25 июля 2014

Здоровая гиппофобия: доступно о троянских конях

Бизнес

Термин «троянец» имеет весьма любопытное происхождение в кибербезопасности. Он имеет мало общего с жителями древней Трои, на самом деле являясь сокращением от «троянского коня», что несет довольно описательный характер. Как мы знаем еще со школы, оригинальный троянский конь был построен греками, после того как они безуспешно осаждали Трою в течение десяти лет. Деревянная лошадь «исполинского размера» была оставлена перед воротами города, а защитники Трои имели глупость затащить ее внутрь, считая ее подарком. В действительности же тридцать вооруженных бойцов прятались внутри, и на следующую ночь Троя пала.

Теперь троянским конем обычно обозначают нечто на вид доброжелательное или, по крайней мере, безвредное, но скрывающее в себе опасную сущность.

640

И точно так же, как в «легенде», во всех смыслах этого слова, это жертвы сами навлекли на себя горе, вопреки здравому смыслу.

В компьютерной безопасности, троянские кони (или, опять же, просто троянцы) работают точно так же. Подобного рода вредоносные программы — в настоящее время, пожалуй, самый популярный их вид — не пытаются внедряться в другие файлы (как это делают вирусы), не копируют себя безостановочно (как черви), и в большинстве случаев проникают в систему обманом, не без содействия конечных пользователей. Более продвинутые троянцы, однако, могут пользоваться параллельной загрузкой или даже установкой, которые проходят совсем уже без участия пользователя.

Но опять же, в большинстве случаев троянцы проникают в наши системы, потому что мы сами позволяем им это делать.

Первый (в истории) троянец, вырвавшийся «на волю», был создан еще в 1975 году, хотя это была не вредоносная программа, а скорее игра. В апреле 1975 года Джон Уокер, тогда еще будущий создатель Autodesk (САПР, а не компании) написал игру ANIMAL для платформы UNIVAC 1108. Согласно Википедии, «ANIMALзадавала пользователю ряд вопросов, пытаясь угадать животное, загаданное человеком, в то время как сопутствующая программа PERVADE создавала копию себя и ANIMAL в каждом каталоге, к которому пользователь имел доступ. Она распространилась по многопользовательским UNIVAC, когда пользователи с перекрывающимися привилегиями обнаружили игру, а потом и на другие компьютеры после обмена лентами».

Сама программа не причиняла никакого ущерба, но ее «бесконтрольное» распространение действительно делало ее похожей на вредоносную.

Другой давний пример — на сей раз действительно вредоносный троянец «ARF-ARF», появившийся в 1983 году. Вредоносная программа выдавала себя за утилиту сортировки директории дискеты под DOS, что было весьма востребованным функционалом. В те времена DOS не составляла перечень файлов в алфавитном порядке. После того как пользователи устанавливали программу, которая распространялась через сайты BBS, троянец просто удалял все файлы на дискете, очищал экран и выводил на нем ARF-ARF (с намеком на пресловутое сообщение об ошибке Abort, Retry, Fail?).

Троянцы сильно вошли в моду в начале 2000-х годов. Широкополосные соединения становились все доступнее, количество подключенных к сети компьютеров росло, доминирующая операционная система Windows была уязвима, а пользователи часто были еще лишены опыта. Тогда произошли легендарные глобальные пандемии: червя Melissa (1999), ILOVEYOU (2000), AnnaKournikova, Sircam, Code Red, Nimda, Klez (2001). О них по-прежнему хорошо помнят. Но уже не так много людей, очевидно, запомнили RAT (средства удаленного управления), такие как Beast, появившихся в 2002 году и позже.

800

Троянец Zlob, тем не менее, приобрел широкую известность. Впервые он был обнаружен в конце 2005 года под личиной необходимого видеокодека в виде компонента Microsoft Windows ActiveX. Судя по всему, он имел российское происхождение. Английское написание русского слова «жлоб», в зависимости от контекста, — это «придурок» или даже «сволочь» — мерзкая личность, которая делает гадости просто из злобы. Именно это троянец Zlob и делал изначально. После установки он отображал всплывающие окна, похожие на настоящие предупреждения MicrosoftWindows, в которых, однако, заявлялось, что компьютер заражен шпионским программным обеспечением, и уже с согласия пользователя устанавливал фальшивую антишпионскую программу (Virus Heat, MS Antivirus/Antirvirus 2009) с другим троянским конем внутри. Иногда он также загружал вредоносный файл atnvrsinstall.exe, прятавшийся под иконкой в виде щита Windows Security, чтобы закосить под легитимный. Установка этой гадости наносила огромный урон сети, так как еще одна вредоносная программа, которую приводил с собой Zlob, выключала наугад компьютерами с различными комментариями. Ведь это же весело, да?

В противном случае, Zlob является спам-троянцем.

Хуже того, «семейство» Zlob (или лучше сказать его «потомство») превратилось в глобальную проблему с вредоносной программой DNSChanger, которая инфицировала маршрутизаторы и меняла их настройки DNS, чтобы перенаправлять весь трафик через вредоносные хосты. Это привело к большому количеству проблем для конечных пользователей вроде неустранимых всплывающих окон и баннеров со «взрослым контентом». В конце концов, ФБР изъяло хост-серверы DNSChanger, а затем продолжала поддерживать их работу в течение нескольких месяцев, рассылая указания о том, как вывести этого «зверя» из пользовательского ПК.

В глобальную проблему вырос и ZeuS. Впервые обнаруженный в 2007 году троянец крал личную информацию и сначала был целевой банковской вредоносной программой. Исходный код ZeuS «утек» в 2011 году. В настоящее время существует несколько его производных, которые используются для «угона» учетных данных из социальных сетей, электронной почты и финансовых сервисов.

«Основной» ботнет ZeuS был одним из крупнейших в Сети. В настоящее время экспертам приходится иметь дело с целой «галактикой» ботнетов на основе различных производных ZeuS, таких как GameOver ZeuS, который использует зашифрованную пиринговую связь для обмена данными между своими узлами и командными серверами управления, что особенно усложняет задачу его искоренения.

Этот ботнет в основном используется для банковского мошенничества и распространения программы-вымогателя CryptoLocker, которая, кстати, также является троянцем.

Как видим, троянцы просто так по одиночке не ходят, а часто приводят «друзей», причем в количествах. Некоторых из них легко «вычислить» (особенно те, что используют параллельную загрузку), зато не так просто ликвидировать. Так что, помимо поддержания защитных программ в актуальном состоянии и регулярного их обновления, очень желательно сохранять бдительность и не позволять ничему инсталлироваться, если вы не уверены в том, что это вам действительно нужно.

Предприятиям также требуется создать дополнительную защиту для финансовых операций, такую как Safe Money»Лаборатории Касперского». Safe Moneyгарантирует, что ваши деньги направляются именно туда, куда вам надо, а вредоносные попытки вмешательства (через троянцев, бэкдоры и т.п.) тщетны. Safe Money, между прочим, предотвращает работу кейлогеров (которые являются излюбленным оружием банковских троянцев), отражает фишинговые атаки и защищает связь с финансовыми сервисами от попыток перехвата. Таким образом, это необходимая (или, по крайней мере, очень рекомендуемая) защитная мера, способная предотвращать некоторые серьезные проблемы.