Что такое троян и как он может вам навредить
Современные «троянские кони» в захвате городов не участвуют, но доставляют много головной боли ИБ-специалистам и рядовым пользователям.
Иллюстрация: Оля Ежак для Skillbox Media
Троян — это тип вредоносных программ, которые маскируются под привычное и чаще всего популярное ПО, скрывая своё настоящее назначение. Трояны используют, чтобы получить контроль над компьютером, нанести вред системе или локальной сети, украсть личные данные или отследить действия пользователя.
Своё название этот тип вредоносных программ получил в честь троянского коня, описанного в древнегреческом эпосе «Илиада». Суть в том, что жители Трои позволили провезти в город огромную деревянную лошадь, подаренную им данайцами якобы в честь примирения. Внутри того коня сидели отряды противника, которые под покровом ночи захватили и разрушили город.
Чтобы компьютер или смартфон не пал, как Троя, сегодня разберёмся:
Чем опасны трояны
Трояны могут долго жить в системе под видом безвредного софта, повреждая файлы или собирая информацию о пользователе для злоумышленников. Такие вредоносные программы попадают на ПК, например, в виде частей установочных файлов популярных программ, скачанных с неофициальных сайтов.
🤓 Минутка душноты. Хотя с троянами и вирусами вполне успешно справляются антивирусы — это совершенно разные виды программ. Вирусы самостоятельно запускаются и самовоспроизводятся на заражённом компьютере, тогда как трояны переносятся и запускаются другими программами. Так что не следует их путать.
После запуска трояны добавляют себя в автозагрузку, меняют настройки системы, начинают собирать необходимые данные и отправлять их злоумышленнику. А некоторые зловреды даже способны принимать от него команды. Рассмотрим несколько известных примеров троянов.
Troyan.Mayachok.2
Был выявлен в 2011 году, а всплески его активности фиксировали ещё на протяжении нескольких лет. Этот зловредный софт блокировал доступ в интернет и выводил в браузере всплывающее окно с предложением обновить его до последней версии. Для «апдейта» пользователь должен был ввести свой номер мобильного телефона и ввести код, полученный в СМС. В результате пользователь подписывался на сервис, который регулярно списывал деньги с его мобильного счёта.
Linux.Sshdkit
Хотя в целом Linux можно назвать безопасной операционной системой, она не лишена уязвимостей. Linux.Sshdkit проникая в систему под видом библиотеки, заражал процесс sshd, перехватывая учётные данные пользователя и отправлял злоумышленникам ключи для удалённого доступа, превращая станцию с Linux в участника зомби-сети, связывающей заражённые компьютеры. Такие сети используются для DDoS-атак.
Trojan.Yontoo.1
Этот троян вредил системам с macOS X. Trojan.Yontoo.1 проникал на компьютер под видом полезного программного обеспечения или плагина и передавал данные о просматриваемой пользователем веб-странице. Получая ответ от сервера, он встраивал на сайт рекламу, ведущую на фишинговые сайты, которая воспринималась пользователями как часть веб-страницы.
Android.SmsSend
Android.SmsSend заражал смартфоны с Android. Троян периодически показывал полноэкранное уведомление, предлагающее обновить системные компоненты. Если нажать на объект, то появлялась анимация обновления, но на самом деле оформлялась подписка на платную рассылку или отправлялось платное СМС.
Как работают трояны
Троян не способен к самостоятельному запуску, в отличие от любых компьютерных вирусов. Пользователи сами по незнанию или невнимательности запускают зловредный код на устройстве.
Чаще всего троян распространяется как полезная программа с внедрённым вредоносным софтом в виде:
- добавленного кода в модифицированном установщике абсолютно безвредной программы;
- изображения или документа во вложении электронного письма;
- части самораспаковывающегося архива (SFX).
Также трояны могут попасть на компьютер через поддельные Wi-Fi-сети или программные уязвимости, когда злоумышленник может получить удалённый доступ к компьютеру и скачать на него вредоносные программы.
Сразу после запуска троян старается получить контроль над операционной системой, меняя конфигурации, отключая системы защиты и открывая необходимые порты. Как мы говорили, он собирает информацию о паролях, информацию, вводимую с клавиатуры, IP-адрес и другие данные, отправляя их злоумышленникам. Дальнейшее развитие событий зависит от вида трояна.
Виды троянов
Бэкдор
Классическая версия трояна. Выполняя роль шлюза, троян подгружает с удалённого сервера тела других зловредов, чтобы получить ещё больше контроля над компьютером. Чаще всего этот тип зловредов используется для организации зомби-сетей. Это группы из десятков заражённых машин по всему миру, используемых для проведения DDoS-атак.
Примером является семейство троянов Backdoor.MSIL, которое позволяло злоумышленникам удалённо управлять компьютерами. Впоследствии такие устройства объединяли в ботнеты для DDoS-атак.
Блокировщик
Блокирует действия пользователя или доступ системы к файлам, иногда требуя выкуп. Часто выступает в паре с шифровальщиком.
Пример блокировщика — Trojan.Winlock.3794 — распространённый в эпоху Windows XP. Зловред выводил на экран пользователя окно, похожее на окно для активации операционной системы, но в нём были требования ввести данные банковской карты. Если от этого отказаться, появлялся «синий экран смерти» и компьютер перезагружался.
