Trojan

Złośliwy program podszywający się pod legalne oprogramowanie, który po uruchomieniu wykonuje ukryte szkodliwe działania. W odróżnieniu od wirusa nie powiela się samodzielnie.

Trojan (koń trojański, ang. Trojan horse) to złośliwy program, który udaje nieszkodliwe albo wręcz przydatne oprogramowanie, żeby skłonić Cię do uruchomienia go własnymi rękami. Nazwa nie jest przypadkowa: tak jak Grecy ukryli się w drewnianym koniu, tak złośliwy kod chowa się w czymś, co wygląda na legalny instalator, crack do gry, fakturę PDF czy aktualizację „wtyczki do przeglądarki”. W przeciwieństwie do wirusa czy robaka trojan zwykle nie rozmnaża się sam — liczy na to, że to Ty klikniesz „Uruchom”.

Jak to działa

Mechanizm jest prosty i dlatego skuteczny: atakujący opakowuje payload (właściwy złośliwy kod) w przynętę, która ma wartość dla ofiary. Klikasz, system pyta o uprawnienia, Ty je nadajesz — bo przecież „to tylko instalator gry” — i w tym momencie kod dostaje dokładnie te przywileje, które ma Twoje konto. Dalej zależy od typu: backdoor otwiera atakującemu zdalny dostęp, banker poluje na dane logowania do banku, dropper ściąga kolejne moduły, a RAT (Remote Access Trojan) daje pełną kontrolę nad maszyną — z dostępem do kamery, klawiatury i plików włącznie.

Trojany świetnie maskują się, bo nie muszą łamać zabezpieczeń siłą — wykorzystują Twoje zaufanie i nawyki. Często działają w tle bez widocznych objawów, czasem nawet faktycznie uruchamiają tę aplikację, której się spodziewałeś, żeby nie wzbudzić podejrzeń.

Przykład z praktyki

Klasyk: ktoś szuka „darmowego” płatnego programu i pobiera setup.exe z losowej strony. Plik instaluje narzędzie, ale przy okazji rozpakowuje backdoora do autostartu. Jeśli analizujesz podejrzany plik na Linuksie, zacznij od file podejrzany.bin i strings podejrzany.bin | grep -i http — zobaczysz czasem zaszyte adresy serwera C2. Hash sprawdzisz przez sha256sum plik i wrzucisz na VirusTotal. Do dynamicznej analizy używa się sandboksów typu Cuckoo Sandbox albo serwisu Any.Run, gdzie odpalasz próbkę w izolowanym środowisku i obserwujesz, co próbuje robić z siecią i rejestrem.

Na co uważać

Najczęstszy mit: „mam antywirusa, jestem bezpieczny”. Antywirus pomaga, ale trojan często wjeżdża przez świeżą, jeszcze niewykrywaną próbkę albo przez Twoją własną zgodę na instalację. Drugi mit: „to problem tylko Windowsa” — trojany istnieją na Androida (fałszywe APK poza Google Play), macOS i Linuksa. Złota zasada: pobieraj oprogramowanie wyłącznie z oficjalnych źródeł, nie uruchamiaj załączników „faktur” od nieznanych nadawców i nie nadawaj uprawnień administratora w ciemno.

Pojęcia powiązane

Warto znać sąsiednie terminy: malware (nadrzędna kategoria), wirus i robak (różnią się sposobem rozprzestrzeniania), backdoor, RAT, ransomware, payload, phishing (częsty kanał dostarczania) oraz serwer C2 (command and control), z którym trojan się komunikuje.