Троянские программы. Виды и способы их распространения

Министерство  путей сообщения  Российской Федерации

Департамент кадров и учебных  заведений

Самарский Государственный  Университет Путей  Сообщения 
 
 

Контрольная работа 
 
 

По  дисциплине «Информационная безопасность»

Тема: Троянские программы. Виды и способы  их  распространения . 
 
 
 
 
 
 
 
 
 
 
 

                                                                                                    Выполнила: Мансурова  А.М

                                                                                                    Шифр: 07-ЭУ-5122

                                                                                                    Проверил: Рафиков  К.М   
 

Содержание. 

Введение………………………………………………………………………..2

1.Что Такое Троянская Программа?..................................................................3

2.Откуда  Приходят Троянские Программы?....................................................4

3.Как  заинтересовать пользователя полезными программами?......................6

4.Троянские  программы в почтовых вложениях  ……………………………..7

5.Троянские  программы в нестандартных объектах………………………….7

6.Вместе  с легальными программами………………………………………….8

7.Ошибки  в программном обеспечении………………………………………..9

8.Использование  документированных возможностей программ ……………10

9.Какой  Уровень Риска Представляют Троянские  Программы?......................11

Заключение……………………………………………………………………….12

Источники информации…………………………………………………………13 
 
 
 
 
 
 
 
 
 
 
 

Введение. 

Как троянцы  попадают на компьютер? К сожалению, однозначно тут сказать ничего нельзя, иначе можно было бы просто перекрыть эти пути и не беспокоиться... Чаще всего заражение происходит, когда пользователь запускает какую-то программу, полученную из "сомнительного источника". Поэтому основной задачей злоумышленника является провоцирование пользователя на запуск вредоносного кода на своей машине. Как это сделать?  
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

1.Что Такое Троянская Программа?

Прежде, чем начать, я хочу предложить определение  троянской программы, потому что эти приспособления часто путают с другим злонамеренным кодом. Троянский конь это

• Неавторизованная программа, содержащаяся в правильной программе. Эта неавторизованная программа выполняет неизвестные (и вероятно нежелательные) пользователю функции.
• Правильная программа, которая была изменена размещёнием в ней неавторизованного кода. Этот код выполняет неизвестные (и вероятно нежелательные) пользователю функции.
• Любая программа, которая должна выполнять желательную и необходимую функцию, но (из-за неавторизованного кода, включенного в нее, что неизвестно пользователю) выполняет неизвестные (и вероятно нежелательные) пользователю функции.

     Неавторизованные функции, которые выполняет троянская программа, могут иногда квалифицировать её как другой тип злонамеренного приспособления. Например, некоторые вирусы вписываются в эту категорию. Такой вирус может быть скрыт внутри полезной программы. Когда так происходит, программа может быть правильно названа и троянской программой и вирусом. Файл, который предоставляет кров такой троянской программе/вирусу был сделан троянским. Классические документы по безопасности Internet определяют термин различными способами. Возможно наиболее известное (и как ни странно, наиболее либеральное) определение дано в RFC 1244, Site Security Handbook (Руководство по Безопасности Сайта): Троянским конем может быть программа, которая делает что-то полезное, или просто что-то интересное. Она всегда делает что ни будь неожиданное, подобно захвату паролей или копированию файлов без вашего ведома. Другое определение, которое кажется весьма подходящим, дал Доктор Alan Solomon, международно-известный специалист по вирусам, в своей работе, названной

     Троянская программа это программа, которая делает больше, чем ожидает пользователь, и эта дополнительная функция разрушительна. Это ведет к проблеме обнаружения троянских программ. Предположим, что я написал программу, которая может безошибочно определять, форматировала ли другая программа жесткий диск. Затем, может ли сказать, что эта программа троянская? Очевидно нет, если эта программа предполагает форматирование жесткого диска (подобно Format, например), то это не троянская программа. Но если пользователь не ожидает форматирования, то это троянская программа. Проблема состоит в том, чтобы сравнить то, что программа делает с ожиданиями пользователя. Вы не можете определить ожидания пользователя программы. И наконец, Вы можете классифицировать троянскую программу как: любая программа, которая выполняет скрытую и нежелательную функцию. Она может приходить в любой форме. Это может быть утилита, которая имеет целью индексировать каталоги или которая разблокировывает коды регистрации в программном обеспечении. Это может быть текстовый процессор или сетевая утилита. Короче говоря, троянская программа может быть чем ни будь (и может быть найдена в чем ни будь), что Вы или ваши пользователи вводите в систему.

