Классификация вирусов
(Продолжение. Начало в №25)
Trojan Horse
Троянская программа - это вредоносный код, совершающий несанкционированные пользователем действия (например, кража информации, уничтожение или модификация информации, использование ресурсов машины в злонамеренных целях и т.д.). Троянские программы являются наиболее распространёнными в киберсреде, так как существует множество конструкторов, позволяющих даже неопытному пользователю создавать собственные программы данного типа.
- Троянские утилиты удаленного администрирования (Backdoor)
Троянские программы этого класса являются утилитами удалённого администрирования (управления) компьютеров. В общем, они очень похожи на "легальные" утилиты того же направления. Единственное, что определяет их как вредоносные программы, это действия без ведома пользователя. Данная программа при установке и/или загрузке не выдает никаких уведомлений.
Таким образом, обладатель конкретной копии данного ПО может без ведома пользователя осуществлять операции разного рода (от выключения компьютера до манипуляций с файлами). Таким образом, троянские программы данного класса являются одними из наиболее опасных.
Некоторые backdoor'ы также могут распространяться по сети как сетевые черви, но не самостоятельно, а после соответствующей команды владельца копии.
- Похитители паролей (Trojan-PSW)
Эти занимаются тем, что воруют пароли. Проникнув на компьютер и инсталлировавшись, троянец сразу приступает к поиску файлов, содержащих соответствующую информацию.
Кража паролей не основная спецификация программ этого класса, они таке могут красть информацию о системе, файлы, номера счетов, коды активации другого ПО и т.д.
- Интернет-кликеры (Trojan-clicker)
Данное семейство троянских программ занимается организацией несанкционированных обращений к интернет-ресурсам, путем отправления команд интернет-браузерам или подменой системных адресов ресурсов. Злоумышленники используют данные программы для следующих целей: увеличение посещаемости каких-либо сайтов (с целью увеличения количества показов рекламы); организация атаки на сервис; привлечение потенциальных жертв, для заражения вредоносным программным обеспечением.
- Загрузчики (Trojan-Downloader)
Эти трояны занимаются несанкционированной загрузкой программного обеспечения (вредоносного) на компьютер ничего не подозревающего пользователя. После загрузки программа либо инсталлируется, либо записывается троянцем на автозагрузку (это в зависимости от возможностей операционной системы).
- Установщики (Trojan-Dropper)
Эти устанавливают на компьютер-жертву программы, как правило, вредоносные. Анатомия троянцев этого класса следующая: основной код, файлы. Основной код, собственно, и является троянцем. Файлы - это программа(ы), которая(ые) он должен установить. Троянец записывает её(их) в каталог (обычно временных файлов) и устанавливает. Установка происходит либо незаметно для пользователя, либо с выбросом сообщения об ошибке.
- Троянские прокси-сервера (Trojan-Proxy)
Семейство троянских программ, скрытно осуществляющих доступ к различным интернет-ресурсам. Обычно с целью рассылки спама.
- Шпионские программы (Trojan-Spy)
Данные трояны осуществляют шпионаж за пользователем: записывание информации, набранной с клавиатуры, снимки экрана и т.д. В данной категории также присутствуют "многоцелевые" троянские программы, например, те из них, которые одновременно шпионят за пользователем и предоставляют proxy-сервис удаленному злоумышленнику.
- Сокрытие присутствия в операционной системе (Rootkit)
Понятие rootkit пришло к нам из UNIX. Первоначально это понятие использовалось для обозначения набора инструментов, применяемых для получения прав root.
Так как инструменты типа rootkit на сегодняшний день "прижились" и на других ОС (в том числе на Windows), то следует признать подобное определение rootkit морально устаревшим и не отвечающим реальному положению дел.
Таким образом, rootkit - программный код или техника, направленная на сокрытие присутствия в системе заданных объектов (процессов, файлов, ключей реестра и т.д.).
Для поведения Rootkit в классификации "Лаборатории Касперского" действуют правила поглощения: Rootkit - самое младшее поведение среди вредоносных программ. То есть, если Rootkit-программа имеет троянскую составляющую, то она детектируется как Trojan.
- Архивные бомбы (ArcBomb)
Вот это интересная штука... Дело в том, что такого рода архив при попытке архиватора обработать его вызывает "нестандартные" действия последнего. Компьютер может просто зависнуть или его работа существенно замедлится. Может также жёсткий диск заполниться большим количеством "пустой" информации.
Встречаются три типа подобных "бомб": некорректный заголовок архива, повторяющиеся данные и одинаковые файлы в архиве. Некорректный заголовок архива или испорченные данные в архиве могут привести к сбою в работе конкретного архиватора или алгоритма разархивирования при разборе содержимого архива. Значительных размеров файл, содержащий повторяющиеся данные, позволяет заархивировать такой файл в архив небольшого размера (например, 5 Гб данных упаковываются в 200 Кб RAR или в 480 Кб ZIP-архив). Огромное количество одинаковых файлов в архиве также практически не сказывается на размере архива при использовании специальных методов (например, существуют приемы упаковки 10100 одинаковых файлов в 30 Кб RAR или 230 Кб ZIP-архив).
- Оповещение об атаке, увенчавшейся успехом (Trojan-Notifier)
Троянцы данного типа предназначены для сообщения своему "хозяину" о заражённом компьютере. При этом на адрес "хозяина" отправляется информация о компьютере, например, IP-адрес компьютера, номер открытого порта, адрес электронной почты и т. п. Отсылка осуществляется различными способами: электронным письмом, специально оформленным обращением к веб-странице "хозяина", ICQ-сообщением.
Данные троянские программы используются в многокомпонентных троянских наборах для извещения своего "хозяина" об успешной инсталляции троянских компонент в атакуемую систему.
Евгений КУЧУК,
q@sa-sec.org
SASecurity gr.