Основные способы распространения троянских программ

Как троянцы попадают на компьютер? К сожалению, однозначно тут сказать ничего нельзя, иначе можно было бы просто перекрыть эти пути и не беспокоиться... Чаще всего заражение происходит, когда пользователь запускает какую-то программу, полученную из "сомнительного источника". Поэтому основной задачей злоумышленника является провоцирование пользователя на запуск вредноносного кода на своей машине. Как это сделать? Читайте дальше.

Заинтересовать пользователя полезными программами.

Трояны часто маскируются под внешне "полезные" программы. Как правило пользователю вместе с программой такого рода дается яркое, эмоциональное описание подсовываемых пользователю программ. Например:
- "Вам не надоело дожидаться загрузки страниц в браузере? Хватит. Теперь с помощью SPEED браузер будет работать в 3 раза быстрее!!!".

-"В условиях российских телефонных сетей работать в Интернет практически невозможно. Требуется корректировка и фильтрация сигналов. Учитывая множественные просьбы и заявления пользователей Интернет, оборонной промышленностью был разработан радикально новый метод очистки телефонных сетей, заключенный в небольшую программу. Теперь вы сможете значительно ускорить работу в Интернет, достигнув небывалого качества связи - 115 КБ/С. От таких предложения не отказываются".

Неопытные пользователи как правило не задумываясь запускают подобные программы, даже не проверив их антивирусом.

Кроме того, вредноносные программы можно маскировать под ... трояны, нюкеры, генераторы номеров, вирус-мейкеры. Действительно, некоторые пользователи очень хотят что-нибудь взломать. И увидев описания "чудо" программ наподобие:

- "Введите адрес сервера и через 2-3 минуты вы получите все содержащиеся пароли".

- "Теперь вы можете получать номера кредитных карт системы VISA в любом количестве, причем полученные номера будут исключительно рабочими, и вы сможете производить покупки в онлайн магазинах"

вполне могут загрузить и запустить такого рода программы. Но здесь главное не переусердствовать, иначе запускать разрекламированные программы будут лишь наимение опытные пользователи. Необходимо соблюдать разумный баланс между яркостью описания и здравым смыслом. Чрезмерное преувеличение возможностей распостраняемых программ может оттолкнуть достаточно много потенциальных пользователей. В этом способе распостранения грамотное описание подсовываемых троянов намного важнее чем их тонкая реализация. Так как слабо подготовленные пользователи обычно не используют специализированных антитроянских программ, не проверяют регулярно свой компьютер на наличие вредноносных программ, то такие пользователи не сумеют обнаружить даже самые известные или плохо написанные троянские программы. Так распостраняемые трояны могут использоваться для кражи паролей для интернет, серийных номеров программ, паролей на e-mail ICQ, IRC и т.д.

Троянские программы в почтовых вложениях

Главным образом, такие трояны распостраняются как вложения (attachment) в письма от известных компаний (Microsoft, Kaspersky, Symantec...). Необходимо заметить, что при использовании электронной почты не стоит надеятся на анализ заголовков. Дело в том, что протокол SMTP не поддерживает механизмов аутентификации и идентификации. Поэтому элементарные знания заголовков позволяет создать достаточно правдоподобную иллюзию того, что письмо отправлено именно из заявленного источника. А если использовать специальные скрипты, то отличить поддельное письмо от настоящего можно будет только анализом логов на всех промежуточных серверах, что практически невозможно для рядового пользователя.

Как и в большинстве случаев здесь пользователю придет на помощь элементарная логика. Например Microsoft сама никому никогда ничего не отправляет. Тем более незарегистрированным пользователям. Так, что если к Вам пришло письмо с прикрепленным исполняющемся файлом, о котором Вы заранее не договаривались с отправителем (особенно если Вы не знаете его лично), то есть большая вероятность того, что это поддельное сообщение.

Троянские программы в нестандартных объектах.

Многие пользователи (в том числе и опытные) считают, что троян - это обязательно исполняемый файл. Это может вызвать иллюзию безопасности. Ведь они не будут запускать "интересные" программы, как из пункта #1, не будут запускать прикрепленные файлы от "Microsoft". Однако есть несколько способов обмануть таких пользователей, то есть установить на их компьютер троянскую программу.

Достаточно много пользователей используют стандартные настройки Windows, при которых не отображаются расширения у файлов зарегистрированных типов. Это позволяет создать исполняемый файл с иконкой, как у текстового(txt), графического(jpg), музыкального или любого другого типа файла. Например с иконкой архива (несамораспаковывающегося). Как правило, пользователь не задумываясь щелкнет мышкой по такому файлу, тем самым запустив его. Но вместо запуска ассоциированного приложения программа-инсталлятор трояна может просто вывести сообщение об ошибке. Скорее всего пользователь, после нескольких неудачных попыток, просто удалит такой файл и забудет об инциденте.

У этого способа есть еще одна вариация на случай отказа от стандартных настроек Windows или использования альтернативных графических оболочек (типа Frigate). Программа-инсталятор создается с иконкой "безобидного" файла, а имя файла выглядит примерно так: "update.rar (много пробелов) .exe" или "photo.jpg (много пробелов) .exe". Поэтому, если Вам присылает свою фотографию новый знакомый в чате, то лучше сначала посмотреть описание этого файла, чем сразу же открывать его.

