Данная книга была написана под руководством литературного агентства «Сигма+» по заказу Лаборатории Касперского. Однако в дальнейшем, по словам литературного агентства «Сигма+», Лаборатория Касперского «передумала» платить за уже написанную книгу, которая до этого им нравилась. И гонорар мне так и не был выплачен. Как думаете, почему?

Что бы вы ни думали, но наибольший вред спокойствию пользователя могут нанести не вирусы, а троянские программы. Вирусы тихо и мирно уничтожают информацию пользователя. А вот троянские программы замахнулись на самое святое — наши логины и пароли к Интернету, Интернет-магазинам, веб-интерфейсам наших счетов в банках, а также на другую конфиденциальную информацию.

Конечно, троянские программы делают не только это. Но, без сомнения, на сбор конфиденциальной информации ориентировано большинство троянских программ. Для такого типа троянских программ даже придумали свое собственное название — spyware. И к этому типу относятся троянские программу множества классов, например, классы Trojan-PSW и Trojan-Spy. Кроме того, под тип Spyware подпадают и другие нежелательные программы, а не только троянские программы.

Вы глубоко заблуждаетесь, если считаете что шпионские программы используется только для того, чтобы красть учетные данные для доступа к банковским счетам и Интернету. На прицеле у хакеров не только сведения реального мира — также их интересует все, что связано с виртуальными игровыми мирами. Так, по данным антивирусной компании Kaspersky Labs в 2008 году было обнаружено более 30 000 вредоносных программ, направленных на кражу игровых аккаунтов и виртуальной собственности.

Но что же такое троянская программа? Можно было бы сказать, что это вирус, который не умеет размножаться. Такое определение было бы правильным, но не полным. Троянская программа — это отдельная программа или скрытая функциональность в полезной программе, направленная на сбор конфиденциальной информации, или на использование мощностей вашего компьютера в целях злоумышленника.

Чтобы лучше понять излюбленный способ размножения троянских программ, давайте еще раз повторим наиболее важную часть предыдущего абзаца — «скрытая функциональность в полезной программе». Например, вы нашли в Интернете какую-то отличную игру. Устанавливаете ее на своем компьютере. Игра действительно оказалась замечательной и вы постоянно в нее играете. А в это время троянская функциональность, скрытая в этой игре, совершает свои грязные дела…

В последнее время у троянских программ появился еще один излюбленный способ распространения. Вы нажимаете на какую-то ссылку для просмотра видео, либо пытаетесь воспроизвести видеофайл на своем компьютере, и вам сообщается, что для воспроизведения файла нужно скачать из Интернета специальный кодек. Естественно, в качестве кодека выступает троянская программа.

Троянские программы разработаны не только для настольных операционной систем (Windows, Unix, MacOS). Например:

• август 2000 года — обнаружена первая троянская программа для операционной системы PalmOS карманных компьютеров Palm Pilot (троян Liberty);
• августа 2004 год — обнаружена первая троянская программа (Brador) для компьютеров PocketPC на базе Windows CE или более новых версий Windows Mobile;
• февраль 2006 год — первая троянская программа (RedBrowser) для мобильных телефонов, способных исполнять Java-приложения (J2ME).

Категории троянских программ

Как и черви, троянские программы бывают разные. Но различия в троянских программах заключаются не в том, как они распространяются, а в том, что именно они делают на зараженном компьютере.

Backdoor Этот класс троянских программ чувствует себя на вашем компьютере как дома. Если вы знаете, что такое программа для удаленного администрирования, тогда вы должны в общих чертах понимать возможности троянских программа класса backdoor. Такие троянские программы также предназначены для удаленного администрирования, однако они устанавливаются без вашего ведома и согласия. Да и предназначены они не для того, чтобы помочь вам управлять своим компьютером, а для того, чтобы помочь злоумышленнику управлять вашим компьютером.

Возможности данного класса троянских программ зависят только от фантазии и квалификации разработчика — они могут принимать и посылать файлы, предоставлять доступ к файловой системе и реестру вашего компьютера, командной строке, изображению на экране (тому, чтобы вы видите на своем экране). И даже могут позволить злоумышленнику управлять вашим компьютером с помощью мыши и клавиатуры, как будто он в данный момент находится за вашим компьютером.

