Электронная библиотека
Xakep
Трояны. Классификация.
Xakep, номер #013, стр. 013-062-2
Классификация по способу инсталляции
Трояны бывают с сетевыми, консольными или удаленными инсталляторами.
К первому типу относятся Back Orifice, NetBus, всевозможные вариации на подобные темы и их производные. Доступ к компьютеру владельца не нужен, к самому пользователю - по вкусу. Нужно только, чтобы комп-цель была видна (в случае локальной сети), либо был известен IP жертвы (в случае Internet). Всевозможные undergroundnet`ы я не рассматриваю, а в FiDO, насколько мне известно, сетевых троянов нет. И думаю, не предвидится их появление вообще как вида (прежде чем писать гневные письма, прочти продолжение, и если твой праведный гнев на недостоверную информацию и мои знания не иссякнет, буду рад выслушать все багфиксы, которыми ты меня одаришь). Консольная инсталляция - самая надежная, но требует от клиента доступа к терминалу владельца без присутствия оного за спиной (чтоб топором по спине не получить в случае сильной башковитости этого индивида). Программы такого типа требуют подчас ручной настройки и маскировки - весьма занудное занятие. Их можно (и нужно) использовать не только в злостно-хулиганских целях. Например, очень удобно поставить на своем рабочем месте или даже дома на время, к примеру, отъезда. А потом вернуться и громко так сказать: "Кто ел из моей чашки?!". Самой распространенной программой с подобным интерфейсом является HookDump под винды. Технология ее использования довольно проста: достаточно запустить ее на машине владельца и, указав ей, за чем надо следить, можно быть спокойным. Правда, доставать оттуда информацию клиенту придется опять же собственными ручками.
То, что я назвал удаленной инсталляцией трояна, на самом деле очень интересная вещь: бывают случаи, когда путь по сети закрыт, а терминал охраняется как сокровищница Кремля. Тогда и выручает этот на первый взгляд извращенный, а на самом деле очень удобный для клиента и простой в реализации для троянописателя способ. Неинтерактивный инсталлятор трояна или уже настроенный комплекс в рабочем состоянии посылается письмом или переписывается на дискетку и вручается самому заклятому другу. Тот пользуется полезной программой, которая временами дает поработать и вашему трояну. И волки, как говорится, целы, и овцы в дураках не остались.
Классификация по методам получения информации
Трояны могут поддерживать сетевое, консольное либо интерактивное предоставление информации клиенту. Это основные направления, существуют трояны, совмещающие все три типа в одном. Сетевой тип представляет собой всего лишь почтовое письмо с информацией, которая может быть полезна клиенту. Обычно такая информация шифруется или маскируется под вполне безобидные вещи - например, под электронную подпись PGP. Характер информации определяется режимом работы трояна, а о них будет рассказано ниже. Хочется только напомнить некоторым троянописателям про то, как они оставляют в письме прямо к себе на аккаунт сообщения типа "дело сделано! пароль спионерил: password.". Да еще и темплейт к нему в конец килобайт на двадцать. А ведь обо всем могут рассказать всего несколько байт. Помни, кратк. - сестр. тал.! Консольное предоставление информации - самый простой способ ведения записей, но немного неудобный при возникновении трудностей, относящихся к доступу к машине жертвы. Кроме того, сообщение после отправления удаляется, а запись все растет и лежит на винчестере владельца мертвым грузом - это может послужить одной из улик, первым шагом к разоблачению трояна, что обычно и происходит на практике за очень короткий период времени. Интерактивный тип предоставления информации - обычно самый тяжелый в реализации механизма работы трояна для автора, но с его помощью клиент может в некоторых случаях получить очень нехилые результаты. Одной из таких приятных для клиента приблуд является Network Crack Wizard, как следует из его названия, предназначенный для крака локальных сетей. Он негуево (во всех смыслах этого старинного русского слова) инсталлируется, а потом ждет команд клиента, которые весьма шустро, надо сказать, выполняет.