Что такое троянский конь?
Осторожно, данайцы дары приносят: В эпической поэме Вергилия «Энеида» умный греческий военный стратег по имени Одиссей разрабатывает план проникновения своих людей в укрепленный город Трою. Вместо того чтобы разрушить или перелезть через стены города, Одиссей находит другой путь: обманом. Троянские солдаты наблюдают, как греки, кажется, отплывают, оставляя за собой гигантского деревянного коня как символ капитуляции. Опьяневшие от победы, троянцы вносят коня внутрь стен, только чтобы обнаружить, что Одиссей и его люди были скрыты внутри всё это время.
Как и его знаменитый предшественник, компьютерные атаки с использованием троянского коня (или просто "трояны") определяются как вид вредоносного ПО, которое использует обман и социальную инженерию, чтобы заставить ничего не подозревающих пользователей запускать на первый взгляд безобидные программы, скрывающие злонамеренные намерения. Хотя технически они не являются компьютерными вирусами, а скорее отдельным видом вредоносного ПО, «троянский вирус» стал общепринятым термином для их обозначения.
Как охарактеризовать троян
Люди иногда считают троян вирусом или червём, но на самом деле это ни то ни другое. Вирус — это файловый инфицирующий агент, который может самовоспроизводиться и распространяться, прикрепляясь к другой программе. Черви — вид вредоносного ПО, схожий с вирусами, но им не нужно прикрепляться к другой программе, чтобы распространяться. Большинство вирусов сейчас считается устаревшей угрозой. Черви также стали редкими, хотя иногда все же появляются.
«Троян может быть как швейцарский нож хакера.»
Думайте о троянах как об общем термине для доставки вредоносного ПО, поскольку существует множество видов троянов. В зависимости от намерений преступного программиста, троян может быть как швейцарский нож хакера — действовать как своего рода автономное вредоносное ПО или как инструмент для других действий, таких как доставка будущих полезных нагрузок, связь с хакером позднее или открытие системы для атак, так же как греческие солдаты внутри троянской твердыни.
Другими словами, троян — это стратегия доставки, которую используют хакеры, чтобы доставить любое количество угроз, от вымогательского ПО, немедленно требующего денег, до шпионского ПО, которое скрывается, пока крадет ценные данные, такие как личная и финансовая информация.
Учтите, что рекламное ПО или ПНПО (потенциально нежелательные программы) могут быть спутаны с троянами из-за схожести метода доставки. Например, иногда рекламное ПО проникает на ваш компьютер как часть набора программного обеспечения. Вы думаете, что скачиваете одну программу, а на самом деле это две или три. Чаще всего, авторы программ включают рекламное ПО по причинам маркетингового партнерства, чтобы монетизировать свой установщик с помощью предложений — обычно они четко отмечены. Такие рекламные агрегации обычно менее злонамеренны, чем трояны. Кроме того, они не скрываются, как делают это трояны. Но поскольку метод распространения рекламного ПО напоминает метод трояна, это может вызвать путаницу.
Симптомы троянского вируса
Трояны могут выглядеть как угодно: от бесплатного софта и музыки до реклам в браузере и на вид законных приложений. Любое количество недальновидных действий пользователя может привести к заражению трояном. Вот несколько примеров:
- Скачивание взломанных приложений. Обещание нелегально получить бесплатную копию программы может быть заманчивым, но взломанное ПО или генератор активационных ключей могут скрывать атаку трояна.
- Скачивание неизвестных бесплатных программ. То, что выглядит как бесплатная игра или заставка, может оказаться трояном, особенно если вы нашли это на ненадежном сайте.
- Открытие зараженных вложений. Вам приходит странное письмо с важным вложением, как будто счет или квитанция о доставке, но при его открытии запускается троян.
- Посещение сомнительных сайтов. Некоторые сайты могут мгновенно заразить ваш компьютер. Другие используют уловки, такие как имитация потокового воспроизведения популярного фильма, но только если вы скачаете определенный видеокодек, который на самом деле является трояном.
