Глава 2. «Троянского конь» в современных киберпреступлениях
2.1 Сущность и классификация троянских программ
Троянская программа (также — троя́н, троя́нец, троя́нский конь, тро́й) — программа, используемая злоумышленником для сбора информации, её разрушения или модификации, нарушения работоспособности компьютера или использования его ресурсов в неблаговидных целях. По принципу распространения и действия троян не является вирусом, так как не способен распространяться саморазмножением.
Троянская программа запускается пользователем вручную или автоматически — программой или частью операционной системы, выполняемой на компьютере-жертве (как модуль или служебная программа). Для этого файл программы (его название, иконку программы) называют служебным именем, маскируют под другую программу (например, установки другой программы), файл другого типа или просто дают привлекательное для запуска название, иконку и т. п.
Схожие вредоносные и маскировочные функции также используются компьютерными вирусами, но в отличие от них, троянские программы не умеют распространяться самостоятельно. Вместе с тем, троянская программа может быть модулем вируса.
Троянские программы различаются между собой по тем действиям, которые они производят на зараженном компьютере.
Backdoor — троянские утилиты удаленного администрирования
Утилиты скрытого управления позволяют делать с компьютером все, что в них заложил автор: принимать или отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер и т. д.
Trojan-PSW — воровство паролей
При запуске PSW-троянцы ищут сиcтемные файлы, хранящие различную конфиденциальную информацию (обычно номера телефонов и пароли доступа к интернету) и отсылают ее по указанному в коде «троянца» электронному адресу или адресам.
Trojan-Clicker — интернет-кликеры
Семейство троянских программ, основная функция которых — организация несанкционированных обращений к интернет-ресурсам.
Trojan-Downloader — доставка прочих вредоносных программ
Троянские программы этого класса предназначены для загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки «троянцев» или рекламных систем.
Trojan-Dropper — инсталляторы прочих вредоносных программ
В результате использования программ данного класса хакеры достигают двух целей: скрытная инсталляция троянских программ и/или вирусов; защита от антивирусных программ, поскольку не все из них в состоянии проверить все компоненты внутри файлов этого типа.
Trojan-Proxy — троянские прокси-сервера
Семейство троянских программ, скрытно осуществляющих анонимный доступ к различным интернет-ресурсам. Обычно используются для рассылки спама.
Trojan-Spy — шпионские программы
Данные троянцы осуществляют электронный шпионаж за пользователем зараженного компьютера: вводимая с клавиатуры информация, снимки экрана, список активных приложений и действия пользователя с ними сохраняются в какой-либо файл на диске и периодически отправляются злоумышленнику.
Trojan-Notifier — оповещение об успешной атаке
Троянцы данного типа предназначены для сообщения своему «хозяину» о зараженном компьютере.
2.2 Основные тенденции развития троянских программ
В программах, относящихся к классу троянских, на сегодняшний день можно выделить следующие основные тенденции:
Значительный рост числа программ-шпионов, крадущих конфиденциальную банковскую информацию. Новые варианты подобных программ появляются десятками за неделю и отличаются большим разнообразием и принципами работы. Некоторые из них ограничиваются простым сбором всех вводимых с клавиатуры данных и отправкой их по электронной почте злоумышленнику. Наиболее мощные могут предоставлять автору полный контроль над зараженной машиной, отсылать мегабайты собранных данных на удаленные сервера, получать оттуда команды для дальнейшей работы.
Стремление к получению тотального контроля над зараженными компьютерами. Это выражается в объединении их в зомби-сети, управляемые из единого центра.
Использование зараженных машин для рассылки через них спама или организации атак.
Отдельного рассмотрения требуют такие классы программ, как Trojan-Dropper и Trojan-Downloader. Конечные цели у них абсолютно идентичны — установка на компьютер другой вредоносной программы, которая может быть как червем, так и «троянцем». Отличается только принцип их действия. «Дропперы» могут содержать в себе уже известную вредоносную программу или наоборот — устанавливать новую ее версию. Также «дропперы» могут устанавливать не одну, а сразу несколько вредоносных программ, принципиально отличающихся по поведению и даже написанных разными людьми.
Оба эти класса вредоносных программ используются для установки на компьютеры не только троянских программ, но и различных рекламных (advware) или порнографических (pornware) программ.
По итогам работы антивирусных служб в 2008 году зафиксировано 23 680 646 атак на российских пользователей, которые были успешно отражены.
Таблица 1.
