Троянские программы и способы защиты от них

Содержание

1.Общие сведения о троянских программах

2.Постановка задачи, актуальность проблемы защиты информации от троянских программ

3.Краткая история возникновения троянских программ

4.Обзор текущего состояния проблемы

5. Методы проникновения троянских программ

6. Обоснование выбора данного типа атак

7. Способы обнаружения троянских программ без использования специальных средств

8.Предлагаемые способы решения задачи с элементами новизны

9. Общие сведения об операционных системах

10. Способы защиты, встроенные в операционную систему

11. Как работает брандмауэр?

12.Предлагаемые способы защиты от троянских программ

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

1.Общие сведения о троянских программах

Подсоединение локальных  компьютерных сетей организаций  к сети Internet приводит к необходимости уделять достаточно серьезное внимание вопросам обеспечения компьютерной информационной безопасности, то есть необходимо разработать систему защиты локальной компьютерной сети предприятия, включающей в себя схему, изображённую на рис.1.

Троянской называется любая программа, которая втайне от пользователя выполняет какие-то нежелательные для него действия. Эти действия могут принимать любую форму - от определения регистрационных номеров программного обеспечения, установленного на компьютере, до составления списка каталогов на его жестком диске. Троянец может маскироваться под текстовый редактор, или под сетевую утилиту, или под любую из программ, которую пользователь пожелает установить на свой компьютер.

Название "троянская  программа" происходит от названия "троянский конь" - деревянный конь, по легенде, подаренный древними греками жителям Трои, внутри которого прятались воины, в последствии открывшие завоевателям ворота города. Такое название, прежде всего, отражает скрытность и потенциальную коварность истинных замыслов разработчика программы.

Троянская программа  предназначена для нанесения  вреда пользователю или делающая возможным несанкционированное  использование компьютера другим лицом  для выполнения всевозможных задач, включая нанесение вреда третьим  лицам.

Троянская программа (троянец, троянский конь) это:

программа, которая, являясь частью другой программы  с известными пользователю функциями, способна втайне от него выполнять  некоторые дополнительные действия с целью причинения ему определенною ущерба;

программа с известными ее пользователю функциями, в которую  были внесены изменения с тем, чтобы, помимо этих функций, она могла  втайне от него выполнять некоторые  другие действия с целью причинения ему определенного ущерба;

программа, которая, помимо полезных и нужных функций, втайне от пользователя выполняет некоторые  другие действия с целью причинения ему определенного ущерба.

Эксперты в сфере  компьютерной безопасности отмечают резкое увеличение случаев использования  троянских программ в промышленном шпионаже.

Подобно вирусам  и почтовым "червям", шпионское  программное обеспечение стало  еще одной проблемой крупных  компаний. Значительный потенциал троянских  программ в области промышленного  шпионажа представляет существенную угрозу для организаций.

Обнаружить факт промышленного шпионажа, проводимого  с помощью шпионского программного обеспечения, очень непросто. Пораженные компании могут долго оставаться в неведении, а, обнаружив шпионские  программы, - скрывать факт заражения.

Хотя шпионское  программное обеспечение можно  обнаружить с помощью ряда имеющихся  в продаже программных пакетов, сложно понять, установлена ли отдельно взятая следящая программа с целью  промышленного шпионажа

Процесс поиска программ-шпионов  осложняется еще и тем, что  злоумышленники научились обходить методы сканирования, применяемые для  их обнаружения. Это означает, что  для противодействия атакам теперь приходится применять многоуровневые системы защиты.

Однако также  весьма вероятен шпионаж изнутри. Уже  известен ряд случаев, когда компьютеры компаний заражались злонамеренными сотрудниками, шпионящими за руководством или крадущими  важную информацию в пользу конкурентов.

В настоящее время  троянские программы написаны для  всех без исключения операционных систем и для любых платформ. Способ распространения  тот же, что у компьютерных вирусов. Поэтому самыми подозрительными  на предмет присутствия в них  троянцев, в первую очередь, являются бесплатные и условно-бесплатные программы, скачанные из Internet, а также программное обеспечение, распространяемое на пиратских компакт-дисках.

