Троянские программы (Trojans)
Троянская программа (Trojan) — это вредоносный агент, основное отличие которого от классического вируса состоит в методе распространения: обычно он проникает в систему под видом обычной, легитимной программы, чем и обусловлена традиция называть его «троянским конем». После проникновения он способен на многое: может собирать информацию об устройстве и его владельце, воровать хранящиеся на компьютере данные, блокировать доступ к пользовательской информации, выводить операционную систему из строя и т.п.
Классификация троянских программ
Одним из вариантов классификации является деление на следующие типы:
- RAT (Remote Access / Administration Tool)
- Вымогатели
- Шифровальщики
- Загрузчики
- Дезактиваторы систем защиты
- Банкеры
- DDoS-трояны
RAT — это троянская программа (trojan), предназначенная для шпионажа. После установки в систему она предоставляет злоумышленнику широкий спектр возможностей: захват видео с экрана жертвы, доступ к файловой системе, запись видео с веб-камеры и звука с микрофона, кража идентификационных файлов браузера (cookie), установка других программ и т.д. В качестве примеров можно назвать DarkComet или AndroRAT.
Вымогатели — разновидность вредоносных объектов, которые блокируют доступ к системе или данным, угрожают пользователю удалением файлов с компьютера или распространением личных данных жертвы в интернете и требуют заплатить выкуп, чтобы избежать таких негативных последствий. Пример подобного поведения — семейство WinLock.
Шифровальщики — усовершенствованная разновидность вымогателей, которая использует криптографию в качестве средства блокировки доступа. Если в случае с обычным «винлокером» можно было просто удалить вредоносную программу и тем самым вернуть себе доступ к информации, то здесь уничтожение самого шифровальщика ничего не дает — зашифрованные файлы остаются недоступными. Впрочем, в некоторых случаях антивирусное ПО может восстановить данные. Пример шифровальщика — CryZip.
Загрузчики — вид вредоносных агентов, которые предназначены для загрузки из интернета других программ или файлов. Пример — Nemucode.
Дезактиваторы систем защиты — это троянские программы, которые удаляют или останавливают антивирусы, сетевые экраны и другие средства обеспечения безопасности.
Банкеры — разновидность «троянских коней», специализирующаяся на краже банковских данных (номер счета, PIN-код, CVV и т.д.).
DDoS-трояны (боты) — вредоносные программы, которые используются хакерами для формирования ботнета с целью проведения атак типа «отказ в обслуживании».
Все трояны загружаются в систему под видом легального программного обеспечения. Они могут специально загружаться злоумышленниками в облачные хранилища данных или на файлообменные ресурсы. Также троянские программы могут попадать в систему посредством их установки инсайдером при физическом контакте с компьютером. Кроме того, их часто распространяют посредством спам-рассылок.
Объект воздействия троянских программ
Чаще всего цель такого вредоносного агента — обычный ПК и его пользователь, но возможны инциденты и в корпоративной среде. Существует вероятность спам-рассылки с целью заражения множества компьютеров для формирования ботнета. Некоторые троянские программы «вшиваются» в легальное ПО и не мешают его функционированию; таким образом, жертва даже не замечает их действий в системе. Кроме персональных компьютеров, злоумышленник может заразить мобильные устройства с целью шпионажа за жертвой или для кражи ее конфиденциальной информации.
Источник угрозы
Источником угрозы могут являться файлообменники и торрент-трекеры, на которые злоумышленник загрузил вредоносную программу под видом легального ПО, поддельные веб-сайты, спам-рассылки и т.д. Важное правило для защиты — не переходить по сомнительным ссылкам и не запускать подозрительные программы. Большая часть «троянских коней» успешно обнаруживается антивирусным и антишпионским ПО. Правоохранительные органы могут устанавливать трояны в компьютер или иные устройства подозреваемого с целью сбора информации и улик. Разведка многих стран использует такие средства для шпионажа. Вообще, троянские программы очень распространены из-за того, что существует огромное количество различных инструментов для их создания. Например, есть утилиты, позволяющие добавить вредоносный агент в существующее легальное программное обеспечение.
Анализ риска
Риску подвержены и домашние, и корпоративные пользователи. Троянские программы (trojan) могут представлять серьезную опасность для жертвы (RAT, банкеры), а могут никак не взаимодействовать с ней (DDoS-трояны). Многие из них с трудом поддаются обнаружению, так как внедрены в код легальной программы и не мешают ее функционированию. Характерный признак трояна — автозагрузка: как правило, он нуждается в автоматическом запуске при старте системы или при входе пользователя. Еще один признак — медленная работа компьютера. Троянская программа нагружает процессор (особенно это касается DDoS-троянов), из-за чего может замедляться работа ПК и повышаться температура ЦП. Если антивирусное ПО не помогает, то единственный надежный выход — переустановка ОС или обращение к специалистам.