Выбираем породу
Классификация троянских коней — дело неблагодарное. Особенно в свете наметившихся тенденций к слиянию, гибридизации различных методик ведения информационных войн и конкурентной борьбы. Трояны, бэкдоры, сетевые черви, почтовые спам-роботы и сборщики данных запросто могут быть слиты воедино, породив жутких кибермонстров — была бы цель и конкретная жертва. И все же рабочая классификация необходима. Попробуем создать ее прямо сейчас, исходя из известных данных и здравого смысла.
По способу существования выделяют троянов, представляющих собой самостоятельные файлы, и тех, которые внедряют свои тела (инфицируют) в уже имеющиеся, чаще всего системные файлы. Первые не подлежат лечению, так как лечить нечего — надо удалять файл целиком.
В зависимости от целей вторжения различают:
1. Бэкдоры (утилиты скрытого удаленного администрирования, remote access tool — RAT).
2. Деструктивные (Trojan Flash-Killer и т. п.).
3. Похищающие приватную информацию (data miners/data collectors). Здесь можно выделить подклассы троянов, которые:
крадут всевозможные пароли (PWD Steal);
отсылают своему хозяину данные банковских счетов жертвы (аккаунтов Web Money, кредитных карт и т. п.) [Юрий Машевский называет их «banker» в своей статье «Перелом в развитии вредоносных программ»];
похищают документы (особенно актуально для ЛВС предприятий);
протоколируют и отсылают лог всех клавиатурных нажатий и (опционально) скриншоты с атакуемого ПК (keyloggers).
4. Созданные для формирования сетей «зомбированных компьютеров» и использования их для проведения распределенных атак по типу «отказ в обслуживании» (DDoS).
5. Написанные для сбора адресов e-mail и рассылки спама (SPAM). Они частично пересекаются с представителями третьего класса, так как почтовые адреса ваших знакомых тоже являются приватной информацией.
6. Вымогающие деньги у жертвы посредством зашифровывания данных на диске пользователя и последующего «предложения» расшифровать их за плату (Crypto trojans and viruses — отдельное направление, получившее мощный толчок к развитию после распространения ассиметричной криптографии [Если вирусописатель использует обычный симметричный алгоритм, то написать дешифратор разработчикам антивирусов будет довольно просто: пароль (ключ) будет либо одинаковый на всех файлах, либо предсказуемо модифицирующийся. А вот ассиметричные алгоритмы с открытым и секретным ключом (RSA, Эль-Гамаля, Мак-Элиса, PGP) поднимают крипто-вирусологию на качественно иной уровень]).
7. Прокси-трояны, позволяющие действовать атакующему от имени жертвы (точнее, от IP-адреса его компьютера). Здесь же можно выделить подкласс так называемых Trojan-Clicker’ов. Они целенаправленно занимаются тем, что накручивают счетчики посещаемости различных сайтов и имитируют клики на баннеры (тоже с IP-адреса инфицированного ПК). То есть приносят атакующему очевидную выгоду.