Троян (троянський кінь) — тип шкідливих програм, основною метою яких є шкідливий вплив стосовно комп'ютерної системи. Трояни відрізняються відсутністю механізму створення власних копій. Деякі трояни здатні до автономного подолання систем захисту КС, з метою проникнення й зараження системи. У загальному випадку, троян попадає в систему разом з вірусом або хробаком, у результаті необачних дій користувача або ж активних дій зловмисника.

Життєвий цикл

У силу відсутності в троянів функцій розмноження й поширення, їхній життєвий цикл украй короткий - усього три стадії:

• Проникнення на комп'ютер
• Активація
• Виконання закладених функцій

Це, саме собою, не означає малого часу життя троянів. Навпроти, троян може тривалий час непомітно перебувати в пам'яті комп'ютера, ніяк не видаючи своєї присутності, доти, поки не буде виявлений антивірусними засобами.

Способи проникнення

Завдання проникнення на комп'ютер користувача трояни вирішують звичайно одним із двох наступних методів.

<!-- [if !supportLists] --> 1.      Маскування — троян видає себе за корисний додаток, що користувач самостійно завантажує з Інтернет і запускає. Іноді користувач виключається із цього процесу за рахунок розміщення на Web-сторінці спеціального скріпта, що використовуючи діри в браузері автоматично ініціює завантаження й запуск трояна. <!-- [endif] -->

Приклад. Trojan.SymbOS.Hobble.a є архівом для операційної системи Symbian (SIS-архівом). При цьому він маскується під антивірус Symantec і має ім'я symantec.sis. Після запуску на смартфоні троян підмінює оригінальний файл оболонки FExplorer.app на ушкоджений файл. У результаті при наступному завантаженні операційної системи більшість функцій смартфона виявляються недоступними

Одним з варіантів маскування може бути також впровадження зловмисником троянського коду в код іншого додатка. У цьому випадку розпізнати троян ще складніше, тому що заражений додаток може відкрито виконувати які-небудь корисні дії, але при цьому тайкома завдавати шкоди за рахунок троянських функцій.

Розповсюджений також спосіб впровадження троянів на комп'ютери користувачів через веб-сайти. При цьому використається або шкідливий скріпт, що завантажує й запускає троянську програму на комп'ютері користувача, використовуючи уразливість у веб-браузері, або методи соціальної інженерії - наповнення й оформлення веб-сайту провокує користувача до самостійного завантаження трояна. При такому методі впровадження може використатися не одна копія трояна, а поліморфний генератор, що створює нову копію при кожнім завантаженні. Застосовувані в таких генераторах технології поліморфізму звичайно не відрізняються від вірусних поліморфних технологій.

<!-- [if !supportLists] --> 2.      Кооперація з вірусами й хробаками — троян подорожує разом із хробаками або, рідше, з вірусами. У принципі, такі пари хробак-троян можна розглядати цілком як складеного хробака, але в сформованій практиці прийнято троянську складову хробаків, якщо вона реалізована окремим файлом, уважати незалежним трояном із власним ім'ям. Крім того, троянська складова може попадати на комп'ютер пізніше, ніж файл хробака. <!-- [endif] -->

Приклад. Використовуючи backdoor-функціонала хробаків сімейства Bagle, автор хробака проводив сховану інсталяцію трояна SpamTool.Win32.Small.b, що збирав і відсилав на певну адресу адреси електронної пошти, що були у файлах на зараженому комп'ютері.

Нерідко спостерігається кооперація хробаків з вірусами, коли хробак забезпечує транспортування вірусу між комп'ютерами, а вірус поширюється по комп'ютері, заражаючи файли.

Приклад. Відомий у минулому хробак Email-Worm.Win32.Klez.h при зараженні комп'ютера також запускав на ньому вірус Virus.Win32.Elkern.c. Навіщо це було зроблено, сказати важко, оскільки вірус сам по собі, крім зараження й пов'язаних з помилками в коді шкідливих проявів (явно виражених шкідливих процедур у ньому немає), ніяких дій не виконує, тобто не є "посиленням" хробака в якому б те не було змісті.

Активація

Тут прийоми ті ж, що й у хробаків: очікування запуску файлу користувачем, або використання автоматичного запуску.

Виконувані функції

На відміну від вірусів і хробаків, розподіл яких на типи виробляється по способах розмноження/поширення, трояни діляться на типи по характері виконуваних ними шкідливих дій. Найпоширеніші наступні види троянів.

<!-- [if !supportLists] --> ·         Клавіатурні шпигуни - трояни, що постійно перебувають у пам'яті й дані, що зберігають всі, вступники від клавіатури з метою наступної передачі цих даних зловмисникові. Звичайно в такий спосіб зловмисник намагається довідатися паролі або іншу конфіденційну інформацію. <!-- [endif] -->

Приклад. У минулому, буквально пари років тому ще зустрічалися клавіатурні шпигуни, які фіксували всі натискання клавіш і записували їх в окремий файл. Trojan-Spy.Win32.Small.b, наприклад, у нескінченному циклі зчитував коди клавіш, що натискають, і зберігав їх у файлі C:\SYS

Сучасні програми-шпигуни оптимізиовані для збору інформації, переданої користувачем в Інтернет, оскільки серед цих даних можуть зустрічатися логіни й паролі до банківських рахунків, PIN-коди кредитних карт й інша конфіденційна інформація, що ставиться до фінансової діяльності користувача. Trojan-Spy.Win32.Agent.fa відслідковує відкриті вікна Internet Explorer і зберігає інформацію з відвідуваних користувачем сайтів, уведення клавіатури в спеціально створений файл servms.dll із системному каталозі Windows.