Целью троянской  программы может быть:

создание помех  работе пользователя (в шутку или  для достижения других целей)

похищение данных представляющих ценность или тайну в том числе: информации для аутентификации, для  несанкционированного доступа к  ресурсам (в том числе третьих  систем), криптографической информации (для шифрования и цифровой подписи) в том числе, сбор этой информации;

вандализм - уничтожение  данных и оборудования, выведения  из строя или отказа обслуживания компьютерных систем, сетей и т.п.

превращение компьютера в "зомби", для выполнение заранее  заданных действий (с возможным обновлением  списка оных), например рассылки спама, прямого управления компьютером, получения  несанкционированного (и/или дарового) доступа к ресурсам самого компьютера или третьим ресурсам, доступным  через него, использования вычислительного  ресурса компьютера, в том числе  для достижения вышеописанных целей, в том числе в составе ботнета (организованной группы зомбированных компьютеров)

Большинство троянов  состоят из двух частей. Клиента  и Сервера. Правда, есть исключения. Обычно, на компьютере жертве посылается серверная часть трояна, которая  открывает для атакуемого любой  порт, и ждет поступления команды  от своей клиентской части. Для установления связи обычно используется протокол TCP/IP, но известны трояны, которые используют и другие протоколы связи. Большинство  троянов для запуска серверной  части на компьютере жертвы используют различные методы, позволяющие им запускаться автоматически при  каждом включении компьютера. Список различных мест, позволяющих троянам  автоматически запустить свое серверное  приложение на компьютере жертвы.

1. Папка Startup Любое помещенное в нее приложение будет выполнятся автоматически как только произойдет полная загрузка Windows.

2. Файл win. ini Для запуска используется конструкции типа load=Trojan. exe или run=Trojan. exe

3. Файл system. ini Конструкция shell=explorer. exe Trojan. exe выполнит Trojan. exe каждый раз, как только запуститься explorer. exe.

4. Файл wininit. ini Этот файл используется в основном программами установки, для выполнения некоторого кода при установке приложений. Обычно удаляется. Но

может использоваться троянами для автоматического запуска.

5. Файл winstart. bat Обычный bat файл, используемый windows для запуска приложений. Настраивается пользователем. Трояны используют строку для запуска @Trojan. exe, что бы скрыть свой запуск от глаз пользователя.

6. Файл config. sys

7. Explorer Startup Данный метод используется Windows 95, 98, ME для запуска explorer. И если будет существовать файл C: Explorer. exe, то он выполнится вместо обычного C: WindowsExplorer. exe.

8. Ключи автозапуска  Windows, используемые для запуска различных приложений и сервисов. Вот, к примеру, некоторые из них:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnceEx

9. Registry Shell Open HKEY_CLASSES_ROOTexefileshellopencommand HKEY_LOCAL_MACHINESOFTWAREClassesexefileshellopencommand

По умолчанию  значение данных ключей”%1″%*. Туда можно  поместить имя любого выполняемого файла для запуска его при  открытии бинарным файлом. К примеру, вот так: trojan. exe “%1″%*.

10. Метод запуска  приложений при обнаружении ICQ соединения с Интернет Эти ключи включают в себя все файлы, которые будут выполнены при обнаружении ICQ соединения с Интернетом. Это удобно для запуска некоторых приложений. Но и злоумышленники могут им воспользоваться. HKEY_CURRENT_USERSOFTWAREMirabilisICQAgentApps HKEY_LOCAL_MACHINESOFTWAREMirabilisICQAgentApps

11. Компоненты ActiveX. HKEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupInstalled Components Установленные в системе компоненты ActiveX.

Троян, маскируясь под компонент, добивается своего запуска  при каждой инициализации Windows. Все эти методы в принципе уже хорошо изучены и, успешно применяются для борьбы с троянами. 

