем, что Вы загружаете из Интернета. Благодаря антивирусному программному обеспечению, Вы загружаете с вебсайтов только то, что безопасно, и, тем самым, защищаете компьютер от вирусов. Антивирусное программное обеспечение - Ваша лучшая защита не только против троянских вирусов, но и от многого другого - защищает Вас от шпионского программного обеспечения, бесплатного программного продукта с размещенной в нем рекламой и других типов злонамеренных атак на Ваш компьютер. С хорошим антивирусным программным обеспечением Вам не придется волноваться о потере Ваших данных или пропаже личной информации

Замаскированные вредоносные программы

Какие бы меры для защиты ни принимались, никакую сеть невозможно оградить от одной серьезной опасности - человеческой доверчивости. Этим пользуются вредоносные программы, называемые «троянскими конями», зловредные коды которых прячутся внутри чего-нибудь совершенно безобидного. А ведь если программа была установлена по доброй воле, она может преодолеть любые брандмауэры, системы аутентификации и сканеры вирусов.

«Троянские кони» отличаются друг от друга тем, какие вредные действия они выполняют, оказавшись в компьютере. Это может быть как безобидная проделка, связанная с выводом на экран какой-нибудь непристойности или политического лозунга, так и настоящая информационная катастрофа, приводящая к уничтожению данных на диске и порче оборудования. Некоторые из «троянских коней», объединившись с вирусами, распространяются между системами по электронной почте.

Самые же изощренные действуют очень вероломно и не ограничиваются нанесением ущерба системе. Помимо хакерства «троянские кони» могут использоваться для шпионажа за людьми и действовать как настоящие преступники, хотя и виртуальные. Никто не может чувствовать себя в безопасности. Осенью 2000 г. корпорация Microsoft пострадала от получившего широкую огласку нападения хакеров, когда был украден и, возможно, видоизменен исходный код будущей операционной системы. Это стало результатом внедрения «троянского коня», скрывавшего в себе «червя» - программу, «ползающую» по сети и копирующую себя на другие компьютеры. Будучи установленной на одном из компьютеров Microsoft, программа начала распространяться по сети и делала это до тех пор, пока она не попала на компьютер, где содержалась важная секретная информация. После этого «троянский конь» подал хакеру сигнал о своем присутствии и открыл в сети «потайную дверь».

Итак, что же можно сделать, чтобы избежать участи Microsoft? Конечно, изгнать всех пользователей из сети вы не можете. Однако есть несколько способов минимизировать риск, и начать надо с бдительности и обучения. Регулярное резервное копирование является необходимой процедурой для восстановления информации после воздействия тех «троянских коней», вмешательство которых ограничивается уничтожением данных. Использование полного набора программных средств защиты, таких, как брандмауэры и сканеры вирусов, может помочь поймать некоторых наиболее известных нарушителей. Но важнее всего усвоить самому и объяснить пользователям сети, что такое «троянские кони», как они действуют и какого типа программы могут в себе скрывать. Кроме того, надо уяснить, как отличить «троянского» от настоящего «дареного коня», прежде чем он попадет в вашу сеть.

Темные лошадки

Не считая Bubbleboy, который встречался очень редко и проникал через уже устраненную «дыру» в системе безопасности Microsoft Outlook, вирус практически невозможно подхватить, просто читая сообщение электронной почты. Пользователя нужно обманным путем заставить запустить вложенный файл, и создатели вирусов не без оснований полагают, что сделать это не так уж сложно. Многие люди автоматически дважды щелкают мышью по любому файлу, приходящему по электронной почте, так что им нужно привить привычку поступать иначе.

Как известно, файлы Windows с расширениями *.com (command - командный), *.exe (executable - выполняемый) и *.dll (dynamic link library - динамически подключаемая библиотека) являются программами. Потенциально они способны сделать с системой практически все что угодно, поэтому с ними нужно обращаться с особой осторожностью, т. е. запускать их следует только в том случае, если источник, из которого вы их получили, заслуживает полного доверия, и вам точно известно, для чего предназначены данные программы. Тот факт, что программа была прислана по электронной почте вашим другом или коллегой, не является достаточным основанием, чтобы запускать ее. «Троянский конь» мог проникнуть в почтовую систему вашего приятеля и разослать себя по всем адресам из адресной книги.