Шифровальщик
Как можно понять из названия, этот тип шифрует данные, делая их недоступными для пользователя. Для восстановления доступа и получения ключа дешифровки требует выкуп.
Пример — Trojan.Encoder.25129, заражающий компьютеры с Windows за пределами России и стран СНГ. Троян шифрует содержимое системных папок, после чего выводит для пользователя сообщение с требованием выкупа.
Банковский троян
Используется для получения логина и пароля авторизации в личном кабинете банка, данных платёжных карт и перенаправления онлайн-оплаты на фишинговую страницу с целью кражи денег.
Примером такого трояна является Clampi, который иногда встречается под именами Ligats и Ilomo. При заражении устройства он ждёт момента, когда пользователь зайдёт в приложение онлайн-банка или введёт данные банковской карты в интернет-магазине.
Сборщик email
Собирает email-адреса для передачи злоумышленникам. В дальнейшем они могут использоваться для рассылки фишинговых писем. Пример такого трояна — SpamTool.Win32. MagPlayer.a.
Читайте также:
Загрузчик
Иногда их называют дропперам (от англ. dropper — бомбосбрасыватель). Такие программы либо содержат в себе, либо скачивают из Сети дополнительные вредоносные компоненты, например банковский троян. Примером является Trojan-Dropper: W32/Agent.PR, создающий несколько пустых файлов и загружающий бэкдор-троян на компьютер.
Загрузчики могут удалённо обновляться до новых версий, чтобы скрываться от антивирусов и расширять свои возможности по загрузке новых файлов.
Аккаунтстиллер
Крадёт данные игровых аккаунтов или профилей в социальных сетях и мессенджерах. Злоумышленники получают доступ к личной переписке и могут шантажировать человека её обнародованием или запускать от имени взломанного аккаунта спам-рассылку с просьбами одолжить денег.
Пример — зловред KPOT, способный воровать данные учётных записей игровых сервисов, Telegram, Skype и других приложений.
SMS-троян
Рассылает сообщения по международным номерам за счёт средств пользователя, подхватившего этот зловред на свой смартфон. Пример — Trojan-SMS.AndroidOS.FakePlayer.a, который был первым подобным трояном для смартфонов с Android.
Шпион
Записывает и отправляет данные, вводимые с клавиатуры, делает скриншоты рабочего стола и приложений, даёт доступ к просмотру истории действий и веб-камере. Так работал Trojan-Spy.Win32.Noon, который собирал и передавал злоумышленникам информацию о паролях, сохранённых в браузере и вводимых на клавиатуре.
Эксплойт
Использует уязвимости в установленном на компьютере ПО, с целью получения доступа к системе и внедрения вредоносного кода. Пример — эксплойт EternalBlue, который многократно использовался для распространения других троянов и вирусов.
Как защититься от троянских программ
Два главных совета — быть внимательным и понять, как трояны попадают на компьютер или смартфон. Разберём основные способы защиты, снижающие риск заражения.
Своевременно загружайте обновления системы. Они закрывают дыры в безопасности, добавляют новые функции и обновляют базы данных встроенного антивируса.
Не ведитесь на фишинг. Не скачивайте и не открывайте вложения в электронных письмах, полученных от неизвестного человека, и помните, что злоумышленники любят маскировать опасные письма под рассылку от любимого магазина.
Скачивайте проверенное программное обеспечение и только с официальных сайтов. Если скачивать программы с торрентов или неофициальных сайтов, то есть риск получить зловреда на свой компьютер.
Если вы пользователь Windows, не устанавливайте системы собранные сторонними командами разработчиков. Чаще всего это усечённые образы Windows, где вырезана часть стандартных приложений, таких как «Защитник Windows», «Брандмауэр», и отключены автоматические обновления, а также контроль учётных записей. Такие системы — идеальная цель для троянов.
🤓 Ещё минута душноты. Кстати, по поводу контроля учётных записей. Помните «бесячую» табличку на Windows «Хотите ли вы запустить Имя_программы.exe» и вариантами ответа «Да» и «Нет»? Так вот: она появляется не только для того, чтобы вас раздражать.
Эта табличка говорит о том, что запускаемой программе для работы требуется доступ к системе с правами администратора. Понятно, чем чревато наделение такими привилегиями зловредной программы. Поэтому не отключайте контроль учётных записей.
Периодически проверяйте систему антивирусами. Для этого отлично подходят бесплатные, одноразовые антивирусы типа Dr.Web CureIt! или решения от Malwarebytes. Если вы не уверены в скачанной программе, перед запуском просканируйте её онлайн-антивирусом Virustotal. Он проверит файл на наличие зловредов. Но это не получится сделать с архивами под паролем. Поэтому никогда не открывайте их, если скачали из непроверенного источника.
Трояны могут втянуть компьютер или смартфон в зомби-сеть компьютеров для DDoS-атак или украсть персональные данные. Их особенность в сравнении с другими зловредами — невозможность самостоятельного запуска на устройстве. Поэтому успех заражения полностью зависит от действия пользователя и его внимательности.
Больше интересного про код — в нашем телеграм-канале. Подписывайтесь!