1.5. Що за животно е троянският кон?

Забележка

Въпреки че, за разлика от вируса, троянският кон не е способен да се самовъзпроизвежда, това не го прави по-малко опасен.

В последния случай може да получите писмо с молба да видите снимката и прикачен файл катоsuperfoto.bmp.exe (алтернативно може да има голям брой интервали след BMP, така че потребителят да не заподозре нищо). В резултат на това получателят сам инсталира зловреден софтуер. Оттук и името на такива приложения: спомнете си как ахейците превзеха Троя. Градът беше добре укрепен, ахейците не можаха да го превземат дълго време и измамиха защитниците. За жителите на Троя конят бил символ на мира, а ахейците, уж за помирение, построили дървена статуя на кон, вътре в която поставили най-добрите си воини. Нищо неподозиращите троянци завлякоха подаръка в града, а през нощта ахейците излязоха от статуята, неутрализираха стражите и отвориха портите, пропускайки основните сили.

Троянският кон може да бъде разпространен от самия потребител, като го копира на свои приятели и колеги. Възможен е вариант, при който програмата влиза в компютъра на потребителя като червей и след това работи като троянски кон, предоставяйки на създателя възможност за дистанционно управление на заразения компютър. Най-често такива програми все още се наричат червеи.

Съвременните троянци по правило вече не носят всичко. Те целенасочено събират конкретна информация. Например "банкови" шпиони крадат номера на кредитни карти и други банкови данни. С нарастващата популярност на онлайн игрите се появи интерес към кражба на артикули или герои от играта, понякога на стойност няколко хиляди долара, така че кражбата на сметки е не по-малко привлекателна за измамниците от кражбата на банкови атрибути.

Как да определите, че троянски кон се е установил в системата? Първо, ще се съгласите, че е странно, когато новоинсталиран плъгин на Winamp не бъде намерен в списъка. На второ място, по време на инсталирането на троянския кон може да се покаже съобщение както за успешното завършване на инсталацията (катоInternet Explorer вече е коригиран ), така и, обратно, че помощната програма не е инсталирана, защото системната библиотека е несъвместима с версията на програмата или архивът е повреден. Може също да получите препоръки за коригиране на грешката. След много мъки потребителят едва ли ще получи очаквания резултат, най-вероятно той ще се откаже от всички опити и ще бъде уверен, че това е полезна програма, която просто не е стартирана по неизвестни причини. Междувременно троянският кон ще се регистрира в autorun. Например в Windows трябва да сте внимателни към следните клонове на системния регистър:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunservices

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunservicesOnce

Възможно е да поставите пряк път на троянски кон в папкатаStartup (това е много рядко, тъй като наличието на зловреден софтуер в тази папка се открива лесно) или да го запишете във файловетеautoexec.bat,win.ini,system.ini. Разработчиците често предприемат мерки, за да попречат на троянския кон да бъде видим в прозорецаДиспечер на задачите, показан чрез натискане на клавишната комбинацияCtrl+Alt+Delete. Най-сложните троянски коне могат да се актуализират чрез интернет, да се скрият от антивируси и да декриптират файлове с пароли. Троянецът може да се контролира по няколко начина, отдиректна връзка с компютъра преди проверка на определен мрежов ресурс, към който хостът изпраща имейл, ICQ и IRC команди.

Троянският кон често се състои от две части: клиентска страна, инсталирана на хоста, и сървърна страна, работеща на машината на жертвата. Такива програми се наричат още backdoor (таен проход). Чрез стартиране на клиентската програма нападателят проверява дали сървърът е в мрежата: ако се получи отговор, тогава отдалеченият компютър може да бъде контролиран, сякаш е негов собствен.

Като се има предвид неспособността на троянските коне да се разпространяват сами, просто и ефективно правило за избягване на инфекция е да изтегляте файлове само от надеждни източници. Въпреки факта, че за разлика от вирусните епидемии, никой все още не е чувал за троянски епидемии и е малко вероятно да чуе за тях, като се има предвид неспособността на тези програми да се възпроизвеждат сами, те са не по-малко (и може би дори повече) опасни от вирусите. Всъщност такива програми често се създават за лична употреба и следователно днешните антивируси не могат да знаят за всички тях. Това означава, че потребителят може да работи на заразена машина дълго време, без да знае за това. Намирането на троянско приложение изисква специални помощни програми и наблюдение на мрежовата активност на компютъра с помощта на стандартни инструменти на операционната система и инсталирана защитна стена, които ще бъдат разгледани по-подробно в Глава 4.