2.Откуда  Приходят Троянские  Программы?

Троянские программы создаются исключительно  программистами. Ни кто не может  получить троянскую программу другим способом, чем получив троянский файл, который был подготовлен программистом. Правда, это возможно для тысячи обезьян, печатающих 24 часа в день, чтобы, в конечном счете, создать троянскую программу, но статистическая вероятность этого незначительна. Таким образом, троянская программа начинается с человеческого намерения или mens rea. Где-ни будь на этой планете, программист создаёт троянскую программу прямо сейчас. Этот программист знает точно, что он делает, и его намерения вредоносны (или, по крайней мере, не альтруистичны).

Автор троянца имеет повестку дня. Эта  повестка дня может быть почти  любой, но в контексте безопасности Internet, троянская программа будет  делать одну из двух вещёй:

• Выполнять некоторую функцию, которая или покажет программисту жизненно важную и привилегированную информацию о системе или скомпрометирует эту систему.
• Скрывать некоторую функцию, которая или покажет программисту жизненно важную и привилегированную информацию о системе или скомпрометирует эту систему.

Некоторые троянские программы делают и то и другое. Дополнительно, имеется другой класс троянских программ, которые наносят ущерб адресату (например, такая, которая зашифрует или переформатирует ваш жесткий диск). Так что троянские программы могут выполнять различные разведывательные или диверсионные задачи. Один пример, который удовлетворяет критерию диверсионного инструмента это троянский конь PC CYBORG. Как объясняется 19 декабря, 1989 в бюллетене CIAC ("Информация Троянском Коне PC CYBORG (СПИД)"):

      Недавно имелось значительное внимание средств массовой к информации о новом троянском коне, которые рекламируют его как вирус СПИДА для пользователей компьютеров IBM PC и аналогов PC. Как только троянский конь попадает в систему, он заменяет AUTOEXEC.BAT и считает сколько раз инфицированная система загружалась, пока не достигнет числа 90. В этот момент PC CYBORG скрывает каталоги и шифрует имена всех файлов на диске C:. Существует больше одной версии этого троянского коня, и, по крайней мере, одна версия не ждет, чтобы повредить диск C:, а скрывает каталоги и шифрует имена файлов при начальной загрузке сразу после того, как установлена.

     Троянские программы (по крайней мере в мире UNIX) создаются людьми, которые также вовлечены в законопослушную разработку системы. Они на рабочем месте, где ни будь в фирме разработчике, вставляют неавторизованный код в приложение или утилиту (или, в редких случаях, непосредственно в ядро операционной системы). Они могут быть гораздо более опасны по ряду причин:

• Эти троянские программы не разрушительны (они собирают сведения о системах). Их раскрытие обычно замедлено, пока они не обнаружатся случайно.
• Поскольку большинство серверов имеющих значение выполняют UNIX, некоторые высоко доверенные (и чувствительные) сайты могут быть скомпрометированы. Серверами, которые имеют значение, я обозначаю те, которые обеспечивают сотни или даже тысячи пользователей доступом к Internet и другим ключевым сетям в Internet. Это обычно правительственные или образовательные сайты, которые отличаются, например, от сайтов, поддерживаемых единственной компанией. В одной компании ущерб обычно простирается не так далеко, подвергая опасности компанию и всех её пользователей. Это серьёзная проблема, что и говорить, но актуальна только для этой компании. Напротив, компрометация правительственных или образовательных сайтов может подвергнуть опасности тысячи компьютеров.

