Троянская программа

Свое общее название троянские программы получили за сходство механизма проникновения в компьютер пользователя со способом, описанным в эпизоде Одиссеи, рассказывающем о «Троянском коне» — подаренном деревянном коне, который греки использовали для проникновения в Трою, что и стало причиной её падения. В коне, подаренном в знак лже-перемирия, прятались воины Одиссея, ночью выбравшиеся наружу и открывшие ворота основным силам объединённой греческой армии. Больша́я часть троянских программ действует подобным образом — маскируется под безвредные или полезные программы, чтобы пользователь самостоятельно запустил их на своем компьютере. Считается, что первым этот термин в контексте компьютерной безопасности употребил в своём отчёте «Computer Security Technology Planning Study» Дэниэл Эдвардс, сотрудник АНБ^[1].

Целью троянской программы может быть:

• закачивание и скачивание файлов;
• копирование и подача пользователю ПК ложных ссылок, ведущих на поддельные веб-сайты, чаты или другие сайты с регистрацией;
• создание помех работе пользователя;
• кража данных, представляющих ценность или тайну, в том числе информации для аутентификации, для несанкционированного доступа к ресурсам, сбор информации о банковских счетах;
• распространение других вредоносных программ, чаще всего таких, как вирусы или черви;
• уничтожение данных (стирание или переписывание данных на диске, малозаметные повреждения файлов) и оборудования, выведение из строя или отказа обслуживания компьютерных систем, сетей;
• сбор адресов электронной почты и использование их для рассылки спама;
• слежка за пользователем и тайное сообщение злоумышленникам о посещении конкретных сайтов;
• регистрация нажатий клавиш с целью кражи информации (пароли, номера кредитных карт и т.д.);
• дезактивация или создание помех работе антивирусных программ и файервола;
• самоутверждение создателя вируса.

Троянские программы распространяют злоумышленники-инсайдеры, которые непосредственно загружают вредоносное ПО в компьютерные системы или сами пользователи, которых обманом побуждают загрузить или запустить трояна в своей системе.

Для достижения последнего злоумышленники помещают троянские программы на открытые или индексируемые ресурсы (файл-серверы и системы файлообмена) или носители информации, присылают с помощью служб обмена сообщениями (например, электронной почтой). Также трояны попадают на компьютер через бреши безопасности или загружаются самим пользователем с адресов, полученных одним из перечисленных способов.

Иногда использование троянов является лишь частью спланированной многоступенчатой атаки на определённые компьютеры, сети или ресурсы (в том числе, третьи).

Троянские программы обычно имеют следующие расширения:

• .exe, .com, .appimage (под видом игр, офисных приложений и других легальных программ, расширение может быть не видно, если в Windows отключено отображение расширений, возможны файлы с «двойным» расширением, например, image.jpg.exe. Программы после запуска могут работать скрытно);
• .js, .vbs, .jse, .vbe, .bat, .cmd, .sh (скрипты; расширение может быть не видно, иногда файлы этих форматов можно прочитать в редакторе кода);
• .html, .htm, .shtml, .shtm, .xhtml, .xht, .hta (HTML документы; могут скачивать вирусы и другие вредоносные программы из Интернета, перенаправлять на вирусные и ложные сайты; файлы .hta работают вне браузера и могут выполнять опасные действия непосредственно на компьютере);
• .pif (ярлык с возможностью выполнения вредоносных действий);
• .docm, .xlsm и т. п. (в электронных документах могут быть опасные макросы, обычно расширение заканчивается на «m»);
• .xml, .xsl, .svg, .xaml (XML-документы, аналогично HTML);
• .cab и прочие установщики элементов ActiveX (Устанавливаются скрытно, маскируясь под плагин для воспроизведения мультимедиа. Примеры: Zlob; RSPlug^[англ.]; DNSChanger^[англ.])
• .scr (программа, работающая зачастую скрытно);
• некоторые другие.

Троянская программа может имитировать имя и иконку существующей или несуществующей программы, компонента, или файла данных (например, картинки), как для запуска пользователем, так и для маскировки в системе своего присутствия.

Троянская программа может в той или иной мере имитировать или даже полноценно выполнять задачу, под которую она маскируется (в последнем случае вредоносный код встраивается злоумышленником в существующую программу).

В целом, троянские программы обнаруживаются и удаляются антивирусным и антишпионским ПО точно так же, как и остальные вредоносные программы.

Троянские программы хуже обнаруживаются контекстными методами основанных на поиске известных программ антивирусов, потому что их распространение лучше контролируется, и экземпляры программ попадают к специалистам антивирусной индустрии с бо́льшей задержкой, нежели самопроизвольно распространяемые вредоносные программы. Однако эвристические (поиск алгоритмов) и проактивные (слежение) методы для них столь же эффективны.

• Вредоносная программа
• VirusTotal
• Лаборатория Касперского