2.Постановка задачи, актуальность проблемы защиты информации от троянских программ

Для того, чтобы организовать защиту локальной сети, необходимо определить, от чего эту сеть защищать.

Рассмотрим наиболее распространённые вредоносные программы.

Классические  вирусы - разновидность вредоносных программ, отличительной особенностью которых является способность к размножению (саморепликации). В дополнение к этому они могут повреждать или полностью уничтожать данные, подконтрольные пользователю, от имени которого была запущена заражённая программа.

Троянская программа - вид программной закладки, реализующая полезную функцию и содержащая дополнительные скрытые функции, которые тайно используют законные полномочия инициирующего процесса в ущерб безопасности (и даже могут привести к краху операционной системы).

Сетевой червь - разновидность самовоспроизводящихся компьютерных программ, распространяющихся в локальных и глобальных компьютерных сетях. В отличие от компьютерных вирусов червь является самостоятельной программой, обладающая свойством самостоятельного распространения в автоматизированной системе и заражающая ее элементы, функциональные сегменты либо систему в целом.

Хакерские утилиты  и прочие вредоносные программы: Constructor - конструкторы вирусов и троянских программ, DoS, DDoS - вредоносная программа, предназначенная для проведения атаки типа "Denial of Service" ("Отказ в обслуживании") на удаленный сервер, Exploit, HackTool - взломщики удаленных компьютеров, FileCryptor, PolyCryptor - скрытие от антивирусных программ, Flooder - "замусоривание" сети, Nuker - фатальные сетевые атаки, PolyEngine - полиморфные генераторы.

К троянским программам относят программы, осуществляющие различные несанкционированные  пользователем действия: сбор информации и передача ее злоумышленнику, ее разрушение или злонамеренная модификация, нарушение работоспособности компьютера, использование ресурсов компьютера в злоумышленных целях.

Отдельные категории  троянских программ наносят ущерб  удаленным компьютерам и сетям, не нарушая работоспособности зараженного  компьютера.

Сегодня вряд ли найдется пользователь персонального компьютера, который не слышал бы о существовании  троянских программ. Многие относят  их к вирусам, но это слишком упрощенный и неточный подход. Главное, что роднит троянцев с вирусами, - то, что и  те и другие могут быть отнесены к категории вредоносных программ. Впрочем, вредоносность здесь следует  понимать в широком смысле - пользователь может и не ощущать явного вреда  от этих программ, но они так или  иначе, но отрицательно влияют на работу системы. Такие программы устанавливаются либо под видом полезных продуктов подобно мифологическому троянскому коню, либо вообще незаметно для пользователя.

Принципиальное  различие троянских программ и вирусов  состоит в том, что вирус представляет собой самостоятельно размножающуюся программу, тогда как троянец  не имеет возможности самостоятельного распространения. Однако в настоящее  время довольно часто встречаются  гибриды - вирусы (в основном e-mail и сетевые черви), вместе с которыми распространяются троянские программы.

Что будет делать подобная программа, внедрившись в  компьютер, известно одному только ее создателю и зависит лишь от его  фантазии и от стоящих перед ним  целей.

Даже если на компьютере не хранятся никакие важные данные и пользователь не применяет популярные службы, требующие ввода паролей, то троянские программы все равно  способны доставить неприятности. Речь идет о замедлении работы системы  либо вообще о ее крахе, о непроизвольном расходовании Интернет - трафика, причем нередко в очень больших объемах.

Авторы троянских  программ вносят в свои творения всевозможные алгоритмы, позволяющие обойти антивирусы и межсетевые экраны. Многие брандмауэры  хранят в системном реестре или  в собственном файле конфигурации записи о том, какая программа  может беспрепятственно получать доступ к Интернету. Часто эти записи не подвергаются даже элементарному  шифрованию и проверке на наличие  в них несанкционированных изменений. Пользуясь этим, троянская программа  может внести запись о себе в раздел разрешенных, а затем, незаметно  для пользователя, делать все, что  пожелает. Аналогично обстоит дело и с некоторыми антивирусами, которые  позволяют настраивать запрещенные  для сканирования файлы и каталоги - прописавшись туда, троянец не будет  обнаружен. К тому же антивирусы обычно хорошо обнаруживают уже известные  троянские программы, тогда как  написанный для атаки на конкретный компьютер или просто очень новый  троянец останется незамеченным.

