Троянский конь - вирус или вредоносное ПО?

Что такое троянский конь? 

Осторожно, данайцы дары приносят: В эпической поэме Вергилия «Энеида» умный греческий военный стратег по имени Одиссей разрабатывает план проникновения своих людей в укрепленный город Трою. Вместо того чтобы разрушить или перелезть через стены города, Одиссей находит другой путь: обманом. Троянские солдаты наблюдают, как греки, кажется, отплывают, оставляя за собой гигантского деревянного коня как символ капитуляции. Опьяневшие от победы, троянцы вносят коня внутрь стен, только чтобы обнаружить, что Одиссей и его люди были скрыты внутри всё это время.

Как и его тезка, "троянский конь" (или просто "троян") в компьютерной технике определяется как тип вредоносного ПО, использующего обман и социальную инженерию для того, чтобы обманом заставить ничего не подозревающих пользователей запустить внешне безвредные компьютерные программы, скрывающие вредоносные скрытые мотивы. Хотя технически они не являются компьютерными вирусами, а скорее отдельной формой вредоносного ПО, "вирус троянского коня" стал общепринятым способом их обозначения. 

Как охарактеризовать троян

Люди иногда думают, что троян - это вирус или червь, но на самом деле он не является ни тем, ни другим. Вирус - это заразитель файлов, который может самовоспроизводиться и распространяться, присоединяясь к другой программе. Черви - это тип вредоносного ПО, схожий с вирусами, но для их распространения не нужно прикрепляться к другой программе. В настоящее время большинство вирусов рассматриваются как устаревшие угрозы. Черви также стали редкостью, хотя время от времени они все же появляются. 

«Троян может быть как швейцарский нож хакера.»

Думайте о троянцах как о зонтичном термине для обозначения доставки вредоносного ПО , поскольку существуют различные виды троянцев. В зависимости от замысла программиста троян может быть похож на швейцарский армейский нож для взлома - действоватькак самостоятельное вредоносное ПО или как инструмент для других действий, таких как доставка будущей полезной нагрузки, связь с hacker или открывать систему для атак, как это делали греческие солдаты, находясь в троянской крепости.

Другими словами, троян - это стратегия доставки, с помощью которой hackers могут реализовать любое количество угроз, от программ-вымогателей, которые немедленно требуют деньги, до шпионских программ, которые скрывают себя, похищая ценную информацию, например личные и финансовые данные.

Помните, что рекламное ПО или PUP (потенциально нежелательные программы) можно спутать с троянцами, поскольку способ их доставки схож. Например, иногда рекламное ПО проникает на ваш компьютер в составе пакета программ. Вы думаете, что загружаете одну программу, а на самом деле их две или три. Авторы программ обычно включают рекламное ПО по маркетинговым соображениям, чтобы они могли монетизировать свой установщик с помощью предложений, обычно четко обозначенных. Такие рекламные бандлеры, как правило, менее вредоносны, чем троянцы. Кроме того, они не скрывают себя, как это делают троянцы. Но поскольку вектор распространения рекламного ПО похож на вектор распространения троянцев, это может привести к путанице.

Симптомы троянского вируса

Трояны могут выглядеть как угодно: от бесплатного софта и музыки до реклам в браузере и на вид законных приложений. Любое количество недальновидных действий пользователя может привести к заражению трояном. Вот несколько примеров:

• Скачивание взломанных приложений. Обещание нелегально получить бесплатную копию программы может быть заманчивым, но взломанное ПО или генератор активационных ключей могут скрывать атаку трояна.
• Скачивание неизвестных бесплатных программ. То, что выглядит как бесплатная игра или заставка, может оказаться трояном, особенно если вы нашли это на ненадежном сайте.
• Открытие зараженных вложений. Вам приходит странное письмо с важным вложением, как будто счет или квитанция о доставке, но при его открытии запускается троян.
• Посещение сомнительных сайтов. Некоторые сайты могут мгновенно заразить ваш компьютер. Другие используют уловки, такие как имитация потокового воспроизведения популярного фильма, но только если вы скачаете определенный видеокодек, который на самом деле является трояном.
• Любая другая социальная инженерия, которая маскируется, используя последние тенденции. Например, в декабре 2017 года было обнаружено, что обширная база установленных процессоров Intel уязвима для атак из-за аппаратных проблем. Hackers воспользовались возникшей паникой, подделав патч под названием Smoke Loader, который устанавливал троян.