- Любая другая социальная инженерия, маскирующаяся под популярные тенденции. Например, в декабре 2017 года было обнаружено, что обширная база установленных процессоров Intel уязвима для атак из-за аппаратных проблем. Хакеры воспользовались возникшей паникой, подделывая патч под названием Smoke Loader, который устанавливал троян.
Новости о троянском коне
- SharkBot — Android-троян для банковских приложений, очищающий счета пользователей.
- Исходный код трояна: сокрытие вредоносного кода на виду
- Троян Polazert использует отравленные результаты поиска Google для распространения
- Bizarro: банковский троян, полный неприятных сюрпризов
- Троян xHelper на Android использует методики постоянного повторного заражения: вот как удалить
- Новая версия трояна IcedID использует стеганографические полезные нагрузки
- Новое вредоносное ПО Trojan на Android обнаружено в Google Play
- Трояны: в чем же дело на самом деле?
История троянского вируса
Развлечения и игры
Программа с названием ANIMAL, выпущенная в 1975 году, считается первым в мире примером троянской атаки. Она представлялась простой игрой в духе двадцати вопросов. Однако за кулисами игра копировала себя в общедоступные каталоги, где её могли найти другие пользователи. Оттуда игра могла распространяться по всей компьютерной сети. В основном, это была безобидная шутка.
К декабрю 1989 года троянские атаки уже перестали быть простыми шутками. Несколько тысяч дискет с трояном AIDS, первым известным программным обеспечением-вымогателем, были разосланы подписчикам журнала PC Business World и списка рассылки Всемирной организации здравоохранения на конференцию по СПИДу. Этот троян для DOS дремал в течение 90 загрузочных циклов, шифровал все имена файлов на системе, а затем отображал уведомление с просьбой отправить $189 на почтовый ящик в Панаме для получения программы снятия шифрования.
В 1990-х появился другой печально известный троян, замаскированный под простую игру Whack-A-Mole. Программа скрывала версию NetBus, программы, позволяющей удалённо управлять системой Microsoft Windows через сеть. С удалённым доступом атакующий мог проделывать с компьютером всё, что угодно, даже открыть его дисковод.
Любовь и деньги
В 2000 году троян, получивший название ILOVEYOU, стал самым разрушительным кибератакой на то время, нанеся ущерб, оцененный в $8,7 миллиарда. Получатели получали email с вложением в виде текста под названием «ILOVEYOU». Если они были достаточно любопытны, чтобы открыть его, программа запускала скрипт, который переписывал их файлы и рассылал себя всем, кто был в списке контактов пользователя. Насколько техника червя была умна с технической точки зрения, использование социальной инженерии было, пожалуй, его наиболее гениальной составляющей.
В 2000-х годах троянские атаки продолжали развиваться, как и угрозы, которые они несли. Вместо того чтобы нацеливаться на любопытство людей, трояны начали использовать растущую популярность нелегального скачивания, маскируясь под музыкальные файлы, фильмы или видеокодеки. В 2002 году появился троянский конь с Windows, который открывал заднюю дверь под названием Beast и мог заражать почти все версии Windows. Затем, в конце 2005 года, ещё один задний дверной троян по имени Zlob был распространен, маскируясь под обязательный видеокодек в формате ActiveX.
В 2000-х также наблюдался рост числа пользователей Mac, и киберпреступники последовали его примеру. В 2006 году было объявлено об обнаружении первого вредоносного ПО для Mac OS X, слабо угрожающего троянского коня, известного как OSX/Leap-A или OSX/Oompa-A.
Причины троянских атак также начали меняться в это время. Многие ранние кибератаки были вызваны жаждой власти, контроля или чистого разрушения. К 2000-м растущее число атак стало вызвано жадностью. В 2007 году троян под названием Zeus нацелился на Microsoft Windows, чтобы украсть банковскую информацию с помощью кейлоггера. В 2008 году хакеры выпустили Torpig, также известный как Sinowal и Mebroot, который отключал антивирусные приложения, позволяя другим получить доступ к компьютеру, изменять данные и красть конфиденциальную информацию, такую как пароли и другие чувствительные данные.
Сильнее и страшнее
С развитием киберпреступности в 2010-х годах жадность продолжила смещаться, но хакеры начали думать крупнее. Возникновение криптовалют, таких как Bitcoin, который сложно отследить, привело к росту атак вымогателями. В 2013 году был обнаружен троян Cryptolocker. Cryptolocker шифрует файлы на жёстком диске пользователя и требует выкуп для разработчика, чтобы получить ключ дешифровки. Позднее в том же году были также обнаружены несколько подражающих троянов-вымогателей.
«Многие современные трояны были разработаны с целью взять на прицел конкретную компанию, организацию или даже правительство.»
В 2010-х годах также произошло изменение в том, как выбираются жертвы. Хотя многие трояны по-прежнему используют массовый подход, пытаясь заразить как можно больше пользователей, кажется, что более целенаправленный подход набирает популярность. Многие из известных сегодня троянов были разработаны для атаки конкретной компании, организации или даже правительства. В 2010 году был обнаружен Stuxnet, троян для Windows. Это был первый червь, атакующий компьютеризированные системы управления, и существуют утверждения, что он был разработан для нацеливания на иранские ядерные установки. В 2016 году наделал много шума Tiny Banker Trojan (Tinba). С момента его обнаружения выяснилось, что он заразил более двух десятков крупных банковских учреждений в Соединенных Штатах, включая TD Bank, Chase, HSBC, Wells Fargo, PNC и Bank of America. В 2018 году троян Emotet, изначально банковский троян, доставлял другие типы вредоносного ПО, включая другие трояны.
Как один из старейших и самых распространенных способов доставки вредоносного ПО, история троянов следует истории самой киберпреступности. То, что начиналось как способ пошутить над друзьями, превратилось в средство уничтожения сетей, кражи информации, зарабатывания денег и захвата власти. Дни шуток давно прошли. Вместо этого они продолжают оставаться серьезными инструментами киберпреступников, используемыми в основном для кражи данных, шпионажа и атак DDoS (распределенного отказа в обслуживании).
Какие бывают виды троянских коней?
Трояны универсальны и очень популярны, поэтому трудно охарактеризовать каждый вид. Тем не менее, большинство троянов предназначены для захвата управления компьютером пользователя, кражи данных, шпионажа за пользователями или внедрения дополнительного вредоносного ПО на компьютер жертвы. Вот несколько распространенных угроз от троянских атак:
- Бэкдоры, которые создают удаленный доступ к вашей системе. Этот тип вредоносного ПО меняет вашу безопасность, чтобы дать хакеру возможность управлять устройством, красть ваши данные и даже загружать еще больше вредоносных программ.
- Шпионское ПО, которое наблюдает, как вы входите в свои онлайн-аккаунты или вводите данные кредитной карты. Оно передает ваши пароли и другие идентифицирующие данные обратно хакеру.
- Зомбируя трояны, которые захватывают ваш компьютер, превращая его в "раб" в сети под управлением хакера. Это первый шаг к созданию ботнета (робот + сеть), который часто используется для проведения распределенной атаки отказа в обслуживании (DDoS), направленной на вывод сети из строя путем её перегрузки трафиком.
- Загрузчики типа Emotet загружают и разворачивают другие зловредные модули, такие как вымогатели или кейлоггеры.
- Трояны-номеронабиратели, которые могут показаться анахронизмом, поскольку мы больше не используем модемы с автоответом. Но об этом подробнее в следующем разделе.
Троянские приложения на смартфонах Android
Трояны - это не только проблема для ноутбуков и настольных компьютеров. Они атакуют мобильные устройства тоже, что логично, учитывая заманчивую цель, представленную миллиардами использующихся телефонов.
Как и с компьютерами, троян представляется легитимной программой, хотя на самом деле является фальшивой версией приложения, полной вредоносного ПО.
Такие трояны обычно скрываются на неофициальных и пиратских рынках приложений, заманивая пользователей скачать их. Трояны творят разнообразные шалости, заражая телефон рекламой и кейлоггерами, которые могут украсть информацию. Трояны-номеронабиратели могут даже приносить доход, отправляя платные SMS.
«Расширения для браузеров также могут действовать как трояны…»
Пользователи Android стали жертвами троянских приложений даже из Google Play, который постоянно сканирует и удаляет приложения с вредоносным кодом (часто после обнаружения трояна). Расширения браузера также могут действовать как трояны, так как это полезная нагрузка, способная переносить вредоносный код.
