Pomoc online ESET

Wyszukaj Polski
Wybierz temat

Trojan

Komputerowe konie trojańskie uznawano dotychczas za klasę zagrożeń, które udają pożyteczne programy, aby skłonić użytkownika do ich uruchomienia.

W związku z tym, że jest to bardzo pojemna kategoria, dzieli się ją często na wiele podkategorii:

Program pobierający

Terminy te zwykle oznaczają złośliwe programy, komponenty lub funkcje, których (zwykle wyłącznym) celem jest pobranie dodatkowego (zwykle złośliwego) oprogramowania do zainfekowanego systemu i jego uruchomienie.

Dropper (program porzucający)

Trojan dropper to rodzaj szkodliwego oprogramowania, które działa jako nośnik zawierający w sobie inny złośliwy plik wykonywalny. Po uruchomieniu „porzuca” on lub instaluje zawarty plik i wykonuje go.

Historycznie rzecz biorąc, termin „dropper” był używany do opisania pliku, którego jedynym celem było wprowadzenie wirusa komputerowego na wolność, a badacze oprogramowania antywirusowego nazywali je czasami wirusami „zerowej generacji”, w podobny sposób, w jaki termin „pacjent zero” był używany przez lekarzy i epidemiologów podczas omawiania chorób zakaźnych. W przypadku polimorficznego wirusa komputerowego jego dropper może nie być zaszyfrowany, ale może składać się wyłącznie z odszyfrowanego kodu wirusa komputerowego.

Program pakujący, Program szyfrujący, Program zabezpieczający

Programy pakujące to „zewnętrzne powłoki” niektórych koni trojańskich, których celem jest utrudnienie wykrywania i analizy przez oprogramowanie antywirusowe i analityków szkodliwego oprogramowania (odpowiednio) poprzez ukrycie zawartego w nich ładunku, co sprawia, że najpierw należy je rozpakować, aby ustalić ich przeznaczenie. Aby zadania były jeszcze trudniejsze, programy pakujące często stosują różne techniki antydebugowania, antyemulacji (anty-VM) i zaciemniania kodu.

Programy pakujące zwykle zmniejszają również rozmiar wynikowego pliku wykonywalnego, a zatem są również używane przez legalne oprogramowanie, a nie tylko szkodliwe oprogramowanie. Służą one kilku celom, głównie kompresji pliku wykonywalnego i ochronie aplikacji przed piractwem komputerowym.

Program otwierający furtki, narzędzie zdalnego dostępu / koń trojański zdalnego dostępu

Program otwierający furtki to aplikacja umożliwiająca zdalny dostęp do komputera. Różnica między tego typu szkodliwym oprogramowaniem a legalną aplikacją o podobnej funkcjonalności polega na tym, że instalacja odbywa się bez wiedzy użytkownika.

Typowe funkcje programu otwierającego furtki obejmują możliwość wysyłania plików do komputera hosta oraz wykonywania na nim plików i poleceń, a także eksfiltracji (wysyłania) plików i dokumentów z powrotem do osoby atakującej. Często jest to połączone z funkcją rejestrowania i przechwytywania ekranu w celu szpiegowania i kradzieży danych.

Termin „RAT” (ang. Remote Access Tool — narzędzie zdalnego dostępu) może być uważany za synonim „programu otwierającego furtki”, ale zwykle oznacza pełny pakiet zawierający aplikację kliencką przeznaczoną do instalacji w systemie docelowym oraz komponent serwera, który umożliwia administrowanie poszczególnymi „botami” lub zaatakowanymi systemami oraz kontrolę nad nimi.

Program rejestrujący znaki wprowadzane na klawiaturze (keylogger)

Program służący do rejestrowania naciśnięć wpisywanych na komputerze.

Programy te mogą być wykorzystywane zarówno do celów korzystnych, takich jak monitorowanie pracowników w branży regulowanej, jak i złośliwych, takich jak kradzież danych uwierzytelniających konta. Zaawansowane programy rejestrujące znaki wprowadzane na klawiaturze mogą również rejestrować ruchy myszy i kliknięcia przycisków, naciśnięcia wpisywane na wirtualnych klawiaturach ekranowych oraz przechwytywać zrzuty ekranu lub filmy z tego, co jest wyświetlane na ekranie.

Istnieją również sprzętowe programy rejestrujące znaki wprowadzane na klawiaturze, które można podłączyć między komputerem a klawiaturą w celu rejestrowania naciśnięć.

Program nawiązujący kosztowne połączenia (ang. dialer)

Dialer to program przeznaczony do przekierowywania połączenia telefonicznego użytkownika (dial-up) do Internetu w celu korzystania z numeru o podwyższonej opłacie.

Programy te mogą być legalnie używane przy płaceniu za usługi internetowe, ale oszukańcze dialery mogą być używane do przekierowywania połączenia na droższy numer bez wiedzy użytkownika komputera. Tego typu zagrożenia stały się rzadkością na obszarach, na których dostępne są łącza szerokopasmowe.

 

Jeśli na komputerze zostanie wykryty plik uznany za konia trojańskiego, zaleca się jego usunięcie, ponieważ najprawdopodobniej zawiera złośliwy kod.