«Основной код» выделяет из своего файла
остальные компоненты (файл 1, файл 2, ...), записывает их на диск и открывает
их (запускает на выполнение).
Обычно один (или более) компонентов
являются троянскими программами, и как минимум один компонент является
«обманкой»: программой-шуткой, игрой, картинкой или чем-то подобным. «Обманка»
должна отвлечь внимание пользователя и/или продемонстрировать то, что запускаемый
файл действительно делает что-то «полезное», в то время как троянский компонент
инсталлируется в систему.
В результате использования программ
данного класса хакеры достигают двух целей:
скрытная инсталляция троянских программ
и/или вирусов;
защита от антивирусных программ, поскольку не все из них в состоянии проверить все компоненты внутри файлов
этого типа.
Trojan-Proxy
— троянские прокси-сервера
Семейство троянских программ, скрытно
осуществляющих анонимный доступ к различным Интернет-ресурсам. Обычно
используются для рассылки спама.
Trojan-Spy —
шпионские программы
Данные троянцы осуществляют электронный
шпионаж за пользователем зараженного компьютера: вводимая с клавиатуры
информация, снимки экрана, список активных приложений и действия пользователя с
ними сохраняются в какой-либо файл на диске и периодически отправляются
злоумышленнику.
Троянские программы этого типа часто
используются для кражи информации пользователей различных систем онлайновых
платежей и банковских систем.
ArcBomb — «бомбы» в архивах
Представляют собой архивы, специально
оформленные таким образом, чтобы вызывать нештатное поведение архиваторов при
попытке разархивировать данные — зависание или существенное замедление работы
компьютера или заполнение диска большим количеством «пустых» данных. Особенно
опасны «архивные бомбы» для файловых и почтовых серверов, если на сервере
используется какая-либо система автоматической обработки входящей информации —
«архивная бомба» может просто остановить работу сервера.
Встречаются три типа подобных «бомб»:
некорректный заголовок архива, повторяющиеся данные и одинаковые файлы в
архиве.
Некорректный заголовок архива или
испорченные данные в архиве могут привести к сбою в работе конкретного
архиватора или алгоритма разархивирования при разборе содержимого архива.
Значительных размеров файл, содержащий
повторяющиеся данные, позволяет заархивировать такой файл в архив небольшого
размера (например, 5ГБ данных упаковываются в 200КБ RAR или в 480КБ ZIP-архив).
Огромное количество одинаковых файлов в
архиве также практически не сказывается на размере архива при использовании
специальных методов (например, существуют приемы упаковки 10100
одинаковых файлов в 30КБ RAR или 230КБ ZIP-архив).
Trojan-Notifier — оповещение об успешной атаке
Троянцы данного типа предназначены для
сообщения своему «хозяину» о зараженном компьютере. При этом на адрес «хозяина»
отправляется информация о компьютере, например, IP-адрес компьютера, номер
открытого порта, адрес электронной почты и т. п. Отсылка осуществляется
различными способами: электронным письмом, специально оформленным обращением к
веб-странице «хозяина», ICQ-сообщением.
Данные троянские программы используются в
многокомпонентных троянских наборах для извещения своего «хозяина» об успешной
инсталляции троянских компонент в атакуемую систему.
Сетевые черви
Основным признаком, по которому типы
червей различаются между собой, является способ распространения червя — каким
способом он передает свою копию на удаленные компьютеры. Другими признаками
различия СЧ между собой являются способы запуска копии червя на заражаемом
компьютере, методы внедрения в систему, а также полиморфизм, «стелс» и прочие
характеристики, присущие и другим типам вредоносного программного обеспечения
(вирусам и троянским программам).
Email-Worm — почтовые
черви
К данной категории червей относятся те из
них, которые для своего распространения используют электронную почту. При этом
червь отсылает либо свою копию в виде вложения в электронное письмо, либо
ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, URL
на зараженный файл, расположенный на взломанном или хакерском веб-сайте). В
первом случае код червя активизируется при открытии (запуске) зараженного
вложения, во втором — при открытии ссылки на зараженный файл. В обоих случаях
эффект одинаков — активизируется код червя.
Для отправки зараженных сообщений
почтовые черви используют различные способы. Наиболее распространены:
прямое подключение к SMTP-серверу, используя встроенную в код червя почтовую библиотеку;
использование сервисов MS Outlook;
использование функций Windows MAPI.
Различные методы используются почтовыми
червями для поиска почтовых адресов, на которые будут рассылаться зараженные
письма. Почтовые черви:
Рекомендуем скачать другие рефераты по теме: доклад по биологии, шпоры.