Троянский конь

Троянские кони или Remote Administration Trojans (RAT – Трояны Удаленного Администрирования) – это класс потайных дверей, который используется для разрешения удаленного управления через взломанный компьютер. Они обеспечивают несомненно полезные функции для пользователя, и в тоже время открывают сетевой порт на компьютере-жертве. Затем, однажды запустившись, некоторые трояны ведут себя, как исполняемые файлы, взаимодействуя с отдельными ключами реестра, отвечающими за запуск процессов, и иногда создавая свои собственные системные сервисы.

Противоположно обычным потайным дверям, Троянские кони поддерживают себя внутри зараженной операционной системы и всегда поступают упакованными в два файла – клиентский файл и серверный файл. Сервер, как видно из его названия, инсталлируется на зараженный компьютер, в то время, как клиент используется взломщиком для управления взломанной системой. Некоторые хорошо известные функции троянов включают: управление файлами на зараженном компьютере, управление процессами, удаленная активация команд, перехват нажатий клавиш, просмотр экранных изображений и, также, перезапуск и закрытие инфицированных host'ов – это мы перечислили только несколько из их функций. Некоторые даже способны самостоятельно подключаться к своим создателям. Конечно, эти возможности отличаются для отдельных Троянских коней. Вот список наиболее популярных: NetBus, Back Orifice 2000, SubSeven, Hack'a'tack и один из Польши, названный Prosiak.

В большинстве случаев, Троянские кони распространяются по email. Они обычно помещаются во вложения, потому что их авторы используют уязвимость почтовых клиентов. Другая технология основана на том, что они прикрепляются к другим программам. Существует множество программ в Web, которые используют несколько файлов для создания одиночного исполнимого файла.

Троянские кони (также называемые троянами) обычно работают в слегка схематичной манере. В отличии от ранее описанных потайных дверей, где реализация и функции ограничивались только изобретательностью хакера, поведение этих довольно хорошо определено. Они прослушивают определенные порты (например, 12345 - это порт по умолчанию для трояна NetBus), настраивают определенные ссылки в стартовых файлах и регистрах, поэтому они являются относительно легко обнаруживаемыми и идентифицируемыми. В большинстве случаев, проблемы с Троянскими конями могут быть разрешены использованием антивирусных (AV) программ (обновленных!) для проверки возможных заражений.