ЛЬВІВСЬКИЙ ДЕРЖАВНИЙ УНІВЕРСИТЕТ БЕЗПЕКИ ЖИТТЄДІЯЛЬНОСТІ
МІНІСТЕРСТВО НАДЗВИЧАЙНИХ СИТУАЦІЙ УКРАЇНИ
Кафедра Управління інформаційною безпекою
Троянські коні
Виконали: курсанти гр. ІБ-41Литвин В.В.Василина А.В.
Перевірив: Полотай О.І.
Львів-2012
Історія виникнення назви «троянський кінь».
У XII столітті до н.е. Греція оголосила війну Трої. Греки почали 10-річну війну проти цього міста, але так і не змогли його взяти. Тоді вони пішли на хитрість. За порадою Одіссея був споруджений величезний дерев'яний кінь. Усередині цього коня сховалося декілька героїв, а ахейське військо, занурившись на кораблі, відплило до острова Тендос. Троянці вирішили, що облога знята і, повіривши словам лазутчика Сінона про те, що кінь на ахейцями для того, щоб умилостивити богиню Афіну, і володіння їм зробить Трою неприступною, перенесли його в місто, зруйнувавши при цьому частина кріпосної стіни. Даремно жрець Лаокоон переконував троянців, що цього не слід робити. Вночі з утроби коня вийшли воїни-ахейці і відкрили міські ворота повернувся під покровом темряви війську. Троя була взята і зруйнована.
Ось чому подібні програми називають "троянськими кіньми" - вони працюють непомітно для користувача ПК, прикриваючись діями інших додатків.
Що таке троянський кінь?
Троянський кінь - це програма, яка надає стороннім доступ до комп'ютера для здійснення яких-небудь дій на місці призначення без попередження самого власника комп'ютера або висилає за певною адресою зібрану інформацію. При цьому вона, як правило, видає себе за що-небудь мирний і надзвичайно корисне. Частина троянських програм обмежується тим, що відправляє ваші паролі поштою своєму творцеві або людині, яка сконфігурувала цю програму (е-mail trojan). Однак для користувачів Internet найбільш небезпечні програми, що дозволяють отримати віддалений доступ до їх машині з боку (BackDoor). Дуже часто трояни потрапляють на комп'ютер разом з корисними програмами або популярними утилітами, маскуючись під них.
Особливістю цих програм, яка змушує класифікувати їх як шкідливі, є відсутність попередження про їх інсталяції і запуску. При запуску троян встановлює себе в систему і потім стежить за нею, при цьому користувачеві не видається жодних повідомлень про його дії. Більш того, посилання на троянця може відображатися в списку активних додатків або зливатися з ними. У результаті користувач комп'ютера може і не знати про його присутність у системі, в той час як комп'ютер відкритий для віддаленого управління. Досить часто під поняттям "троян" мається на увазі вірус. Насправді це далеко не так. На відміну від вірусів, трояни спрямовані на отримання конфіденційної інформації та доступ до певних ресурсів комп'ютера.
Можливі різні шляхи проникнення трояна в вашу систему. Найчастіше це відбувається при запуску будь-якої корисної програми, в яку запроваджено сервер трояна. У момент першого запуску сервер копіює себе в яку-небудь директорію, прописує себе на запуск в системному реєстрі, і навіть якщо програма-носій ніколи більше не запуститься, ваша система вже заражена трояном. Заразити машину можете ви самі, запустивши заражену програму. Зазвичай це відбувається, якщо програми викачуються не з офіційних серверів, а з особистих сторінок. Впровадити трояна можуть також сторонні люди за наявності доступу до вашого комп'ютера, просто запустивши його з дискети. Типи Троянів
На даний момент найбільшого поширення набули трояни наступних типів:
1. Утиліти прихованого (віддаленого) адміністрування (BackDoor - з англ. "Задні двері"). Троянські коні цього класу за своєю суттю є досить потужними утилітами віддаленого адміністрування комп'ютерів в мережі. За своєю функціональністю вони багато в чому нагадують різні системи адміністрування, що розробляються відомими фірмами - виробниками програмних продуктів.
