Бойтесь данайцев, дары приносящих

Shen (_shen_@mail.ru)

Спецвыпуск Xakep, номер #035, стр. 035-032-3

Бэкдоры

Слово BackDoor означает "потайной ход". Такой троян состоит из двух частей: клиентской и серверной. Клиент обычно имеет красивый GUI с кучей кнопок и прочие навороты, ибо всю свою жизнь проводит на компьютере хозяина, а значит, не заботится о своем размере. Собственно троян находится в серверной части. До тех пор, пока не пришла пора собирать и отсылать данные, алгоритмы бэкдоров и мейлеров совпадают: обмануть пользователя, устроиться в %windir%\system и прописаться в автозагрузке. Но потом начинаются серьезные отличия. Злоумышленник, подославший трояна, выходит в Сеть, запускает клиентскую часть и смотрит, есть ли отклик от сервера, т.е. находится ли жертва также в Сети. Если отклик получен, сервер и клиент устанавливают связь, а дальше все зависит от конкретного трояна: те, что поскромнее, откроют доступ к вражескому винту или еще что-то в этом духе, а те, что покруче, попросту отдадут власть над всем компьютером в руки злоумышленника: тот сможет управлять компьютером жертвы, как если бы сам сидел за ним.

Тут уже открывается простор для изощренной фантазии: можно отключить на удаленном компе антивирус, можно поставить еще пару троянов - на всякий случай, можно использовать чужой компьютер как плацдарм для проведения сетевых атак или просто для дальнейшего распространения троянов. Вообще, бэкдоры - отличное подспорье в деле перебора или расшифровки паролей: подкинув свой троян десятку человек, ты потратишь на это в десять раз меньше времени (а если троянов будет сто или тысяча?) и заодно переложишь ответственность на чужие плечи :).

Еще один тип

Как видишь, оба типа троянов так или иначе указывают на "хозяина". Мейлеры знают его почтовый адрес, бэкдоры вообще связываются с его компьютером напрямую, т.е. в обоих случаях существуют ниточки, по которым квалифицированный человек может вычислить того, кто подослал троян. Издержки технологии. Каждый троян решает эту проблему по-своему. Например, можно хранить информацию о хозяине в зашифрованном виде и выполнять расшифровку только в случае необходимости. Приемлемым вариантом также является использование проксей, цепочек ремейлеров и прочих интересных вещей.

Вообще можно выделить еще один тип троянов, хотя правильнее было бы относить такие программы к червям - это трояны, которые вообще не поддерживают связь с хозяином. Если цель мейлеров и бэкдоров заключается в предоставлении доступа к конфиденциальной информации, то цель этих троянов - захват вычислительных или сетевых ресурсов компьютера жертвы. Теперь понятно, почему таких коней иногда называют захватчиками? Они, будучи запущены в стан врага, навсегда забывают о доме и занимаются исключительно своими делами, такими как рассылка спама или атаки на какой-либо сервер - сотня-другая троянов может провести довольно эффективную атаку, будь то DoS или что-то еще. И главное, как и в случае с бэкдорами - ответственность перекладывается их несчастных обладателей.