Backdoor-троянские утилиты удаленного администрирования

↑

▷ Содержание

⇐ ПредыдущаяСтр 3 из 3

Троянские программы этого класса являются утилитами удаленного администрирования компьютеров в сети. По своей функциональности они во многом напоминают различные системы администрирования, разрабатываемые и распространяемые фирмами-производителями программных продуктов.

Единственная особенность этих программ заставляет классифицировать их как вредные троянские программы: отсутствие предупреждения об инсталляции и запуске. При запуске троянская программа устанавливает себя: в системе и затем следит за ней, при этом пользователю не выдается никаких сообщений о действиях ее в системе. Более того, ссылка на троянскую программу может отсутствовать в списке активных приложений. В результате пользователь может не знать о ее присутствии в системе, в то время как его компьютер открыт для удаленного управления.

Утилиты скрытого управления позволяют делать с компьютером все, что в них заложил автор: принимать или отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер и т. д. В результате эти троянцы могут быть использованы для обнаружения и передачи конфиденциальной информации, для запуска вирусов, уничтожения данных и т. п.

Таким образом, троянские программы данного типа являются одним из самых опасных видов вредоносных программ, поскольку в них заложена возможность разнообразных злоумышленных действий, присущих другим видам троянских программ.

Отдельно следует отметить группу бэкдоров, способных распространяться по сети и внедряться в другие компьютеры, как это делают компьютерные черви. Отличают такие троянские программы от червей тот факт, что они распространяются по сети не самопроизвольно (как черви), а только по специальной команде.

Trojan-PSW — воровство паролей. Данное семейство объединяет троянские программы, ворующие различную информацию с зараженного компьютера, обычно - системные пароли — (PSW – Password Stealing Ware). При запуске PSW-троянцы ищут системные файлы, хранящие различную конфиденциальную информацию (обычно номера телефонов, пароли доступа к интернету) и отсылают ее по указанному в коде троянской программы электронному адресу или адресам.

Существуют PSW-троянцы, которые сообщают и другую информацию о компьютере, например, информацию о системе (например, размер памяти, дискового пространства, версию операционной системы, тип используемого почтового клиента, IР-адрес и т. п.). Некоторые троянские программы данного типа воруют регистрационную информацию к различному ПО, коды доступа к сетевым играм и прочее. Trojan-AOL-семейство троянских программ, ворующих коды доступа к сети AOL (America On Line). Выделены в особую группу по причине своей многочисленности.

Trojan-Clicker — интернет-кликеры. Семейство троянских программ, основная, функция которых - организация несанкционированных обращений к интернет-ресурсам (обычно к веб-страницам), достигается это либо посылкой соответствующих команд браузеру, либо заменой системных файлов, в которых указаны стандартные адреса интернет-ресурсов.

У злоумышленника могут быть следующие цели для подобных действий:

· увеличение посещаемости каких-либо сайтов с целью увеличения показов рекламы;

· организация DоS-атаки (Dеniаl of Service) на какой-либо сервер;

· привлечение потенциальных жертв для заражения вирусами или троянскими программами.

Trojan-Downloader - доставка вредоносных программ. Программы этого класса предназначены для загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки троянских программ или рекламных систем. Загруженные из интернета программы затем либо запускаются на выполнение, либо регистрируются троянской программой на автозагрузку в соответствии с возможностями операционной системы. Данные действия при этом происходят без ведома пользователя.

Информация об именах и расположении загружаемых программ содержится в коде и данных троянской программы или скачивается ей с управляющего интернет-ресурса (обычно с веб-страницы).

Trojan-Dropper - инсталляторы вредоносных программ. Программы этого класса написаны в целях скрытной инсталляции других программ и практически всегда используются для подсовывания компьютер-жертву вирусов или других троянских программ.

Данные троянцы обычно без каких-либо сообщений (либо с ложным сообщениями об ошибке в архиве или неверной версии операционной системы) сбрасывают на диск в какой-либо каталог (в корень диска С:, во временный каталог, в каталоги Windows) другие файлы и запускают их на выполнение.

Обычно структура таких программ следующая:

Основной код

Файл 1

Файл 2

Основной код выделяет из своего файла остальные компоненты (файл 1, файл 2,...), записывает их на диск и открывает их (запускает на выполнение).

Обычно один (или более) компонентов являются троянскими программами, и как минимум один компонент является обманом: программой-шуткой, игрой, картинкой или чем-то подобным. Обман должен отвлечь внимание пользователя и/или продемонстрировать то, что запускаемый файл действительно делает что-то полезное, в то время как троянская компонента инсталлируется в систему.

В результате использования программ данного класса хакеры достигают двух целей

· скрытная инсталляция троянских программ и/или вирусов;

· защита от антивирусных программ, поскольку не все из них в состоянии проверить все компоненты внутри файлов этого типа.

Trojan-Proxy - троянские прокси-сервера. Семейство программ, скрытно осуществляющих анонимный доступ к различным интернет-ресурсам. Обычно используются для рассылки спама.