Рейтинг троянских программ в 2008 году
№ п/п | Название | Количество | Процент |
1 | Heur.Trojan.Generic | 248857 | 7,08% |
2 | Trojan-Downloader.Win32.Small.aacq | 228539 | 6,50% |
3 | Trojan-Clicker.HTML.IFrame.wq | 177247 | 5,04% |
4 | Trojan-Downloader.SWF.Small.ev | 135035 | 3,84% |
5 | Trojan-Clicker.HTML.IFrame.yo | 121693 | 3,46% |
6 | Trojan-Downloader.HTML.IFrame.wf | 107093 | 3,05% |
7 | Trojan-Downloader.Win32.Small.abst | 78014 | 2,22% |
8 | Trojan-Downloader.JS.Agent.dau | 73777 | 2,10% |
9 | Trojan-Downloader.JS.IstBar.cx | 68078 | 1,94% |
10 | Trojan-GameThief.Win32.Magania.gen | 66136 | 1,88% |
11 | Trojan-Downloader.JS.Iframe.yv | 62334 | 1,77% |
12 | Trojan.HTML.Agent.ai | 60461 | 1,72% |
13 | Trojan-Downloader.JS.Agent.czf | 41995 | 1,20% |
Наиболее распространенной и активной вредоносной программой 2008 года является Trojan-Downloader.Win32.Small.aacq.
По итогам работы антивирусных служб в январе 2009 года мы сформировали главную вирусную двадцатку.
В этой таблице зафиксированы те вредоносные, рекламные и потенциально опасные программы, которые были детектированы на компьютерах пользователей.
Таблица 2.
Рейтинг вредоносных программ в январе 2009 года.
Позиция | Изменение позиции | Вредоносная программа |
1 | 0 | Virus.Win32.Sality.aa |
2 | 0 | Packed.Win32.Krap.b |
3 | 1 | Worm.Win32.AutoRun.dui |
4 | -1 | Trojan-Downloader.Win32.VB.eql |
5 | 3 | Trojan.Win32.Autoit.ci |
6 | 0 | Trojan-Downloader.WMA.GetCodec.c |
7 | 2 | Packed.Win32.Black.a |
8 | -1 | Virus.Win32.Alman.b |
9 | 5 | Trojan.Win32.Obfuscated.gen |
10 | 10 | Trojan-Downloader.WMA.GetCodec.r |
11 | новинка | Exploit.JS.Agent.aak |
12 | -1 | Worm.Win32.Mabezat.b |
13 | -3 | Worm.Win32.AutoIt.ar |
14 | 1 | Email-Worm.Win32.Brontok.q |
15 | новинка | Virus.Win32.Sality.z |
16 | новинка | Net-Worm.Win32.Kido.ih |
17 | появление вновь | Trojan-Downloader.WMA.Wimad.n |
18 | -2 | Virus.Win32.VB.bu |
19 | -2 | Trojan.Win32.Agent.abt |
20 | новинка | Worm.Win32.AutoRun.vnq |
Появившиеся в декабрьском рейтинге Trojan.HTML.Agent.ai и Trojan-Downloader.JS.Agent.czm в этом месяце нашли себе замену в виде Exploit.JS.Agent.aak. Исчезнувшего из рейтинга червя AutoRun.eee заменяет теперь Worm.Win32.AutoRun.vnq. Это вполне закономерно, так как частые смены модификаций характерны для этих классов зловредных программ.
Выбывший из рейтинга в ноябре Trojan-Downloader.WMA.Wimad.n вернулся в игру. Таким образом, в рейтинге мы имеем сразу три нестандартных загрузчика, что свидетельствует о массовом распространении такого типа троянских программ и доверии пользователей файлам мультимедиа. Более того, схема распространения зловредных программ с использованием мультимедийных загрузчиков оказалась весьма эффективной. Это подтверждается скачком Trojan-Downloader.WMA.GetCodec.r сразу на 10 пунктов вверх.
Скорее всего, мировой финансовый кризис никак не затронет игровую индустрию, и в 2009 году развитие игровых миров продолжится.
Атаки злоумышленников становятся все масштабнее и изощреннее. А действия игроков способствуют росту черного рынка виртуальных ценностей, на чем зарабатывают деньги хакеры и вирусописатели.
«Троянский конь» является наиболее опасной из всех вредоносных программ, поскольку:
Во-первых, кризис заставляет интернет-пользователей более нервно реагировать на любые события, связанные с платежными системами, онлайн-банкингом, электронными деньгами. В период, когда банки разоряются, меняют владельцев или испытывают проблемы с выплатами, появляется много новых возможностей для атак на пользователей.
Во-вторых, учитывая, что современные вредоносные программы требуют все больше ресурсов для их разработки, распространения и использования, для множества злоумышленников на первый план выходят более простые, дешевые и грубые методы атак. Троянские программы могут стать для киберпреступников одним из наиболее привлекательных решений.
Для того чтобы справиться с киберпреступностью, необходимо создавать и внедрять защитные стратегии. На самом деле программное обеспечение для борьбы с вредоносными программами и стратегии по управлению рисками важны на всех уровнях.
По моему мнению помимо соответствующих стратегий защиты успешная борьба с киберпреступностью требует совместных усилий. Должен действовать интернет-Интерпол, должна вестись постоянная разъяснительная работа, подобная той, которая ведется по поводу необходимости использовать ремни безопасности в автомобиле. Должны существовать правила, соблюдение которых будет обязательно при нахождении в интернете. Эти же правила должны поддерживать действия правоохранительных органов. Как и в случае с ремнями безопасности, требуется длительная и упорная воспитательная работа для того, чтобы пользователи осознали необходимость таких мер.