Чтобы предотвратить заражение вирусами, многие организации вводят специальные правила, запрещающие пользователям устанавливать неразрешенное программное обеспечение. Однако соблюдение такого рода ограничений часто трудно проконтролировать, и, кроме того, это может помешать сотрудникам использовать для выполнения своей работы действительно лучшие программные средства, имеющиеся на рынке. Независимо от того, применяете вы подобные правила или нет, важно, чтобы пользователи были осведомлены о потенциальной опасности. Если сотрудникам разрешено загружать программы, то они должны знать, какие из них представляют наибольшую угрозу. Если же это им запрещено, то они больше будут обращать внимание на правила, понимая, чем они продиктованы.

Наиболее серьезную опасность представляют пиратские программы, поскольку источник, из которого они поступают, по определению не заслуживает доверия. Серьезные программисты давно точат зуб на пиратов, распространяющих «троянских коней» под видом нелегальных программ. Под эту категорию подпадает первая известная атака на платформу Palm, предпринятая с помощью программы, представленной как эмулятор популярной программы GameBoy под названием Liberty. Вместо обещанной эмуляции она удаляет все файлы и приложения.

Наиболее опасным типом файлов являются системные файлы-фрагменты, предназначение которых состоит в передаче частей документов между приложениями и рабочим столом (shell scrap object) - они как будто специально созданы для использования в качестве «троянского коня». И хотя они должны были бы иметь расширение *.shs или *.shb, они остаются скрытыми в среде Windows 98/Me, маскируясь под любой другой тип файла. Первой программой, где была использована подобная уязвимость, был появившийся в июне 1998 г. вирус Stages. Прикидываясь безобидным текстовым файлом, он на самом деле был сценарием Visual Basic и рассылал себя по электронной почте всем, кто был указан в адресной книге пользователя.

Файлы-фрагменты настолько опасны, что антивирусный исследовательский центр компании Symantec рекомендует вообще отказаться от их использования. Поскольку с этими файлами имеет дело очень мало легальных приложений, многие пользователи вполне могли бы вообще обойтись без них, удалив файл schscrap.dll из каталога Windows/system на своем ПК. В качестве менее радикальной меры можно запретить системе скрывать такие файлы, удалив элемент реестра HKEY_ CLASSES_ROOT\ShellScrap.

Натягивая поводья

Какую бы серьезную угрозу ни несли в себе вирусы и «черви», они все же являются не самой опасной начинкой, которая может быть спрятана в «троянских конях». Многие из них предназначены для получения доступа к вашей сети и прячут небольшие серверные программы, работающие практически незаметно. С помощью этих программ хакер может выведать ваши секреты или даже получить контроль над вашим ПК.

Самым бессовестным хакерским инструментом считается Back Orifice 2000, часто называемый просто BO2K, созданный командой хакеров «Культ дохлой коровы». Авторы определяют свою программу как «средство дистанционного администрирования», позволяющее управлять компьютером без ведома и согласия пользователя. Она может практически незаметно работать под любой версией Windows, обеспечивая постороннему пользователю практически полный доступ к системе. Кроме копирования и изменения содержимого файлов хакеры, имеющие на вооружении BO2K, могут записывать каждое действие пользователя и даже в реальном времени получать поток видеоинформации с его экрана.

По иронии судьбы, команда «Культ дохлой коровы» сама стала жертвой «троянского коня». Первые компакт-диски с Back Orifice 2000, предназначавшиеся для распространения, были заражены страшным вирусом Chernobyl («Чернобыль»), способным нанести необратимый ущерб оборудованию. Честолюбивые хакеры, участвовавшие в 1999 г. в конференции DefCon, обнаружили, что вместо того, чтобы получить контроль на компьютерами других людей, они потеряли контроль над своими собственными, так как их жесткие диски оказались перезаписаны, а микросхемы BIOS стерты.

В нападении на Microsoft осенью 2000 г. использовался «троянский конь» под названием QAZ, который маскировался под утилиту Notepad, размещаясь в файле notepdad.exe. Исходная программа Notepad была по-прежнему доступна, но переименована в note.exe, так что пользователи не замечали изменений. Администратор, зная, что этот файл не входит в стандартную установку Windows, мог удалить его, в результате чего программа Notepad переставала работать, а «троянский конь» оставался нетронутым.