Помимо простой маскировки исполняемого файла под другие виды файлов, злоумышленник может внедрить троян в объект, который считается безопасным: объект ActiveX, компоненты для различных программ (например для Delphi) и т.д.

Вместе с легальными программами

Даже если Вы получаете программы из надежных источников, это не гарантирует 100% гарантии отсутствия вредноносного кода. Вот несколько реальных примеров:
Источник: http://www.softodrom.ru/article/1/525_1.shtml
Неизвестный попытался внедрить троян в код следующей версии Linux-ядра. В репозитории с исходными кодами Linux kernel, известном как BitKeeper, были обнаружены сомнительные изменения за прошедшие 24 часа, из-за чего публичное хранилище сразу было закрыто, — сообщил ключевой разработчик. Вероятнее всего, модифицированные строки кода являлись "закладкой" для последующего получения администраторских прав на системах, использующих данный код.

Источник: http://www.mcafee.ru/articles/archive.html?id=19
Эксперты организации CERT сообщили об обнаружении в исходном коде пакета Sendmail 8.12.6 троянского коня. Исходный код, хранившийся на ftp-сервере разработчиков Sendmail, был модифицирован неизвестным злоумышленником. "Троянские" версии Sendmail находятся в файлах с именами sendmail.8.12.6.tar.Z и sendmail.8.12.6.tar.gz. Модифицированные версии Sendmail появились на ftp.sendmail.org 28 сентября, а обнаружить и удалить их удалось лишь 6 октября.

Выше был рассмотрен "человеческий фактор". Так как известно, что человек является самым уязвимым звеном в цепочке любой системы безопасности. По этой причине человеческий фактор эксплуатируется различными червями, вирусами и троянскими программами чаще, чем перечисленные ниже ошибки и "особенности" программного обеспечения. Однако при распространении разного рода "сюрпризов" не стоит пренебрегать ошибками(дырами) в программном обеспечении или документированными особенностями обычных программ.

Ошибки в программном обеспечении

Как известно, любая программа содержит ошибки. Будь то операционная система или медиа-плейер. В результате данных ошибок существует возможность либо "заставить" программу выполнять действия, для которых она не предназначена, либо внедрить в неё "вредный" программный код и активизировать его.
Одной из таких ошибок является (и очень активно используется):
переполнение буфера, которое активно используется так называемыми "бестелесными" червями и некоторыми троянскими программами (код червя или троянца попадает непосредственно в активный процесс атакуемого приложения и немедленно активизируется. Правда обычно он "живет" лишь до первой перезагрузки.) Эта ошибка встречается в самых разных приложениях. И на различных сайтах, посвященных проблемам компьютерной безопасности, регулярно появляются соответствующие статьи. Вот совсем свежий пример:

BUGTRAQ : Переполнение буфера в WinAmp
Добавил: djmouse 28.11.04 09:23
Возможна удаленная атака путем подсовывание пользователю специально подготовленного .m3u-файла с плейлистом. Подтверждено наличие уязвимости в версиях 5.05 и 5.06. Временный рецепт борьбы - убрать ассоциацию с WinAmp у расширений .m3u и .cda.
Другой уязвимостью являются ошибки при работе виртуальных машин, исполняющих скрипты.
Netdex - пример многокомпонентной троянской программы класса BackDoor. Заражение происходит при посещении Web-сайта. http://www.twocom.ru/ Скрипт-программа на заглавной странице получает управление, записывает на компьютер пользователя файл и запускает его. Этот файл скачивает все необходимые для функционирования бэкдора компоненты, инсталлирует их и запускает сам бекдор. При этом используется брешь в защите виртуальной машины, исполняющей скрипты ('Microsoft ActiveX Component' Vulnerability). См. http://www.microsoft.com/technet/security/bulletin/MS00-075.asp

Узнать больше о видах ошибок ПО( целочисленного переполнения, переполнения кучи и т.п.), и реализации этих ошибок в конкретных программах можно, посещая различные сайты и форумы по безопасности, или самостоятельно, методом "тыка". Вот некоторые русскоязычные сайты, посвященные данной тематике, на них же можно найти ссылки на другие сайты и эксплоиты:
http://www.security.nnov.ru - сайт об IT-безопасности, созданный человеком, носящим ник ЗАРАЗА.
http://inattack.ru - архив документации для хакера.

Использование документированных возможностей программ

Известны случаи, когда для автоматического запуска "вредного" кода без какой-либо реакции встроенных систем защиты использовались методы, документированные в руководстве пользователя данного программного продукта. Например:


Вот основные способы распостранения вредноносных программ, все они рассчитаны на достаточно большое количество пользователей. Однако в конкретных случаях, когда злоумышленнику необходимо получить доступ к системе какой-либо организации в ход могут пойти и подкуп одного из младших сотрудников, и написание программы, специально рассчитаной на слабости установленной в организации ОС (зная какая ОС и какие средства защиты стоят в организации, злоумышленник может поставить себе такие же и изменять код вируса/трояна/червя до тех пор, пока средства защиты не перестанут на него реагировать).

back next
Hosted by uCoz