Новости о троянском коне

• SharkBot — Android-троян для банковских приложений, очищающий счета пользователей.
• Исходный код трояна: сокрытие вредоносного кода на виду
• Троян Polazert использует отравленные результаты поиска Google для распространения
• Bizarro: банковский троян, полный неприятных сюрпризов
• Троян xHelper на Android использует методики постоянного повторного заражения: вот как удалить
• Новая версия трояна IcedID использует стеганографические полезные нагрузки
• Новое вредоносное ПО Trojan на Android обнаружено в Google Play
• Трояны: в чем же дело на самом деле?

История троянского вируса

Развлечения и игры

Программа с названием ANIMAL, выпущенная в 1975 году, считается первым в мире примером троянской атаки. Она представлялась простой игрой в духе двадцати вопросов. Однако за кулисами игра копировала себя в общедоступные каталоги, где её могли найти другие пользователи. Оттуда игра могла распространяться по всей компьютерной сети. В основном, это была безобидная шутка.

К декабрю 1989 года троянские атаки перестали быть шуткой. Несколько тысяч дискет с троянцем AIDS, первой известной программой-выкупом, были разосланы подписчикам журнала PC Business World и списка рассылки конференции Всемирной организации здравоохранения по СПИДу. Этот DOS-троянец находился в спящем режиме в течение 90 циклов загрузки, шифровал все имена файлов в системе, а затем выводил уведомление с просьбой отправить 189 долларов на почтовый ящик в Панаме, чтобы получить программу для дешифровки.

В 1990-х появился другой печально известный троян, замаскированный под простую игру Whack-A-Mole. Программа скрывала версию NetBus, программы, позволяющей удалённо управлять системой Microsoft Windows через сеть. С удалённым доступом атакующий мог проделывать с компьютером всё, что угодно, даже открыть его дисковод.

Любовь и деньги

В 2000 году троян, получивший название ILOVEYOU, стал самым разрушительным кибератакой на то время, нанеся ущерб, оцененный в $8,7 миллиарда. Получатели получали email с вложением в виде текста под названием «ILOVEYOU». Если они были достаточно любопытны, чтобы открыть его, программа запускала скрипт, который переписывал их файлы и рассылал себя всем, кто был в списке контактов пользователя. Насколько техника червя была умна с технической точки зрения, использование социальной инженерии было, пожалуй, его наиболее гениальной составляющей.

В 2000-х годах троянские атаки продолжали развиваться, как и угрозы, которые они несли. Вместо того, чтобы бороться с любопытством людей, троянцы использовали рост нелегального скачивания, маскируя вредоносные программы под музыкальные файлы, фильмы или видеокодеки. В 2002 году появился троянский конь с бэкдором Windows под названием Beast, способный заражать практически все версии Windows. Затем, в конце 2005 года, появился еще один троянский бэкдор под названием Zlob, замаскированный под необходимый видеокодек в виде ActiveX.

В 2000-х также наблюдался рост числа пользователей Mac, и киберпреступники последовали его примеру. В 2006 году было объявлено об обнаружении первого вредоносного ПО для Mac OS X, слабо угрожающего троянского коня, известного как OSX/Leap-A или OSX/Oompa-A.

Причины троянских атак также начали меняться в это время. Многие ранние кибератаки были вызваны жаждой власти, контроля или чистого разрушения. К 2000-м растущее число атак стало вызвано жадностью. В 2007 году троян под названием Zeus нацелился на Microsoft Windows, чтобы украсть банковскую информацию с помощью кейлоггера. В 2008 году хакеры выпустили Torpig, также известный как Sinowal и Mebroot, который отключал антивирусные приложения, позволяя другим получить доступ к компьютеру, изменять данные и красть конфиденциальную информацию, такую как пароли и другие чувствительные данные.