Даже если злоумышленники не заинтересованы в вашей информации, получение ими контроля над компьютерами по-прежнему представляет серьезную опасность. Атаки по типу распределенный отказ в обслуживании (Distributed Denial of Service, DDoS), в результате которых в начале 2000 г. оказались недоступны некоторые популярные Web-сайты, были произведены с помощью «троянских коней». Принцип действия подобных программ основывается на использовании тысяч компьютеров, работающих вместе, и поэтому они не могут быть просто запущены на каком-то одном из них. Однако атака становится возможной, когда один из компьютеров получает контроль над тысячами других.

Последствия вашего участия в атаках наподобие DdoS не исчерпывается тем, что вы получаете неодобрение как член сетевого сообщества, а ваша организация подвергается риску судебного разбирательства. К примеру, в результате атак на Yahoo! и eBay пострадали не только эти серверы, но и тысячи домашних и офисных пользователей, чьи компьютеры были задействованы в данных атаках. Если ваш почтовый сервер занят в атаке, то он не сможет выполнять своего основного назначения.

Любой ПК, подключенный к телефонной линии, является потенциальной мишенью для нападения по финансовым мотивам, поскольку его модем может быть перепрограммирован на звонки по дорогостоящим телефонным номерам. Известны «троянские кони», заменяющие в параметрах настройки коммутируемого доступа пользователя обычный телефонный номер на международный, звонки по которому могут стоить несколько долларов в минуту. И если этот номер действительно подключен к провайдеру Internet, жертва может ничего не заметить до тех пор, пока не получит счета за телефонные разговоры.

Этот вид «троянских коней» впервые появился в 1998 г., когда тысячи пользователей в Европе, загружавшие порнографическое слайд-шоу, обнаружили, что их модемы звонят по очень дорогому номеру в Республике Гана. Данная атака была занесена под №3 в список наиболее опасных случаев мошенничества в Internet, составленный Федеральной торговой комиссией (Federal Trade Commission), и считается более опасным явлением, чем телефонное пиратство и финансовые пирамиды.

Плотно закрывайте дверь

Большинство «троянских коней» посылает хакеру сигнал о своем присутствии через заданный порт TCP, поэтому правильно настроенный брандмауэр может обнаружить и заблокировать их. Списки портов, используемых популярными «троянскими конями», публикуются на специальных Web-сайтах (см. врезку «Ресурсы Internet»), некоторые из них могут даже выполнять сканирование. Однако последние версии многих вредительских программ могут менять заданный порт, усложняя их обнаружение. Антивирусное ПО также может обнаруживать «троянских коней», хотя это и связано с определенным риском. Поскольку такое ПО необходимо регулярно обновлять, компания, производящая антивирусные программы, получает доступ к вашей сети. В ноябре 2000 г. обновление ПО McAfee VirusScan компании Network Associates привело к сбою некоторых систем и потере несохраненных данных. Это произошло из- за ошибки в ПО, а не в результате умышленных действий, однако для уже скомпрометированных компаний, таких, как Microsoft, выходящих на рынок антивирусного ПО, существует риск, что отдельные «троянские кони» могут использовать данный метод нападения.

Правительство Германии считает, что Windows 2000 возможно уже является убежищем для «троянского коня». Оно дошло до того, что грозится наложить запрет на распространение данного ПО, пока Microsoft не удалит из него утилиту Disk Defragmenter (программу дефрагментации диска), в которой якобы скрывается этот опасный код. Microsoft отказалась это делать, но опубликовала на своем немецком сайте технической поддержки подробные инструкции, объясняющие пользователям, как удалить утилиту самостоятельно. Те менеджеры, которых беспокоит этот факт, должны иметь в виду, что до сих пор нет доказательств того, что упомянутый «троянский конь» вообще существует. Действительно, правительство США настолько уверено в безопасности Windows 2000, что использует это ПО во многих своих организациях, включая военные.

Хотя пресса и некоторые пользователи часто называют любую вредную программу вирусом, специалисты по безопасности знают, что это не так. Вот краткое описание трех наиболее распространенных видов зловредных программ, каждая из которых может скрываться внутри «троянского коня».

Вирус (virus) представляет собой самовоспроизводящийся код, присоединяющийся к другому файлу точно так же, как настоящие вирусы прикрепляются к живым клеткам. Изначально вирусы поражали программные файлы, имеющие расширения *.com или *.exe, однако распространение языков сценариев позволило им заражать офисные документы и даже сообщения электронной почты.

