Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Programy trojańskie


Konie trojańskie można zaklasyfikować według czynności, jakie wykonują na zaatakowanych komputerach:

Backdoor (narzędzia zdalnej administracji)

Obecnie backdoory są najgroźniejszym i najbardziej rozpowszechnionym typem trojanów. Są to narzędzia zdalnej administracji, które pozostawiają zainfekowane komputery otwarte na kontrolę z zewnątrz poprzez sieci lokalne lub Internet. Działają w taki sam sposób, co legalne programy zdalnej administracji stosowane przez administratorów. Z tego względu często są trudne do wykrycia.

Jedyna różnica między legalnym narzędziem administracji, a backdoorem polega na tym, że backdoory są instalowane i uruchamiane bez wiedzy lub zgody użytkownika zaatakowanego komputera. Po uruchomieniu backdoor monitoruje system lokalny bez wiedzy użytkownika. Backdoory często nie są widoczne na liście aktywnych procesów.

Po skutecznym zainstalowaniu i uruchomieniu narzędzia zdalnej administracji zaatakowany komputer pozostaje otwarty. Funkcje backdoorów obejmują:

  • Wysyłanie i odbieranie plików;
  • Usuwanie plików;
  • Uruchamianie plików;
  • Wyświetlanie powiadomień;
  • Usuwanie danych;
  • Ponowne uruchamianie komputera.

Innymi słowy, twórcy szkodliwego oprogramowania wykorzystują backdoory w celu wykrycia i ściągnięcia poufnych informacji, uruchomienia złośliwego kodu, zniszczenia danych, włączenia komputera do sieci zainfekowanych komputerów (botnetów) itd. W skrócie, backdoory łączą w jednym pakiecie funkcje większości innych rodzajów trojanów.

Istnieje jedna szczególnie niebezpieczna podklasa backdoorów: warianty te mogą rozprzestrzeniać się jak robaki. Jedyna różnica polega na tym, że robaki zaprogramowane są do ciągłego rozprzestrzeniania, podczas gdy rozprzestrzenianie tych "mobilnych" backdoorów wywoływane jest specjalnym poleceniem ich "twórcy".

Trojan

Ta luźna kategoria obejmuje szereg różnych trojanów, które uszkadzają zaatakowane komputery i zagrażają integralności danych lub utrudniają działanie komputera.

Do tej grupy należą również trojany wielofunkcyjne, ponieważ niektórzy twórcy szkodliwego oprogramowania nie tworzą pakietów trojanów, lecz raczej trojany wielofunkcyjne.

PSW Trojan (trojany kradnące hasła)

Jest to rodzina trojanów, która kradnie z zaatakowanych komputerów hasła systemowe. Trojany szukają plików systemowych, które zawierają poufne dane, takie jak hasła, numery telefonów, czy informacje związane z dostępem do Internetu, a następnie wysyłają te informacje na adres e-mail zapisany w kodzie trojana. Dane te trafiają do "twórcy" lub użytkownika nielegalnego programu.

Niektóre trojany z kategorii PSW kradną inne rodzaje informacji, takie jak:

  • Informacje o systemie (pamięć, obszar dysku, dane o systemie operacyjnym);
  • Informacje o lokalnym kliencie pocztowym;
  • Adres IP;
  • Dane rejestracyjne;
  • Hasła do gier on-line.

Bardzo liczną, osobną podgrupą trojanów PSW są tzw. Trojany AOL, które kradną hasła związane z AOL (American Online).

Trojan Clicker

Ta rodzina trojanów przekierowuje zaatakowane komputery na wyszczególnione strony WWW lub inne zasoby internetowe. W tym celu trojany wysyłają niezbędne polecenia przeglądarkom lub zastępują pliki systemowe, w których przechowywane są standardowe adresy URL (np. plik hosts w systemie MS Windows).

Trojany te stosowane są w celu:

  • Zwiększenia liczby wyświetleń określonej strony (np. reklamowej);
  • Przeprowadzania ataków DoS na określony serwer lub stronę;
  • Skierowania ofiary na zainfekowane zasoby, skąd komputer zostanie zaatakowany przez inne złośliwe programy (wirusy lub trojany);

Trojan Downloader

Jest to rodzina trojanów, które ściągają z Internetu i instalują na komputerze ofiary nowe złośliwe programy lub programy typu adware. Zainstalowany szkodliwy program jest następnie uruchamiany lub rejestrowany w celu zapewnienia aktywacji wraz z każdym startem systemu operacyjnego. Wszystkie te czynności wykonywane są bez wiedzy i zgody użytkownika.

Nazwy i adresy ściąganych złośliwych programów są najczęściej zapisane w kodzie trojana.