Єдина особливість цих програм змушує класифікувати їх як шкідливі троянські програми: відсутність попередження про інсталяцію і запуск. При запуску троянець встановлює себе в системі і потім стежить за нею, при цьому користувачеві не видається жодних повідомлень про дії троянця в системі. Більш того, посилання на троянця може відображатися в списку активних додатків. У результаті "користувач" цієї троянської програми може і не знати про її присутність в системі, в той час як його комп'ютер відкритий для віддаленого управління.
Сучасні утиліти прихованого адміністрування (BackDoor) досить прості у використанні. Вони зазвичай складаються головним чином з двох основних частин: сервера (виконавець) та клієнта (керуючий орган сервера).
Сервер - це виконуваний файл, який певним чином впроваджується на вашу машину, завантажується в пам'ять одночасно із запуском Windows і виконує одержувані від віддаленого клієнта команди. Сервер відправляється жертві, і надалі вся робота ведеться через клієнта на комп'ютері хакера, тобто через клієнта надсилаються команди, а сервер їх виконує. Зовні його присутність ніяк не виявляється. Після запуску серверної частини трояна на комп'ютері користувача резервується певний порт, який відповідає за зв'язок з Інтернетом.
Після цих дій зловмисник запускає клієнтську частину програми, підключається до комп'ютера через відкритий в онлайні порт і може виконувати на вашій машині практично будь-які дії (це обмежується лише можливостями використовуваної програми). Після підключення до сервера керувати віддаленим комп'ютером можна практично як своїм: перезавантажувати, вимикати, відкривати CD-ROM, видаляти, записувати, змінювати файли, виводити повідомлення і т.д. На деяких троянах можна змінювати відкритий порт в процесі роботи і навіть встановлювати пароль доступу для "господаря" даного трояна. Існують також трояни, які дозволяють використовувати "затрояненную" машину в якості проксі-сервера (протоколи HTTP або Socks) для приховування реального IP-адреси хакера.
В архіві такого трояна зазвичай знаходиться 5 наступних файлів: клієнт, редактор для сервера (конфігуратор), сервер трояна, пакувальник (склейщик) файлів, файли документації.
У нього досить багато функцій, серед яких можна виділити наступні:
збір інформації про операційну систему;
визначення кешованих і dial-up-паролів, а також паролів популярних програм дозвону;
знаходження нових паролів і відправка іншої інформації на е-mail;
скачування і запуск файлів за вказаним шляхом;
закривання вікон відомих антивірусів і файрволлів при виявленні;
виконання стандартних операцій по роботі з файлами: перегляду, копіювання, видалення, зміни, скачування, закачування, запуску і відтворення;
автоматичне видалення сервера трояна із системи через вказану кількість днів;
управління CD-ROM, включення / відключення поєднання клавіш Ctrl + Alt + Del, перегляд і зміна вмісту буфера обміну, приховування й показ таскбара, трея, годин, робочий стіл і вікон;
встановлення чату з жертвою, в т.ч. для всіх користувачів, підключених до даного сервера;
відображення на екрані клієнта всіх натиснутих кнопок, тобто є функції клавіатурного шпигуна;
виконання знімків екрану різної якості і розміру, перегляд певної області екрану віддаленого комп'ютера, зміна поточного дозволу монітора.
Трояни прихованого адміністрування і зараз найбільш популярні. Кожному хочеться стати власником такого трояна, оскільки він може надати виняткові можливості для управління та виконання різних дій на віддаленому комп'ютері, які можуть налякати більшість користувачів і доставити безліч веселощів господареві трояна. Дуже багато хто використовує трояни для того, щоб просто познущатися над ким-небудь, виглядати в очах оточуючих "суперхакерів", а також для отримання конфіденційної інформації.
2. Поштові (е-mail trojan).
Трояни, що дозволяють "витягувати" паролі та іншу інформацію з файлів вашого комп'ютера і відправляти їх по електронній пошті господареві. Це можуть бути логіни і Internet-паролі провайдера, пароль від поштової скриньки, паролі ICQ і IRC та ін
Щоб відправити лист власнику поштою, троян зв'язується з поштовим сервером сайту по протоколу SMTP (наприклад, на smtp.mail.ru). Після збору необхідних даних троян перевірить, відсилалися ці дані. Якщо ні - дані надсилаються і зберігаються в регістрі.
