Троянські програми

Троянські віруси — це комп'ютерні програми, які добре вміють маскуватися під програмні продукти, а насправді виконують різні користувачем дії (збирають та пересилають, змінюють або псують інформацію, використовують ресурси комп'ютера на власний розсуд).

Ці віруси самостійно не розмножуються. Вони видають себе за корисні програми, провокуючи користувача самостійно їх встановити.

Окремі категорії троянських вірусів здатні завдавати збитків віддаленим комп'ютерам та мережам, не порушуючи працездатності зараженого комп'ютера.

Троянські програми представляють дуже велику небезпеку, тому що виконуються вони з привілеями тих користувачів, які мали нещастя їх запустити, і мають доступ до всіх даних цього користувача.

Шкода, яка може заподіяти троянська програма, обмежена лише фантазією її розробника. З найбільш неприємних можливостей слід згадати повне знищення всіх доступних даних або їх аналіз і пересилку результатів аналізу авторові або замовникові трояна. В деяких випадках результат діяльності троянської програми виглядає як цілеспрямована диверсія з боку користувача, що може повести розслідування інциденту по помилковій дорозі.

Програма з прикладу працює таким чином:

1. Шкідник поміщає її в загальнодоступний каталог під ім'ям Is.

2. Користувач входить в цей каталог і виконує команду Is (перегляд поточного каталога).

3. Замість системної команди /bin/Is виконується троянська програма.

4. Троянська програма здійснює шкідливу дію і запускає справжній /bin/Is, поклопотавшись про те, аби відфільтрувати свій запис з лістингу каталога.

Троянська програма на мові shell

#!/bin/sh

# Розмістите цю програму в загальнодоступному каталозі і назвіть її Is

# Скопіювати себе в домашній каталог користувача;

# на цьому місці може стояти і інша шкідлива операція ср $0 ~

/bin/Is $# | /home/badguy/filter_ls $#

Важлива частина програми — модуль, який видаляє файл Is з лістингу поточного каталога, — опущений із-за його складності, адже він повинен аналізувати параметри команди Is і виробляти видалення свого запису різними способами залежно від необхідного формату виведення команди.

Троянська програма може бути реалізована не лише у вигляді самостійного завантажувального модуля, але і у вигляді бібліотеки, що розділяється. Так, в Windows NT 4.0 аж до виходу Service Pack 5 була присутня помилка, що дозволяла зареєструвати DLL, співпадаючу по імені з будь-якою з системних, причому так, щоб при дозволі заслань з інших модулів використовувалася знов зареєстрована бібліотека.

Найбільш відомо двох спеціальних типів троянських програм, частина шкідливих дій яких полягає надалі їх поширенні, а саме віруси і черв'яки. Віруси передбачають цілеспрямований запуск зараженої програми користувачем, черв'яки ж, проникнувши в систему, запускають власний процес розмноження.

Широко поширені в епоху DOS бінарні віруси просто додають свій код до всіх виконуваних модулів, які так чи інакше виявляються у сфері досяжності запущеної копії вірусу.

Проміжне з точки зору класифікації між власне вірусами і черв'яками займають завантажувальні віруси які розміщуються в завантажувальних секторах дискових пристроїв. Завантажувальний вірус реєструє себе як драйвер дискового пристрою і залишається жити в системі, заражаючи всі видаляються носії, що підключаються до системи (дискети, Zip-диски, болванки CD-ROM). Завантаження — найчастіше, помилково — іншої системи із зараженої дискети наводить до зараження нової системи. У сучасних ОС з їх багатоетапним завантаженням і складною архітектурою драйверів завантажувальні віруси представляють декілька меншу небезпеку, чим в епоху MS DOS.

Черв'яки здатні розмножуватися без участі користувачів системи. До зараження черв'яками схильні лише багатопотокові ОС з більш менш розвиненими мережевими сервісами. Заразивши систему, черв'як запускає себе як фоновий процес і починає атаку інших систем, використовуючи фіксований набір відомих проблем в їх системах безпеки. Незрідка черв'як в обов'язковому порядку заражає системи, які довіряють зараженою або просто використовують загальну з нею базу облікових записів, — наприклад, заразивши одну з систем домена Windows NT від імені адміністратора системи, черв'як може штатними засобами встановити себе на всі останні системи того ж домена.