Табун иноходцев: десять самых оригинальных и популярных троянов современности
Число записей в базах современных антивирусов исчисляется миллионами. Однако если отбросить многочисленные клоны и сошедшие со сцены образцы вредоносного кода, то в сухом остатке будет не так много принципиально разных и реальных угроз.
Современные вирусописатели не развлекаются, а преследуют вполне криминальные цели, для реализации которых чаще всего используются различные троянские программы и компоненты. Давайте посмотрим на TOP-10 самых оригинальных и актуальных из них.
Троянцы ассоциируются с Windows, но в последнее время они заражают и другие операционные системы, включая Android, Linux и Mac OS X1. Trojan.Mayachok
– обширное семейство, насчитывающее свыше полутора тысяч представителей. Наиболее необычным из них является Trojan.Mayachok.2.
Это первый зарегистрированный буткит, заражающий Volume Boot Record файловой системы NTFS. Вот как описывают эту особенность специалисты компании «Доктор Веб»:
“Вирусы, модифицирующие MBR (Master Boot Record) и BOOT-секторы, известны ещё со времен DOS, в то время как современные ОС предоставляют новые возможности, в том числе и для вирусописателей. В рассматриваемом нами случае BOOT-сектор является первым сектором VBR, который, например, для раздела NTFS занимает 16 секторов.
Таким образом, классическая проверка только загрузочного сектора не может обнаружить вредоносный объект, так как он располагается дальше — внутри VBR”.
«Маячок.2» был впервые обнаружен летом 2011 года, но всплески его эпидемии отмечаются до сих пор. Троян блокирует доступ в интернет и показывает ложное сообщение о необходимости обновить браузер.
Помимо установленного по умолчанию Internet Explorer, создатели «Маячка» не обошли вниманием альтернативные браузеры – стилизация под интерфейс выполнена также для Mozilla Firefox и Opera.
Trojan.Mayachok.2 – фальшивые сообщения об обновлении
При клике на фальшивое диалоговое окно происходит запрос номера мобильного телефона жертвы, на который приходит ответный код. Введя его, пользователь активирует вовсе не загрузку обновления, а платную подписку.
2. Trojan.ArchiveLock.20
Этот троянец иллюстрирует ленивый, но от этого не менее эффективный подход к созданию вредоносного кода. Зачем писать все компоненты самому, если полно готовых, а функционально объединить их можно даже на простейшем языке программирования?
Троян состоит из множества (чужих) компонентов и написан на Бейсике. Его большой размер мало кого смущает в эпоху выделенных каналов, терабайтных винчестеров и общей расслабленности. Он ищет файлы пользователя по формату.
В основном это документы, но список потенциально важных данных очень большой. Затем троянец шифрует их с помощью архиватора WinRAR и закрывает паролем.
Исходные файлы необратимо удаляются с помощью утилиты Sysinternals SDelete. Происходит не просто удаление записи о файле из таблицы файловой системы, а его многократное затирание.
Восстановить уничтоженные таким образом данные невозможно.
Дальше работает обычная схема вымогательства. Для расшифровки созданных архивов предлагается отправить перевод, а затем письмо на один из указанных адресов в домене gmail.com.
Пароли на архив используются разные, а их длина может достигать полусотни символов. Поэтому простое удаление вируса оставит жертву со множеством зашифрованных архивов, вскрыть которые за приемлемое время, скорее всего, не удастся.
Размер требуемого вознаграждения составляет тысячи долларов. Разумеется, платить его не стоит. Столкнувшись с таким заражением, свяжитесь с представителями антивирусных компаний.
Они разберут код шифровальщика и постараются вычислить использованный пароль. Обычно такая услуга оказывается бесплатно.
Trojan.ArchiveLock.20 – авторы трояна на Бейсике хотят 5000 долларов
В качестве профилактики делайте резервные копии всех важных данных и храните их отдельно на внешних носителях. При всех своих недостатках диски однократной записи DVD-R здесь являются средством выбора.
Резервные копии на флэшке или отдельном жёстком диске могут также быть удалены при подключении к заражённой системе.
3. Trojan.Linux.Sshdkit
Профессионалы часто называют операционную систему Windows идеальной средой для обитания вирусных программ. Этот горький юмор обусловлен не только уязвимой архитектурой самой ОС, но и её распространённостью среди домашних пользователей.
При желании эффективно заразить можно любую ОС, и троянец Linux.Sshdkit – свежий тому пример.
Он был использован в феврале для массового взлома серверов под управлением ОС Linux. Троянец распространяется в виде динамической библиотеки.
Он скрыто встраивается в процесс sshd, перехватывает логин и пароль пользователя, после чего отправляет своим создателям данные для аутентификации по UDP. Сам заражённый сервер под управлением ОС Linux становился частью ботнета – сети из множества инфицированных узлов под общим контролем злоумышленников.
Алгоритм вычисления адреса командного сервера выглядит следующим образом.
Алгоритм вычисления адреса командного сервера троянцем Linux.Sshdkit (изображение: “Доктор Веб”)4. Android.SmsSend
В общем случае любая операционная система становится мишенью для вирусных атак, как только приходит время её популярности. Распространённость ОС Android и её связь со счетами пользователей смартфонов сейчас привлекает повышенное внимание мошенников, не устающих изобретать новые способы внедрения.
Хорошо известные троянцы семейства Android.SmsSend в марте стали распространяться в основном с помощью рекламной платформы Airpush. В легальных целях она используется для показа рекламных сообщений авторами бесплатно предоставляемых приложений для смартфонов и планшетов с ОС Android.
В случае заражённой программы вместо привычной рекламы троянец создаёт диалоговое окно, имитирующее запрос на обновление системных компонентов.
Android.SMS.send – процесс активации платной подписки под видом обновления (изображение: “Доктор Веб”)
Нажатие по нему приводит к отправке платного SMS или даже оформлению платной подписки. Однако сразу владелец гаджета об этом не узнает.
Ему покажут окно с графической имитацией процесса обновления и сообщат об «успехе». Такая особенность поведения заставляет думать неискушённых пользователей о ложном срабатывании антивируса, и его часто отключают (если он вообще был установлен).
5. Trojan.Yontoo.1.
С начала года отмечается рост рекламных троянцев и для Mac OS X. Однако если в случае компьютеров под управлением ОС Windows у вредоносного кода есть масса способов попасть в систему без участия пользователя, то авторам троянов под «макось» приходится использовать человеческий фактор.
Trojan.Yontoo.1. проникает в систему обманным путём. Пользователь сам загружает его под видом плагина, плеера или другой полезной программы.
Загрузка трояна Yontoo1 под видом плагина (изображение: “Доктор Веб”)
Троянец устанавливает связь с управляющим сервером и скрыто передаёт на него данные о загруженной пользователем веб-странице. В неё «на лету» встраиваются чужие рекламные блоки, ссылки в которых ведут на фишинговые сайты, магазины недобросовестных продавцов или загрузку другого вредоносного кода.
Аналогичную цель преследует следующий троянец, но достигается она иным образом.
6. Trojan.Spachanel
встраивает рекламные блоки и ссылки на заражённые сайты в просматриваемые пользователем веб-страницы с помощью JavaScript. Что здесь удивительного?
Механизм взаимодействия.
Любой разработчик стремится автоматизировать процесс обновления своей программы на компьютере пользователя. Не являются исключением и вирусописатели.
Чтобы их код получал апдейты и команды от своего создателя, часто приходится идти на ухищрения. Компьютер жертвы может находиться за прокси-сервером и межсетевым экраном, а иметь надёжную скрытую связь с ним крайне важно для поддержания мошеннической схемы и её монетизации.
Троян Spachanel – обходв межсетевого экрана и внедрение посторонних блоков в веб-страницу (изображение: symantec.com)
Среди нетривиальных методов обхода защитных систем новым словом можно считать использование расширения SPF для протокола отправки электронной почты. Разрабатываемый для борьбы со спамом, недавно он стал надёжным каналом связи между троянами и подконтрольными их создателям серверами.
Именно через SPF на заражённую машину передаётся список актуальных адресов для показа новых рекламных блоков и ссылок на другую заразу.
7. Trojan.Facebook.310
Многие пользователи часто посещают социальные сети и успели проникнуться к ним доверием. Просто разместить ссылку на троян в них будет неэффективно – модераторы быстро её прикроют, если вообще допустят создание такой записи.
Однако упустить огромную целевую аудиторию и популярную платформу мошенники явно не могли. Для обхода ограничений и проверок используется комбинированный подход.
Trojan.Facebook.310 распространяется через другой троян – DownLoader8.5385. Последний имеет настоящую цифровую подпись, а ссылки на его загрузку фактически создаёт сам пользователь.
Троянец из Facebook заманивает предложением посмотреть стриптиз на фазенде (изображение: “Доктор Веб”)
Щёлкая по иконке фальшивого видеоролика, посетитель запускает встроенное приложение Facebook, позволяющее встраивать произвольный HMTL код в страницы соцсети. Такие ссылки размещаются в различных фиктивных группах.
Чаще всего для привлечения внимания используются названия групп со словами «Video» и «Mega». Сгенерированная ссылка маскируется под сообщение о необходимости обновления видеоплеера.
Вместо апдейта запускается заранее составленный сценарий и устанавливается троян Facebook.310. За компанию он приносит в систему BackDoor.IRC.Bot.2344.
Троянец действует в Facebook от имени пользователя: устраивает рассылки, ставит «лайки», пишет комментарии, открывает доступ к фотоальбому, вступает в группы etc. Бэкдор, как типичный представитель класса, передаёт удалённое управление заражённым компьютером, делая его частью IRC-ботнета.
8. Trojan.Hosts
. Нередко встроенные средства фильтрации трафика и ограничения доступа скрыто используются в противоположных целях. Представители большого класса Trojan.Hosts распространяются в основном через заражённые веб-сайты и каждые сутки инфицируют более 9000 компьютеров.
К настоящему времени отмечается временный спад их активности, однако новые всплески ещё впереди.
Троянец модифицирует файл WindowsSystem32driversetchosts, служащий для сопоставления IP адресов и DNS имён. В него добавляются строки, перенаправляющие браузер пользователя на заражённые веб-сайты и блокирующие доступ к серверам антивирусных компаний.
Часто в окне браузера отображается требование оплатить «разблокировку» компьютера. Для перечисления на счёт вымогателей сравнительно небольшой суммы предлагается воспользоваться кредитной картой Visa или MasterCard, но дешевле воспользоваться антивирусом или “Блокнотом”.
Троянцы модифицируют файл hosts и требуют денег (изображение: “Доктор Веб”)
Поскольку собственный механизм защиты файла hosts от модификации в Windows не особо эффективен, функция запрета его модификации становится популярной в современных антивирусах. Записи внутри файла хранятся в обычном текстовом формате, поэтому его содержимое всегда можно посмотреть и исправить, открыв обычным «Блокнотом».
9. Trojan.Redyms
Для повышения своей выживаемости вредоносный код нередко делает многочисленные копии. Дублирование в разных местах на жёстком диске затягивает время проверки. Не у каждого пострадавшего хватает терпения выполнить полное сканирование.
Размножение в оперативной памяти имеет другое назначение и встречается реже.
Trojan.Redyms, более известный в России как BackDoor.Finder, старается внедрить свою копию во все активные процессы. В первую очередь он пытается заразить запущенные браузеры. В случае успеха троян отправляет зашифрованный запрос на один из управляющих серверов.
Затем он получает в ответ актуальный список адресов для перенаправления. При обращении пользователя к популярным поисковым системам вместо результатов поиска отображается одна из фишинговых страниц.
Наибольшее число заражений сейчас регистрируется на территории США, но трояны не замечают государственных границ.
Trojan.Redyms терроризирует в основном США (изображение: “Доктор Веб”)10. Смешной винлок
Совсем недавно «Компьютерра» писала о способах самостоятельно избавиться от троянов-вымогателей и разблокировать Windows. Однако среди многочисленных представителей семейства Winlock встречаются и такие, которые удалять не хочется, – уж больно они забавные.
Trojan.Winlock.8026 пожалуй, единственный, способный поднять настроение пользователю заражённой машины. Читать его сообщения удобнее из-под стола.
Троян Winlock.8026 выводит из депрессии
Его код и сама логика работы тоже до крайности нелепы – знакомые с программированием наверняка прослезятся от смеха, попытавшись в них разобраться.
Прибить уродца можно множеством способов, но самый простой – ввести код разблокировки: 141989081989.
Иноходец (Жорга) Талдыкорган 87714667636