Якщо вже відсилалися, то з регістра витягується попередній лист, і відбувається його порівняння з поточним. Якщо в інформації відбулися які-небудь зміни (з'явилися нові дані), то лист надсилається, і в регістрі записуються свіжі дані про паролі. Одним словом, цей вид троянів просто займається збором інформації, і жертва може навіть і не здогадуватися, що її паролі вже комусь відомі.
В архіві такого трояна зазвичай знаходиться 4 файли: редактор сервера (конфігуратор), сервер трояна, пакувальник (склейщік) файлів, керівництво для використання. У результаті роботи можуть визначатися такі дані:
IP-адреса комп'ютера жертви;
докладні відомості про систему (ім'я комп'ютера і користувача, версія Windows, модем і т.д.);
всі кешовані паролі;
всі налаштування телефонних з'єднань включаючи телефонні номери, логіни і паролі;
паролі від ICQ;
N останніх відвіданих сайтів.
3. Клавіатурні (Keylog-gers).
Ці трояни записують все, що було набране на клавіатурі (включаючи паролі) у файл, який згодом вирушає на певний е-mail або пpосматpівается чеpез FTP (File Transfer Protocol). Keylogger'и зазвичай займають мало місця і можуть маскуватися під інші корисні програми, через що їх буває важко виявити. Ще однією причиною труднощі виявлення такого трояна є те, що його файли називаються як системні. Деякі трояни цього типу можуть виділяти і розшифровувати паролі, знайдені в спеціальних полях для введення паролів.
Такі програми вимагають ручної настройки і маскування. Keylogger'и можна використовувати не тільки в хуліганських цілях. Наприклад, їх дуже зручно поставити на своєму робочому місці або вдома на час від'їзду.
4. Програми-жарти (Joke programs).
Ці програми нешкідливі за своєю суттю. Вони не заподіюють комп'ютеру будь-якого прямої шкоди, проте виводять повідомлення про те, що така шкода вже заподіяна, може бути заподіяна під час будь-яких умовах, або попереджують користувача про неіснуючу небезпеку. Програми-жарти залякують користувача повідомленнями про форматування жорсткого диска, визначають віруси в незаражених файлах, виводять дивні вірусоподібні повідомлення і т.д. - Це залежить від почуття гумору творця такої програми. Звичайно ж, тут немає ніяких причин для хвилювання, якщо за цим комп'ютером не працюють інші недосвідчені користувачі, яких подібні повідомлення можуть сильно налякати.
5. До "троянських коней" також можна віднести заражені файли
Код яких певним чином підправлений або змінений криптографічним методом. Наприклад, файл шифрується спеціальною програмою і (або) упаковується невідомим архіватором. У результаті навіть останні версії антивірусів не можуть визначити наявність у файлі трояна, так як носій коду немає у їхніх антивірусної базі.
Захист від троянів (платформа Windows)
Виявити роботу сучасної троянської програми на своєму комп'ютері достатньо складно. Однак можна виділити наступні рекомендації щодо виявлення та запобігання троянських програм: 1. Використовуйте антивірусну програму.
Обов'язково використовуйте антивірусну програму для перевірки файлів і дисків, регулярно оновлюючи при цьому її антивірусну базу через Інтернет. Якщо база не оновлюється, результат роботи антивіруса зводиться до нуля, оскільки нові трояни з'являються з не меншою регулярністю, ніж оновлення антивірусних баз.
Тому цей метод не можна визнати абсолютно надійним. Іноді, як показує практика, якщо сервер трояна впроваджений у виконуваний файл, антивіруси в багатьох випадках не можуть його знайти. На сьогоднішній момент з найкращого боку в цьому плані зарекомендували себе антивіруси Kaspersky Anti-Virus і Dr. Web.
Поряд з антивірусами існують спеціалізовані програми (антигени), які можуть знайти, визначити і знищити велику частину троянів, проте боротися з ними стає все складніше і складніше. В якості такої програми, призначеної для пошуку і знищення троянів на вашому комп'ютері, можна порекомендувати Trojan Hunter.
