Sunday, July 22nd, 2018

Что такое троянский конь ?

Published on Февраль 3, 2009 by   ·   Комментариев нет

«Троянский конь» (вирус типа “A Trojan horse”, в дальнейшем троянский конь) это программа, в которой вредоносный код, содержащийся внутри, безвреден, однако имеющий способность программировать или посылать данные таким способом, что он может захватить контроль и нанести ущерб, такой как удаление данных с вашего жесткого диска. Троянский конь может причинить огромный ущерб вам и вашим системам, и, что еще хуже, может настроить вашу систему на уничтожение компьютера! Давайте специально рассмотрим троянский вирус Back Orifice для того, что бы мы могли подчеркнуть причины, по которым программа подобная этой, будучи установленной на вашем компьютере, может быть опасна.

Back Orifice состоит из двух ключевых частей: клиентского приложения и серверного приложения. Метод работы Back Orifice следующий: клиентское приложение работает на одной машине, а серверное приложение на другой. Клиентская часть подключается к другой машине, используя серверную часть. Смущает здесь то…, что сервер это то, что установлено на машине жертвы. Это смущает многих, так как не кажется логичным. Но вот, как это работает. Единственный путь для серверной части Back Orifice быть установленной на компьютер – это быть установленной сознательно. Очевидно, что троянские вирусы не входят в типичную поставку Windows 2000, поэтому, вы должны найти способ заставить жертву установить его. Это вступление к нашему последнему обсуждению, как Бетти установила новый красивый хранитель экрана (screensaver), который явно (для вас, но не для нее) был BO2K.exe сервером.

Работа с конфигурацией BO2K сервера

Что такое троянский конь?

Более новые версии выполняемых модулей сервера коварней. Эти модули не высвечиваются потому, что они прозрачны. Это развивающийся инструмент, развивающийся в полностью невидимый режим, позволяющий атакующему получить полный контроль над вашей системой. Вы действительно должны быть осведомлены не только об именно этом инструменте, но также о других троянах, таких как этот. Просто так получилось, что BO2K один из самых известных и популярных. На рисунке вверху вы можете видеть, что он крайне конфигурируем и интуитивен. Никакого знания программирования C++ или Shell Scripting здесь не нужно.

Добавление серверов в список серверов

Что такое троянский конь?

Теперь мы знаем, что кто угодно может быть обманут для установки трояна, мы точно знаем, как нарушитель получит код на машине жертвы. Нарушитель должен либо установить серверное приложение на компьютере, который собирается взломать, либо обмануть пользователя этого компьютера, что бы он сделал это. Это причина, по которой серверное приложение (BO2K.exe) обычно маскируется подо что-то другое. После того, как серверное приложение установлено, клиентская машина может передавать и получать файлы с машины-цели, запускать на ней приложения, перезагрузить или заблокировать ее, а также вести журнал нажатий клавиш на ней. Все эти операции очень ценны для хакера.

Серверное приложение это единственный исполняемый файл, имеющий размер около 122 килобайт. Приложение создает свою копию в системной директории Windows и добавляет параметр, содержащий его имя файла в реестр Windows под разделом (key):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

Специфичный параметр реестра (registry value), который указывает на серверное приложение, может быть изменен. В результате этого серверное приложение запускается каждый раз, когда запускается Windows, следовательно, оно всегда фунционирует. Еще одним преимуществом Back Orifice является то, что приложение не появляется в списке задач Windows (Windows task list), оставаясь невидимым для невооруженного глаза. После первой инициализации оно передает все преимущества своему владельцу и вываливается. Хитро, да?

Сервер троянский конь Back Orifice может создать ад в любой сети, но он получает очень немного сетевой информации для своего функционирования. Создатели сделали инструмент для использования операционных систем типа Windows, понятных и простых. Многие могут спорить о том, что в момент своего появления это был всего лишь инструмент удаленного доступа, но, если вы подумаете о его функциональности и откуда он взялся, то вы поймете что это был больше чем инструмент удаленного доступа, это было предупреждение Microsoft о том, что их системы восприимчивы к приложениям типа Root Kit Unix систем. Все вместе взятым было маленьким “ноухау”, и инструмент, и вы были в деле. Правда существуют некоторые ограничения… Возможно два критичных ограничения для троянского коня Back Orifice это то, что нарушитель должен знать IP адрес атакуемой машины, и то, что между нарушителем и атакуемой машины не должен находиться firewall. Firewall делает фактически невозможной коммуникацию между двумя компьютерами, в основном благодаря блокировке портов, используемых трояном B02K. Конечно, более новые версии этого продукта работают с более широким диапазоном портов, но все это возвращает к моему изначальному обсуждению вопроса о том, как большинство компаний не инвестируют денег в безопасность своих сетей, либо не имеют на службе людей, обладающих этой информацией. Это и является основой этой проблемы. На рисунке внизу вы можете видеть,  что это не продукт низкого качества, это базирующаяся на графическом пользовательском интерфейсе (GUI) хакерский ночной кошмар. Он имеет несколько мастеров (wizards) для начальной конфигурации системы… что может быть проще этого?

Мастер конфигурации BO2K

Что такое троянский конь?

Другой троянский конь удаленного контроля называется Subseven Trojan. Этот троян также посылается по почте в виде присоединенного файла и после запуска может показать какое-нибудь письмо, что часто сбивает жертву с толку. На самом деле это послание предназначено для введения жертвы в заблуждение. Эта программа позволяет кому-нибудь получить практически полный контроль над компьютером жертвы с возможностью удаления папок и/или файлов. Она также предоставляет функцию, которая показывает что-то вроде непрерывной камеры экрана, что позволяет хакеру видеть скриншоты компьютера жертвы.

В общем, будьте начеку с Malware и тем, как они обрабатываются системой. Для проверки, ознакомьтесь с общей концепцией Malware и принятыми полями, проверьте, что вы очень хорошо понимаете, какой вред может нанести Malware вашей Microsoft системе.

Посетите TrojanScan.com для бесплатного сканирования на Трояны, чтобы узнать инфицирована ли ваша система.

Источник www.windowsecurity.com


Смотрите также:

Tags: , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]