3. Троянские программы

Троянская программа — вредоносная программа, распространяемая людьми, в отличие от вирусов и червей, которые распространяются самопроизвольно.

Эти вредоносные программы созданы для осуществления несанкционированных пользователем действий, направленных на уничтожение, блокирование, модификацию или копирование информации, нарушение работы компьютеров или компьютерных сетей. В отличие от вирусов и червей, представители данной категории не имеют способности создавать свои копии, обладающие возможностью дальнейшего самовоспроизведения.

Основным признаком, по которому различают типы троянских программ, являются их несанкционированные пользователем действия — те, которые они производят на заражённом компьютере.

2.4 FraudTool

FraudTool - программы, которые выдают себя за другие программы, хотя таковыми не являются. Часто предлагают пользователю перечислить финансовые средства на определенные счета для оплаты «услуг».

В качестве примера таких программ можно привести псевдоантивирусы, которые выводят сообщения об «обнаружении» вредоносных программ, но на самом деле ничего не находят и не лечат.

Исполняемый файл является загрузчиком. Устанавливает программу-обманку, которая, являясь якобы антивирусом, находит массу несуществующих угроз и предлагает вылечить их за деньги. [7]

Стратегия поведения:

1. После установки на компьютере пользователя, программа делает вид, что найден один или несколько компьютерных вирусов и/или вредоносных программ. (Очевидно, что FraudTool не выполняет реальный осмотр, при этом компьютер может быть абсолютно чистыми.)

2. Как только он сообщил о присутствии этих гипотетических вредоносных программ, FraudTool обычно предлагает пользователю купить теоретическую платную версию, чтобы очистить компьютер. (Но никакой платной версии нет).

3. Как только пользователь предоставляет данные своих кредитных карт и завершает сделку, он не имеет доступа к какой-либо платной версии.

Видимые проявления: Появление в системе «антивируса» WinReanimator, пугающего массой несуществующих угроз.

2.4.1. «Симптомы» появление FraudTool

1. Появление раздражающих всплывающих сообщений.

2. Подделка отчета о проверке.

3. Вывод поддельного отчета о проверке.

4. Системные уведомления безопасности.

5. Предложение покупки полной версии.

6. Низкая производительность компьютера.

7. Изменение настроек рабочего стола.

8. Перенаправление веб-браузера

2.4.2. FraudTool.Win32.UltimateDefender.cm

На момент составления описания известно 10 разновидностей данного зловреда, размер варьируется от 58 до 65 кб, дата первого обнаружения ITW образца 4.03.2008. Сама вредоносная программа является дроппером, который в случае запуска создает на диске C:\WINDOWS\system32\dllcache\figaro.sys. Затем он копирует figaro.sys поверх существующего C:\WINDOWS\drivers\beep.sys, причем повторяет эту операцию три раза подряд (в том числе создавая копию в \dllcache).

После этого он создает на диске C:\WINDOWS\system32\braviax.exe, и прописывает его в автозапуск в ключе Windows\CurrentVersion\Run. Затем он запрашивает системную привилегию SeShutdownPrivilege и при помощи системной функции ExitWindowsEx завершает работу системы. Далее он создает файл с именем delself.bat для самоуничтожения, запускает его и завершает работу (предполагается, что завершение работы потребует несколько секунд и BAT файл успеет отработать и стереть дроппер). Дропнутый файл BEEP.SYS имеет размер около 35 кб, отвечает за противодействие антивирусам и антивирусным утилитам. Блокировка по именам, в коде драйвера открытым текстом содержится база с именами файлов (в частности, он блокирует AVP, AVZ, GMER, GureIT, AVG ...).

Удаление: так как блокировка идет по именам, то достаточно переименовать исполняемый файл AVZ скажем в 123.com. Симптомом является тот факт, что AVZ не опознает драйвер beep.sys по базе безопасных. [5]

2.4.3. FraudTool.Win32.Reanimator.a

Исполняемый файл является загрузчиком, написан на Delphi, размер - 308 кб, на текущий момент известно 8 разновидностей. Устанавливает программу-обманку, которая, являясь якобы антивирусом, находит массу несуществующих угроз и предлагает вылечить их за деньги.

В случае запуска:

1.Может выдать окно, якобы сообщение об ошибке. Другие варианты выводят окно с прогресс-индикатором, показывающим процесс загрузки и установки

2. Обращается к сайту www.winreanimator.com и загружает с него несколько ZIP архивов

3. Создает папку C:\Program Files\WinReanimator, дропает в нее библиотеку unzip32.dll, загружает ее и применяет для распаковки загруженных архивов.

4. Далее в папке WinReanimator создаются файлы WinReanimator.exe, WinReanimator.dll, pthreadVC2.dll, un.ico, install.exe, htmlayout.dll, папки Microsoft.VC80.CRT (с библиотеками MS msvcm80.dll, msvcp80.dll, msvcr80.dll)

5. WinReanimator.exe прописывается в автозапуск

Созданный загрузчиком на диске WinReanimator после установки запускается, «сканирует» систему. На эталонной системе Windows XP SP2 он «находит» 28 шпионских объектов, причем показывает в логе имена заведомо несуществующих в системе объектов. Для «лечения» необходимо купить программу. За счет автозапуска процесс «сканирования» повторяется при каждой загрузке. При закрытии WinReanimator сворачивается в трей. У зловреда как правило есть действующий деинсталлятор. [6]