2. Встановіть персональний брандмауер (фаєрвол) і уважно розберіться в його налаштуваннях. Основною ознакою роботи трояна є зайві відкриті порти. При запуску сервера троянської програми файрволл зсередини заблокує її порт, позбавивши тим самим зв'язку з Інтернетом. Файрволл дає додатковий захист, однак, з іншого боку, користувачеві просто набридає постійно відповідати на запити програми з приводу роботи певного сервісу і проходження даних через певний порт. Іноді бувають крайні випадки, коли навіть файрволл і антивірус безсилі що-небудь зробити, тому що закриваються трояном. Це також є сигналом користувачеві про те, що в системі присутній троян. Для контролю відкритих портів можна також скористатися сканерами портів або програмами, які показують відкриті зараз порти і можливе підключення до них сторонніх користувачів.
З файрволлів досить якісним продуктом є Agnitum Outpost Firewall Pro, що дозволяє настроїти роботу додатків і необхідний рівень користувача.
3. Обмежте число сторонніх, які мають доступ до вашого комп'ютера, оскільки досить велика кількість троянів і вірусів переноситься на зовнішніх носіях (дискетах і дисках). Також рекомендується періодично міняти паролі на особливо важливі акаунти.
4. Не завантажуйте файли і фотографії з сумнівних сайтів (домашні сторінки з фото і т.д.). Досить часто фото і сервер трояна скріплені ("склеєні") разом для усипляння пильності користувача, і цей фактор не викликає сумнівів. Тут троян маскується під картинку. При цьому іконка дійсно буде від картинки, але от розширення залишиться *. ехе. Після дворазового натискання на фотографію троян запускається і робить свою чорну справу.
5. Не слід використовувати сумнівні програми, нібито прискорюють роботу комп'ютера в Інтернеті в N раз (прискорюють роботу CD-ROM, миші, килимка для миші і т.п.). При цьому увагу необхідно звернути на ікону програми, особливо якщо ви ні з ким заздалегідь не домовлялися. У цьому випадку можна задати питання відправнику, і, якщо позитивної відповіді не послідувало, видаляти таку програму.
6. При отриманні листа від невідомого адресата слід звернути особливу увагу на розширення вкладеного файлу. Можлива маскування назви завірусованного розширення файлу *. exe, *. jpg, *. bat, *. com, *. scr, *. vbs подвійним закінченням (*. doc. Exe), причому букви. Exe можуть бути розділені великою кількістю прогалин чи перенесені на наступний рядок.
При одержанні листа з прикріпленим архівом (файл з розширенням *. rar, *. zip, *. arj) не слід відразу його відкривати і переглядати файли. По можливості його треба зберегти на диск, після чого перевірити антивірусною програмою і тільки після цього відкрити. Якщо в архіві виявлений вірус, необхідно негайно видалити весь архів, не намагаючись його зберігати або, тим більше, відкривати файли.
7. Якщо ви користуєтеся системою Windows XP, то при ризику відкрити заражений файл створіть точку відновлення. Для Windows 98 рекомендуєтьсявстановити аналогічну програму, що дозволяє провести відкат системи тому (наприклад, Second Chance або іншу подібного типу).
8. При використанні стандартного поштового клієнта Windows (Microsoft Outlook Exdivss) слід відключити автоматичне отримання пошти, яке може запустити закодованого трояна, що знаходиться в тілі (всередині) письма. Замість програми Outlook Exdivss ви також можете використовувати більш безпечний і швидкий поштовий клієнт The Bat!, Що є одним з кращих.
9. Здійснюйте контроль завдань і сервісів, що запускаються в системі. Практика показує, що 99% троянів прописуються на запуск в системному реєстрі. Для ефективного видалення трояна з системи потрібно спочатку видалити запис у реєстрі або рядок, його запускає, потім перезавантажити комп'ютер, а вже потімспокійно видаляти цей файл.
10. Якщо ПК веде себе підозріло, а продовжувати роботу необхідно, вводите вручну свій логін і пароль у вікнах, минаючи збереження їх у браузері або в поштовому клієнтові.
