- •Содержание
- •Введение
- •1. Классификация и описание
- •1.1. Классификация
- •1.2. Описание
- •1.2.1. Сетевые вирусы (черви)
- •1.2.2. Троянские программы
- •1.2.2.1. Mail Senders
- •1.2.2.2. BackDoor
- •1.2.2.3. Log Writers или Key loggers
- •1.2.2.4. Trojan-Downloader
- •1.2.2.5. RootKit
- •1.3. Снифферы (Нюхачи)
- •1.4. DoS, dDoS - сетевые атаки
- •1.5.4. FileCryptor, PolyCryptor - скрытие от антивирусных программ
- •1.5.5. PolyEngine - полиморфные генераторы
- •1.5.6. VirTool
- •1.5.7. Социальный инжиниринг
- •1.6. Условно опасные программы
- •1.6.1. Riskware
- •1.6.2. Adware
- •1.6.3. Pornware
- •2. Цели создания вредоносных программ или кому это выгодно
- •2.1. Компьютерное хулиганство
- •2.2. Мелкое воровство
- •2.3. Криминальный бизнес
- •2.4. Обслуживание спам-бизнеса
- •2.5. Распределённые сетевые атаки
- •2.6. Создание сетей «зомби-машин»
- •2.7. Звонки на платные телефонные номера или посылка платных sms-сообщений
- •2.8. Воровство интернет-денег
- •2.9. Воровство банковской информации
- •2.10. Воровство прочей конфиденциальной информации
- •2.11. Кибер-шантаж
- •2.12. Разработка «средств доставки»
- •2.13. Точечные атаки
- •2.14. Прочие виды криминальной деятельности
- •2.15. Полулегальный бизнес
- •2.16. Принудительная реклама (Adware)
- •2.17. Порнографический бизнес, платные веб-ресурсы
- •2.18. Ложные анти-шпионские (Anti-Spyware) или антивирусные утилиты
- •3. Средства защиты от вредоносных программ
- •Заключение
- •Список литературы
1.2.2.2. BackDoor
Если переводить дословно означает - задняя дверь или черный ход. Это - тип Троянов, функции которого включают в себя все, на что способен Троян типа Mail Sender, плюс еще десяток-другой функций удаленного администрирования (управления чужым компьютером с другой машины, например, через Интернет). Такой Троян ждет соединения со стороны клиента (неотъемлемая часть всякого трояна, с помощью которой посылаются команды на сервер). Трояны такого типа дают кому угодно полный доступ к зараженному компьютеру. После того как клиент на зараженной машине подключается к Интернету или локальной сети, трояская программа отправляет собранную информацию своему хозяину и открывает доступ к пораженному компьютеру (открывает определенные сетевые порты в системе и сообщает о них хозяину).
Бэкдоры делятся на два основных типа:
Локальный бэкдор - предоставит какие-то привилегии локально (например, на компьютере есть несколько учетных записей, но пользовательские аккаунты не имеют прав администратора. Подобного рода трояны как раз и предоставляют права администратора тому пользователю, которые его внедрил);
Удаленный бэкдор - может предоставить shell к машине удаленно.
Существует так же два вида предоставления shell-доступа: BindShell и Back Connect.
BindShell - самый распространенный, работает по архитектуре "клиент-сервер", то есть бэкдор ожидает соединение.
Back Connect - применяется для обхода брандмауэров, бэкдор сам пытается соединиться с компьютером хакера.
1.2.2.3. Log Writers или Key loggers
Это последний тип Тронов, из основных, копирующий всю информацию, вводимую с клавиатуры, и записывающий ее в файл, который впоследствии будет либо отправлен на определенный E-Mail адрес, либо просмотрен через FTP (File Transfer Protocol).
Первоначально программные продукты этого типа предназначались исключительно для записи информации о нажатиях клавиш клавиатуры, в том числе и системных, в специализированный журнал регистрации (log-файл), который впоследствии изучался человеком, установившим эту программу. В последнее время программные продукты, имеющие данное название, выполняют много дополнительных функций - это перехват информации из окон, перехват кликов мыши, <фотографирование> экрана и активных окон, ведение учета всех полученных и отправленных писем, мониторинг файловой активности, системного реестра и очереди заданий, отправленных на принтер, перехват звука с микрофона и видео с веб-камеры, подключенных к компьютеру и др. Кейлоггеры могут быть встроены в коммерческие, бесплатные и условно-бесплатные программы.
В свою очередь кейлоггеры можно разделить на пять типов:
Программы-шпионы, разрабатываемые под эгидой правительственных организаций (пример - продукт Magic Lantern, проект под названием Cyber Knight, США).
Программы-шпионы, которые могут создаваться разработчиками различных операционных систем и включаться ими в состав ядра операционной системы.
Программы-шпионы, которые созданы в ограниченном количестве (часто только в одной или нескольких копиях) для решения конкретной задачи, связанной с похищением критической информации с компьютера пользователя (например программы, применяемые хакерами-профессионалами). Такие программы могут представлять собой немного видоизмененные открытые исходные коды программ-шпионов, взятые из Интернета и скомпилированные самим хакером, что позволяет изменить сигнатуру программы-шпиона.
Коммерческие, особенно, корпоративные программные продукты, которые очень редко вносятся в сигнатурные базы, а если и вносятся, то только по политическим мотивам (пример - программные продукты таких известных фирм, как WinWhat-Where Corporation, SpectorSoft Cor-poration, ExploreAnywhere Software LLC, Omniquad, Ltd).
Программы-шпионы, представляющие собой keylogging-модули, входящие в состав программ-вирусов. До внесения сигнатурных данных в вирусную базу данные модули являются неизвестными. Пример - всемирно известные вирусы, натворившие много бед в последние годы, имеющие в своем составе модуль перехвата нажатий клавиатуры и отправки полученной информации в сеть Интернет.
Также есть еще два типа троянских программ, которые заслуживают отдельного внимания, это: Trojan-Dropper и Trojan-Downloader. Конечные цели у них абсолютно идентичны - установка на компьютер другой вредоносной программы, которая может быть как червем, так и "троянцем". Отличается только принцип их действия.
Trojan-Dropper
"Дропперы" могут содержать в себе уже известную вредоносную программу или наоборот - устанавливать новую ее версию. Также "дропперы" могут устанавливать не одну, а сразу несколько вредоносных программ, принципиально отличающихся по поведению и даже написанных разными людьми.
Фактически "дропперы" являются своеобразными архивами, внутрь которых может быть помещено все что угодно. Очень часто они применяются для установки в систему уже известных "троянцев", поскольку написать "дроппер" гораздо проще, чем переписывать "троянца", пытаясь сделать его недетектируемым для антивируса. Весьма значительную часть "дропперов" составляют их реализации на скрипт-языках VBS и JS, что объясняется сравнительной простотой программирования на них и универсальностью подобных программ.