Большинство троянских программ класса backdoor открывают свой порт на компьютере жертве для того, чтобы злоумышленник мог подключиться. Именно по этим признакам и можно определить, что на компьютере творится что-то неладное.

Trojan-PSW Вот они, виновники многих жизненных трагедий. Те, кого ненавидят даже больше, чем Билла Гейтса. Именно они воруют наши пароли, нашу информацию, наши тайны. Они ничего не стесняются. Им нужно все — данные о системе, номера телефонов, адреса электронной почты, пароли доступа к Интернету, пароли ICQ, вообще все пароли, и даже регистрационная информация от лицензионных программ, установленных на вашем компьютере. Все это собирается данными троянскими программами и отправляется злоумышленнику по электронной почте.

Trojan-Clicker А эти троянские программы просто напросто пытаются заставить вас открыть определенный сайт или Интернет-страницу. Для этого они могут установить ее в качестве домашней страницы браузера, подменить IP-адрес какого-то популярного сайта на IP-адрес нужной страницы (с помощью файла hosts), либо же воспользоваться другими методами.

Зачем им это нужно? По разным причинам. Например:

• повысить посещаемость какого-то сайта (накрутить счетчик посетителей);
• организовать DDOS-атаку на сайт;
• заманить вас на инфицированный сайт, с которого в дальнейшем ваш компьютер будет заражен вирусом или сетевым червем.

Trojan-DDoS Основное назначение данной троянской программы — создать из вашего компьютера помощника, одного из безликой армии ботов, которые в определенный момент организуют DDOS-атаку на сайт-жертву.

Как, вы не знаете что такое DDOS-атака? Но ведь это было безумно популярной темой в 2001-2003 годах. В то время даже бабушку возле подъезда судачили о DDOS-атаках.

Ну что ж, DDOS-атака (Distributed Denial of Service, распределенный отказ в обслуживании), это способ вывести из строя определенный сайт в Интернете. Вы, наверное, уже заметили, что каждый пользователь, подключенный к Интернету, ограничен пропускной способностью линии связи. Именно она не дает вам скачать за одну секунду какой-нибудь фильм. И поэтому вам приходится тратить на это минуты, часы, а иногда и дни. Любой сайт также ограничен пропускной способностью. Правда, у сайтов пропускная способность гораздо больше, чем у вашего подключения к Интернету. Поэтому некоторым сайтам вполне под силу скачать из Интернета фильм за несколько секунд. Но, тем не менее, их пропускная способность конечна. И чем больше посетителей одновременно работают с сайтом, тем меньше скорость, с которой сайт может передавать вашему браузеру информацию.

Например, если пропускная способность сайта равна 33 Мбит/сек (для примера), то при обслуживании одного пользователя (допустим, пользователь скачивает какой-то файл) он сможет передать данные со скоростью 33 Мбит/сек. При одновременном обслуживании 33 пользователей сайт сможет вернуть данные со скорость в 1 Мбит/сек. А при обслуживании 333 пользователей? Да что там 333, с помощью DDOS-атаки на сайт можно одновременно направить и 333 000 и даже несколько миллионов посетителей. А уж с таким трафиком вряд ли справится какой-либо сайт.

Несмотря на то, что вашей информации и вашей жизни ничего не угрожает, следует остерегаться таких троянских программ (мама сказала, чтоб я с ними не дружил), ведь:

• во время DDOS-атаки ваш компьютер породит огромный сетевой трафик, а это чревато большим счетом за пользование Интернетом (если у вас не безлимитный Интернет);
• к вам в любой момент могут ворваться разъяренные защитники правопорядка, и арестовать, если не вас, то ваш компьютер.

Trojan-Downloader А этот класс троянских программ подобен бомбардировщикам. Он предназначен лишь для того, чтобы скачать и установить на ваш компьютер вирусы, другие троянские программы, или любые другие нежелательные программы.

Trojan-Dropper Еще один класс троянских программ, направленный на установку вирусов и других нежелательных программ. Эти троянские программы ничего не скачивают — в их составе уже есть та нежелательная программа, которую нужно установить. И при попытке запустить такую троянскую программу начинается процесс инсталляции, который чаще всего завершается ошибкой. И нерадивый пользователь даже не подозревает, что в это время в фоновом режиме на его компьютер была удачно установлена еще одна программа, которая ему совершенно не нужна.

