Ранее я опубликовал вопрос о некоторых троянах (они, похоже, связаны с Java), которые были обнаружены и удалены с моего компьютера при недавнем сканировании.
Но что я не знаю, так это когда-нибудь казнили этих троянцев.
Когда вы загружаете на свой компьютер обычный исполняемый файл, например, notepad.exe, вы должны дважды щелкнуть по программе, чтобы запустить ее.
Но в случае с трояном, какой механизм запуска запускает троян?
Два основных способа запуска трояна:
«Троянский код» вставляется в другую программу и выполняет задачу запуска программы хоста.
Троян заменяет допустимый файл на вашем компьютере и выполняет назначенную ему задачу либо при запуске программы «fake», либо при вызове программы «fake» другой программой или процессом.
Трояны могут бездействовать в вашей системе, и они могут запускаться только при возникновении определенного события, например, описанного выше.
В случае трояна клиент / сервер первоначальный клиент (часть, которая заразила ваш компьютер) будет связываться с компонентом сервера, обычно через скрытый запрос IRC. Когда это происходит, сервер обычно заменяет первоначального клиента другим троянским кодом, и в этот момент ваш компьютер может полностью контролироваться с сервера.
Трояны могут быть доставлены на ваш компьютер, непреднамеренно запустив какой-нибудь зараженный серверный апплет, или могут быть «сброшены» на ваш компьютер через зараженную баннерную рекламу или какой-либо другой безобидный веб-компонент.
Обычно мы классифицируем успешную атаку на два компонента, основанные на военной терминологии: полезная нагрузка, которая при запуске на цель вызывает вредоносные эффекты (скрытие, превращение вашего хоста в зомби и т.д.) И вектор, который отвечает за выполнение полезной нагрузки. Итак, вы спрашиваете, какие виды атак существуют?
В историческом смысле троян полагается на конечного пользователя как вектор. До того, как сетевое подключение получило широкое распространение, это обычно означало, что вас обманули и запустили то, что вы считаете полезной программой или классной игрой.
Есть другие способы, которыми код может быть запущен с помощью пользователя; например, было несколько случаев уязвимостей в библиотеках отображения контента, таких как pdf, jpeg или flash-рендереры. Если у вас установлена уязвимая программа, все, что вам нужно, это попытаться отобразить токсичное содержимое. Вы можете заразиться просто, когда ваш браузер пытается отобразить .jpg на странице, которую вы посещаете; вредоносный файл .jpg может содержать недопустимые данные, которые могут вызвать ошибку в библиотеке отображения, и, возможно, в конечном итоге выполнить содержимое.
В этом случае, даже если вы не нажали на вредоносную программу, она выполняется по незнанию программой, вызывающей уязвимую библиотеку (здесь, ваш браузер).
К сожалению, мы не можем ограничить количество возможных векторов; каждый раз, когда ваша система автоматически обрабатывает контент из ненадежного источника, существует риск использования уязвимости. Наоборот, лучше всего обращать внимание на обновления безопасности и углубленно заниматься защитой (например, запускать повседневные программы с ограниченными правами и т.д.)
То же самое. Обычно это выглядит как игра или какой-то аккуратный инструмент, который побуждает пользователя выполнить его.
Обычно трояны вставляются из определенных файлов, даже в изображения. В этом случае троян специально нацелен на недостатки в способности системы отображать изображения.
