Электронная библиотека
Xakep
Трояны. Классификация.
Xakep, номер #013, стр. 013-062-4
Суфлер - все из названия. Как сказал один мой знакомый, "... суфлер - это такой мужик, который сидит в яме и всем вокруг пудрит мозги". Но на то он и суфлер, чтобы подсказывать что-то, а в некоторых случаях (учитывая специфичность нашей темы) и полностью замещать владельца трояна (естественно, в некоторых - нужных клиенту случаях). Довольно трудно сразу уяснить себе, где именно можно найти применение такой проге, но ты только прикинь, какие перспективы открываются для того, кто сможет им грамотно воспользоваться в своих интересах. Пока, правда, такие трояны - редкость, но истории о переписи мэйл-демонов (когда на письмо-сообщение об ошибке в е-мail адресе приходит ответ от другого мэйл-сервера и т.д. по кругу) наводят на мысли... Отправка сообщений с двумя-тремя страницами мата местному сисадмину, скачивание картинок сомнительного содержания, просто загрузка трафика, хранение скрытой информации или порча важных документов в c:\mustdie\Мои документы - да все, на что хватит фантазии у автора трояна.
Робот - программы, беспрекословно выполняющие команды клиента (суть - удаленного доступа), имеющие базовый набор функций, которые можно вызывать, например, посылкой почтой определенных слов где-то в тексте или сабже письма:
From: spamer@inkognito.ru
To: torjanowner@lamaz.com
Subj: Хотите подпишу на sex.pictures.mail???
...
Робот, проверяющий почту еще при ее получении или позже в inbox`е, обнаружит это сообщение (от spamer@inkognito.ru) и найдет там, например, слова sex.pictures.mail. Для него это может быть командой на отправку паролей на доступ к ftp-серверу и самоуничтожение. Вообще говоря, отдача приказов может происходить различными способами, и конкретно на поведение трояна это не должно влиять никаким образом. Также следует отличать такие трояны от тех, которые управляются событиями (например, соединения с Internet вообще или с каким-то отдельным сервером в нем, приемом/отправкой почты или запуском ICQ/посылкой icq-мессаг). Все их реакции неизменны во время работы в тылу врага - в отличие от робота, который работает как раз в таких условиях. Можно сравнить троян с взрывным устройством, тогда робот будет бомбой с большой красной кнопкой и надписью "BOOM!!!", а трояны, реагирующие на события, - бомбами с часовым механизмом или, к примеру, гранаткой на растяжке.
И, наконец, последний тип классификации - партизаны, мирно существующие у какого-нибудь Васи Пупкина. Партизаны - как раз те самые программы, с которыми я сравнивал суфлера. Управляются по событиям, то есть запустил Вася, например, хорошую программу PGP, чтобы дяди из СОРМ не читали его почту, и разбудил вот такого партизана, который на этот пароль сквозь кривые мохнатые пальцы посмотрел и аккуратненько в тетрадочку-то свою и записал. И устав от долгих лет ожидания, принялся наводить порядочек... в соответствии с собственным мнением на этот счет.