Иногда такие троянские программы действительно помимо нежелательных программ устанавливают что-то полезное. Но не потому, что они такие добрые и пушистые, а только для того, чтобы скрыть установку нежелательной программы.

Конец января 2008 года — именно этого времени с трепетом, ужасом и робкой надеждой ожидал 25-летний хакер, осужденный по трем статьям УК РФ. А сделал он не очень много. Просто скачал троянскую программу. Просто внедрил ее в другую программу. А потом просто выложил в файлообменную сеть бесплатную программу с такой «ядерной начинкой». Ну и, в самом конце, просто использовал пароли для доступа в Интернет, добытые троянской программой у доверчивых пользователей, позарившихся на бесплатный сыр в мышеловке.

Примерно за 2-3 месяца на компьютере у нашего хакера скопилось около 400 логинов и паролей доверчивых пользователей. Кстати, а вы, случайно, в последнее время никаких бесплатных программ с Интернета не скачивали?

Trojan-Notifier Троянские программы данного типа сообщают своему хозяину о заражении компьютера, а также передают ему сведения о конфигурации и настройках зараженного компьютера.

Trojan-Proxy Вы знаете, что такое прокси-сервер? Это компьютер, через который можно выйти в Интернет или работать с другой сетью. Наиболее интересны анонимные прокси-сервера. Они позволяют пользователю, который работает в Интернете через такой прокси-сервер, скрыть свой IP-адрес. Точнее, не скрыть, а заменить IP-адрес своего компьютера на IP-адрес прокси-сервера.

Вот именно анонимный прокси-сервер и создают из вашего компьютера троянские программы данного типа. Чем это чревато для вас? А вот представьте, что какой-то хакер решил украсть из банка несколько миллионов долларов, и чтобы скрыть свой реальный IP-адрес, он решил воспользоваться анонимным прокси-сервером, в который ранее был превращен ваш компьютер. Естественно ему это удалось, и естественно об этом узнала служба безопасности банка. Естественно, что в логах компьютера банка они нашли IP-адрес вашего компьютера. И совершенно естественно, что через очень непродолжительный период времени у вас выключат свет, выбьют окна и двери, и попросят пройти вместе с людьми в масках в ближайшее отделение милиции/полиции. И там вам еще очень долго будут задавать глупые вопросы наподобие «Кто ваши сообщники» и «Где деньги».

Также анонимный-прокси сервер, в который переквалифицировался ваш компьютер, может использоваться для рассылки спама. И за это вас, между прочим, тоже не погладят по головке. Особенно в наше время, когда по новостям только и рассказывают, как очередного спамера присудили к нескольку годам тюрьмы и штрафу в размере несколько сотен тысяч долларов.

Trojan-Spy Этот класс троянских программ, как и свои собраться, никаких хороших дел не совершает — деревья и цветы не сажает, бабушек через дорогу не переводит. Вместо этого он шпионит за всем, что вы делаете на своем компьютере: сохраняет и передает злоумышленнику все, что вы набрали на клавиатуре, передает снимки экрана вашего компьютера, а иногда даже и аудиоданные/видеоданные, если к вашему компьютеру подключен микрофон/видеокамера.

Конечно, есть на свете извращенцы, которым доставляет огромное удовольствие следить за тем, что делает другой пользователь за компьютером. Но поверьте, такие троянские программы создают не они. Этот класс троянских программ создается для тех же целей, что и программы класса Trojan-PSW. Они предназначены для перехвата логинов и паролей, которые вы вводите с клавиатуры.

Более продвинутые троянские программы класса Trojan-Spy не перехватывают все подряд. Они ждут момента, когда пользователь откроет какую-то страницу с формой для ввода банковских реквизитов, и только после этого начинают перехватывать нажатия клавиатуры и делать снимки экрана. Для того чтобы определить, какую страницу открыл пользователь, такие троянские программы сверяют заголовок открытой страницы со списком заголовков банковских страниц, который хранится в теле троянского программы.

А некоторые троянские программы данного класса самостоятельно отображают перед пользователем страницу для ввода логина и пароля для доступа к банковскому счету.

