Название «троянская программа» происходит от названия «троянский конь» — деревянный конь, по легенде, подаренный древними греками жителям Трои, внутри которого прятались воины, впоследствии открывшие завоевателям ворота города. Такое название прежде всего отражает скрытность и потенциальную коварность истинных замыслов разработчика программы.

Троянская программа может в той или иной степени имитировать (или даже полноценно заменять) задачу или файл данных, под которые она маскируется (программу установки, прикладную программу, игру, прикладной документ, картинку). В том числе злоумышленник может собрать существующую программу с добавлением к её исходному коду троянских компонентов, а потом выдавать за оригинал или подменять его.

Схожие вредоносные и маскировочные функции также используются компьютерными вирусами, но в отличие от них троянские программы не умеют распространяться самостоятельно. Вместе с тем троянская программа может быть модулем вируса.

Распространение.

Троянские программы помещаются злоумышленником на открытые ресурсы (файл-серверы, открытые для записи накопители самого компьютера), носители информации или присылаются с помощью служб обмена сообщениями (например, электронной почтой) из расчета на их запуск на конкретном, входящем в определенный круг или произвольном «целевом» компьютере.

Иногда использование троянов является лишь частью спланированной многоступенчатой атаки на определенные компьютеры, сети или ресурсы (в том числе третьи).

Типы тел троянских программ.

Тела троянских программ почти всегда разработаны для различных вредоносных целей, но могут быть также безвредными. Они разбиваются на категории, основанные на том, как трояны внедряются в систему и наносят ей вред. Существует 6 главных типов:

1. Удалённый доступ.
2. Уничтожение данных.
3. Загрузчик.
4. Сервер.
5. Дезактиватор программ безопасности.
6. DDoS-атаки.

Целью троянской программы может быть:
• закачивание и скачивание файлов;
• копирование ложных ссылок, ведущих на поддельные вебсайты, чаты или другие сайты с регистрацией;
• создание помех работе пользователя (в шутку или для достижения других целей);
• похищение данных, представляющих ценность или тайну, в том числе информации для аутентификации, для несанкционированного доступа к ресурсам (в том числе третьих систем), выуживание деталей касательно банковских счетов, которые могут быть использованы в преступных целях, криптографической информации (для шифрования и цифровой подписи);
• шифрование файлов при кодовирусной атаке;
• распространение других вредоносных программ, таких как вирусы. Троян такого типа называется Dropper;
• вандализм: уничтожение данных (стирание или переписывание данных на диске, труднозамечаемые повреждения файлов) и оборудования, выведение из строя или отказ обслуживания компьютерных систем, сетей и т. п., в том числе в составе ботнета (организованной группы зомбированных компьютеров), например, для организации DoS-атаки на целевой компьютер (или сервер) одновременно со множества зараженных компьютеров или рассылки спама. Для этого иногда используются гибриды троянского коня и сетевого червя — программы, обладающие способностью к скоростному распространению по компьютерным сетям и захватывающие зараженные компьютеры в зомби-сеть;
• сбор адресов электронной почты и использование их для рассылки спама;
• прямое управление компьютером (разрешение удалённого доступа к компьютеру-жертве);
• шпионство за пользователем и тайное сообщение третьим лицам сведений, таких как, например, привычка посещения сайтов;
• регистрация нажатий клавиш (Keylogger) с целью кражи информации такого рода как пароли и номера кредитных карточек;
• получение несанкционированного (и/или дарового) доступа к ресурсам самого компьютера или третьим ресурсам, доступным через него;
• установка Backdoor;
• использование телефонного модема для совершения дорогостоящих звонков, что влечёт за собой значительные суммы в телефонных счетах;
• дезактивация или создание помех работе антивирусных программ и файрвола.

Симптомы заражения трояном.

• Появление в реестре автозапуска новых приложений.
• Показ фальшивой закачки видеопрограмм, игр, порнороликов и порносайтов, которые вы не закачивали и не посещали.
• Создание снимков экрана.
• Открывание и закрывание консоли CD-ROM.
• Проигрывание звуков и/или изображений, демонстрация фотоснимков.
• Перезапуск компьютера во время старта инфицированной программы.
• Случайное и/или беспорядочное отключение компьютера.

Методы удаления трояна.

Поскольку трояны обладают множеством видов и форм, не существует единого метода их удаления. Наиболее простое решение заключается в очистке папки Temporary Internet Files или нахождении вредоносного файла и удалении его вручную (рекомендуется Безопасный Режим). В принципе, антивирусные программы не способны обнаруживать и удалять трояны. Однако при регулярном обновлении антивирусной базы антивирус способен заблокировать запуск и исполнение троянской программы. Если антивирус не способен отыскать троян, загрузка ОС с альтернативного источника может дать возможность антивирусной программе обнаружить троян и удалить его. Чрезвычайно важно для обеспечения большей точности обнаружения регулярное обновление антивирусной базы данных.

Маскировка.

Многие трояны могут находиться на компьютере пользователя без его ведома. Иногда трояны прописываются в Реестре, что приводит к их автоматическому запуску при старте Windows. Также трояны могут комбинироваться с легитимными файлами. Когда пользователь открывает такой файл или запускает приложение, троян запускается также.

Принцип действия трояна.

Трояны обычно состоят из двух частей: Клиент и Сервер. Сервер запускается на машине-жертве и следит за соединениями от Клиента, используемого атакующей стороной. Когда Сервер запущен, он отслеживает порт или несколько портов в поиске соединения от Клиента. Для того чтобы атакующая сторона подсоединилась к Серверу, она должна знать IP-адрес машины, на которой запущен Сервер. Некоторые трояны отправляют IP-адрес машины-жертвы атакующей стороне по электронной почте или иным способом.

Как только с Сервером произошло соединение, Клиент может отправлять на него команды, которые Сервер будет исполнять на машине-жертве. В настоящее время благодаря NAT-технологии получить доступ к большинству компьютеров через их внешний IP-адрес невозможно. И теперь многие трояны соединяются с компьютером атакующей стороны, который установлен на приём соединений, вместо того, чтобы атакующая сторона сама пыталась соединиться с жертвой. Многие современные трояны также могут беспрепятственно обходить файрволы на компьютере жертвы.

Трояны чрезвычайно просты в создании на многих языках программирования. Простой троян на Visual Basic или C++ с использованием Visual Studio может быть создан в не более чем 10 строчках кода.