Заинтересовать пользователя полезными программами.
Трояны часто маскируются под внешне "полезные" программы. Как правило пользователю вместе с программой такого рода дается яркое, эмоциональное описание подсовываемых пользователю программ. Например:- "Вам не надоело дожидаться загрузки страниц в браузере? Хватит. Теперь с помощью SPEED браузер будет работать в 3 раза быстрее!!!".-"В условиях российских телефонных сетей работать в Интернет практически невозможно. Требуется корректировка и фильтрация сигналов. Учитывая множественные просьбы и заявления пользователей Интернет, оборонной промышленностью был разработан радикально новый метод очистки телефонных сетей, заключенный в небольшую программу. Теперь вы сможете значительно ускорить работу в Интернет, достигнув небывалого качества связи - 115 КБ/С. От таких предложения не отказываются".
Кроме того, вредноносные программы можно маскировать под ... трояны, нюкеры, генераторы номеров, вирус-мейкеры. Действительно, некоторые пользователи очень хотят что-нибудь взломать. И увидев описания "чудо" программ наподобие:
- "Введите адрес сервера и через 2-3 минуты вы получите все содержащиеся пароли".вполне могут загрузить и запустить такого рода программы. Но здесь главное не переусердствовать, иначе запускать разрекламированные программы будут лишь наимение опытные пользователи. Необходимо соблюдать разумный баланс между яркостью описания и здравым смыслом. Чрезмерное преувеличение возможностей распостраняемых программ может оттолкнуть достаточно много потенциальных пользователей. В этом способе распостранения грамотное описание подсовываемых троянов намного важнее чем их тонкая реализация. Так как слабо подготовленные пользователи обычно не используют специализированных антитроянских программ, не проверяют регулярно свой компьютер на наличие вредноносных программ, то такие пользователи не сумеют обнаружить даже самые известные или плохо написанные троянские программы. Так распостраняемые трояны могут использоваться для кражи паролей для интернет, серийных номеров программ, паролей на e-mail ICQ, IRC и т.д.- "Теперь вы можете получать номера кредитных карт системы VISA в любом количестве, причем полученные номера будут исключительно рабочими, и вы сможете производить покупки в онлайн магазинах"
Троянские программы в почтовых вложениях
Главным образом, такие трояны распостраняются как вложения (attachment) в письма от известных компаний (Microsoft, Kaspersky, Symantec...). Необходимо заметить, что при использовании электронной почты не стоит надеятся на анализ заголовков. Дело в том, что протокол SMTP не поддерживает механизмов аутентификации и идентификации. Поэтому элементарные знания заголовков позволяет создать достаточно правдоподобную иллюзию того, что письмо отправлено именно из заявленного источника. А если использовать специальные скрипты, то отличить поддельное письмо от настоящего можно будет только анализом логов на всех промежуточных серверах, что практически невозможно для рядового пользователя.
Как и в большинстве случаев здесь пользователю придет на помощь элементарная логика. Например Microsoft сама никому никогда ничего не отправляет. Тем более незарегистрированным пользователям. Так, что если к Вам пришло письмо с прикрепленным исполняющемся файлом, о котором Вы заранее не договаривались с отправителем (особенно если Вы не знаете его лично), то есть большая вероятность того, что это поддельное сообщение.
Троянские программы в нестандартных объектах.
Многие пользователи (в том числе и опытные) считают, что троян - это обязательно исполняемый файл. Это может вызвать иллюзию безопасности. Ведь они не будут запускать "интересные" программы, как из пункта #1, не будут запускать прикрепленные файлы от "Microsoft". Однако есть несколько способов обмануть таких пользователей, то есть установить на их компьютер троянскую программу.
Достаточно много пользователей используют стандартные настройки Windows, при которых не отображаются
расширения у файлов зарегистрированных типов. Это позволяет создать исполняемый файл с иконкой, как у
текстового(txt), графического(jpg), музыкального или любого другого типа файла. Например с иконкой архива
(несамораспаковывающегося). Как правило, пользователь не задумываясь щелкнет мышкой по такому файлу,
тем самым запустив его. Но вместо запуска ассоциированного приложения программа-инсталлятор трояна может
просто вывести сообщение об ошибке. Скорее всего пользователь, после нескольких неудачных попыток, просто
удалит такой файл и забудет об инциденте.
У этого способа есть еще одна вариация на случай отказа от стандартных настроек Windows или использования альтернативных
графических оболочек (типа Frigate). Программа-инсталятор создается с иконкой "безобидного" файла, а имя
файла выглядит примерно так: "update.rar (много пробелов) .exe" или "photo.jpg (много пробелов) .exe".