Rootkit Этот термин пришел к нам из мира Unix. В этом мире термином rootkit называют программу или скрытую функциональность в программе, которая предоставляет всем, кто знает о такой функциональности, возможность быстро и легко получить права администратора в системе.

В мире Windows под термином rootkit понимают совершенно другое. А именно, троянскую программу, которая способна скрывать присутствие в системе различных объектов. Например, такие программы способны скрывать отдельные ветви реестра, отдельные файлы, отдельные работающие процессы.

Как правило, троянские программы типа rootkit устанавливаются в системе в качестве драйверов, загружающихся на этапе включения компьютера. Хотя есть и другие способы их установки. Например, в начале 2008 года был обнаружен rootkit, который заражал главную загрузочную запись (MBR) жесткого диска.

Примеры троянских программ

Для того чтобы лучше понять, что могут натворить троянские программы, давайте рассмотрим назначение некоторых из них.

• SINOWAL.FY. Шифрует файлы на зараженном компьютере и требует деньги за утилиту для их расшифровки.
• SOHANAT.DB. Подменяет страницы некоторых поисковых систем в Интернете на страницу поисковой системы Google. Причем, все результаты поиска на такой странице будут вести на порнографические веб-сайты или сайты, зараженные вредоносными программами.
• ATTACHMSNGR.G. Записывает нажатые клавиши, перемещения мыши, а также сохраняет ваши разговоры в клиенте мгновенного общения MSN Messenger.
• LIVEDEATH.A. Открывает командную строку и задает пользователю множество вопросов. Независимо от ответов, которые вы дадите, в конце программа выключает компьютер.
• MONARONADONA. Попав на компьютер программа заносит себя в список программ, автоматически запускаемых при входе в систему. После этого троян завершает работу всех приложений, в заголовке которых есть текст Google Talk, Adobe, WMP, Winamp, Microsoft Office, Messenger. А кроме того, троян меняет стартовую страницу браузера Internet Explorer на статью в Википедии о правах человека. Но не это самое интересное. Самое интересно в том, что пользователи, которые попытались бы найти информацию о троянской программе в Интернете, обнаружили бы ссылку на сайт с предложением купить антивирусную программу, предназначенную для удаления данной троянской программы. При этом на сайте утверждалось, что никакая другая антивирусная программа удалить данный вредоносный код не сможет. Вот такие дружеские отношения между вредоносным кодом и антивирусной программой.
• ZEUS. Наверное, это первая вредоносная программа, которая распространяется вместе с лицензионным соглашением. В EULA данной вредоносной программы говорится, что клиент не имеет права распространять программу, а все обновления, не связанные с ошибками в работе, будут выпускаться только за деньги. А если жертва не выполнит пункты пользовательского соглашения, тогда зараженный компьютер лишится технической поддержки, а вредоносная программа будет отправлена антивирусным компаниям. Вот такие они шутники, разработчики.
• TROJAN.BAT.KILLWIN.DG. Очень маленькая троянская программа (всего 15 Кбайт) с поистине огромными возможностями. Ей под силу невозможное — удалить операционную систему Windows с диска.
• TROJAN.BAR.TINY.A. Очень-очень маленькая троянская программа (всего 31 байт). Она ищет и запускает все найденные на зараженном компьютере исполняемые файлы.
• TROJAN.BAT.KILLALL.AN. Очень-очень-очень маленькая троянская программа (всего 20 байт). Она просто уничтожает все файлы на диске.
• TROJAN.WIN32.HARADONG.GA. Если бы среди троянских программ проводились соревнования на звание «Мистер Бодибилдер», то данная программа в них несомненно победила бы. А вы сомневаетесь? И зря — 200 Мбайт стальных мышц и ни грамма жира — это вам не шутки.
• WIN32.NTLDRBOT. Легендарная вредоносная программа, в которой было реализовано огромное количество методов сокрытия в системе. Благодаря этому ни один антивирусный пакет не мог обнаружить данную вредоносную программу в течение нескольких месяцев. Более того, некоторые антивирусные разработчики заявляли, что вредоносная программа Win32.Ntldrbot — просто миф, которого не существует. Самой первой данную вредоносную программу смогла обнаружить антивирусная программа Dr.Web (по сведениям антивирусной компании Доктор Веб).

Автор: Клименко Роман