Поэтому одним из наиболее опасных вредоносных программ являются программные закладки, в  связи с этим в данной работе подробно рассматриваются способы защиты персональных компьютеров от троянских  программ.

 

3.Краткая история возникновения троянских программ

1998-й год можно  смело назвать годом троянцев. Конечно, атаки такого рода  происходили и раньше, техника  небольшой модификации кода, приводящая  к возможности захвата хоста,  была очень популярна в unix-системах, но это никогда еще не было таким массовым явлением. Год начался со скромных поделок, представляющих собой обычные пакетные файлы DOS, сжатые с помощью в WinZip в самораспаковывающиеся архивы. Иногда фантазии авторов хватало на преобразование bat-файлов в com, внутри же, как правило, были всевозможные комбинации из деструктивных команд. Чуть позже были освоены конструкции, включающие в себя программы типа pwlview, предназначенные для извлечения из системных файлов имен и паролей для доступа к Internet, а также средства для отправки полученных результатов на некоторый адрес. Разумеется, чтобы заставить пользователя запустить это изделие, придумывались всевозможные приманки. Почетные места в этом ряду занимают "крак интернета", позволяющий получить заветный бесплатный доступ у любого провайдера, всевозможные 3dfx-эмуляторы и icq-ускорители, а также личные письма от компании Microsoft, в знак большой признательности присылающей лично вам последние заплатки, исправляющие очень опасную брешь в системе.

Однако несомненным  событием года стало появление BackOrifice. Эта программа стала основоположником нового поколения троянцев, количество которых на данный момент исчисляется десятками. Фактически она представляет собой средство удаленного администрирования и состоит из двух частей - сервера и клиента. До сих пор все вполне прилично и ничем не отличается от любого средства удаленного доступа - того же PCAnywhere. Однако что принципиально отличается - так это поведение сервера, который после запуска тихо добавляет себя в раздел реестра Windows, отвечающий за автоматическую загрузку приложений при старте системы, и начинает ждать соединения на определенном порту. Соединившись с сервером с помощью отдельного клиентского приложения, с серверным компьютером можно делать практически все, что угодно - получать список процессов, запускать/удалять процессы, копировать/удалять файлы, каталоги, перенаправлять входящие пакеты на другие адреса, работать с реестром, выводить диалоговые окна, блокировать систему. Одним словом, компьютер оказывается под полным контролем.

Жертвами BackOrifice порой становились не только пользователи, но и целые системы, включающие в том числе и web-серверы. Так, прошлогодний взлом Relcom-Ukraine был осуществлен именно с помощью BackOrifice, внедренного всего лишь на один компьютер в офисе провайдера.

 

4.Обзор текущего состояния проблемы

По данным отчета Aladdin Malware Report 2006, уровень активности угроз, содержащихся в веб-контенте, увеличился за прошлый год на 1300%. По мнению авторов отчета, наибольшую опасность представляют шпионские и троянские программы.

В отчете Aladdin отмечается резкое увеличение числа вредоносных программ, "вшитых" в приложения и наносящих значительный ущерб операционной системе.95% новых приложёний, возникших сразу после выявления уязвимости, мгновенно нашли свое применение у разработчиков и распространителей вредоносных приложений, которые якобы позволяют избавиться от программ-шпионов. Многие из таких приложений окончательно выводят систему из строя без возможности восстановления.

Из вышесказанного можно сделать вывод, что из рассмотренных  программ наиболее опасными являются троянские программы, поэтому рассмотрим их подробнее.

Рассмотрим также 10 самых опасных троянских программ.

