• Оптимизация
  • Социальные сети
  • Sitemap
  • Drupal
  • Usability
  • Юзабилити
  • B2b
  • Антивирус
  • Семантическое ядро
  • Новости
    • <

    Табун інохідця: десять найоригінальніших і популярних троянів сучасності

    1. 1. Trojan.Mayachok
    2. 2. Trojan.ArchiveLock.20
    3. 3. Trojan.Linux.Sshdkit
    4. 4. Android.SmsSend
    5. 5. Trojan.Yontoo.1.
    6. 6. Trojan.Spachanel
    7. 7. Trojan.Facebook.310
    8. 8. Trojan.Hosts
    9. 9. Trojan.Redyms
    10. 10. Смішний вінлок

    Число записів в базах сучасних антивірусів обчислюється мільйонами. Однак якщо відкинути численні клони і зійшли зі сцени зразки шкідливого коду, то в сухому залишку буде не так багато принципово різних і реальних загроз. Сучасні вирусописатели НЕ розважаються, а переслідують цілком кримінальні цілі, для реалізації яких найчастіше використовуються різні троянські програми і компоненти. Давайте подивимося на TOP-10 найоригінальніших і актуальних з них. Число записів в базах сучасних антивірусів обчислюється мільйонами

    Троянці асоціюються з Windows, але останнім часом вони заражають і інші операційні системи, включаючи Android, Linux і Mac OS X

    1. Trojan.Mayachok

    - велике сімейство, яке налічує понад півтори тисячі представників. Найбільш незвичайним з них є Trojan.Mayachok.2 .

    Це перший зареєстрований буткіт, що заражає Volume Boot Record файлової системи NTFS. Ось як описують цю особливість фахівці компанії «Доктор Веб»:

    "Віруси, що модифікують MBR (Master Boot Record) і BOOT-сектори, відомі ще з часів DOS, в той час як сучасні ОС надають нові можливості, в тому числі і для вірусів. У розглянутому нами випадку BOOT-сектор є першим сектором VBR, який, наприклад, для розділу NTFS займає 16 секторів. Таким чином, класична перевірка тільки завантажувального сектора не може виявити шкідливий об'єкт, так як він розташовується далі - всередині VBR ".

    «Маячок.2» був вперше виявлений влітку 2011 року, але сплески його епідемії відзначаються досі. Троян блокує доступ в інтернет і показує неправдиве повідомлення про необхідність оновити браузер. Крім встановленого за замовчуванням Internet Explorer, творці «Маячка» не обійшли увагою альтернативні браузери - стилізація під інтерфейс виконана також для Mozilla Firefox і Opera.

    Trojan.Mayachok.2 - фальшиві повідомлення про оновлення

    При кліці на фальшиве діалогове вікно відбувається запит номера мобільного телефону жертви, на який приходить у відповідь код. Ввівши його, користувач активує зовсім не завантаження оновлення, а платну підписку.

    2. Trojan.ArchiveLock.20

    Цей троянець ілюструє лінивий, але від цього не менш ефективний підхід до створення шкідливого коду. Навіщо писати все компоненти самому, якщо повно готових, а функціонально об'єднати їх можна навіть на найпростішому мові програмування?

    Троян складається з безлічі (чужих) компонентів і написаний на Бейсике. Його великий розмір мало кого бентежить в епоху виділених каналів, терабайтних вінчестерів і загальної розслабленості. Він шукає файли користувача за форматом. В основному це документи, але список потенційно важливих даних дуже великий. Потім троянець шифрує їх за допомогою архіватора WinRAR і закриває паролем. Вихідні файли необоротно видаляються за допомогою утиліти Sysinternals SDelete. Відбувається не просто видалення запису про фото з таблиці файлової системи, а його багаторазове затирання. Відновити знищені таким чином дані неможливо.

    Далі працює звичайна схема вимагання. Для розшифровки створених архівів пропонується відправити переказ, а потім лист на один із зазначених адрес в домені gmail.com. Паролі на архів використовуються різні, а їх довжина може досягати півсотні символів. Тому просте видалення вірусу залишить жертву з безліччю зашифрованих архівів, розкрити які за прийнятний час, швидше за все, не вдасться.

    Розмір необхідного винагороди становить тисячі доларів. Зрозуміло, платити його не варто. Зіткнувшись з таким зараженням, зв'яжіться з представниками антивірусних компаній. Вони розберуть код шифрувальника і постараються обчислити використаний пароль. Зазвичай така послуга надається безкоштовно.

    Trojan.ArchiveLock.20 - автори трояна на Бейсике хочуть 5000 доларів

    В якості профілактики робіть резервні копії всіх важливих даних і зберігайте їх окремо на зовнішніх носіях. При всіх своїх недоліках диски однократного запису DVD-R тут є засобом вибору. Резервні копії на флешці або окремому жорсткому диску можуть також бути видалені при підключенні до зараженої системі.

