Троянские кони
Когда бесплатная программа запускается, она вызывает функцию, записывающую вредоносную программу на диск и запускающую ее.
Затем вредоносная программа может приступить к тому черному делу, ради которого она создавалась, например к удалению, модификации или шифрованию файлов. Она также может заниматься поиском номеров кредитных карт, паролей и других полезных сведений и отправлять их Мэлу через Интернет. Скорее всего, она подключится к какому-нибудь IP-порту и будет ждать команд, превращая машину в зомби, готового к рассылке спама или совершению любых действий по желанию своего удаленного хозяина. Обычно вредоносная программа также задействует команды, гарантирующие ее перезапуск при каждой перезагрузке машины. Средства для этого имеются во всех операционных системах.Вся «прелесть» троянских коней в том, что от их автора не требуется взламывать компьютер своей жертвы — она сама делает за него эту работу.
Существует еще один прием, позволяющий заставить жертву выполнить троянскую программу. К примеру, многие пользователи UNIX используют переменную среды окружения $PATH, которая управляет просмотром каталогов при поиске команды. Ее содержимое можно просмотреть, набрав в оболочке следующую команду:
echo $PATH
Возможные настройки для пользователя ast на конкретной системе могут содержать следующие каталоги:
:/usr/ast/bin:/usr/local/bin:/usr/bin:/bin:/usr/bin/X11:/usr/ucb:/usr/man\
:/usr/java/bin:/usr/java/lib:/usr/local/man:/usr/openwin/man
У других пользователей, наверное, будут другие пути поиска. Когда пользователь набирает в оболочке команду
prog
оболочка сначала проверяет, нет ли такой программы в /usr/ast/bin/prog. Если она там есть, то она выполняется. Если ее там нет, оболочка пытается найти ее в /usr/local/bin/ prog, /usr/bin/prog, /bin/prog и т. д., просматривая по очереди все 10 каталогов перед тем, как отказаться от этой затеи. Предполагая, что один из этих каталогов остался незащищенным, взломщик помещает в него программу. Если это первое появление программы с таким именем в списке поиска, она будет выполнена и троянский конь приступит к своей работе.
Чаще всего программы находятся в /bin или в /usr/bin, поэтому помещение троянского коня в файл /usr/bin/X11/ls не сработает, поскольку первой будет найдена настоящая программа с таким именем. Но предположим, что взломщик поместил в каталог /usr/bin/X11 файл la. Если пользователь допустит опечатку и наберет la вместо ls (программы для вывода имен файлов, имеющихся в каталоге), троянский конь будет запущен, выполняя свое черное дело, а затем выдаст вполне правильное сообщение о том, что команды la не существует. Внедрение троянских коней в каталоги со сложными путями, в которые практически никто не заглядывает, и присваивания им имен, соответствующих часто допускаемым опечаткам, приведет к тому, что кто-нибудь рано или поздно вызовет одну из этих программ и этот кто-то будет иметь права привилегированного пользователя (даже такие пользователи допускают опечатки), и в таком случае троянский конь получит возможность подменить файл /bin/ls версией, содержащей троянского коня, чтобы с этих пор всегда запускалась именно эта версия.
Наш злоумышленник Мэл, являющийся к тому же вполне легальным пользователем, может также проложить дорожку к правам привилегированного пользователя следующим образом. Он помещает версию ls, содержащую троянского коня, в собственный каталог, а затем предпринимает какие-нибудь подозрительные действия, способные привлечь внимание привилегированного пользователя: например, одновременно запускает 100 процессов, использующих все вычислительные ресурсы системы. Вполне возможно, что привилегированный пользователь поинтересуется содержимым домашнего каталога Мэла, набрав последовательность команд
cd /home/mal ls -l
Так как некоторые оболочки перед тем, как работать с содержимым $PATH, сначала обращаются к локальному каталогу, привилегированный пользователь может запустить помещенного Мэлом троянского коня с правами привилегированного пользователя, чего, собственно, и добивался злоумышленник. Затем троянский конь может создать /home/mal/bin/sh с SETUID владельца root. Для этого он совершает два системных вызова: chown для изменения владельца файла /home/mal/bin/sh на root и chmod — для установки его бита SETUID. Теперь Мэл, запустив эту оболочку, может стать привилегированным пользователем.
Если Мэл будет часто оставаться на мели, он может воспользоваться одним из следующих способов мошенничества с помощью троянского коня. Первый способ заключается в том, что троянский конь проверяет, не установлена ли у жертвы программа электронного банкинга, например Quicken. Если программа установлена, троянский конь предписывает ей перевести немного денег на подставной счет (предпочтительно в какой-нибудь далекой стране), чтобы в последующем снять с него наличные.
Подобно этому, если троянский конь выполняется на мобильном телефоне (или смартфоне), он также может рассылать текстовые сообщения на действительно дорогостоящие платные номера, опять-таки предпочтительнее в какой-нибудь дальней стране, например в Молдове (части бывшего Советского Союза).
9.9.2.
Еще по теме Троянские кони:
- «Репертуар и Пантеон»
- Походка.
- Прием выразительности.
- Оформление юридической психологии как науки.
- Прием выразительности.
- Слово - основной инструмент юриста
- Глава 12. РАБОТА В ГРУППЕ
- Судья .
- К специальным условиям конструктивной деятельности следует отнести
- 3. Никогда не предавайте чье-то доверие.