Троянские программы. Виды и способы их распространения

5.Троянские  программы в нестандартных  объектах.

Многие  пользователи (в том числе и  опытные) считают, что троян - это  обязательно исполняемый файл. Это  может вызвать иллюзию безопасности. Ведь они не будут запускать "интересные" программы, как из пункта #1, не будут запускать прикрепленные файлы от "Microsoft". Однако есть несколько способов обмануть таких пользователей, то есть установить на их компьютер троянскую программу. Достаточно много пользователей используют стандартные настройки Windows, при которых не отображаются расширения у файлов зарегистрированных типов. Это позволяет создать исполняемый файл с иконкой, как у текстового(txt), графического(jpg), музыкального или любого другого типа файла. Например с иконкой архива (несамораспаковывающегося). Как правило, пользователь не задумываясь щелкнет мышкой по такому файлу, тем самым запустив его. Но вместо запуска ассоциированного приложения программа-инсталлятор трояна может просто вывести сообщение об ошибке. Скорее всего пользователь, после нескольких неудачных попыток, просто удалит такой файл и забудет об инциденте. У этого способа есть еще одна вариация на случай отказа от стандартных настроек Windows или использования альтернативных графических оболочек (типа Frigate). Программа-инсталятор создается с иконкой "безобидного" файла, а имя файла выглядит примерно так: "update.rar (много пробелов) .exe" или "photo.jpg (много пробелов) .exe". Поэтому, если Вам присылает свою фотографию новый знакомый в чате, то лучше сначала посмотреть описание этого файла, чем сразу же открывать его. Помимо простой маскировки исполняемого файла под другие виды файлов, злоумышленник может внедрить троян в объект, который считается безопасным: объект ActiveX, компоненты для различных программ (например для Delphi) и т.д.

6.Вместе  с легальными программами. 

Даже  если Вы получаете программы из надежных источников, это не гарантирует 100% гарантии отсутствия вредноносного кода. Вот  несколько реальных примеров:

Источник: http://www.softodrom.ru/article/1/525_1.shtml  
Неизвестный попытался внедрить троян в код следующей версии Linux-ядра. В репозитории с исходными кодами Linux kernel, известном как BitKeeper, были обнаружены сомнительные изменения за прошедшие 24 часа, из-за чего публичное хранилище сразу было закрыто, — сообщил ключевой разработчик. Вероятнее всего, модифицированные строки кода являлись "закладкой" для последующего получения администраторских прав на системах, использующих данный код.

Источник: http://www.mcafee.ru/articles/archive.html?id=19  
Эксперты организации CERT сообщили об обнаружении в исходном коде пакета Sendmail 8.12.6 троянского коня. Исходный код, хранившийся на ftp-сервере разработчиков Sendmail, был модифицирован неизвестным злоумышленником. "Троянские" версии Sendmail находятся в файлах с именами sendmail.8.12.6.tar.Z и sendmail.8.12.6.tar.gz. Модифицированные версии Sendmail появились на ftp.sendmail.org 28 сентября, а обнаружить и удалить их удалось лишь 6 октября. Выше был рассмотрен "человеческий фактор". Так как известно, что человек является самым уязвимым звеном в цепочке любой системы безопасности. По этой причине человеческий фактор эксплуатируется различными червями, вирусами и троянскими программами чаще, чем перечисленные ниже ошибки и "особенности" программного обеспечения. Однако при распространении разного рода "сюрпризов" не стоит пренебрегать ошибками(дырами) в программном обеспечении или документированными особенностями обычных программ.

7.Ошибки  в программном  обеспечении 

Как известно, любая программа содержит ошибки. Будь то операционная система или медиа-плейер. В результате данных ошибок существует возможность либо "заставить" программу выполнять действия, для которых она не предназначена, либо внедрить в неё "вредный" программный код и активизировать его.  
Одной из таких ошибок является (и очень активно используется):  
переполнение буфера, которое активно используется так называемыми "бестелесными" червями и некоторыми троянскими программами (код червя или троянца попадает непосредственно в активный процесс атакуемого приложения и немедленно активизируется. Правда обычно он "живет" лишь до первой перезагрузки.) Эта ошибка встречается в самых разных приложениях. И на различных сайтах, посвященных проблемам компьютерной безопасности, регулярно появляются соответствующие статьи. Вот пример: BUGTRAQ : Переполнение буфера в WinAmp Добавил: djmouse Возможна удаленная атака путем подсовывание пользователю специально подготовленного .m3u-файла с плейлистом. Подтверждено наличие уязвимости в версиях 5.05 и 5.06. Временный рецепт борьбы - убрать ассоциацию с WinAmp у расширений .m3u и .cda. Другой уязвимостью являются ошибки при работе виртуальных машин, исполняющих скрипты. Netdex - пример многокомпонентной троянской программы класса BackDoor. Заражение происходит при посещении Web-сайта. http://www.twocom.ru/ Скрипт-программа на заглавной странице получает управление, записывает на компьютер пользователя файл и запускает его. Этот файл скачивает все необходимые для функционирования бэкдора компоненты, инсталлирует их и запускает сам бекдор. При этом используется брешь в защите виртуальной машины, исполняющей скрипты ('Microsoft ActiveX Component' Vulnerability). Узнать больше о видах ошибок ПО( целочисленного переполнения, переполнения кучи и т.п.), и реализации этих ошибок в конкретных программах можно, посещая различные сайты и форумы по безопасности, или самостоятельно, методом "тыка". Вот некоторые русскоязычные сайты, посвященные данной тематике, на них же можно найти ссылки на другие сайты и эксплоиты: http://www.security.nnov.ru - сайт об IT-безопасности, созданный человеком, носящим ник ЗАРАЗА. 