Поэтому, если Вам присылает свою фотографию новый знакомый в чате, то лучше сначала посмотреть описание
этого файла, чем сразу же открывать его.
Помимо простой маскировки исполняемого файла под другие виды файлов, злоумышленник может внедрить троян в объект, который считается безопасным: объект ActiveX, компоненты для различных программ (например для Delphi) и т.д.
Вместе с легальными программами
Даже если Вы получаете программы из надежных источников, это не гарантирует 100% гарантии отсутствия вредноносного кода. Вот несколько реальных примеров:
Неизвестный попытался внедрить троян в код следующей версии Linux-ядра. В репозитории с исходными кодами Linux kernel, известном как BitKeeper, были обнаружены сомнительные изменения за прошедшие 24 часа, из-за чего публичное хранилище сразу было закрыто, — сообщил ключевой разработчик. Вероятнее всего, модифицированные строки кода являлись "закладкой" для последующего получения администраторских прав на системах, использующих данный код.Источник: http://www.mcafee.ru/articles/archive.html?id=19
Эксперты организации CERT сообщили об обнаружении в исходном коде пакета Sendmail 8.12.6 троянского коня. Исходный код, хранившийся на ftp-сервере разработчиков Sendmail, был модифицирован неизвестным злоумышленником. "Троянские" версии Sendmail находятся в файлах с именами sendmail.8.12.6.tar.Z и sendmail.8.12.6.tar.gz. Модифицированные версии Sendmail появились на ftp.sendmail.org 28 сентября, а обнаружить и удалить их удалось лишь 6 октября.
Ошибки в программном обеспечении
Как известно, любая программа содержит ошибки. Будь то операционная система или медиа-плейер.
В результате данных ошибок существует возможность либо "заставить"
программу выполнять действия, для которых она не предназначена,
либо внедрить в неё "вредный" программный код и активизировать его.
Одной из таких ошибок является (и очень активно используется):
переполнение буфера, которое активно используется так называемыми
"бестелесными" червями и некоторыми троянскими программами (код червя или троянца попадает
непосредственно в активный процесс атакуемого приложения и немедленно активизируется. Правда обычно
он "живет" лишь до первой перезагрузки.)
Эта ошибка встречается в самых разных приложениях. И на различных сайтах, посвященных
проблемам компьютерной безопасности, регулярно появляются соответствующие статьи.
Вот совсем свежий пример:
: Переполнение буфера в WinAmpДругой уязвимостью являются ошибки при работе виртуальных машин, исполняющих скрипты.
Добавил: 28.11.04 09:23
Возможна удаленная атака путем подсовывание пользователю специально подготовленного .m3u-файла с плейлистом. Подтверждено наличие уязвимости в версиях 5.05 и 5.06. Временный рецепт борьбы - убрать ассоциацию с WinAmp у расширений .m3u и .cda.
Netdex - пример многокомпонентной троянской программы класса BackDoor. Заражение происходит при посещении Web-сайта. Скрипт-программа на заглавной странице получает управление, записывает на компьютер пользователя файл и запускает его. Этот файл скачивает все необходимые для функционирования бэкдора компоненты, инсталлирует их и запускает сам бекдор. При этом используется брешь в защите виртуальной машины, исполняющей скрипты ('Microsoft ActiveX Component' Vulnerability). См.
Узнать больше о видах ошибок ПО( целочисленного переполнения, переполнения кучи и т.п.),
и реализации этих ошибок в конкретных программах можно, посещая различные сайты и форумы по
безопасности,
или самостоятельно, методом "тыка".
Вот некоторые русскоязычные сайты, посвященные данной тематике, на них же можно найти ссылки на другие сайты и
эксплоиты:
- сайт об IT-безопасности, созданный человеком, носящим ник ЗАРАЗА.
- архив документации для хакера.
Использование документированных возможностей программ
Известны случаи, когда для автоматического
запуска "вредного" кода без какой-либо реакции встроенных систем защиты использовались методы, документированные
в руководстве пользователя данного программного продукта. Например:
Эта троянская программа представляет собой 2 скрипта в HTML-файле. При запуске инфицированной HTML страницы на
диск записывается VBS-часть "троянца".
VBS-часть в свою очередь создает еще одну часть (INI-файл), ищет и модифицирует файл настроек клиента mIRC таким образом,
что разрешается реакция клиента mIRC на команды удаленных пользователей и отключается система предупреждений mIRC на
опасные события.
Далее к клиенту mIRC подключается специальный файл настроек, который позволяет управлять инфицированным компьютером,
скачивать и закачивать на инфицированный компьютер файлы, подслушивать "приватные" разговоры в mIRC и т.д.