Trojan Dropper

Trojany te instalują inne złośliwe programy (przechowywane w kodzie samych dropperów) na komputerach ofiary bez wiedzy użytkownika. Przy instalowaniu dodatkowej funkcji droppery nie wyświetlają żadnego powiadomienia (czasem na ekranie ukazuje się fałszywa wiadomość o wystąpieniu błędu w spakowanym pliku lub systemie operacyjnym). Nowy złośliwy program "zrzucany" jest do określonej lokalizacji na dysku lokalnym, a następnie uruchamiany.

Droppery posiadają zazwyczaj następującą strukturę:

Główny plik
Główny kod droppera
Plik 2
Pierwszy "ładunek"
File 2
Drugi "ładunek"
...itd.

Główny kod droppera zawieraja kod instalujący i uruchamiający wszystkie zapisane w nim "ładunki".

W większości przypadków, są to inne trojany i przynajmniej jeden "żart": kawał, gra, grafika itd. Żart ma na celu odwrócenie uwagi użytkownika lub przekonanie go o nieszkodliwości droppera. W rzeczywistości służy on zamaskowaniu instalacji groźnej funkcji dodatkowej.

Poprzez takie programy hakerzy chcą osiągnąć dwa cele:

  1. Ukryć lub zamaskować fakt instalowania innych trojanów lub wirusów.
  2. Oszukać rozwiązania antywirusowe, które nie są w stanie zanalizować wszystkich składników.

Trojany Proxy

Trojany te działają jak serwery proxy i zapewniają anonimowy dostęp do Internetu z zainfekowanych komputerów. Obecnie trojany te są bardzo popularne wśród spamerów, którzy wciąż potrzebują dodatkowych komputerów do masowego rozsyłania wiadomości. Szkodniki z kategorii Trojan Proxy często wchodzą w skład pakietów trojanów, a sieci zainfekowanych komputerów (botnety) sprzedawane są spamerom.

Trojan Spy

Rodzina ta obejmuje szeroki wachlarz programów szpiegujących i keyloggerów, które śledzą i rejestrują czynności użytkownika na zainfekowanym komputerze, a następnie przesyłają te informacje do autora lub użytkownika szkodliwego programu. Trojany szpiegujące zbierają szereg różnorodnych informacji, takich jak:

  • Znaki wprowadzane z klawiatury;
  • Zrzuty zawartości ekranu;
  • Raporty aktywnych aplikacji;
  • Inne czynności użytkownika.

Trojany te używane są zazwyczaj do kradzieży informacji bankowych i finansowych, które wykorzystywane są następnie do dalszych oszustw.

Trojan Notifier

Trojany te informują osobę, która je kontroluje, o zainfekowanym komputerze. Trojany potwierdzają, że komputer został skutecznie zainfekowany i przesyłają informacje o nim, takie jak adresy IP, numery otwartych portów, adresy e-mail itd. Informacje te mogą być przesyłane za pomocą poczty elektronicznej, na stronę WWW osoby kontrolującej rozprzestrzenianie trojanów lub poprzez komunikatory internetowe.

Trojany powiadamiające wchodzą zazwyczaj w skład pakietu trojanów i stosowane są wyłącznie do informowania osoby kontrolującej ich rozprzestrzenianie o skutecznym zainstalowaniu trojana na atakowanym komputerze.

ArcBomb

Trojany te mają postać archiwów, w które zostały zakodowane w celu sabotowania programów rozpakowujących. "Wybuch" bomby trojana spowoduje spowolnienie działania zainfekowanego komputera, awarię albo zapełnienie dysku nic nieznaczącymi danymi. Trojany typu ArcBomb są bardzo groźnie dla serwerów, szczególnie gdy dokonują one automatycznego przetworzenia wstępnego odbieranych danych: w takich wypadkach, ArcBomb może spowodować awarię serwera.

Istnieją trzy rodzaje trojanów ArcBomb: nieprawidłowy nagłówek archiwum, powtarzające się dane i seria identycznych plików w archiwum.

Nieprawidłowy nagłówek archiwum lub uszkodzone dane mogą spowodować awarię programu rozpakowującego zarówno podczas otwierania, jak i rozpakowywania zainfekowanego pliku.

Duży plik zawierający powtarzające się dane może zostać spakowany do bardzo małego archiwum: 5 gigabajtów można spakować do 200 KB przy pomocy RAR i do 480 KB w formacie ZIP.

Co więcej, istnieją specjalne technologie umożliwiające pakowanie ogromnej liczby identycznych plików do jednego archiwum bez znacznego modyfikowania rozmiaru samego archiwum: na przykład, można spakować 10100 identycznych plików do 30 KB pliku RAR lub 230 KB pliku ZIP.