Периста Катерина Едуардівна
Студентка,
Дніпропетровський національний університет ім. Олеся Гончара,
м. Дніпро, Україна.
Троянський кінь - це програма, яка надає стороннім доступ до комп'ютера для здійснення будь-яких дій на місці призначення без попередження самого власника комп'ютера або висилає за певною адресою зібрану інформацію. При цьому вона, як правило, дається взнаки за що-небудь мирне і надзвичайно корисне. Частина троянських програм обмежується тим, що відправляє ваші паролі поштою своєму творцеві або людині, яка сконфігурував цю програму (е-mail trojan). Однак для користувачів Internet найбільш небезпечні програми, що дозволяють отримати віддалений доступ до їх машині з боку (BackDoor). Дуже часто трояни потрапляють на комп'ютер разом з корисними програмами або популярними утилітами, маскуючись під них.
Особливістю цих програм, що змушує класифікувати їх як шкідливі, є відсутність попередження про їх інсталяції і запуску. При запуску троян встановлює себе в систему і потім стежить за нею, при цьому користувачеві не видається жодних повідомлень про його діях. Більш того, посилання на троянця може бути відсутнім в списку активних додатків або зливатися з ними. В результаті користувач комп'ютера може і не знати про його присутність в системі, в той час як комп'ютер відкритий для віддаленого управління. Досить часто під поняттям "троян" мається на увазі вірус. Насправді це далеко не так. На відміну від вірусів, троянів спрямовані на отримання конфіденційної інформації і доступ до певних ресурсів комп'ютера.
Можливі різні шляхи проникнення трояна в вашу систему. Найчастіше це відбувається при запуску будь-якої корисної програми, в яку впроваджений сервер трояна . У момент першого запуску сервер копіює себе в якусь директорію, прописує себе на запуск в системному реєстрі, і навіть якщо програма-носій ніколи більше не запуститься, ваша система вже заражена трояном. Заразити машину можете ви самі, запустивши заражену програму. Зазвичай це відбувається, якщо програми викачуються ні з офіційних серверів, а з особистих сторінок. Впровадити трояна можуть також сторонні люди при наявності доступу до вашого комп'ютера, просто запустивши його з дискети.
На даний момент найбільшого поширення набули трояни наступних типів:
Троянські коні цього класу за своєю суттю є досить потужними утилітами віддаленого адміністрування комп'ютерів в мережі. За своєю функціональністю вони багато в чому нагадують різні системи адміністрування, що розробляються відомими фірмами - виробниками програмних продуктів.
Єдина особливість цих програм змушує класифікувати їх як шкідливі троянські програми: відсутність попередження про інсталяції та запуску.
При запуску троянець встановлює себе в системі і потім стежить за нею, при цьому користувачеві не видається жодних повідомлень про дії троянця в системі. Більш того, посилання на троянця може бути відсутнім в списку активних додатків. В результаті "користувач" цієї троянської програми може і не знати про її присутності в системі, в той час як його комп'ютер відкритий для віддаленого управління.
Трояни, що дозволяють "витягувати" паролі та іншу інформацію з файлів вашого комп'ютера і відправляти їх по електронній пошті господареві. Це можуть бути логіни і Internet-паролі провайдера, пароль від поштової скриньки, паролі ICQ і IRC та ін.
Щоб відправити лист власнику поштою, троян зв'язується з поштовим сервером сайту по протоколу SMTP (наприклад, на smtp.mail.ru). Після збору необхідних даних троян перевірить, відсилалися ці дані. Якщо немає - дані відсилаються і зберігаються в регістрі. Якщо вже відсилалися, то з регістра витягується попередній лист, і відбувається його порівняння з поточним. Якщо в інформації відбулися які-небудь зміни (з'явилися нові дані), то лист відсилається, і в регістрі записуються свіжі дані про паролі. Одним словом, цей вид троянів просто займається збором інформації, і жертва може навіть і не здогадуватися, що її паролі вже комусь відомі.
В архіві такого трояна зазвичай знаходиться 4 файлу: редактор сервера (конфігуратор), сервер трояна , пакувальник (Склеювач) файлів, керівництво для використання.
Ці трояни записують все, що було набрано на клавіатурі (включаючи паролі) в файл, який згодом вирушає на певний е-mail або пpоглядається чеpез FTP (File Transfer Protocol). Keylogger'и зазвичай займають мало місця і можуть маскуватися під інші корисні програми, через що їх буває важко виявити. Ще однією причиною труднощі виявлення такого трояна є те, що його файли називаються як системні. Деякі трояни цього типу можуть виділяти і розшифровувати паролі, знайдені в спеціальних полях для введення паролів.
Такі програми вимагають ручної настройки і маскування. Keylogger'и можна використовувати не тільки в хуліганських цілях. Наприклад, їх дуже зручно поставити на своєму робочому місці або будинку на час від'їзду.
Програми-жарти (Joke programs) Ці програми нешкідливі за своєю суттю. Вони не завдають комп'ютера будь-якого прямого шкоди, проте виводять повідомлення про те, що така шкода вже заподіяна, може бути заподіяна під час будь-яких умовах, або попереджають користувача про неіснуючу небезпеку. Програми-жарти залякують користувача повідомленнями про форматування жорсткого диска, визначають віруси в незаражених файлах, виводять дивні вірусоподібні повідомлення і т.п. - це залежить від почуття гумору автора такої програми. Звичайно ж, тут немає ніяких причин для хвилювання, якщо за цим комп'ютером не працюють інші недосвідчені користувачі, яких подібні ппвідомлення можуть сильно налякати.
