БОГДАНЧИКОВ М.В,
Национальный горный университет
ТИПОЛОГИЯ ТРОЯНСКИХ КОНЕЙ BACKDOOR
Троянский конь — это
программа, которая предоставляет посторонним доступ к компьютеру для совершения
каких-либо действий на месте назначения без предупреждения самого владельца
компьютера либо высылает по определенному адресу собранную информацию. При этом
она, как правило, выдает себя за что-нибудь мирное и чрезвычайно полезное.
Наибольшее распространение получили троянские кони типа backdoor:
Утилиты скрытого (удаленного) администрирования (backdoor — с англ.
"задняя двеpь").
Троянские кони этого
класса по своей сути являются достаточно мощными утилитами удаленного
администрирования компьютеров в сети. По своей функциональности они во многом
напоминают различные системы администрирования, разрабатываемые известными
фирмами — производителями программных продуктов. Единственная особенность этих
программ заставляет классифицировать их как вредные троянские программы:
отсутствие предупреждения об инсталляции и запуске.
При запуске троянец
устанавливает себя в системе и затем следит за ней, при этом пользователю не
выдается никаких сообщений о действиях троянца в системе. Более того, ссылка на
троянца может отсутствовать в списке активных приложений. В результате
"пользователь" этой троянской программы может и не знать о ее присутствии
в системе, в то время как его компьютер открыт для удаленного управления.
Современные утилиты
скрытого администрирования (backdoor) достаточно просты в использовании. Они
обычно состоят главным образом из двух основных частей: сервера (исполнитель) и
клиента (управляющий орган сервера).
Сервер — это исполняемый
файл, который определенным образом внедряется на вашу машину, загружается в
память одновременно с запуском windows и выполняет получаемые от удаленного
клиента команды. Сервер отправляется жертве, и в дальнейшем вся работа ведется
через клиента на компьютере хакера, т.е. Через клиента посылаются команды, а
сервер их выполняет. Внешне его присутствие никак не обнаруживается. После
запуска серверной части трояна на компьютере пользователя резервируется
определенный порт, отвечающий за связь с интернетом.
После этих действий
злоумышленник запускает клиентскую часть программы, подключается к этому
компьютеру через открытый в онлайне порт и может выполнять на вашей машине
практически любые действия (это ограничивается лишь возможностями используемой
программы). После подключения к серверу управлять удаленным компьютером можно
практически как своим: перезагружать, выключать, открывать cd-rom, удалять,
записывать, менять файлы, выводить сообщения и т.д. На некоторых троянах можно
изменять открытый порт в процессе работы и даже устанавливать пароль доступа
для "хозяина" данного трояна. Существуют также трояны, которые
позволяют использовать "затрояненную" машину в качестве
прокси-сервера (протоколы http или socks) для сокрытия реального ip-адреса
хакера.
В архиве такого трояна
обычно находится 5 следующих файлов: клиент, редактор для сервера
(конфигуратор), сервер трояна, упаковщик (склейщик) файлов, файлы документации.
У него достаточно много функций, среди которых можно выделить следующие:
1) сбор информации об операционной системе;
2) определение кэшированных и dial-up-паролей, а также паролей популярных
программ дозвона;
3) нахождение новых паролей и отправка другой информации на е-mail;
4) скачивание и запуск файлов по указанному пути;
5) закрывание окон известных антивирусов и файрволлов при обнаружении;
6) выполнение стандартных операций по работе с файлами: просмотра, копирования,
удаления, изменения, скачивания, закачивания, запуска и воспроизведения;
7) автоматическое удаление сервера трояна из системы через указанное количество
дней;
8) управление cd-rom, включение/отключение сочетания клавиш ctrl+alt+del,
просмотр и изменение содержимого буфера обмена, сокрытие и показ таскбара,
трея, часов, рабочего стола и окон;
9) установление чата с жертвой, в т.ч. Для всех пользователей, подключенных к
данному серверу;
10) отображение на экране клиента всех нажатых кнопок, т.е. Имеются функции
клавиатурного шпиона;
11) выполнение снимков экрана разного качества и размера, просмотр определенной
области экрана удаленного компьютера, изменение текущего разрешения монитора.
Трояны скрытого
администрирования и сейчас наиболее популярны. Каждому хочется стать
обладателем такого трояна, поскольку он может предоставить исключительные
возможности для управления и выполнения различных действий на удаленном
компьютере, которые могут напугать большинство пользователей и доставить уйму
веселья хозяину трояна. Очень многие используют трояны для того, чтобы просто
поиздеваться над кем-нибудь, выглядеть в глазах окружающих
"суперхакером", а также для получения конфиденциальной информации.
Литература:
1. Касперски К.
Компьютерные вирусы изнутри и снаружи. – СПб.: Питер, 2006. -507 с.: ил.
2. Касперски К. Записки
исследователя компьютерных вирусов. – СПб.: Питер, 2005. -507 с.: ил.