«Червь» (worm) - это автономная программа, обычно воспроизводящаяся путем копирования себя на другие компьютеры в сети. Иногда их называют бактериями, поскольку они не зависят от других программ. Наибольшее распространение получила программа happy99.exe, парализовавшая множество компьютеров два года назад и все еще изредка появляющаяся - особенно под Новый год.

«Логическая бомба» (logic bomb) не воспроизводится, но может принести серьезный ущерб. Обычно это простые программы, выполняющие вредные функции, такие, как удаление пользовательских файлов при выполнении. Современный Интернет - это не только крайне полезная информационная среда, но и потенциальный источник различных опасностей, угрожающих как компьютерам простых пользователей, так и серверам. И если верить статистике, то самой серьезной из этих угроз являются вирусы, особенно так называемые троянские кони . Происхождение этого термина известно всем еще из школьного курса истории. Он определяет подарок, который таит в себе какую-то угрозу для его получателя. В принципе это очень точно описывает данный класс зловредных программ. Эти «подарочки» могут нанести интернетчикам серьезный ущерб. Ну а для того чтобы не быть голословными, давайте мы с вами, уважаемые читатели, рассмотрим действие троянских коней поподробнее.

Троянские кони - это одна из самых опасных для компьютера и его владельца угроз в Интернете

Удаленное администрирование

Трояны, реализующие удаленное администрирование, позволяют хакеру управлять компьютером-жертвой

Сегодня можно найти немало программ, позволяющих осуществлять удаленное администрирование как отдельных компьютеров, так и целых компьютерных систем. Это очень удобные утилиты, существенно облегчающие задачу администраторов локальной сети и позволяющие экономить их время (а значит, и деньги компаний). Принцип работы таких программ прост. На удаленный ПК устанавливается специальный агент. После этого администратор может в любой момент запустить на своей машине основной модуль, подключиться к другому компьютеру и получить возможность полностью им управлять.

А теперь представьте, что пользователь персонального компьютера не знает об установленном в его системе агенте. А последний связывается не с соседней по локальной сети машиной, а с удаленным за тысячи километров ПК, за которым сидит хакер. В этом случае злоумышленник может сделать все что угодно: получить пароли, скопировать личные документы, установить любое программное обеспечение, просто перегрузить или выключить компьютер... Именно поэтому троянские кони (фактически это агенты утилит удаленного администрирования) рассмотренного класса считаются самыми опасными. Они предоставляют злоумышленнику практически неограниченные возможности по управлению машиной жертвы.

Кража данных

Некоторые трояны могут воровать пароли пользователей

К другой крайне опасной группе троянских коней относятся те из них, которые нацелены на воровство информации у пользователей. Особенно серьезную угрозу они представляют для владельцев домашних ПК. Казалось бы, все должно быть совсем наоборот. Ну какие могут быть секретные данные у простых пользователей? Гораздо интересней хакерам должны быть компании, у каждой из которых полно коммерческих тайн, а их всегда можно попытаться продать конкурентам. Однако здесь есть одна проблема. Ведь троянский конь не может самостоятельно найти файлы с секретной документацией. Кроме того, незаметно передать через Интернет сколько-нибудь существенные объемы данных довольно сложно. А вот с компьютеров домашних пользователей (зачастую менее защищенных) можно легко украсть, например, пароли для доступа в операционную систему или в Интернет.

Причем наибольшую популярность получил именно последний вариант. С помощью троянских коней, ворующих пароли для доступа к Сети, злоумышленники, которые подключены у того же провайдера, что и жертва, могут легко переложить свои затраты на Интернет на других людей, просто пользуясь их авторизационными данными. Кроме того, иногда встречаются зловредные программы с достаточно сложным алгоритмом, которые могут попытаться вытащить сохраненные в браузере пароли от различных веб-сервисов, FTP-серверов и т. п.

Шпионаж

Трояны-шпионы позволяют хакеру получить подробную информацию о пользователе вплоть до его паролей к разным сервисам

Сегодня злоумышленники все чаще и чаще используют шпионаж. Суть его заключается в следующем. На компьютере жертвы устанавливается специальный агент, который, работая незаметно для пользователя, собирает определенную информацию о нем и через Интернет отправляет ее хакеру. Для такого ПО придумали даже специальный термин - spyware. Современные программы-шпионы умеют делать очень многое: вести лог нажатых человеком клавиш на клавиатуре, периодически делать скриншоты всего экрана и активного окна, записывать названия запущенных программ, открытых документов и адреса посещенных веб-страниц.