Имеются также случаи, когда ключевые утилиты UNIX скомпрометированы (и сделаны  троянскими) программистами, которые  не имеют никакого отношения к разработке исходной программы. Это случалось много раз и, больше чем в одном случае, вовлекало связанные с безопасностью программы. Например, после выпуска SATAN, троянская программа нашла свой путь в дистрибутиве SATAN 1.0 для Linux. По сообщениям, файл, на который производилось воздействие, была программа, названная fping. История происходила следующим образом: Программист получил физический доступ к машине, содержащей программу. Он изменил функцию main() и изменил fping так, чтобы, когда пользователи запускали SATAN, в их файл /etc/passwd помещалась специальная запись. Эта специальная запись добавляла пользователя с именем suser. Через идентификатор этого пользователя преступник надеялся скомпрометировать много узлов. Это и произошло, но были зарегистрированы только два случая такой компрометации. Категорически заявляю, что программирование имело низкое качество. Например, троянская программа не обеспечила никакого решения для систем, которые использовали затененные пароли. Троянская программа может неожиданно возникнуть где ни будь. Даже файл, приходящий из доверенного источника, может быть троянским.

3.Заинтересовать  пользователя полезными  программами. 

Трояны  часто маскируются под внешне "полезные" программы. Как правило  пользователю вместе с программой такого рода дается яркое, эмоциональное описание подсовываемых пользователю программ. Например:- "Вам не надоело дожидаться загрузки страниц в браузере? Хватит. Теперь с помощью SPEED браузер будет работать в 3 раза быстрее!!!".В условиях российских телефонных сетей работать в Интернете практически невозможно. Требуется корректировка и фильтрация сигналов. Учитывая множественные просьбы и заявления пользователей Интернет, оборонной промышленностью был разработан радикально новый метод очистки телефонных сетей, заключенный в небольшую программу. Теперь вы сможете значительно ускорить работу в Интернете, достигнув небывалого качества связи - 115 КБ/С. От таких предложений не отказываются". Неопытные пользователи как правило не задумываясь запускают подобные программы, даже не проверив их антивирусом .Кроме того, вредоносные программы можно маскировать под ... трояны , нюкеры , генераторы номеров, вирус-мейкеры. Действительно, некоторые пользователи очень хотят что-нибудь взломать. И увидев описания "чудо" программ наподобе:- "Введите адрес сервера и через 2-3 минуты вы получите все содержащиеся пароли". Теперь вы можете получать номера кредитных карт системы VISA в любом количестве, причем полученные номера будут исключительно рабочими, и вы сможете производить покупки в онлайн магазинах"

вполне  могут загрузить и запустить такого рода программы. Но здесь главное не переусердствовать, иначе запускать разрекламированные программы будут лишь наимение опытные пользователи. Необходимо соблюдать разумный баланс между яркостью описания и здравым смыслом. Чрезмерное преувеличение возможностей распространяемых программ может оттолкнуть достаточно много потенциальных пользователей. В этом способе распространения грамотное описание подсовываемых троянов намного важнее чем их тонкая реализация. Так как слабо подготовленные пользователи обычно не используют специализированных антитроянских программ, не проверяют регулярно свой компьютер на наличие вредноносных программ, то такие пользователи не сумеют обнаружить даже самые известные или плохо написанные троянские программы. Так распространяемые трояны могут использоваться для кражи паролей ,для интернет, серийных номеров программ, паролей на e-mail ICQ, IRC и т.д.

4.Троянские  программы в почтовых  вложениях .

Главным образом, такие трояны распространяются как вложения (attachment) в письма от известных компаний (Microsoft, Kaspersky, Symantec...). Необходимо заметить, что при использовании электронной почты не стоит надеются на анализ заголовков. Дело в том, что протокол SMTP не поддерживает механизмов аутентификации и идентификации. Поэтому элементарные знания заголовков позволяет создать достаточно правдоподобную иллюзию того, что письмо отправлено именно из заявленного источника. А если использовать специальные скрипты, то отличить поддельное письмо от настоящего можно будет только анализом логов на всех промежуточных серверах, что практически невозможно для рядового пользователя. Как и в большинстве случаев здесь пользователю придет на помощь элементарная логика. Например Microsoft сама никому никогда ничего не отправляет. Тем более незарегистрированным пользователям. Так что если к Вам пришло письмо с прикрепленным исполняющемся файлом, о котором Вы заранее не договаривались с отправителем (особенно если Вы не знаете его лично), то есть большая вероятность того, что это поддельное сообщение.