Trojan - czym jest i jak działa ten szkodnik?

Trojan to szkodnik, który może poważnie zaszkodzić komputerom podłączonym do sieci - ale tylko dzięki Twojej niezamierzonej pomocy.


Trojan (lub "koń trojański") to szkodnik, który udaje pożyteczną aplikację tylko po to, aby użytkownik pozwolił na jego instalację. Dzięki temu zezwoleniu prześlizguje się przez obronę i zaczyna swoje działanie. Podobnie jak i inne malware, także i trojan może wyrządzić szkody lub doprowadzić do przejęcia komputera. Stąd też jego nazwa, nawiązująca oczywiście do wojny trojańskiej.

Trojan a wirus - czy to to samo?

Czy trojan to wirus? Często określa się go tym mianem, jednak nie jest to do końca poprawne. Są to dwa różne typy malware, które infekują komputery na różne sposoby (więcej na ten temat w artykule "Zobacz, jakie szkodniki grożą Twojemu komputerowi"). Trojany występują najczęściej spośród wszystkich szkodników na świecie. O ile wirusy same się reprodukują i rozprowadzają, o tyle zadaniem trojana jest dostarczenie do systemu ukrytej zawartości - czyli złośliwego kodu.

Jak trojan infekuje komputer?

Skoro teorię mamy za sobą, czas na praktykę. W jaki konkretnie sposób działa trojan? W jaki sposób cyberprzestępca skłania nieświadomą ofiarę do pobrania i instalacji szkodnika? Klasyczna metoda to zachęcenie do pobrania darmowej gry lub aplikacji, np. wygaszacza ekranu czy aplikacji do czyszczenia systemu lub nawet antywirusa (!). Choć wiele osób jest tego świadomych, cyberprzestępcy nierzadko tworzą strony wyglądające na godne zaufania, a nawet podszywające pod prawdziwe witryny. Dwa przykłady - w Polsce jakiś czas temu malware były dystrybuowane przez fałszywkę udającą popularny portal z oprogramowaniem. W Niemczech, zaraz po tym, gdy świat dowiedział się o lukach Spectre i Meltdown w procesorach x86, powstała strona wyglądająca dokładnie jak witryna niemieckiej agencji do spraw cyberbezpieczeństwa, na której można było pobrać łatkę likwidującą te problemy. Oczywiście nie była to żadna łatka, a trojan o nazwie "Smoke Loader". Po pobraniu i uruchomieniu pliku domagał się uprawnień administratora - co jest często spotykaną praktyką w przypadku normalnych aplikacji - a gdy użytkownik udzielał zgody, szkodnik rozpoczynał swoje działanie.

Inny rodzaj rozprzestrzeniania się trojanów to phishing. Jest to cyberatak polegający najczęściej na przesłaniu maila podszywającego się pod osobę znaną odbiorcy lub jakąś instytucję. W mailu znajduje się link lub plik udający dokument, ale kliknięcie któregokolwiek powoduje infekcję systemu. Takie trefne wiadomości określa się mianem "scam". Szkodniki rozsyłane w ten sposób mają różny stopień precyzji, jednak wszystkie e-maile służą temu samemu - skłonieniu użytkownika do kliknięcia w link lub załącznik. Wiele osób wie, że nie wolno pobierać i uruchamiać plików .exe, jednak przestępcy maskują je na różne sposoby, np. jako niewinne pliki PDF czy dokumenty w którymś z formatów Office. Trojany potrafią korzystać z luk w językach używanych przed tego typu dokumenty i umieszczać tam złośliwy kod.

Przykładem trojan o nazwie Emotet - bardzo zaawansowany i złośliwy. Był rozprowadzany za pomocą plików PDF, w których umeiszczono makra za złośliwymi kodami. Pliki te rozsyłane były z takimi nazwami, jak "Twoja faktura", "Wezwanie do zapłaty" i podobne. Jeśli ktoś otworzył plik - złośliwy kod natychmiast się uaktywniał i pobierał dalsze kody, które rozprzestrzeniały w systemie i wydobywały z niego wszystkie informacje, jak zapisane hasła, dane do bankowości elektronicznej, itp.