    3. Trojan.Linux.Sshdkit

    Професіонали часто називають операційну систему Windows ідеальним середовищем для проживання вірусних програм. Цей гіркий гумор обумовлений не тільки вразливою архітектурою самої ОС, але і її поширеністю серед домашніх користувачів. При бажанні ефективно заразити можна будь-яку ОС, і троянець Linux.Sshdkit - свіжий тому приклад.

    Він був використаний в лютому для масового злому серверів під управлінням ОС Linux. Троянець поширюється у вигляді динамічної бібліотеки. він приховано вбудовується в процес sshd, перехоплює логін і пароль користувача, після чого відправляє своїм творцям дані для аутентифікації по UDP. Сам заражений сервер під керуванням ОС Linux ставав частиною ботнету - мережі з безлічі інфікованих вузлів під загальним контролем зловмисників.
    Алгоритм обчислення адреси командного сервера виглядає наступним чином.

    Алгоритм обчислення адреси командного сервера троянцем Linux.Sshdkit (зображення: "Доктор Веб")

    4. Android.SmsSend

    У загальному випадку будь-яка операційна система стає мішенню для вірусних атак, як тільки приходить час її популярності. Поширеність ОС Android і її зв'язок з рахунками користувачів смартфонів зараз привертає підвищену увагу шахраїв, які не втомлюються вигадувати нові способи впровадження.

    Добре відомі троянці сімейства Android.SmsSend в березні стали поширюватися в основному за допомогою рекламної платформи Airpush. В легальних цілях вона використовується для показу рекламних повідомлень авторами безкоштовно надаються додатків для смартфонів і планшетів з ОС Android. У разі зараженої програми замість звичної реклами троянець створює діалогове вікно, яке імітує запит на оновлення системних компонентів.

    Android.SMS.send - процес активації платної підписки під виглядом поновлення (зображення: "Доктор Веб")

    Натискання по ньому призводить до відправки платного SMS або навіть оформлення платної підписки. Однак відразу власник гаджета про це не дізнається. Йому покажуть вікно з графічної імітацією процесу оновлення і повідомлять про «успіх». Така особливість поведінки змушує думати недосвідчених користувачів про помилкове спрацьовування антивіруса, і його часто відключають (якщо він взагалі був встановлений).

    5. Trojan.Yontoo.1.

    З початку року спостерігається зростання рекламних троянців і для Mac OS X. Однак якщо в разі комп'ютерів під управлінням ОС Windows у шкідливого коду є маса способів потрапити в систему без участі користувача, то авторам троянів під «Макось» доводиться використовувати людський фактор.

    Trojan.Yontoo.1. проникає в систему обманним шляхом. Користувач сам завантажує його під виглядом плагіна, плеєра або іншої корисної програми.

    Завантаження трояна Yontoo1 під виглядом плагіна (зображення: "Доктор Веб")

    Троянець встановлює зв'язок з керуючим сервером і приховано передає на нього дані про завантажену користувачем веб-сторінці. У неї «на льоту» вбудовуються чужі рекламні блоки, посилання в яких ведуть на фішингові сайти, магазини недобросовісних продавців або завантаження іншого шкідливого коду. Аналогічну мету переслідує наступний троянець, але досягається вона іншим чином.

    6. Trojan.Spachanel

    вбудовує рекламні блоки і посилання на заражені сайти в Популярні користувачем веб-сторінки за допомогою JavaScript. Що тут дивного? Механізм взаємодії.

    Будь-розробник прагне автоматизувати процес оновлення своєї програми на комп'ютері користувача. Не є винятком і вирусописатели. Щоб їх код отримував апдейти і команди від свого творця, часто доводиться йти на хитрощі. Комп'ютер жертви може перебувати за проксі-сервером і фаєрволом, а мати надійну приховану зв'язок з ним вкрай важливо для підтримки шахрайської схеми і її монетизації.

    Троян Spachanel - обходв брандмауера і впровадження сторонніх блоків в веб-сторінку (зображення: symantec.com)

    Серед нетривіальних методів обходу захисних систем новим словом можна вважати використання розширення SPF для протоколу відправки електронної пошти. Розроблюваний для боротьби зі спамом, недавно він став надійним каналом зв'язку між троянами і підконтрольними їх творцям серверами. Саме через SPF на заражену машину передається список актуальних адрес для показу нових рекламних блоків і посилань на іншу заразу.

    7. Trojan.Facebook.310

    Багато користувачів часто відвідують соціальні мережі і встигли перейнятися до них довірою. Просто розмістити посилання на троян в них буде неефективно - модератори швидко її прикриють, якщо взагалі допустять створення такого запису. Однак упустити величезну цільову аудиторію і популярну платформу шахраї явно не могли. Для обходу обмежень і перевірок використовується комбінований підхід.