Все это позволяет злоумышленникам получить весьма подробные данные о своей жертве вплоть до паролей, необходимых для выхода в Сеть и использования различных сервисов.

Впрочем, справедливости ради стоит отметить, что подавляющее большинство троянских коней, осуществляющих шпионаж, записывают только последовательность нажатых клавиш. Во-первых, это - самая критичная информация. Именно так можно узнать пароли пользователя, например, к различным онлайновым сервисам: электронной почте, интернет-магазинам и т. п. А получив их, злоумышленник сможет в будущем спокойно пользоваться этими ресурсами от имени жертвы. Во-вторых, список нажатых клавиш занимает относительно малый объем. А чем меньше данных, тем проще незаметно передать их на компьютер хакера.

Переходы на страницы

Некоторые трояны заставляют пользователя открывать определенные веб-сайты

Сегодня в Интернете существует немало партнерских программ. Суть их заключается в следующем. Человек привлекает на сайт спонсора посетителей, за каждого из которых получает небольшое вознаграждение. В принципе партнерские программы - явление абсолютно нормальное. Но только до тех пор, пока обе стороны соблюдают правила и придерживаются общепринятых норм. Между тем многие ресурсы с контентом «только для взрослых» смотрят на действия партнеров сквозь пальцы, в результате чего происходит следующее.

Некоторые люди для получения максимального заработка используют троянских коней. То есть они заражают компьютеры интернетчиков такими зловредными программами, которые постоянно изменяют домашнюю страницу в браузере на адрес сайта партнера, при переходе на который тут же открываются еще несколько всплывающих окон с веб-проектами спонсоров. Кроме того, такие троянские кони способны самостоятельно инициировать открытие заданного им адреса при наступлении некоторых событий (подключение к Интернету, открытие нового окна браузера и т. п.).

Проведение атак

Троянские кони используются для проведения DDoS-атак

Поэтому чаще всего злоумышленники действуют по следующей схеме. Сначала они заражают специальным троянским конем как можно большее число машин обычных интернетчиков. Эта зловредная программа до поры до времени живет на ПК, ничем себя не выдавая и не совершая никаких деструктивных действий. Однако при получении специальной команды от управляющего центра троян активизируется и начинает отправку на указанную жертву требуемых для атаки пакетов. А поскольку таких компьютеров может быть сотни и тысячи, то нет ничего удивительного в том, что сервер «падает». В принципе для самого пользователя троянские кони этого класса практически не опасны. За исключением того момента, что во время их работы достаточно серьезно загружается его канал. Кроме того, мало кому из интернетчиков доставит удовольствие тот факт, что он фактически стал соучастником преступления.

Троянские кони могут использоваться для загрузки другого зловредного ПО на компьютер пользователя и его инсталляции

В последнее время требования к зловредному ПО изменились. Если раньше все вирусы были очень маленькими, то современные троянские кони могут иметь достаточно большой размер. Это обусловлено большой их функциональностью (например, программы-шпионы и утилиты удаленного администрирования) и используемыми технологиями. Между тем далеко не всегда удается незаметно загрузить на компьютер пользователя такие объемы информации. Поэтому хакеры стали использовать следующий прием. Сначала ПК заражается довольно маленькой утилитой, которая устанавливает связь с определенным сервером, скачивает оттуда другое зловредное ПО, инсталлирует и запускает его. Особенно опасны в этом плане универсальные загрузчики. Они позволяет злоумышленнику устанавливать на ПК жертвы разные троянские кони или даже целый их букет. Все зависит от того, что в данный момент лежит на указанном сервере.

Подводим итоги

Итак, как мы с вами, уважаемые читатели, убедились, современные троянские кони действительно представляют собой серьезную угрозу безопасности любого компьютера, подключенного к Глобальной сети. Причем необходимо учитывать, что сегодня существуют программы, относящиеся сразу к двум, трем, а то и к большему количеству классов. Такие трояны могут, например, следить за пользователем, тайно загружать и устанавливать на его компьютере другое ПО и участвовать в атаках. Между тем защититься от этой угрозы в общем-то несложно. Регулярно обновляемой антивирусной программы, правильно настроенного файрвола и периодического обновления операционной системы и используемого ПО для этого вполне достаточно.

Добрый день, друзья. Недавно я написал статью « ». В данной же статье, мы подробно рассмотрим один из таких вирусов, а именно – вирус троян.