Trojan-Downloader. Win32. Agent. jc - троянский загрузчик

Другие названия: Generic Downloader. p (McAfee), Trojan. DownLoader.1670 (Doctor Web), Troj/Teadoor-A (Sophos), TR/Dldr. Agent. JC (H+BEDV), Trojan. Downloader. Agent. JC (SOFTWIN), Trojan. Downloader. Agent-61 (ClamAV), Trj/Downloader. AMH (Panda)

Троянская программа, скачивающая из Интернет другие (любые, возможно, также троянские) программы и запускающая их незаметно для пользователя. В начале работы пытается выгрузить из памяти все возможные антивирусы и перенести свой исполняемый файл в системный каталог OS Windows.

Trojan. Win32. KillAV. id - троянская программа, выгружающая из памяти различные легальные программы. Является приложением Windows (PE EXE-файл). Имеет размер 3104 байта, упакована при помощи UPX. Размер распакованного файла - около 13 КБ.

Троян Conycspa. AJ предназначен для демонстрации рекламы. Его действие проявляется в том, что он изменяет несколько записей реестра Windows, а также изменяет результаты поиска в Интернете. Благодаря этому троян перенаправляет пользователей на определенные веб-страницы, в основном имеющие отношение к медицине. Также Conycspa. AJ подключается к определенному сайту, с которого загружает различные файлы. Среди них mm 4839. exe, предназначенный для рассылки с компьютеров пользователей спама о лекарствах. Троян также загружает из Интернета разные зараженные файлы, содержащие следующее вредоносное ПО: рекламный код MalwareAlarm, потенциально нежелательные программы DriveCleaner, WinAntivirus 2006 и PsKill. J, троянов Stox. A и Cimuz. EI, а также cookie DriveCleaner и MediaPlex. Также этот опасный троян вносит изменения в папку восстановления файлов за счет создания собственной папки. Следовательно, при попытке операционной системы Windows восстановить поврежденную библиотеку, она заменяется файлами, созданными самим трояном. Так троян защищает внесенные им изменения и предотвращает их удаление операционной системой.

Trojan-Spy. Win32. Briss. g - программа-шпион

Другие названия: TrojanSpy. Win32. Briss. g ("Лаборатория Касперского"), Keylog-Briss (McAfee), Trojan. Briss (Doctor Web), Troj/Briss-A (Sophos), PWS: Win32/Briss (RAV), DR/Bridge. A.2 (H+BEDV), Win32: Trojan-gen. (ALWIL), PSW. Briss. C (Grisoft), Trojan. PWS. Briss. A (SOFTWIN), Trojan. WinFavorites. Bridge (ClamAV), Spyware/Bridge (Panda), Win32/Spy. Briss. G (Eset)

Во время активной сессии Internet может показывать рекламные сообщения, перехватывать клавиатурный ввод пользователя, а также следить за историей посещения веб-сайтов. Собранную информацию может отсылать на свой сайт.

Каждый час скачивает  для себя с www2. flingstone обновления. При этом отображает ход этого процесса в файле bridge. log.

Trojan-PSW. Win32. Hooker - троянская программа, относящаяся к семейству троянцев, ворующих пароли пользователя. Представляет собой динамически подключаемую библиотеку (DLL), содержащую набор функций предназначенных для мониторинга информации вводимой с клавиатуры. Библиотека разработана в среде Visual Studio с использованием языка программирования С++.

Trojan-PSW. Win32. Hooker.24. h ("Лаборатория Касперского") также известен как: PWS-Hooker. dll (McAfee), Trojan Horse (Symantec), Trojan. PWS. Hooker.24 (Doctor Web), Troj/PWS-AV (Sophos), Win32/Badtrans. B@mm (RAV), WORM_BADTRANS. B (Trend Micro), Worm/BadTrans. B2 (H+BEDV), Win32: Trojan-gen. (ALWIL), I-Worm/BadTrans (Grisoft), Trojan. PSW. Hooker.2. C (SOFTWIN), Worm. BadTrans. B2 (ClamAV), Trj/PSW. Hooker.24. h (Panda), Win32/Badtrans.29020. A (Eset)

Данная библиотека может быть использована в составе  других хакерских модулей. Она предоставляет  набор функций для слежения за символами, вводимыми с клавиатуры.