Хотя Google может удалять расширения браузера с компьютеров, на телефонах трояны могут размещать прозрачные иконки на экране. Это невидимо для пользователя, но при прикосновении к экрану активируется вредоносное ПО.
Что касается пользователей iPhone, тут хорошие новости: закрытая политика Apple в отношении доступа к App Store, iOS и другим приложениям на телефоне отлично предотвращает проникновение троянов. Единственное исключение – те, кто взламывает свои телефоны в поисках бесплатного софта с других сайтов, не связанных с App Store. Установка опасных приложений вне настроек Apple делает вас уязвимыми для троянов.
Как удалить троянский вирус?
Как только троян инфицирует ваше устройство, самый универсальный способ очистить его и вернуть его в желаемое состояние – использовать качественный автоматизированный антивирус и провести полное сканирование системы. Если вы беспокоитесь о заражении трояном, вы можете попробовать наш бесплатный сканер троянов для проверки вашего устройства.
Существует множество бесплатных антивирусных и антивредоносных программ — включая наши собственные продукты для Windows, Android и Mac — которые обнаруживают и удаляют рекламное ПО и вредоносное ПО. Фактически, Malwarebytes обнаруживает все известные трояны и еще больше, так как 80% обнаружения троянов осуществляется с помощью эвристического анализа. Мы даже помогаем уменьшить дополнительное инфицирование, обрывая связь между внедренным вредоносным кодом и любым сервером, изолируя трояна. Наш бесплатный инструмент по борьбе с вредоносными программами сканирует и удаляет существующий вредоносный код, а наша премиум-программа будет активно сканировать и защищать от таких угроз, как трояны, вирусы, черви и вымогатели. Вы можете начать с бесплатной пробной версии наших премиум-продуктов, чтобы оценить их самостоятельно.
Как предотвратить появление троянского вируса?
Поскольку трояны зависят от обмана пользователей, чтобы проникнуть в компьютер, большинство заражений можно избежать, оставаясь бдительным и соблюдая хорошие привычки безопасности. Проявляйте здоровый скептицизм к сайтам, предлагающим бесплатные фильмы или азартные игры, и вместо этого загружайте бесплатные программы непосредственно с сайта производителя, а не с неавторизованных зеркальных серверов.
Еще одна мера предосторожности, о которой стоит задуматься: измените настройки Windows по умолчанию, чтобы настоящие расширения приложений всегда были видны. Это позволит избежать обмана невинно выглядящими иконками.
Другие хорошие практики, помимо установки Malwarebytes для Windows, Malwarebytes для Android и Malwarebytes для Mac, включают:
- Регулярное проведение диагностических сканирований
- Настройка автоматического обновления операционной системы, чтобы гарантировать наличие последних обновлений безопасности
- Обновление приложений, чтобы устранять любые уязвимости в безопасности
- Избегайте небезопасных или подозрительных веб-сайтов
- Будьте скептичны к неподтвержденным вложениям и ссылкам в незнакомых вам письмах
- Используйте сложные пароли
- Оставаться за файрволлом
Как Malwarebytes Premium защищает вас
В Malwarebytes мы серьезно относимся к предотвращению заражений, именно поэтому мы агрессивно блокируем как веб-сайты, так и рекламные объявления, которые считаем мошенническими или подозрительными. Например, мы блокируем торрент-сайты вроде The Pirate Bay. Хотя многие опытные пользователи могут использовать такие сайты без проблем, некоторые из файлов, которые они предлагают для скачивания, на самом деле являются троянами. По аналогичным причинам мы также блокируем криптомайнинг через браузеры, но пользователь может выбрать отключение блока и подключение.
Наше мнение таково: лучше перестраховаться. Если хотите рискнуть, легко добавить сайт в список разрешенных, но даже технически подкованные пользователи могут попасться на убедительный троян.
Чтобы узнать больше о троянах, вредоносных программах и других киберугрозах, загляните на блог Malwarebytes Labs. Полученные знания могут помочь вам избежать заражения в будущем.