Trojan.Inject.Win32
Trojan.Inject.Win32 – семейство троянских программ внедряющих свой код в память других программ.
Методы распространения
Данные программы рраспространяется через файлообменные Web-сайты и социальные сети, маскируясь под некоторые полезные программы, взломщики программ, генераторы серийных кодов и ключей, и т.п. Чем побуждают пользователя скачать их и запустить у себя на компьютере. Также, они активно рраспространяются по почте в виде писем с вложениями.
Техническое описание
Большое семейство троянских программ написанных на различных языках, в основном на Microsoft Visukl С++ или Assembler. Отличительной особенностью данного семейства является то что после запуска троянская программы внедряет (Inject – англ.) свой код в адресное пространство одной из запущенных программ. Как правило, для этого выбирается один из системных процессов или программа имеющая доступ в Internet.
Эта методика применяется для скрытия троянской программы в системе, перехвата системных API, а также для осуществления скрытой сетевой активности. Внедренный процесс не будет отображаться ни в диспетчере задач, ни в любой другой программе мониторинга.
Из-за внедрения в адресное пространство чужой программы сетевые запросы троянца выглядят как запросы, генерируемые легальной программой. К примеру, если троянская программа внедряет часть своего кода в адресное пространство браузера Internet Explorer, то все сетевые запросы троянской программы будут выглядеть как сетевая активность браузера Internet Explorer. Данная методика позволяет обманывать как продвинутых пользователей, так и простые программы Firewall, которые разрешают программам доступ к сети на основании имени процесса, но при этом не контролируют целостность самого процесса.
В большинстве случаев, после запуска, троянская программа создает копию своего тела в одной из системных папок Windows. Для автоматического запуска при каждом старте системы, добавляет ссылку на свой файл в один из ключей автозапуска системного реестра.
В качестве защиты от удаления, троянские программы применяются широко известные приёмы:
- Отключение диспетчера задач
- Отключение отображения скрытых файлов и папок
- Отключение встроенного Firewall Windows
- Закрытие окон антивирусных программ и т.п.
Деструктивные особенности
Большое количество модификаций в семействе обеспечивает ему широкий вредоносный функционал, благодаря внедрению в память других процессов вредоносные действия имеют сетевую направленность:
- Воруют логины и пароли к различным интернет ресурсам.
- Воруют авторизационные данные к On-line играм
- Собирают E-mail сохранённые на компьютере и отсылают их злоумышленнику
- Шпионят за действиями пользователя, как с целью хищения информации, так и для сбора информации о самом пользователе
- Скрытно устанавливают в систему другие вредоносные программы.