Trojan-Dropper. Win32. Small. hq - троянский контейнер

Другие названия: Trojan-Dropper. Win32. Small. hq ("Лаборатория Касперского"), StartPage-DU (McAfee), Trojan. DownLoader.365 (Doctor Web), TROJ_STARTPAG. DU (Trend Micro), TR/Dldr. Delf. CB.3 (H+BEDV), Win32: Trojano-198 (ALWIL), Startpage.7. H (Grisoft), Trj/StartPage. FH (Panda)

Программа создана  для скрытной установки в систему  других троянских программ. Основной файл является приложением Windows (PE EXE-файл), имеет размер около 25 КБ.

Программа при запуске  скрытно устанавливает в систему  другую вредоносную программу, содержащуюся внутри ее исполняемого файла, после  чего данный файл запускается на исполнение.

Антивирус Касперского  детектирует создаваемый файл как  Trojan. Win32. StartPage. is. Также Small. hq пытается скачать и запустить другого троянца с адреса 81.211.105. xx/, после чего оригинальный запускаемый файл удаляется.

Trojan. Win32. Qhost. dg - троянская программа

Другие названия: Trojan. Win32. Qhost. qs ("Лаборатория Касперского"), Qhosts. apd (McAfee), Trojan. Qhosts. B (SOFTWIN), Trojan. Qhost. A (ClamAV), Trj/Qhost. gen (Panda), Win32/Qhosts (Eset)

Троянская программа  представляет собой модифицированный файл ОС Windows%System%driversetchosts, который используется для перевода доменных имен (DNS) в IP-адреса. Файл модифицирован таким образом, чтобы сделать недоступным пользователю сервера различных антивирусных компаний, таким образом, что все запросы к определённым серверам будут заблокированы.

Backdoor. Rbot. gen - троянская программа удаленного администрированияДругие названия: Backdoor. Rbot. gen ("Лаборатория Касперского"), IRC-Sdbot (McAfee), W32. Spybot. Worm (Symantec), Win32. HLLW. MyBot (Doctor Web), W32/Rbot-BY (Sophos), Backdoor: Win32/Rbot (RAV), Worm/Sdbot.39936. B (H+BEDV), Win32: SdBot-194-B (ALWIL), IRC/BackDoor. SdBot.28. F (Grisoft), Backdoor. SDBot. Gen (SOFTWIN)

Backdoor. Rbot - семейство троянских программ для ОС Windows, предоставляющих злоумышленнику удалённый доступ к заражённой машине.

Trojan. BAT. AnitV. c - троянская программа

Другие названия: rojan. BAT. AnitV. c ("Лаборатория Касперского"), Bat/dt66 (McAfee), BAT. Trojan (Symantec), BAT/AntiV. C* (RAV), BAT/DelTree@troj (FRISK), BV: Malware (ALWIL), BAT. AnitV. C (SOFTWIN), Trojan. Bat. AnitV. C (ClamAV), Trj/HaltWin (Panda), BAT/AntiV. C (Eset)

Троянская программа, выполняющая на компьютере пользователя определенные действия деструктивного характера. Является пакетным файлом командного интерпретатора (BAT-файл). Имеет размер 2058 байт.

При запуске троян  блокирует работу клавиатуры и мыши.

Также он удаляет  определённые каталоги.

Trojan. Win32. KillFiles. ki - троянская программа.

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является приложением Windows (PE EXE-файл). Размер зараженных файлов варьируется в пределах от 28 до 255000 КБ. При этом все модификации данного троянца выполняют одни и те же деструктивные функции. Большие по размеру файлы троянца содержат в своем коде мусор для маскировки.

После запуска вирус  извлекает из своего тела BMP-файл и  отображает его на экране зараженного  компьютера. В различных версиях  троянской программы картинки могут  отличаться. Троянец заражает пользовательские файлы, заменяя их изображением BMP. Выполняемые  вирусом действия приводят к неработоспособности  операционной системы. 

