Основні способи розповсюдження троянських програм
Основні способи поширення троянських програм Як троянці потрапляють на комп'ютер? На жаль, однозначно тут сказати нічого не можна, інакше можна було б просто перекрити ці шляхи і не турбуватися ... Найчастіше зараження відбувається, коли користувач запускає якусь програму, отриману з "сумнівного джерела". Тому основним завданням зловмисника є провокування користувача на запуск вредноносного коду на своїй машині. Як це зробити? Читайте далі.
Зацікавити користувача корисними програмами.
Трояни часто маскуються під зовні "корисні" програми. Як правило користувачеві разом з програмою такого роду дається яскраве, емоційне опис підсовують користувачеві програм. Наприклад: - "Ви не набридло чекати завантаження сторінок в браузері? Досить. Тепер за допомогою SPEED браузер працюватиме в 3 рази швидше !!!".
Недосвідчені користувачі як правило не замислюючись запускають подібні програми, навіть не перевіривши їх антивірусом.
Крім того, вредноносние програми можна маскувати під ... трояни, нюкери, генератори номерів, вірус-мейкери. Дійсно, деякі користувачі дуже хочуть щось зламати. І побачивши опису "чудо" програм на зразок:
- "Введіть адресу сервера і через 2-3 хвилини ви отримаєте все що містяться паролі".
- "Тепер ви можете отримувати номери кредитних карт системи VISA в будь-якій кількості, причому отримані номери будуть виключно робочими, і ви зможете виробляти покупки в онлайн магазинах"
цілком можуть завантажити і запустити такого роду програми. Але тут головне не перестаратися, інакше запускати розрекламовані програми будуть лише найменш досвідчені користувачі. Необхідно дотримуватися розумний баланс між яскравістю опису і здоровим глуздом. Надмірне перебільшення можливостей поширюється програм може відштовхнути досить багато потенційних користувачів. У цьому способі розповсюдження грамотне опис підсовують троянів набагато важливіше ніж їх тонка реалізація. Так як слабо підготовлені користувачі зазвичай не використовують спеціалізованих антітроянскую програм, не перевіряють регулярно свій комп'ютер на наявність вредноносних програм, то такі користувачі не зможуть виявити навіть найвідоміші або погано написані троянські програми. Так поширюється трояни можуть використовуватися для крадіжки паролів для інтернет, серійних номерів програм, паролів на e-mail ICQ, IRC і т.д.
Троянські програми в поштових вкладеннях
Головним чином, такі трояни поширюються як вкладення (attachment) в листи від відомих компаній (Microsoft, Kaspersky, Symantec ...). Необхідно зауважити, що при використанні електронної пошти не варто сподіватися на аналіз заголовків. Справа в тому, що протокол SMTP не підтримує механізмів аутентифікації і ідентифікації. Тому елементарні знання заголовків дозволяє створити досить правдоподібну ілюзію того, що лист відправлено саме із заявленого джерела. А якщо використовувати спеціальні скрипти, то відрізнити підроблений лист від сьогодення можна буде тільки аналізом логів на всіх проміжних серверах, що практично неможливо для рядового користувача.
Як і в більшості випадків тут користувачеві прийде на допомогу елементарна логіка. Наприклад Microsoft сама нікому ніколи нічого не відправляє. Тим більше незареєстрованим користувачам. Так, що якщо до Вас прийшов лист із прикріпленим виконуваний файл, про який Ви заздалегідь не домовлялися з відправником (особливо якщо Ви не знаєте його особисто), то є велика ймовірність того, що це підроблене повідомлення.
Троянські програми в нестандартних об'єктах.
Багато користувачів (в тому числі і досвідчені) вважають, що троян - це обов'язково виконуваний файл. Це може викликати ілюзію безпеки. Адже вони не будуть запускати "цікаві" програми, як з пункту # 1, що не будуть запускати прикріплені файли від "Microsoft". Однак є кілька способів обдурити таких користувачів, тобто встановити на їх комп'ютер троянську програму.
Досить багато користувачів використовують стандартні настройки Windows, при яких не відображаються розширення у файлів зареєстрованих типів. Це дозволяє створити виконуваний файл з іконкою, як у текстового (txt), графічного (jpg), музичного або будь-якого іншого типу файлу. Наприклад з іконкою архіву (несамораспаковивающегося). Як правило, користувач не замислюючись клацне мишкою по такому файлу, тим самим запустивши його. Але замість запуску асоційованого додатки програма-інсталятор трояна може просто вивести повідомлення про помилку. Швидше за все користувач, після декількох невдалих спроб, просто видалить такий файл і забуде про інцидент.
У цього способу є ще одна варіація на випадок відмови від стандартних налаштувань Windows або використання альтернативних графічних оболонок (типу Frigate). Програма-інсталятор створюється з іконкою "нешкідливого" файлу, а ім'я файлу виглядає приблизно так: "update.rar (багато пробілів) .exe" або "photo.jpg (багато пробілів) .exe". Тому, якщо Вам надсилає свою фотографію новий знайомий в чаті, то краще спочатку подивитися опис цього файлу, ніж відразу ж відкривати його.
Крім простий маскування виконуваного файлу під інші види файлів, зловмисник може впровадити троян в об'єкт, який вважається безпечним: об'єкт ActiveX, компоненти для різних програм (наприклад для Delphi) і т.д.
Навіть якщо Ви отримуєте програми з надійних джерел, це не гарантує 100% гарантії відсутності вредноносного коду. Ось кілька реальних прикладів:
Невідомий спробував впровадити троян в код наступної версії Linux-ядра. У репозиторії з вихідними кодами Linux kernel, відомому як BitKeeper, були виявлені сумнівні зміни за минулі 24 години, через що публічне сховище відразу було закрито, - повідомив ключовий розробник. Найімовірніше, модифіковані рядки коду були "закладкою" для подальшого отримання адміністраторських прав на системах, які використовують даний код.
Джерело: http://www.mcafee.ru/articles/archive.html?id=19
Експерти організації CERT повідомили про виявлення у вихідному коді пакета Sendmail 8.12.6 троянського коня. Вихідний код, який зберігався на ftp-сервері розробників Sendmail, був модифікований невідомим зловмисником. "Троянські" версії Sendmail знаходяться в файлах з іменами sendmail.8.12.6.tar.Z і sendmail.8.12.6.tar.gz. Модифіковані версії Sendmail з'явилися на ftp.sendmail.org 28 вересня, а виявити і видалити їх вдалося лише 6 жовтня.
Вище було розглянуто "людський фактор". Так як відомо, що людина є найбільш уразливим ланкою в ланцюжку будь-якої системи безпеки. З цієї причини людський фактор експлуатується різними черв'яками, вірусами і троянськими програмами частіше, ніж перераховані нижче помилки і "особливості" програмного забезпечення. Однак при поширенні різного роду "сюрпризів" не варто нехтувати помилками (дірками) в програмному забезпеченні або документально оформлених особливостями звичайних програм.
Помилки в програмному забезпеченні
Як відомо, будь-яка програма містить помилки. Будь то операційна система або медіа-плейер. В результаті даних помилок існує можливість або "змусити" програму виконувати дії, для яких вона не призначена, або впровадити в неї "шкідливий" програмний код і активізувати його.
Однією з таких помилок є (і дуже активно використовується):
переповнення буфера, яке активно використовується так званими "безтілесними" хробаками і деякими троянськими програмами (код хробака або троянця потрапляє безпосередньо в активний процес атакується додатки і негайно активізується. Правда зазвичай він "живе" лише до першого перезавантаження.) Ця помилка зустрічається в самих різних додатках. І на різних сайтах, присвячених проблемам комп'ютерної безпеки, регулярно з'являються відповідні статті. Ось зовсім свіжий приклад:
: Переповнення буфера в WinAmp
Додав: 28.11.04 9:23
Можлива дистанційна атака шляхом підсовування користувачеві спеціально підготовленого .m3u-файлу з плейлистом. Підтверджено наявність уразливості в версіях 5.05 і 5.06. Тимчасовий рецепт боротьби - прибрати асоціацію з WinAmp у розширень .m3u і .cda. Інший вразливістю є помилки при роботі віртуальних машин, які виконують скрипти.
Netdex - приклад багатокомпонентної троянської програми класу BackDoor. Зараження відбувається при відвідуванні Web-сайту. Скрипт-програма на головній сторінці отримує управління, записує на комп'ютер користувача файл і запускає його. Цей файл викачує всі необхідні для функціонування бекдора компоненти, інсталює їх і запускає сам бекдор. При цьому використовується пролом у захисті віртуальної машини, яка виконує скрипти ( 'Microsoft ActiveX Component' Vulnerability). Див.
Дізнатися більше про види помилок ПО (целочисленного переповнення, переповнення купи і т.п.), і реалізації цих помилок в конкретних програмах можна, відвідуючи різні сайти і форуми з безпеки, або самостійно, методом "тику". Ось деякі російськомовні сайти, присвячені даній тематиці, на них же можна знайти посилання на інші сайти та експлоїти:
- сайт про IT-безпеки, створений людиною, що носить ник ЗАРАЗА.
- архів документації для хакера.
Використання документованих можливостей програм
Відомі випадки, коли для автоматичного запуску "шкідливого" коду без будь-якої реакції вбудованих систем захисту використовувалися методи, документовані в керівництві користувача даного програмного продукту. наприклад:
- Функція "CALL" в MS Excel (до MS Office 97), яка давала можливість виконувати будь-які функції Windows API без будь-якого попередження, при цьому виклик йшов безпосередньо з осередку (не з макро-процедури).
- Розпакування файлів з архіву не в поточний каталог, а в каталог, вказаний в самому архіві (наприклад, в каталог авто-старту Windows) і т.п.
- Використання вже встановлених на комп'ютері програм для роботи з мережею, як частини трояна (вони-то вже внесені в список "довірених" додатків firewall'ов). Як приклад можна привести опис Trojan.IRC.KarmaHotel Ця троянська програма являє собою 2 скрипта в HTML-файлі. При запуску інфікованої HTML сторінки на диск записується VBS-частина "троянця".
VBS-частина в свою чергу створює ще одну частину (INI-файл), шукає і модифікує файл настройок клієнта mIRC таким чином, що дозволяється реакція клієнта mIRC на команди віддалених користувачів і відключається система попереджень mIRC на небезпечні події.
Далі до клієнта mIRC підключається спеціальний файл настройок, який дозволяє керувати інфікованим комп'ютером, завантажувати і закачувати на інфікований комп'ютер файли, підслуховувати "приватні" розмови в mIRC і т.д.
Ось основні способи розповсюдження вредноносних програм, всі вони розраховані на досить велику кількість користувачів. Однак в конкретних випадках, коли зловмисникові необхідно отримати доступ до системи будь-якої організації в хід можуть піти і підкуп одного з молодших співробітників, і написання програми, спеціально розрахованим на слабкості встановленої в організації ОС (знаючи яка ОС і які засоби захисту стоять в організації , зловмисник може поставити собі такі ж і змінювати код вірусу / трояна / хробака до тих пір, поки засоби захисту не перестануть на нього реагувати). 
Як це зробити?
Наприклад: - "Ви не набридло чекати завантаження сторінок в браузері?
Html?