<!-- [if !supportLists] --> ·         Викрадачі паролів - трояни, також призначені для одержання паролів, але не використають спостереження за клавіатурою. У таких троянах реалізовані способи добування паролів з файлів, у яких ці паролі зберігаються різними додатками. <!-- [endif] -->

Приклад. Trojan-PSW.Win32.LdPinch.kw збирає відомості про систему, а також логіни й паролі для різних сервісів і прикладних програм - месенджерів, поштових клієнтів, програм дозвонуи. Часто ці дані виявляються слабко захищені, що дозволяє трояну їх одержати й відправити зловмисникові по електронній пошті

<!-- [if !supportLists] --> ·         Утиліти вилученого керування - трояни, що забезпечують повний вилучений контроль над комп'ютером користувача. ' Існують легальні утиліти такої ж властивості, але вони відрізняються тим, що повідомляють про своє призначення при установці або ж постачені документацією, у якій описані їхні функції. Троянські утиліти вилученого керування, навпроти, ніяк не видають свого реального призначення, так що користувач і не підозрює про те, що його комп'ютер підконтрольний зловмисникові. Найбільш популярна утиліта вилученого керування - Back Orifice. <!-- [endif] -->

Приклад. Backdoor.Win32.Netbus.170 надає повний контроль над комп'ютером користувача, включаючи виконання будь-яких файлових операцій, завантаження й запуск інших програм, одержання знімків екрана й т.д.

<!-- [if !supportLists] --> ·         Люки (backdoor) - трояни які надають зловмисникові обмежений контроль над комп'ютером користувача. Від утиліт вилученого керування відрізняються більше простим пристроєм й, як наслідок, невеликою кількістю доступних дій. Проте, звичайно одними з дій є можливість завантаження й запуску будь-яких файлів по команді зловмисника, що дозволяє при необхідності перетворити обмежений контроль у повен. <!-- [endif] -->

Приклад. Останнім часом backdoor-функціонал став характерною рисою хробаків. Наприклад, Email-Worm.Win32.Bagle.at використає порт 81 для одержання вилучених команд або завантаження троянів, що розширюють функціонала хробака.

Є й окремі трояни типу backdoor. Троян Backdoor.win32.Wootbot.gen використає IRC-канал для одержання команд від "хазяїна". По команді троян може завантажувати й запускати на виконання інші програми, сканувати інші комп'ютери на наявність вразливостей і встановлювати себе на комп'ютери через виявлені вразливості.

<!-- [if !supportLists] --> ·         Анонімні smtp-сервера й проксі - трояни, що виконують функції поштових серверів або проксі й, що використаються в першому випадку для спам-розсилань, а в другому для замітання слідів хакерами. <!-- [endif] -->

Приклад. Трояни із сімейства Trojan-Proxy.Win32.Mitglieder поширюються з різними версіями хробаків Bagle. Троян запускається хробаком, відкриває на комп'ютері порт і відправляє авторові вірусу інформацію про IP-адресу зараженого комп'ютера. Після цього комп'ютер може використатися для розсилання спаму.

<!-- [if !supportLists] --> ·         Утиліти дозвону - порівняно новий тип троянів, що представляє собою утиліти dial-up доступу в Інтернет через дорогі поштові служби. Такі трояни прописуються в системі як утиліти дозвону за замовчуванням і спричиняють величезні рахунки за користування Інтернетом. <!-- [endif] -->

Приклад. Trojan.Win32.Dialer.a при запуску здійснює дозвон в Інтернет через платні поштові служби. Ніяких інших дій не робить, у тому числі не створює ключів у реєстрі, тобто навіть не реєструється як стандартна програма дозвону й не забезпечує автозапуск.

<!-- [if !supportLists] --> ·         Модифікатори настроювань браузера - трояни, які міняють стартову сторінку в браузері, сторінку пошуку або ще які-небудь настроювання, відкривають додаткові вікна браузера, імітують натискання на банери й т.п. <!-- [endif] -->

Приклад. Trojan-Clicker.JS.Pretty звичайно втримується в html-сторінках. Він відкриває додаткові вікна з певними веб-сторінками й обновляє їх із заданим інтервалом

<!-- [if !supportLists] --> ·         Логічні бомби - частіше не стільки трояни, скільки троянські складових хробаків і вірусів, суть роботи яких полягає в тому, щоб за певних умов (дата, час доби, дії користувача, команда ззовні) зробити певну дію: наприклад, знищення даних <!-- [endif] -->

Приклад. Virus.Win9x.CIH, Macro.Word97.Thus