5. Методы проникновения троянских программ

Троянские программы  распространяются множеством способов. Рассмотрим некоторые из них:

Друзья. Наиболее популярным способом распространения троянских  программ является передача информации между друзьями, при этом пользователи не догадываются об опасности программ. Доверять программам, полученным от друзей, можно только в том случае, если пользователь уверен в их сознательном отношении к безопасности своего компьютера.

Сообщения Usenet. Usenet - компьютерная сеть, используемая для общения и публикации файлов. Многие пользователи запустят программу злоумышленника, просто послав сообщение в группу новостей Usenet. Иногда сообщение Usenet содержит ссылку на Web-страницу, с которой можно скачать программу, что даёт злоумышленнику дополнительное преимущество, так как он может видеть IP-адрес любого пользователя, загрузившего троянскую программу, что в дальнейшем позволит быстрее найти взломанный компьютер.

Исправление недостатков  существующих программ. Когда в программе, например, на FTP-сервере, обнаруживается ошибка, в различные группы новостей и списки рассылки поступает множество  сообщений по данной тематике. Злоумышленники могут сообщить об исправлении недостатка и предложить собственное решение, которое на самом деле не устраняет  проблему или даже пробивает в  системе новую брешь. Даже эксперты, которые видят, что ошибка не исправлена, могут предположить, что приславший решение злоумышленник, просто недостаточно хороший программист, и не обратить внимание на присутствие негативного эффекта запуска программы.

Реклама по электронной  почте. Некоторые злоумышленники отправляют троянские программы большому количеству адресатов, надеясь на то, что хоть кто-нибудь запустит программу. Многие пользователи обычно из тех, которые не задумываясь инсталлируют и запустят или, по крайней мере, протестируют все, что покажется им интересным.

Проверки системы  безопасности. Как и в случае ложного  исправления недостатков программ, злоумышленники часто рассылают  троянские программы, которые, как  они заявляют, помогут найти уязвимые места системы по отношению к  самым последним обнаруженным недостаткам. В действительности, предоставленная  программа создаёт новую брешь  в системе защиты. Нередко, злоумышленник  указывает, что для правильной проверки уязвимых мест программа должна быть запущена с правами root.

Программы взлома системы  безопасности. После обнаружения нового уязвимого места определённой программы, часто на сайтах можно получить программу атаки, которая позволяет взломать компьютер с помощью обнаруженного недостатка. Эти программы могут применять системные администраторы, чтобы проверить справедливость утверждения, но чаще они используются злоумышленниками-новичками, которые не в состоянии самостоятельно создать собственные программы атаки. Часто злоумышленник дает ссылку на программный код, как бы предназначенный для выполнения удаленной атаки. На самом деле этот код взламывает компьютер, с которого запускается данная программа атаки. На такую уловку обычно попадаются только те пользователи, которые хотят получить несанкционированный доступ к чужим компьютерам.

 

6. Обоснование выбора данного типа атак

Некоторые троянские  программы просто разрушительны; они  предназначены для уничтожения  систем или данных. Одним из примеров чисто разрушительной программы-троянца  была программа для записи CD-ROM, доступная  в Internet пару лет назад и обещавшая огромные функциональные возможности. Она будто бы конвертировала стандартный читающий привод компакт-дисков (используемых для установки программного обеспечения или проигрывания музыки) в привод, который может записывать компакт-диски - и все это лишь посредством установки предлагаемого бесплатного обновления программы! Согласно файлу README, распространявшемуся с таким, очевидно фантастическим, инструментом, можно было создавать собственные музыкальные компакт-диски или делать резервное копирование системы при помощи всего лишь бесплатного обновления программы. В этой поразительной сделке имелись всего две подозрительные вещи. Во-первых, такое просто физически невозможно сделать в программе. Во-вторых, этот инструмент был троянским конем, который стирал все содержимое жестких дисков пользователей. Многие люди загрузили его и в результате потеряли все свои данные.

Троянские программы и способы защиты от них