Компьютерный век очень стремительно развивается, развиваются различные технологии, упрощающие человеку жизнь. Мы все чаще производим оплату не наличными деньгами, а пластиковой карточкой или при помощи электронного кошелька. Само собой, у подобных кошельков и карточек есть свои пинкоды и пароли.

И вот представьте себе случай, вы заходите с супермаркет, отовариваетесь там на приличную сумму, подходите к кассе для оплаты, вставляете вашу пластиковую карту, а на ней отсутствуют средства. В чем дело? А виной всему вирус троян!

Так что такое вирусы трояны, что они из себя представляют? Вкратце могу сказать, что вирус троян – представляет из себя вредительскую программу, которая предпочитает маскироваться под любую из существующих программ. Вы подобную программу скачиваете, и происходит заражение компьютера. Довольно часто вирусы трояны состоят всего из нескольких строчек.

Как возникло название вирус Троян

Я думаю вы знаете, что вирус троян назван так в честь известного коня из известной поэмы Гомера «Троя». Где греки, чтобы взять данный великолепный город, проявили хитрость, и создали коня гигантских размеров из дерева. В данном коне разместился отряд греков под предводительством Одиссея.

Утром троянцы встали, увидели коня огромных размеров, решили, что его им подарила богиня и с большим трудом втащили его в свой город. Тем самым подписав городу приговор. Ночью афиняне выбрались из коня, перебили стражу и открыли ворота. Тем самым судьба города была предрешена.

Как внедряются вирусы трояны на компьютер

Похожим образом обстоит дело и с вирусом трояном. Они попадают на ПК, только когда вы их сами заносите. То есть они не могут провести DOSS атаку на ваш компьютер или сайт, где антивирусу придется активно сопротивляться. Как я уже упоминал, они прикидываются различными программами, могут даже антивирусом. И что самое интересное, такие программы могут даже вести себя подобно оригиналам, и выполнят свои прямые функции, пока в определенное время не проявит свою вирусную суть.

Вы скачаете подобный антивирус, из этого антивируса высаживается десант из разных вредителей, и компьютер попадет во власть трояна.

У вирусов троянов имеется одна отличительная особенность, точнее у них несколько особенностей, но об этом позже. Так вот, самовольно передвигаться они не могут, как, к примеру, это делают компьютерные черви и другие подобного рода программы.

Вы можете их занести через флэшку, лазерный диск, или просто скачав понравившуюся картиночку из сети. Это может быть даже открытка от любимой девушки, подарок из сети или прочее.

Как вредят вирусы трояны

Попав на ПК, вирус начинает так активно действовать. Например, он может заблокировать систему, отключить антивирус. Тогда с ним будет довольно сложно бороться. Также вирусы трояны могут отслеживать за вашими действиями, я имею ввиду, следить за тем, на какие кнопки вы нажимали.

Таким образом они могут отследить ваши пароли и передать их третьим лицам. Данные лица, как я уже упоминал выше, могут помочь злоумышленникам снять ваши деньги с пластиковой карты или электронного кошелька.

Этот вредитель часто запускает браузер на страницу в интернете, где хозяйничает рекламный вирус. Данный вирус будет очень настойчиво навязывать вам определенные товары, которые вам ненужны.

Кроме прочего, трояны скачивают и закачивают на ваш ПК различные файлы и утилиты, внедряющиеся в системы. Также они копируют ваши электронные адреса, а затем рассылают спам от вашего имени.

Они нарушают работу других программ. Могут довольно навязчиво распространять порнографию, причем от вашего имени. Также вирус троян может стереть очень важную для вас информацию, или даже заблокировать номер вашего счета в банке.

Кроме прочего, данные вирусы могут ценную и интимную для вас информацию выложить для всеобщего обозрения. К примеру, личное фото или интимное видео, также номера ваших счетов и кредитных карт.

Другими словами, действия троянов обширны и многообразны. Как уберечь свой компьютер от подобной напасти и удалить вирусы трояны, я подробно расскажу в следующей статье, следите за обновлениями.

Друзья, помимо данной статьи, я решил написать отдельную БЕСПЛАТНУЮ 3D книгу «Как быстро удалить компьютерный вирус?», в которой рассказывается про удаление не только троянов, но и других разнообразных вредоносных ПО и как уберечь компьютер от подобного заражения. Подробнее о книге можно или кликнув по изображению: