Открыть сервис

Троянская программа

Троянская программа (также троян, троянский конь) — это разновидность вредоносного программного обеспечения, которое маскируется под легитимное или полезное приложение, но при этом выполняет скрытые деструктивные или шпионские действия без ведома пользователя. В отличие от компьютерных вирусов и червей, трояны не обладают способностью к саморепликации (самостоятельному размножению) и распространяются преимущественно путём социальной инженерии, когда пользователь сам запускает вредоносный файл, полагая, что он безопасен. Название происходит от древнегреческого мифа о деревянном коне, с помощью которого греки проникли в осаждённую Трою.

История

Первое упоминание о троянских программах относится к началу 1970-х годов. В 1975 году американский программист Джон Уокер создал программу ANIMAL, которая распространялась на магнитных лентах для мейнфреймов. Она маскировалась под игру «Угадай животное», но при этом копировала себя на другие разделы системы, фактически являясь одним из первых троянов. Однако широкое распространение трояны получили с развитием персональных компьютеров и интернета в 1990-х годах.

В 1998 году появился троян Back Orifice, разработанный хакерской группой Cult of the Dead Cow. Он позволял удалённо управлять компьютером под управлением Windows, открывая злоумышленнику полный доступ к системе. В 2000-х годах трояны стали основным инструментом киберпреступников для кражи банковских данных, паролей и личной информации. С развитием мобильных устройств трояны начали активно распространяться и на платформах Android и iOS.

Классификация

Троянские программы классифицируются по целям и методам воздействия. Основные виды:

По функциональному назначению

  • Backdoor (бэкдор) — троян, открывающий удалённый доступ к заражённому компьютеру. Злоумышленник может управлять системой, загружать и запускать другие вредоносные программы, похищать данные.
  • Banker (банковский троян) — нацелен на кражу банковских реквизитов, номеров кредитных карт, логинов и паролей от интернет-банкинга. Часто перехватывает данные, вводимые пользователем на сайтах банков, или подменяет страницы входа.
  • Dropper (дроппер) — троян, предназначенный для скрытой установки на заражённую систему других вредоносных программ (вирусов, червей, программ-вымогателей).
  • Downloader (загрузчик) — загружает и устанавливает на компьютер другие вредоносные программы из интернета, часто без ведома пользователя.
  • Ransomware (программа-вымогатель) — шифрует файлы на компьютере жертвы и требует выкуп за их расшифровку. Хотя не все вымогатели являются троянами, многие из них маскируются под легитимные приложения.
  • Spyware (шпион) — скрытно собирает информацию о пользователе: историю посещений веб-сайтов, нажатия клавиш (кейлоггеры), содержимое экрана, данные из буфера обмена.
  • Trojan-Rootkit — троян, скрывающий своё присутствие в системе, маскируя процессы, файлы и записи в реестре от антивирусного программного обеспечения.
  • Trojan-GameThief — нацелен на кражу учётных записей от онлайн-игр, виртуальной валюты и игровых предметов.

По способу распространения

  • Фишинговые трояны — распространяются через электронные письма, содержащие вредоносные вложения или ссылки на заражённые сайты.
  • Трояны в торрентах и пиратском ПО — встраиваются в установщики нелицензионного программного обеспечения, игр, кодеков.
  • Трояны на съёмных носителях — копируются на флеш-накопители и при подключении к компьютеру автоматически запускаются через автозагрузку.
  • Трояны в мобильных приложениях — маскируются под популярные приложения (игры, утилиты, мессенджеры) и распространяются через неофициальные магазины приложений или сторонние сайты.

Устройство и принцип действия

Троянская программа состоит из двух основных компонентов: клиентской части (вредоносный файл, запускаемый жертвой) и серверной части (управляющий центр, с которым связывается троян). После запуска на компьютере жертвы троян выполняет следующие действия:

  1. Инсталляция — копирует себя в системную директорию, создаёт записи в реестре (для Windows) или в автозагрузке (для macOS/Linux), чтобы обеспечить автоматический запуск при каждом включении системы.
  2. Маскировка — использует методы обфускации кода, упаковки (packing) и шифрования, чтобы избежать обнаружения антивирусными программами. Многие трояны имеют цифровую подпись, украденную у легитимных разработчиков, или используют подмену имени процесса на системный (например, svchost.exe).
  3. Связь с командным центром (C&C) — устанавливает соединение с удалённым сервером злоумышленника, обычно через HTTP, HTTPS, FTP или протоколы P2P. Для обхода блокировок используются динамические домены (DGA), шифрование трафика и подмена портов.
  4. Выполнение вредоносных действий — в зависимости от типа трояна: кража данных, удалённое управление, загрузка другого вредоносного ПО, шифрование файлов.
  5. Сокрытие следов — удаляет временные файлы, очищает логи, изменяет системные журналы, чтобы затруднить обнаружение и анализ.

Примеры известных троянских программ

  • Zeus (Zbot) — один из самых известных банковских троянов, появившийся в 2007 году. Похищал данные для входа в интернет-банкинг, перехватывал сессии, использовал кейлоггеры. По оценкам экспертов, с помощью Zeus было украдено более 100 миллионов долларов.
  • Emotet — изначально банковский троян (обнаружен в 2014 году), затем эволюционировал в дроппер, который загружал другие вредоносные программы, включая вымогатели. В 2021 году инфраструктура Emotet была нейтрализована в ходе международной полицейской операции.
  • TrickBot — троян, специализирующийся на краже банковских данных и криптовалют. Использовал модульную архитектуру, позволяющую загружать дополнительные функции. Активно действовал до 2022 года.
  • DarkComet — троян удалённого доступа (RAT), популярный среди киберпреступников в 2010-х годах. Позволял управлять веб-камерой, записывать звук, перехватывать нажатия клавиш.
  • XHelper — троян для Android, который маскировался под различные приложения (например, менеджер загрузок) и устанавливал рекламное ПО, а также похищал данные. Отличался высокой устойчивостью к удалению.

Методы защиты

Защита от троянских программ включает комплекс мер:

  • Антивирусное программное обеспечение — современные антивирусы (Kaspersky, Dr.Web, ESET NOD32, Avast) используют сигнатурный анализ, эвристические методы и поведенческий анализ для обнаружения троянов. Регулярное обновление антивирусных баз обязательно.
  • Брандмауэр (файервол) — контроль сетевого трафика позволяет блокировать попытки троянов установить связь с командным центром.
  • Обновление операционной системы и программ — своевременная установка патчей безопасности закрывает уязвимости, которые могут быть использованы троянами для проникновения в систему.
  • Осторожность при работе с файлами — не следует открывать вложения из подозрительных писем, скачивать программы с неофициальных сайтов, использовать пиратское ПО.
  • Использование многофакторной аутентификации — даже при краже паролей трояном, доступ к аккаунту будет затруднён.
  • Регулярное резервное копирование данных — позволяет восстановить информацию в случае атаки программы-вымогателя.

Критика и правовые аспекты

Создание и распространение троянских программ является уголовным преступлением в большинстве стран мира, включая Российскую Федерацию. В Уголовном кодексе РФ ответственность за неправомерный доступ к компьютерной информации (ст. 272), создание, использование и распространение вредоносных программ (ст. 273) предусматривает наказание вплоть до лишения свободы на срок до 7 лет.

В то же время существуют легитимные программы, использующие троянскую архитектуру для удалённого администрирования (например, TeamViewer, AnyDesk). Они не считаются вредоносными, если установлены с согласия пользователя и используются в законных целях. Однако злоумышленники нередко применяют такие программы в качестве троянов, маскируя их под легитимные инструменты.

Источники

  • Уголовный кодекс Российской Федерации, статьи 272, 273.
  • Лаборатория Касперского. «Троянские программы: что это такое и как защититься». Официальный сайт.
  • Dr.Web. «Энциклопедия вредоносных программ: трояны».
  • Microsoft Security Intelligence Report. «Trojan:Win32/Zeus». Microsoft Docs.
  • ENISA (European Union Agency for Cybersecurity). «Threat Landscape Report 2023».
  • «Мальваре: анализ вредоносного ПО» — книга М. Сикорски, А. Хониг, 2012.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →