Компьютерра, 2006 № 35 (655) - [15]
Автор: Андрей Васильков
Нелегкой оказалась судьба троянцев, понадеявшихся на единственное средство защиты — неприступные стены. В течение десяти лет греческие войска под предводительством Агамемнона и Менелая осаждали Трою. Все попытки штурмовать оказались тщетными, и тогда Одиссей предложил проникнуть в город хитростью…
Согласно преданию, греки изготовили большую деревянную статую коня, внутрь которой забрался отряд самых лучших бойцов. Далее греческое войско имитировало отступление. А единственный из оставшихся данайцев, родственник коварного Одиссея Синон, сдался в плен, возвестив о «даре в знак уважения» геройскому сопротивлению троянцев, и проследовал вместе с огромной статуей в город, где уже начиналась подготовка к празднику… Ночью Синон выпустил из деревянного коня «спецназовцев», которые перебили стражу и открыли ворота, впустив основные силы греков. Город был мгновенно разграблен и сожжен вместе со всеми оборонявшимися троянцами [Лишь небольшой группе жителей во главе с Энеем удалось сбежать в Италию], излишне понадеявшимися на мощь крепостных стен и покровительство Аполлона. Греческий (позже его стали называть троянским) конь навеки стал символом скрытого вторжения, которому помогают сами жертвы.
Удивительно, что за прошедшие с тех пор века люди так ничему и не научились. Истории с «подарками», использовавшимися против своих владельцев, повторялись вновь и вновь. Взять хотя бы деревянного орла (выполненного в виде герба США), подаренного американскому послу в 1946 году. Этот презент провисел в его рабочем кабинете шесть лет, и лишь случайно выяснилось, что внутри резного дара спрятан жучок, а КГБ слышит все, что говорится в комнате.
Сегодня аналогичным способом злоумышленники получают контроль над компьютерами своих жертв. Под видом утилиты или любопытного медиафайла пользователь получает трояна, которого сам же (не ведая того) и устанавливает на свой компьютер.
В последние годы пишется все больше троянских коней и отдельных специализированных троянских компонентов. Пик их роста пришелся на второй-третий квартал 2004 года. Тогда было зарегистрировано аномальное (пятикратное) увеличение числа троянов. Сейчас темп снизился, но продолжает оставаться впечатляющим.
В качестве примера неожиданных проблем, поджидающих пользователя инфицированного ПК, можно привести заражение системы старыми вирусами Ment 1258 и 13172. Они занимались тем, что постоянно названивали через модем на телефонный номер «02». Через какое-то время дежурному надоедало слышать в трубке модемное шипение, и он отправлял наряд милиции на предмет установления личности шалуна и его вразумления. Это сейчас про вирусы и трояны говорят на каждом шагу. Тогда же не каждое отделение милиции имело компьютеры…
По меткому замечанию одного из членов группы сDс [Cult of Dead Cow — авторы самого известного трояна/бэкдора BackOrifice (и его последующей модификации Back Orifice 2000)], «Back Orifice дает атакующему больше возможностей, чем если бы он непосредственно сидел за компьютером жертвы». Учитывая ничем не ограниченную функциональность BO (он поддерживает плагины), это заявление скорее истина, нежели бравада.
Классификация троянских коней — дело неблагодарное. Особенно в свете наметившихся тенденций к слиянию, гибридизации различных методик ведения информационных войн и конкурентной борьбы. Трояны, бэкдоры, сетевые черви, почтовые спам-роботы и сборщики данных запросто могут быть слиты воедино, породив жутких кибермонстров — была бы цель и конкретная жертва. И все же рабочая классификация необходима. Попробуем создать ее прямо сейчас, исходя из известных данных и здравого смысла.
По способу существования выделяют троянов, представляющих собой самостоятельные файлы, и тех, которые внедряют свои тела (инфицируют) в уже имеющиеся, чаще всего системные файлы. Первые не подлежат лечению, так как лечить нечего — надо удалять файл целиком.
В зависимости от целей вторжения различают:
1. Бэкдоры (утилиты скрытого удаленного администрирования, remote access tool — RAT).
2. Деструктивные (Trojan Flash-Killer и т. п.).
3. Похищающие приватную информацию (data miners/data collectors). Здесь можно выделить подклассы троянов, которые:
крадут всевозможные пароли (PWD Steal);
отсылают своему хозяину данные банковских счетов жертвы (аккаунтов Web Money, кредитных карт и т. п.) [Юрий Машевский называет их «banker» в своей статье «Перелом в развитии вредоносных программ»];
похищают документы (особенно актуально для ЛВС предприятий);
протоколируют и отсылают лог всех клавиатурных нажатий и (опционально) скриншоты с атакуемого ПК (keyloggers).
4. Созданные для формирования сетей «зомбированных компьютеров» и использования их для проведения распределенных атак по типу «отказ в обслуживании» (DDoS).
5. Написанные для сбора адресов e-mail и рассылки спама (SPAM). Они частично пересекаются с представителями третьего класса, так как почтовые адреса ваших знакомых тоже являются приватной информацией.
6. Вымогающие деньги у жертвы посредством зашифровывания данных на диске пользователя и последующего «предложения» расшифровать их за плату (Crypto trojans and viruses — отдельное направление, получившее мощный толчок к развитию после распространения ассиметричной криптографии [Если вирусописатель использует обычный симметричный алгоритм, то написать дешифратор разработчикам антивирусов будет довольно просто: пароль (ключ) будет либо одинаковый на всех файлах, либо предсказуемо модифицирующийся. А вот ассиметричные алгоритмы с открытым и секретным ключом (RSA, Эль-Гамаля, Мак-Элиса, PGP) поднимают крипто-вирусологию на качественно иной уровень]).