Сильнее и страшнее

Когда киберпреступность вступила в 2010-е годы, жадность продолжала расти, но hackers стали мыслить шире. Рост числа криптовалют, не поддающихся отслеживанию, таких как биткойн, привел к увеличению числа атак с использованием выкупного ПО. В 2013 году был обнаружен троянский конь Cryptolocker. Cryptolocker шифрует файлы на жестком диске пользователя и требует выкуп у разработчика, чтобы получить ключ для дешифровки. Позднее в том же году был обнаружен ряд троянцев-подражателей вымогателей.

«Многие современные трояны были разработаны с целью взять на прицел конкретную компанию, организацию или даже правительство.»

В 2010-х годах также произошло изменение в том, как выбираются жертвы. Хотя многие трояны по-прежнему используют массовый подход, пытаясь заразить как можно больше пользователей, кажется, что более целенаправленный подход набирает популярность. Многие из известных сегодня троянов были разработаны для атаки конкретной компании, организации или даже правительства. В 2010 году был обнаружен Stuxnet, троян для Windows. Это был первый червь, атакующий компьютеризированные системы управления, и существуют утверждения, что он был разработан для нацеливания на иранские ядерные установки. В 2016 году наделал много шума Tiny Banker Trojan (Tinba). С момента его обнаружения выяснилось, что он заразил более двух десятков крупных банковских учреждений в Соединенных Штатах, включая TD Bank, Chase, HSBC, Wells Fargo, PNC и Bank of America. В 2018 году троян Emotet, изначально банковский троян, доставлял другие типы вредоносного ПО, включая другие трояны.

Как один из старейших и самых распространенных способов доставки вредоносного ПО, история троянов следует истории самой киберпреступности. То, что начиналось как способ пошутить над друзьями, превратилось в средство уничтожения сетей, кражи информации, зарабатывания денег и захвата власти. Дни шуток давно прошли. Вместо этого они продолжают оставаться серьезными инструментами киберпреступников, используемыми в основном для кражи данных, шпионажа и атак DDoS (распределенного отказа в обслуживании).

Какие бывают виды троянских коней?

Трояны универсальны и очень популярны, поэтому трудно охарактеризовать каждый вид. Тем не менее, большинство троянов предназначены для захвата управления компьютером пользователя, кражи данных, шпионажа за пользователями или внедрения дополнительного вредоносного ПО на компьютер жертвы. Вот несколько распространенных угроз от троянских атак:

• Бэкдоры, которые создают удаленный доступ к вашей системе. Этот тип вредоносного ПО меняет вашу безопасность, чтобы дать хакеру возможность управлять устройством, красть ваши данные и даже загружать еще больше вредоносных программ.
• Шпионское ПО, которое наблюдает, как вы входите в свои онлайн-аккаунты или вводите данные кредитной карты. Оно передает ваши пароли и другие идентифицирующие данные обратно хакеру.
• Зомбирующие троянцы, которые захватывают контроль над вашим компьютером, превращая его в ведомое звено в сети, подконтрольной hacker. Это первый шаг к созданию ботнета (робот + сеть), который часто используется для проведения распределенной атаки типа "отказ в обслуживании" (DDoS), направленной на уничтожение сети путем переполнения ее трафиком.
• Троянцы-загрузчики, примером которых является Emotet, загружают и развертывают другие вредоносные модули, такие как программы-вымогатели или кейлоггеры.
• Трояны-номеронабиратели, которые могут показаться анахронизмом, поскольку мы больше не используем модемы с автоответом. Но об этом подробнее в следующем разделе.

Троянские приложения на смартфонах Android

Трояны - это не только проблема для ноутбуков и настольных компьютеров. Они атакуют мобильные устройства тоже, что логично, учитывая заманчивую цель, представленную миллиардами использующихся телефонов.

Как и с компьютерами, троян представляется легитимной программой, хотя на самом деле является фальшивой версией приложения, полной вредоносного ПО.

Такие трояны обычно скрываются на неофициальных и пиратских рынках приложений, заманивая пользователей скачать их. Трояны творят разнообразные шалости, заражая телефон рекламой и кейлоггерами, которые могут украсть информацию. Трояны-номеронабиратели могут даже приносить доход, отправляя платные SMS.    