8.Использование документированных возможностей программ

Известны  случаи, когда для автоматического  запуска "вредного" кода без какой-либо реакции встроенных систем защиты использовались методы, документированные в руководстве  пользователя данного программного продукта. Например:

• Функция "CALL" в MS Excel (до MS Office 97), позволявшая выполнять любые функции Windows API без какого-либо предупреждения, при этом вызов шел напрямую из ячейки (не из макро-процедуры).
• Распаковка файлов из архива не в текущий каталог, а в каталог, указанный в самом архиве (например, в каталог авто-старта Windows) и т.п.
• Использование уже установленных на компьютере программ для работы с сетью, как части трояна(они-то уже внесены в список "доверенных" приложений firewall'ов). В качестве примера можно привести описание Trojan.IRC.KarmaHotel

    Эта троянская программа представляет собой 2 скрипта в HTML-файле. При запуске инфицированной HTML страницы на диск записывается VBS-часть "троянца".  
VBS-часть в свою очередь создает еще одну часть (INI-файл), ищет и модифицирует файл настроек клиента mIRC таким образом, что разрешается реакция клиента mIRC на команды удаленных пользователей и отключается система предупреждений mIRC на опасные события.  
Далее к клиенту mIRC подключается специальный файл настроек, который позволяет управлять инфицированным компьютером, скачивать и закачивать на инфицированный компьютер файлы, подслушивать "приватные" разговоры в mIRC и т.д.  
 

Вот основные способы распространения вредноносных программ, все они рассчитаны на достаточно большое количество пользователей. Однако в конкретных случаях, когда злоумышленнику необходимо получить доступ к системе какой-либо организации в ход могут пойти и подкуп одного из младших сотрудников, и написание программы, специально рассчитаной на слабости установленной в организации ОС (зная какая ОС и какие средства защиты стоят в организации, злоумышленник может поставить себе такие же и изменять код вируса/трояна/червя до тех пор, пока средства защиты не перестанут на него реагировать. Некоторые особенности в программировании троянских программ

9.Какой  Уровень Риска  Представляют Троянские  Программы?

Троянские программы представляют сверхвысокий уровень риска, главным образом  по уже установленным причинам:

• Троянские программы трудно обнаружить.
• В большинстве случаев, троянские программы находятся в двоичных образах, которые в значительной степени в не человеко-читаемой форме.
• Троянские программы могут затронуть много машин.

    Позвольте мне пояснить. Троянские программы являются отличным примером нападения, которое фатально для системного администратора, который имеет только очень мимолетное знание безопасности. В таком климате, троянская программа может привести к полной компрометации системы. Троянская программа может находиться в машине в течение недель или даже месяцев, прежде чем её обнаружат. За это время взломщик с корневыми привилегиями может изменить всю систему, чтобы удовлетворить свои потребности. Таким образом, даже когда троянская программа обнаружена, могут существовать новые дыры, о которых системный администратор полностью не подозревает.  
 
 
 
 

Заключение .

В этой работе я попытался осветить вопросы: "Что такое троян?", "Как  распространяются трояны?". Также  был сделан краткий обзор некоторых  аспектов написания троянских программ и способов защиты от них. Я надеюсь, что эта работа поможет не только тем, кто только делает свои первые шаги в Сети или кто хочет поиграть в "хакера" (попользоваться бесплатным интернетом, захватить красивый UIN и т.д.), но и тем программистам, которые хотят что-то доказать коллегам/начальнику/самим себе/всему миру. И хотя специалисты по безопасности говорят: "Чтобы создать хорошую систему необходимо учесть и устранить ВСЕ слабые места, а для успешного взлома только ОДНО", все равно взлом - это исскуство, ведь это одно место надо найти и грамотно использовать. Тут пригодятся и знания Assembler, и знание сетевых протоколов, и понимание устройства различных ОС, и социальная инженерия. И здесь применение троянских программ может существенно помочь в преодолении различных систем защиты.  
 
 
 
 
 
 
 
 
 
 
 
 

Источники информации.

1.The Bat 2.0 Энциклопедия А.Экслер, М.Шахов Питер 2005г

2.Основы современной информатики  Кудинов Ю. И., Пащенко Ф. Ф.

3.Информатика:  Учебник для вузов. 6-е  изд. Степанов А.Н.

4.Информатика Галин А.Б., Панов Ю.В., Рашидова Е.В., Садовой Н.Н., Соболь Б.В.