Утилиты несанкционированного удаленного администрирования

Удаленное управление компьютером часто используется в крупных и средних компаниях, а также в тех случаях, когда необходимо оказать техническую помощь пользователю, находящемуся на значительном расстоянии. С помощью средств удаленного управления системный администратор может настроить каждый компьютер в организации, не вставая со своего рабочего места. Однако эта полезная функциональность в руках злоумышленника превращается в грозное оружие. "Троянские кони" часто представляют собой вполне легальные утилиты удаленного управления, адаптированные под нужды хакеров. Если злоумышленнику удастся внедрить такого "троянца" в чужую систему, он сможет незаметно управлять этим компьютером втайне от его настоящего владельца.

Управление зараженным компьютером обычно осуществляется через Интернет. Вот лишь небольшая часть того, что может сделать злоумышленник на инфицированном ПК: выкрасть любую информацию с компьютера-жертвы (файлы, пароли, реквизиты и т.д.), провести любую файловую операцию (отформатировать жесткий диск, стереть или переименовать какие-то файлы и т.д.), перезагрузить компьютер, подключиться к сетевым ресурсам, использовать зараженный компьютер для атаки на какой-то третий компьютер или сервер в Интернете.

Самыми известными утилитами несанкционированного удаленного администрирования являются "троянцы" Back Orifice и NetBus.

Утилиты для проведения DDoS-атак

Цель DoS-атаки, или атаки типа отказ в обслуживании, - исчерпать ресурсы информационной системы. В случае успешного проведения DoS-атаки система перестает выполнять свои функции, становится недоступной и иногда непредсказуемой. Чаще всего объектом атаки типа отказ в обслуживании является web-сервер, например Интернет-магазин.

DDoS-атака, или распределенная атака типа отказ в обслуживании, отличается от DoS-атаки тем, что в ней один и тот же узел атакуют сразу несколько компьютеров. Для того чтобы исчерпать ресурсы web-сервера, злоумышленник должен искусственно создать повышенную нагрузку на него. Каждый web-сервер тратит определенные ресурсы (память, вычислительные мощности и т.д.) на обработку входящих запросов. Если большое число компьютеров, на которых установлена утилита для проведения DDoS-атак, одновременно начнут посылать свои запросы web-серверу, то велика вероятность, что ресурсы web-сервера быстро исчерпаются, а сам сервер не сможет обслуживать легальных пользователей. При проведении масштабной распределенной атаки типа отказ в обслуживании злоумышленник чаще всего контролирует и координирует действия зараженных троянской программой компьютеров.

Серверы рассылки спама

Спам - это нежелательные электронные сообщения. Чтобы избежать ответственности за рассылку спама, злоумышленники не рассылают письма со своего компьютера. Они предпочитают заразить компьютеры других пользователей Интернета специальным "троянцем", который превратит чужой ПК в сервер рассылки спама. Злоумышленнику останется лишь указать троянской программе, какое письмо и по каким адресам следует рассылать. Ответственность за эти незаконные действия будет нести легальный пользователь зараженного компьютера.

На практике одного сервера рассылки спама преступнику не хватает, ему требуется целая сеть зараженных компьютеров. Такие сети управляемых злоумышленником компьютеров называют сетями зомби-машин или просто зомби-сетями. В типичную зомби-сеть входит около 3 тыс. компьютеров, находящихся по всему миру.

Чтобы заразить большое число компьютеров и превратить их в серверы рассылки спама, преступники комбинируют различные виды вредоносных кодов. Чаще всего объединяют сетевых червей и "троянцев". Сетевые черви распространяются очень быстро, что позволяет заразить довольно много компьютеров, а при попадании на машину-жертву червь не только рассылает повсюду свои копии, но и устанавливает "троянца", который, собственно, и превращает зараженный компьютер в зомби.

Многокомпонентные "троянцы"- загрузчики

Многокомпонентность таких вредоносных кодов заключается в том, что после заражения нового компьютера они переписывают из Интернета другой вредоносный код и внедряют его в систему. Например, червь из предыдущего примера, который превращает компьютер в зомби, может не нести на себе "троянца", а переписать его из Интернета уже после того, как ему самому удастся заразить компьютер.

Различают компоненты разного уровня. Например, если "троянец" перепишет из сети другой вредоносный код, то это уже будет компонент второго уровня. Иногда бывает, что компонент второго уровня сам скачивает и внедряет еще одного паразита. Это уже компонент третьего уровня.