Меню

Укр Рус

Trojan.Injector.Win32

Виды вредоносных программ:
Trojan.Injector.Win32

Trojan.Injector.Win32 – сімейство троянських програм, що впроваджують свій код в пам'ять інших програм.

Методи розповсюдження

Дані програми ррозповсюджується через файлообмінні Web-Сайти й соціальні мережі, маскуючись під якісь корисні програми, зломщики програм, генератори серійних кодів і  ключів, і т.п. Чим спонукують користувача скачати їх і запустити в себе на комп'ютері. Також, вони активно поширюються поштою у вигляді листів із вкладеннями.

Технічний опис

Велике сімейство троянських програм написаних на різних мовах, в основному на Microsoft Visukl С++ або Assembler.  Відмінною рисою даного сімейства є те що після запуску троянська програми впроваджує (Inject – англ.) свій код в адресний простір однієї із запущених програм. Як правило, для цього вибирається один із системних процесів або програма, що має доступ в Internet.

Ця методика застосовується для приховання троянської програми в системі, перехоплення системних API, а також для здійснення прихованої мережної активності. Впроваджений процес не буде відображатися ні в диспетчері завдань, ні в будь-якій іншій програмі моніторингу.

Через впровадження в адресний простір чужої програми мережеві запити троянця виглядають як запити, що робляться легальною програмою. Приміром, якщо троянська програма впроваджує частину свого коду в адресний простір браузера Internet Explorer, то всі мережеві запити троянської програми будуть виглядати як мережева активність браузера Internet Explorer. Дана методика дозволяє обманювати як просунутих користувачів, так і прості програми Firewall, які дозволяють програмам доступ до мережі на підставі імені процесу, але при цьому не контролюють цілісність самого процесу.

У більшості випадків, після запуску, троянська програма створює копію свого тіла в одній із системних папок Windows. Для  автоматичного запуску при кожному старті системи,  додає посилання на свій файл в один із ключів  автозапуску системного реєстру.

У якості захисту від видалення, троянські програми застосовуються широко відомі прийоми:

  • Відключення диспетчера завдань
  • Відключення відображення прихованих файлів і папок
  • Відключення вбудованого Firewall Windows
  • Закриття вікон антивірусних програм і т.п. 

Деструктивні особливості

Велика кількість модифікацій у сімействі забезпечує йому широкий шкідливий функціонал, завдяки впровадженню в пам'ять інших процесів  шкідливі дії мають мережеву спрямованість:

  • Крадуть  логіни й паролі до різних інтернет ресурсам.
  • Крадуть дані до On-line іграм
  • Збирають E-mail збережені на комп'ютері й відсилають їх зловмисникові
  • Шпигують за діями користувача, як з метою розкрадання інформації, так і  для збору інформації про самого користувача
  • Потай встановлюють у систему інші шкідливі програми.