    Trojan.Facebook.310 поширюється через інший троян - DownLoader8.5385 . Останній має справжню цифровий підпис, а посилання на його завантаження фактично створює сам користувач.

    Троянець з Facebook заманює пропозицією подивитися стриптиз на фазенді (зображення: "Доктор Веб")

    Клацаючи по іконці фальшивого відеоролика, відвідувач запускає вбудований додаток Facebook, що дозволяє вбудовувати довільний HMTL код в сторінки соцмережі. Такі посилання розміщуються в різних фіктивних групах. Найчастіше для залучення уваги використовуються назви груп зі словами «Video» і «Mega». Згенерована посилання маскується під повідомлення про необхідність поновлення відеоплеєра.

    Замість апдейта запускається заздалегідь складений сценарій і встановлюється троян Facebook.310. За компанію він приносить в систему BackDoor.IRC.Bot.2344.

    Троянець діє в Facebook від імені користувача: влаштовує розсилки, ставить «лайки», пише коментарі, відкриває доступ до фотоальбому, вступає в групи etc. Бекдор, як типовий представник класу, передає віддалене управління зараженим комп'ютером, роблячи його частиною IRC-ботнету.

    8. Trojan.Hosts

    . Нерідко вбудовані засоби фільтрації трафіку і обмеження доступу приховано використовуються в протилежних цілях. Представники великого класу Trojan.Hosts поширюються в основному через заражені веб-сайти і кожну добу інфікують більше 9000 комп'ютерів. До теперішнього часу відзначається тимчасовий спад їх активності, проте нові сплески ще попереду.

    Троянець модифікує файл WindowsSystem32driversetchosts, службовець для зіставлення IP адрес і DNS імен. У нього додаються рядки, що перенаправляють браузер користувача на заражені веб-сайти і блокують доступ до серверів антивірусних компаній.

    Часто у вікні браузера відображається вимога сплатити «розблокування» комп'ютера. Для перерахування на рахунок вимагачів порівняно невеликої суми пропонується скористатися кредитною карткою Visa або MasterCard, але дешевше скористатися антивірусом або "Блокнотом".

    Для перерахування на рахунок вимагачів порівняно невеликої суми пропонується скористатися кредитною карткою Visa або MasterCard, але дешевше скористатися антивірусом або Блокнотом

    Троянці модифікують файл hosts і вимагають грошей (зображення: "Доктор Веб")

    Оскільки власний механізм захисту файлу hosts від модифікації в Windows не особливо ефективний, встановлено заборону його модифікації стає популярною в сучасних антивирусах. Записи всередині файлу зберігаються в звичайному текстовому форматі, тому його вміст завжди можна подивитися і виправити, відкривши звичайним «Блокнотом».

    9. Trojan.Redyms

    Для підвищення своєї виживаності шкідливий код нерідко робить численні копії. Дублювання в різних місцях на жорсткому диску затягує час перевірки. Не у кожного постраждалого вистачає терпіння виконати повне сканування. Розмноження в оперативній пам'яті має інше призначення і зустрічається рідше.

    Trojan.Redyms, більш відомий в Росії як BackDoor.Finder, намагається впровадити свою копію в усі активні процеси. В першу чергу він намагається заразити запущені браузери. У разі успіху троян відправляє зашифрований запит на один з керуючих серверів. Потім він отримує у відповідь актуальний список адрес для перенаправлення. При зверненні користувача до популярних пошукових систем замість результатів пошуку відображається одна з фішингових сторінок. Найбільше число заражень зараз реєструється на території США, але трояни не помічають державних кордонів.

    Trojan.Redyms тероризує в основному США (зображення: "Доктор Веб")

    10. Смішний вінлок

    Зовсім недавно «Компьютерра» писала про способи самостійно позбавитися від троянів-вимагачів і розблокувати Windows. Однак серед численних представників сімейства Winlock зустрічаються і такі, які видаляти не хочеться, - аж надто вони кумедні.

    Trojan.Winlock.8026 мабуть, єдиний, здатний підняти настрій користувачу зараженої машини. Читати його повідомлення зручніше з-під столу.

    Троян Winlock.8026 виводить з депресії

    Його код і сама логіка роботи теж до крайності безглузді - знайомі з програмуванням напевно розплачеться від сміху, спробувавши в них розібратися.
    Прибити виродка можна безліччю способів, але найпростіший - ввести код розблокування: 141989081989.

    Навіщо писати все компоненти самому, якщо повно готових, а функціонально об'єднати їх можна навіть на найпростішому мові програмування?
    Що тут дивного?
    IRC (Internet Relay Chat)

    Все права защищены © 2013 IRC-сервер — Irc.Online.com.ua