Троянские программы

🕛 10.02.2009, 13:09

Троянскими программами (троянскими конями) обычно называют программы, содержащие скрытый модуль, осуществляющий несанкционированные действия. Эти действия не обязательно могут быть разрушительными, однако практически всегда направлены во вред пользователю. В свою очередь, троянские программы можно разделить на несколько категорий.

Троянские программы-вандалы обычно выполняют или имитируют выполнение какой-нибудь полезной или экзотической функции. При этом в качестве побочного эффекта они стирают файлы, разрушают каталоги, форматируют диск и т.д. Иногда разрушительный код встраивается в какую-нибудь известную программу. Чтобы привлечь пользователей, полученная троянская программа-вандал часто маскируется под новую версию данного программного продукта.

С появлением BBS программы-вандалы получили значительное распространение. При этом техно-крыса подсовывает программу в один или несколько BBS, пользователи которых затем "попадаются на удочку". В качестве примера троянской программы-вандала можно привести программу SURPRISE ("Сюрприз"). Написанная на Бейсике, она исполняла команду DEL *.*, а затем выдавала на экран строку "Surprise !". И таких простых и злобных программ создано немало. С их распространением запуск новой программы на компьютере стал небезопасной операцией.

Иногда в качестве самостоятельной разновидности троянских программ-вандалов выделяют так называемые логические мины (logic bomb) - скрытые модули, встроенные в ранее разработанную и широко используемую программу. Такой модуль является безвредным до определенного события, при наступлении которого он срабатывает. Такого рода программы иногда используются уволенными или обиженными сотрудниками как форма мести по отношению к нанимателю. Частный случай логических мин, в которых срабатывание скрытого модуля определяется временем, часто называют минами с часовым механизмом (time bomb). Фактически логические мины являются средством компьютерного саботажа, и их создание должно предусматривать уголовную ответственность. Хотя, как указано выше, компьютерный саботаж обычно связан с "местью" обиженных или уволенных программистов своему бывшему работодателю, он может использоваться и как форма конкурентной борьбы.

В истории отечественного программирования было несколько "громких" случаев компьютерного саботажа. Так, лет семь назад отечественные газеты сообщали о программисте, который перед своим увольнением встроил в программу, управлявшую главным конвейером Горьковского автомобильного завода, "мину", которая через некоторое время привела к остановке главного конвейера. Программист был выявлен и осужден. На Западе, наряду с попытками хищения средств через банковские компьютеры, распространены случаи компьютерного саботажа по отношению к различного рода финансовым системам, вплоть до шифровки базы данных с последующим требованием выкупа за ключ (программу) расшифровки. Последним известным случаем такого рода было описанное выше распространение дискеты с информацией по СПИДу, в которой программа управления базой данных была троянской.

Программы, обеспечивающие вход в систему или получение привилегированной функции (режима работы) в обход существующей системы полномочий, называют люками (back door). Люки часто оставляются разработчиками соответствующих компонент операционной системы для того, чтобы завершить тестирование или исправить какую-то ошибку, но нередко продолжают существовать и после того, как то, для чего они планировались, завершено или необходимость в нем отпала. Например, в операционной системе ОС ЕС широко использовалcя люк NewPSW, позволявший программе пользователя получить привилегированный режим, называемый в серии 360/370 режимом супервизора, в обход средств контроля операционной системы.

Троянские программы могут также использоваться в целях разведки. К распространенным программам такого рода относятся программы угадывания паролей. Одной из компонент сетевого вируса Морриса была такая программа, причем, как оказалось, она сумела добиться успеха в значительном числе случаев.