Trojan.Injector.Win32
Trojan.Injector.Win32 – сімейство троянських програм, що впроваджують свій код в пам'ять інших програм.
Методи розповсюдження
Дані програми ррозповсюджується через файлообмінні Web-Сайти й соціальні мережі, маскуючись під якісь корисні програми, зломщики програм, генератори серійних кодів і ключів, і т.п. Чим спонукують користувача скачати їх і запустити в себе на комп'ютері. Також, вони активно поширюються поштою у вигляді листів із вкладеннями.
Технічний опис
Велике сімейство троянських програм написаних на різних мовах, в основному на Microsoft Visukl С++ або Assembler. Відмінною рисою даного сімейства є те що після запуску троянська програми впроваджує (Inject – англ.) свій код в адресний простір однієї із запущених програм. Як правило, для цього вибирається один із системних процесів або програма, що має доступ в Internet.
Ця методика застосовується для приховання троянської програми в системі, перехоплення системних API, а також для здійснення прихованої мережної активності. Впроваджений процес не буде відображатися ні в диспетчері завдань, ні в будь-якій іншій програмі моніторингу.
Через впровадження в адресний простір чужої програми мережеві запити троянця виглядають як запити, що робляться легальною програмою. Приміром, якщо троянська програма впроваджує частину свого коду в адресний простір браузера Internet Explorer, то всі мережеві запити троянської програми будуть виглядати як мережева активність браузера Internet Explorer. Дана методика дозволяє обманювати як просунутих користувачів, так і прості програми Firewall, які дозволяють програмам доступ до мережі на підставі імені процесу, але при цьому не контролюють цілісність самого процесу.
У більшості випадків, після запуску, троянська програма створює копію свого тіла в одній із системних папок Windows. Для автоматичного запуску при кожному старті системи, додає посилання на свій файл в один із ключів автозапуску системного реєстру.
У якості захисту від видалення, троянські програми застосовуються широко відомі прийоми:
- Відключення диспетчера завдань
- Відключення відображення прихованих файлів і папок
- Відключення вбудованого Firewall Windows
- Закриття вікон антивірусних програм і т.п.
Деструктивні особливості
Велика кількість модифікацій у сімействі забезпечує йому широкий шкідливий функціонал, завдяки впровадженню в пам'ять інших процесів шкідливі дії мають мережеву спрямованість:
- Крадуть логіни й паролі до різних інтернет ресурсам.
- Крадуть дані до On-line іграм
- Збирають E-mail збережені на комп'ютері й відсилають їх зловмисникові
- Шпигують за діями користувача, як з метою розкрадання інформації, так і для збору інформації про самого користувача
- Потай встановлюють у систему інші шкідливі програми.