Trojan-Spy шпионские программы. Данные троянцы осуществляют электронный шпионаж за пользователем зараженного компьютера: вводимая с клавиатуры информация, снимки экрана, список активных приложений и действия пользователя с ними сохраняются в какой-либо файл на диске и периодически отправляются злоумышленнику. Программы этого типа часто используются для кражи информации пользователей различных систем онлайновых платежей и банковских систем.

Trojan - прочие троянские программы. К ним относятся те, которые осуществляют прочие действия, попадающие под определение троянских программ, т. е. разрушение или злонамеренная модификация данных, нарушение работоспособности компьютера и прочее.

К данной категории также относятся многоцелевые троянские программы, которые одновременно шпионят за пользователем и предоставляют прокси-сервис удаленному злоумышленнику.

Rootkit — сокрытие присутствия в операционной системе. Понятие пришло к нам из UNIХ. Первоначально это понятие использовалось для обозначения набора инструментов, применяемых для прав root.

Так как инструменты типа Rootkit на сегодняшний день имеются и на других ОС (в том числе, на Windows), то следует признать подобное определение Rootkit устаревшим и не отвечающим реальному положению дел.

Таким образом, Rootkit - программный код или техника, направленная на сокрытие присутствия в системе заданных объектов (процессов, файлов, ключей реестра и т.д.).

ArcBomb - «бомбы» в архивах. Представляют собой архивы, специально оформленные таким образом, чтобы вызвать нештатное поведение архиваторов при попытке разархивировать данные – зависание или существенное замедление работы компьютера или заполнение диска большим количеством пустых данных. Особенно опасны архивные «бомбы» для файловых и почтовых серверов, если на сервере используется какая-либо система автоматической обработки входящей информации - архивная «бомба» может просто остановить работу сервера.

Встречаются три типа подобных «бомб»: некорректный заголовок архива, повторяющиеся данные и одинаковые файлы в архиве.

Некорректный заголовок архива или испорченные данные в архиве могут привести к сбою в работе конкретного архиватора или алгоритма разархивирования при разборе содержимого архива.

Значительных размеров файл, содержащий повторяющиеся данные, позволяет заархивировать такой файл в архив небольшого размера (например, 5ГБ данных упаковываются в 200КБ RAR или в 480КБ ZIP-архив).

Огромное количество одинаковых файлов в архиве, также практически не сказывается на размере архива при использовании специальных методов (например, существуют приемы упаковки 10¹⁰⁰ одинаковых файлов в 30КБ RAR или 230КБ ZIP-архив).

Trojan - Notifier - оповещение об успешной атаке. Троянцы данного типа предназначены для сообщения о зараженном компьютере. При этом на адрес «хозяина» отправляется информация о компьютере: IР-адрес компьютера, номер открытого порта, адрес электронной почты. Отсылка осуществляется различными способами: электронным письмом, специально оформленным обращением к веб-странице «хозяина», ICQ-сообщением.

Данные троянские программы используются в многокомпонентных троянских наборах для извещения своего «хозяина» об успешной инсталляции троянских компонент в атакуемую систему

Билет

Вопрос

Спам

Английское слово Spam произошло от словосочетания spiced ham - "ветчина со специями". Это название родилось в стенах американской компании Hormel, которая запатентовала его как торговую марку. История началась в 30-е годы, когда у компании скопился огромный запас второсортного мяса, и Hormel начала массированную маркетинговую кампанию по сбыту своих залёжей. Новоиспеченный спам удалось в большом количестве продать американской армии, которая не смогла справиться с ним в одиночку и поспешила поделиться со странами-союзниками. Запасов хватило до конца сороковых, в послевоенной Англии спам являлся одним из немногих продуктов питания.

Если говорить о спаме как о массовой непрошеной рассылке по электронной почте, то его история берет свое начало 5 марта 1994 года. В этот день американская юридическая компания Саntеr аnd Siеgе1 отправила по нескольким конференциям Usenet рекламную информацию о лотерее US Green Саr.

Год от года объем спамерcких рассылок растет, развиваются технологии рассылки спама, спам меняет свою тематику, стиль обращения к пользователям.

В последнее время характер спама становится все более криминальным, спамерские письма все чаще маскируются под служебные сообщения известных интернет-сервисов и общественных организаций.

К основным видам спама относятся:

• влияние на котировки акций:

• фитинг;

• черный пиар;

• нигерийские письма;

• источник слухов;

• пустые письма.

Влияние на котировки акций. В настоящее время происходит стремительный рост количества рассылок предложений по инвестициям и игре на фондовой бирже. Этот спам предлагает информацию о динамике акций той или иной компании на фондовой бирже. Часто информация подается как "инсайдерская", случайно попавшая к данному отправителю письма. Фактически это попытка повлиять на предпочтения инвесторов и курс акций.

Вопрос

Познавательные статьи:



Где возникла философия и почему?

Относительная высота сжатой зоны бетона

Сущность проекции Гаусса-Крюгера и использование ее в геодезии

Тарифы на перевозку пассажиров