«Расширения для браузеров также могут действовать как трояны…»

Android Пользователи становились жертвами троянских приложений даже из Google Play, который постоянно проверяет и удаляет "боевые" приложения (много раз после обнаружения трояна). Троянами могут быть и дополнения к браузерным расширениям, поскольку они представляют собой полезную нагрузку, способную нести встроенный вредоносный код.

Хотя Google может удалять расширения браузера с компьютеров, на телефонах трояны могут размещать прозрачные иконки на экране. Это невидимо для пользователя, но при прикосновении к экрану активируется вредоносное ПО.

Что касается пользователей iPhone, тут хорошие новости: закрытая политика Apple в отношении доступа к App Store, iOS и другим приложениям на телефоне отлично предотвращает проникновение троянов. Единственное исключение – те, кто взламывает свои телефоны в поисках бесплатного софта с других сайтов, не связанных с App Store. Установка опасных приложений вне настроек Apple делает вас уязвимыми для троянов.

Как удалить троянский вирус?

Как только троян инфицирует ваше устройство, самый универсальный способ очистить его и вернуть его в желаемое состояние – использовать качественный автоматизированный антивирус и провести полное сканирование системы. Если вы беспокоитесь о заражении трояном, вы можете попробовать наш бесплатный сканер троянов для проверки вашего устройства. 

Существует множество бесплатных антивирусных и антивредоносных программ — включая наши собственные продукты для Windows, Android и Mac — которые обнаруживают и удаляют рекламное ПО и вредоносное ПО. Фактически, Malwarebytes обнаруживает все известные трояны и еще больше, так как 80% обнаружения троянов осуществляется с помощью эвристического анализа. Мы даже помогаем уменьшить дополнительное инфицирование, обрывая связь между внедренным вредоносным кодом и любым сервером, изолируя трояна. Наш бесплатный инструмент по борьбе с вредоносными программами сканирует и удаляет существующий вредоносный код, а наша премиум-программа будет активно сканировать и защищать от таких угроз, как трояны, вирусы, черви и вымогатели. Вы можете начать с бесплатной пробной версии наших премиум-продуктов, чтобы оценить их самостоятельно.    

Как предотвратить появление троянского вируса?

Поскольку трояны зависят от обмана пользователей, чтобы проникнуть в компьютер, большинство заражений можно избежать, оставаясь бдительным и соблюдая хорошие привычки безопасности. Проявляйте здоровый скептицизм к сайтам, предлагающим бесплатные фильмы или азартные игры, и вместо этого загружайте бесплатные программы непосредственно с сайта производителя, а не с неавторизованных зеркальных серверов.

Еще одна мера предосторожности, о которой стоит задуматься: измените настройки Windows по умолчанию, чтобы настоящие расширения приложений всегда были видны. Это позволит избежать обмана невинно выглядящими иконками.

Другие хорошие практики, помимо установки Malwarebytes для Windows, Malwarebytes для Android и Malwarebytes для Mac, включают:

• Регулярное проведение диагностических сканирований
• Настройка автоматического обновления операционной системы, чтобы гарантировать наличие последних обновлений безопасности
• Обновление приложений, чтобы устранять любые уязвимости в безопасности
• Избегайте небезопасных или подозрительных веб-сайтов
• Будьте скептичны к неподтвержденным вложениям и ссылкам в незнакомых вам письмах
• Используйте сложные пароли
• Оставаясь за брандмауэром

Как Malwarebytes Premium защищает вас

В Malwarebytes мы серьезно относимся к предотвращению заражений, именно поэтому мы агрессивно блокируем как веб-сайты, так и рекламные объявления, которые считаем мошенническими или подозрительными. Например, мы блокируем торрент-сайты вроде The Pirate Bay. Хотя многие опытные пользователи могут использовать такие сайты без проблем, некоторые из файлов, которые они предлагают для скачивания, на самом деле являются троянами. По аналогичным причинам мы также блокируем криптомайнинг через браузеры, но пользователь может выбрать отключение блока и подключение.

Наше мнение таково: лучше перестраховаться. Если хотите рискнуть, легко добавить сайт в список разрешенных, но даже технически подкованные пользователи могут попасться на убедительный троян.

Чтобы узнать больше о троянах, вредоносных программах и других киберугрозах, загляните на блог Malwarebytes Labs. Полученные знания могут помочь вам избежать заражения в будущем.