До "троянських коней" також можна віднести заражені файли, код яких певним чином підправлений або змінений криптографічним методом. Наприклад, файл шифрується спеціальною програмою і (або) упаковується невідомим архіватором. В результаті навіть останні версії антивірусів не можуть визначити наявність у файлі трояна, так як носій коду відсутня в їх антивірусній базі.
Виявити роботу сучасної троянської програми на своєму комп'ютері досить складно. Однак можна виділити наступні рекомендації для виявлення і видалення троянських програм:
1. Використовуйте антивірусну програму.
Обов'язково використовуйте антивірусне програмне забезпечення для перевірки файлів і дисків, регулярно оновлюючи при цьому її антивірусну базу через Інтернет. Якщо база не оновлюється, результат роботи антивіруса зводиться до нуля, оскільки нові трояни з'являються з не меншою регулярністю, ніж оновлення антивірусних баз.
Тому цей метод не можна визнати абсолютно надійним. Іноді, як показує практика, якщо сервер трояна впроваджений в виконуваний файл, антивіруси в багатьох випадках не можуть його знайти. На сьогоднішній момент з найкращого боку в цьому плані зарекомендували себе антивіруси Kaspersky Anti-Virus і Dr. Web.
2. Встановіть персональний брандмауер (фаєрвол) і уважно розберіться в його налаштуваннях. Основною ознакою роботи трояна є зайві відкриті порти. При запуску сервера троянської програми фаєрвол зсередини заблокує її порт, позбавивши тим самим зв'язку з Інтернетом. Фаєрвол дає додатковий захист, однак, з іншого боку, користувачеві просто набридає постійно відповідати на запити програми з приводу роботи певного сервісу та проходження даних через певний порт. Іноді бувають крайні випадки, коли навіть фаєрвол і антивірус безсилі що-небудь зробити, так як закриваються трояном. Це також є сигналом користувачеві про те, що в системі присутній троян.
Для контролю відкритих портів можна також скористатися сканерами портів або програмами, які показують відкриті в даний момент порти і можливе підключення до них сторонніх користувачів.
З фаєрволов досить якісним продуктом є Agnitum Outpost Firewall Pro, що дозволяє налаштувати роботу додатків і необхідний рівень користувача.
3. Обмежте число сторонніх, що мають доступ до вашого комп'ютера, оскільки досить велика кількість троянів і вірусів переноситься на зовнішніх носіях (дискетах і дисках). Також рекомендується періодично міняти паролі на особливо важливі акаунти.
4. Не завантажуйте файли і фотографії з сумнівних сайтів (домашні сторінки з фото і т.д.). Досить часто фотографія і сервер трояна скріплені ( "склеєні") разом для усипляння пильності користувача, і цей фактор не викликає сумнівів. Тут троян маскується під картинку. При цьому іконка дійсно буде від картинки, але ось розширення залишиться * ехе. Після дворазового натискання на фотографію троян запускається і робить свою чорну справу.
5. Не слід використовувати сумнівні програми, нібито прискорюють роботу комп'ютера в Інтернеті в N раз (прискорюють роботу CD-ROM, миші, килимка для миші і т.п.). При цьому увагу необхідно звернути на іконку програми, особливо якщо ви ні з ким заздалегідь не домовлялися. В цьому випадку можна задати питання відправнику, і, якщо позитивної відповіді не послідувало, видаляти таку програму.
6. При одержанні листа від невідомого адресата слід звернути особливу увагу на розширення вкладеного файлу. Можлива маскування назви завірусованного розширення файлу * .exe, * .jpg, * .bat, * .com, * .scr, * .vbs подвійним закінченням (* .doc .exe), причому букви .exe можуть бути розділені великою кількістю прогалин або перенесені на наступний рядок.
При одержанні листа з прикріпленим архівом (файл з розширенням * .rar, * .zip, * .arj) не слід відразу його відкривати і переглядати файли. По можливості його треба зберегти на диск, після чого перевірити антивірусною програмою і тільки після цього відкрити. Якщо в архіві виявлений вірус, необхідно негайно видалити весь архів, не намагаючись його зберігати або, тим більше, відкривати файли.
7. Якщо ви користуєтеся системою Windows XP, то при ризику відкрити заражений файл створіть точку відновлення. Для Windows 98 рекомендується встановити аналогічну програму, що дозволяє зробити відкат системи назад (наприклад, Second Chance або іншу подібного типу).
8. При використанні стандартного поштового клієнта Windows (Microsoft Outlook Express) слід відключити автоматичне отримання пошти, яке може запустити закодованого трояна, що знаходиться в тілі (всередині) листи. Замість програми Outlook Express ви також можете використовувати більш безпечний і швидкий поштовий клієнт The Bat !, який є одним з кращих.
9. Здійснюйте контроль завдань і сервісів, що запускаються в системі. Практика показує, що 99% троянів прописуються на запуск в системному реєстрі. Для ефективного видалення трояна з системи потрібно спочатку видалити запис в реєстрі або рядок, його запускає, потім перезавантажити комп'ютер, а вже потім спокійно видаляти цей файл.
10. Якщо ПК поводиться підозріло, а продовжувати роботу необхідно, вводите вручну свій логін і пароль у вікнах, минаючи збереження їх в браузері або в поштовому клієнті.
11. Бажано робити копії важливих файлів, зберігаючи їх на дискеті або CD-диску. Це допоможе швидко відновити втрачені дані при можливий крах системи і подальшому форматуванні жорстких дисків.
Література
1. Ахрамович В. М. Методичні матеріали щодо забезпечення самостійної роботи студентів із дисципліни “Комп’ютерна вірусологія” (для бакалаврів). — К.: ДП «Вид. дім «Персонал», 2014. — 40 с
2. Черкун О.М.. Сучасні технології комп’ютерної безпеки. Монографія. Науковий керівник Р.М.Літнарович. МЕГУ, Рівне, 2012. – 90с.