11. Бажано робити копії важливих файлів, зберігаючи їх на дискеті або CD-диску. Це допоможе швидко відновити втрачені дані при можливий крах системи і наступному форматуванні жорстких дисків.
6. Intended-віруси
До таких вірусів відносяться програми, які на перший погляд є стовідсотковими вірусами, але не здатні розмножуватися через помилки. Наприклад, вірус, який при зараженні "забуває" помістити в початок файлів команду передачі управління на код вірусу, або записує в неї неправильну адресу свого коду, або неправильно встановлює адресу перехоплює переривання (що в переважній більшості випадків завішує комп'ютер) і т.д.
До категорії "intended" також відносяться віруси, що за наведеним вище причин розмножуються тільки один раз - з "авторської" копії. Заразивши який-небудь файл, вони втрачають здатність до подальшого розмноження.
З'являються intended-віруси найчастіше при недолугої перекомпіляції якогось вже існуючого вірусу, або через недостатнє знання мови програмування, або через незнання технічних тонкощів операційної системи.
7. Конструктори вірусів
Конструктор вірусів - це утиліта, призначена для виготовлення нових комп'ютерних вірусів. Відомі конструктори вірусів для DOS, Windows і макро-вірусів. Вони дозволяють генерувати вихідні тексти вірусів (ASM-файли), об'єктні модулі, і / або безпосередньо заражені файли.
Деякі конструкторои (VLC, NRLG) забезпечені стандартним віконним інтерфейсом, де за допомогою системи меню можна вибрати тип вірусу, що вражаються об'єкти (COM і / або EXE), наявність або відсутність самошіфровкі, протидія відладчику, внутрішні текстові рядки, вибрати ефекти, що супроводжують роботу вірусу і т.п. Інші конструктори (PS-MPC, G2) не мають інтерфейсу і зчитують інформацію про тип вірусу з конфігураційного файлу.
8. Поліморфні генератори
Полиморфик-генератори, як і конструктори вірусів, не є вірусами в буквальному значенні цього слова, оскільки в їхній алгоритм не закладаються функції розмноження, тобто відкриття, закриття і запису у файли, читання і запису секторів і т.д.
Головною функцією подібного роду програм є шифрування тіла вірусу і генерація відповідного розшифровувача.
Зазвичай поліморфні генератори поширюються їхніми авторами без обмежень у вигляді файла-архіву. Основним файлом в архіві будь-якого генератора є об'єктний модуль, що містить цей генератор. У всіх зустрічалися генераторах цей модуль містить зовнішню (external) функцію - виклик програми генератора.
Таким чином автору вірусу, якщо він бажає створити справжній поліморфік-вірус, не доводиться сидіти над кодами власного за / розшифровувача. При бажанні він може підключити до свого вірусу будь-який відомий поліморфік-генератор і викликати його з кодів вірусу. Фізично це досягається наступним чином: об'єктний файл вірусу лінку з об'єктним файлом генератора, а у вихідний текст вірусу перед командами його запису у файл вставляється виклик поліморфік-генератора, який створює коди розшифровувача та шифрує тіло вірусу.
Висновок
Отже , троян не є вірусом, оскільки не здатен само відтворюватися. Він запускається користувачем або автоматично. Щоб це відбулося, трояна маскують під іншу програму або надають неправдиву інформацію щодо призначення трояна.
Троянський кінь – шкідлива програма, що може збирати інформацію, модифікувати та пошкоджувати її, порушувати роботу комп’ютера чи використовувати його ресурси у зловмисних цілях.
Отже, як ми переконалися, сучасні троянські коні дійсно є серйозною загрозою безпеки будь-якого комп'ютера, підключеного до Глобальної мережі. Причому необхідно враховувати, що сьогодні існують програми, пов'язані відразу до двох, трьох, а то й до більшої кількості класів. Такі трояни можуть, наприклад, стежити за користувачем, таємно завантажувати та встановлювати на його комп'ютері інше ПЗ і брати участь в атаках. Між тим захиститися від цієї загрози загалом нескладно. Регулярно оновлюється антивірусної програми, правильно налаштованого файрвола та періодичного оновлення операційної системи і використовуваного ПЗ для цього цілком достатньо.