Nie należy zapominać, że trojany to nie tylko komputery stacjonarne - na urządzenia mobilne również powstało mnóstwo takich szkodników.

Rodzaje trojanów

Po dostaniu się do systemu, trojan może szkodzić na wiele różnych sposobów. Symantec stworzył praktyczną listę, w której dzieli trojany na dwie kategorie:

Metoda szkodzenia :

  • Backdoor - tworzy luki w systemie obronnym, poprzez które haker może penetrować komputer
  • Downloader - pobiera więcej złośliwego kodu, aby przejąć kontrolę nad maszyną
  • Rootkit - instaluje ukryte aplikacje, które może wykorzystać haker

Cel działania:

  • Wykorzystanie listy kontaktów i książki adresowej do rozsyłania spamu
  • Atak typu DDoS - maszyna jest przejmowana i używana jako narzędzie do przeprowadzenia ataku typu DDoS na wybraną stronę www
  • Kradzież danych powiązanych z finansami
  • Ransomware - zaszyfrowanie plików i domaganie się okupu za ich odblokowanie

Niektóre trojany mogą pasować do więcej, niż jednej tylko kategorii. Wspomniany wcześniej Emolet to zarówno downloader, jak i "bankowiec".

Jak usunąć trojana?

Jeśli zdarzyło się najgorsze, czyli trojan znalazł w systemie, wówczas należy usunąć go tak samo, jak i każdego innego szkodnika - trzeba uruchomić antywirusa, który powinien zająć się wszystkim, a jeżeli go nie wykrywa, powinno się wykonać głębokie skanowanie. Istnieją także aplikacje wyspecjalizowane w usuwaniu konkretnych szkodników, w tym trojanów - wiele z nich znajdziesz w naszym dziale Bezpieczeństwo.

Trojany dawniej a obecnie

Trojany nie są niczym nowym w świecie IT - pierwszy, o nazwie Animal, został napisany w 1974 roku przez Johna Walkera na komputery Univac. Ale... nie był to trojan napisany w złych celach! To w ogóle nie był początkowo szkodnik, a "zabawa w 20 pytań" - program próbował odgadnąć ulubione zwierzę użytkownika, używając uczenia maszynowego do zadawania coraz precyzyjniejszych pytań. Co ciekawe, nie była wcale pomyślana jako szkodnik, ale Walker dostał wiele próśb od ludzi, którym spodobała się ta zabawa, o kopie programu. Dlatego stworzył do Animala podprogram o nazwie Pervade, który podczas działania zapisywał kopie "Animal" we wszystkich dostępnych folderach użytkownika, które tylko mógł odnaleźć. Wiele z tych kopii trafiło na taśmy szpulowe, które wówczas były używane jako nośniki danych, co pozwalało na przenoszenie programu pomiędzy różnymi biurami. Jak zauważa twórca, nie był to "szkodnik" - po prostu zostawiał swoją kopię, a każdy, kto otrzymał taśmę, zyskiwał go jako dodatek. Co ciekawe, krótko po tym powstała "miejska legenda" o innym programie - Hunter - który został napisany specjalnie po to, aby wykrywać na komputerach Animal i usuwać go.

Obecne trojany to oczywiście znacznie większe zagrożenia. Jak dotąd najpoważniejszym była Petya - okrzyknięta jednym z największych szkodników wszechczasów. Inne, które na trwale odcisnęły swój ślad w historii, to:

  • Storm Worm - rozpowszechniany od 2000 roku za pomocą e-maili
  • Zeus - pojawił się po 2010 i instalował keyloggera, który kradł dane dotyczące bankowości
  • Rakhni - rodzina sprytnych trojanów, które rozpowszechniały się w 2013, a zajmowały instalowaniem ransomware oraz bitcoinminerów

Niestety, nowe trojany pojawiają się każdego dnia i nie ma jak na razie sposobu, aby to powstrzymać. Dlatego tak ważny jest dobry program antywirusowy.