Меню

Укр Рус

Trojan.Inject.Win32

Виды вредоносных программ:
Trojan.Inject.Win32

Trojan.Inject.Win32 – семейство троянских программ внедряющих свой код в память других программ.

Методы распространения

Данные программы рраспространяется через файлообменные Web-сайты и социальные сети, маскируясь под некоторые полезные программы, взломщики программ, генераторы серийных кодов и  ключей, и т.п. Чем побуждают пользователя скачать их и запустить у себя на компьютере. Также, они активно рраспространяются по почте в виде писем с вложениями.

Техническое описание

Большое семейство троянских программ написанных на различных языках, в основном на Microsoft Visukl С++ или Assembler.  Отличительной особенностью данного семейства является то что после запуска троянская программы внедряет (Inject – англ.) свой код в адресное пространство одной из запущенных программ. Как правило, для этого выбирается один из системных процессов или программа имеющая доступ в Internet.

Эта методика применяется для скрытия троянской программы в системе, перехвата системных API, а также для осуществления скрытой сетевой активности. Внедренный процесс не будет отображаться ни в диспетчере задач, ни в любой другой программе мониторинга.

 Из-за внедрения в адресное пространство чужой программы сетевые запросы троянца выглядят как запросы, генерируемые легальной программой. К примеру, если троянская программа внедряет часть своего кода в адресное пространство браузера Internet Explorer, то все сетевые запросы троянской программы будут выглядеть как сетевая активность браузера Internet Explorer. Данная методика позволяет обманывать как продвинутых пользователей, так и простые программы Firewall, которые разрешают программам доступ к сети на основании имени процесса, но  при этом не контролируют целостность самого процесса.

В большинстве случаев, после запуска, троянская программа создает копию своего тела в одной из системных папок Windows. Для  автоматического запуска при каждом старте системы,  добавляет  ссылку на свой файл в один из ключей  автозапуска системного реестра.

В качестве защиты от удаления, троянские программы применяются широко известные приёмы:

  • Отключение диспетчера задач
  • Отключение отображения скрытых файлов и папок
  • Отключение встроенного Firewall Windows
  • Закрытие окон антивирусных программ и т.п. 

Деструктивные особенности

Большое количество модификаций в семействе обеспечивает ему широкий вредоносный функционал, благодаря внедрению в память других процессов  вредоносные действия имеют сетевую направленность:

  • Воруют  логины и пароли к различным интернет ресурсам.
  • Воруют авторизационные данные к On-line играм
  • Собирают E-mail сохранённые на компьютере и отсылают их злоумышленнику
  • Шпионят за действиями пользователя, как с целью хищения информации, так и  для сбора информации о самом пользователе
  • Скрытно устанавливают в систему другие вредоносные программы.