Антивирусная профилактика и защита от
сетевых атак на своем компьютере.
Как завести троянского дома коня
Рекомендации не запускать программы, пришедшие к вам по почте от неизвестных
отправителей под видом полезных утилит, обновлений и т. п., стали уже общим
местом. К сожалению, выполнения этих рекомендаций совершенно недостаточно для
сохранения ваших паролей, конфиденциальной информации, да и просто целостности
данных на вашем жестком диске. Не будет преувеличением утверждать, что с
момента представления широкой публике самого известного троянского коня Back Orifice и
хлынувшего за этим в Internet потока подобных
программ, ваши шансы заполучить в свою систему подобного "помощника"
очень велики. Например, в последние месяцы значительный процент скачиваемых из Internet мелких утилит и программок-забав (toy) содержал в себе того или иного троянца. Не лучше
ситуация и с содержимым пиратских дисков.
Часть троянских программ ограничивается тем, что отправляет ваши пароли по
почте своему создателю или человеку, который сконфигурировал эту программу. Но
для лучших из них пароли - это мелочь: Back Orifice, несмотря на аскетичный
интерфейс, позволяет постороннему человеку по локальной сети или Internet получить полный контроль над вашим компьютером.
Полный доступ к вашим дискам (включая возможность их форматировать!),
наблюдение за содержимым экрана в реальном времени, запись с подключенного к
системе микрофона или видеокамеры - вот далеко не полный перечень возможностей
подобных программ. Малоизвестный троянец Master of Paradise по удобству и
скорости работы на медленном соединении c успехом
может поспорить с такими лучшими представителями средств удаленного управления,
как VNC (www.orl.co.uk/vnc).
Любой классический троянец состоит из двух частей: сервера и клиента. Сервер -
это собственно исполняемый файл, который, попав в ваш компьютер, загружается в
память одновременно с запуском Windows и выполняет
получаемые от удаленного клиента команды. Возможны различные пути его
проникновения в вашу систему: чаще всего это происходит при запуске какой-либо
полезной программы, в которую внедрен сервер. В момент первого запуска сервер
копирует себя в какое-нибудь потаенное местечко (особой любовью у авторов
троянцев пользуется директория c:\windows\system), прописывает себя на запуск в
системном реестре, и даже если вы никогда больше не запустите
программу-носитель, ваша система уже поражена. Возможно также внедрение сервиса
просто при открытии Web-страницы, если уровень безопасности, установленный в
вашем браузере, позволяет проделывать с вами такие трюки.
Существует также очень развитый инструментарий для внедрения сервисов троянцев
в исполняемые файлы, и вполне возможно, что кто-то уже
"усовершенствовал" ваш internat.exe (программа-индикатор языка
клавиатуры, которая загружается при запуске Windows,
и любой код, внедренный в этот exe-файл, также будет делать свое черное дело,
пока включен ваш компьютер).
Как бороться
"Обнаружить работу такой программы (троянца) на своем компьютере
достаточно сложно. Как правило, требуется полностью удалить Windows
95/98 и установить заново на чистый диск", - так пишет на своей страничке
служба поддержки одного из крупнейших московских провайдеров. Спасибо, что не
рекомендуют отформатировать все жесткие диски на низком уровне. На самом деле,
троянский конь в вашей системе - не такая уж неизлечимая болезнь. Я хотел бы
вкратце коснуться менее радикальных методов противодействия троянским атакам.
А - Антивирусы. Почти все производители антивирусного ПО после выхода Back Orifice спохватились и стали
включать в свои программы средства борьбы с троянцами. От случайного залетного
троянца применение антивирусов вас может спасти, но в целом этот метод нельзя
признать абсолютно надежным. Во-первых, новые программы-троянцы (и новые версии
старых добрых троянцев) выходят с не меньшей регулярностью, чем обновления
антивирусных баз. Существует даже троянский конь с нецензурным названием, написанный
в России, автор которого регулярно отслеживает обновления AVP и в течение суток
(!) выпускает новую версию; вот такое соревнование брони и снаряда. Во-вторых,
как показывает опыт, если сервис троянца внедрен в исполняемый файл, антивирусы
во многих случаях не могут его детектировать.
Б - Специальные программы для обнаружения троянских программ (антигены).
По сути, это антивирусное ПО, специализирующееся только на выявлении и
уничтожении троянских коней (и действующее при этом зачастую весьма примитивно).
В - Следите за портами. Первый признак того, что у вас в системе
завелась какая-то дрянь, - лишние открытые порты. На мой взгляд, персональные
брандмауэры (типа описанного С. Голубицким AtGuard в "КТ" #292) дают защиту настолько близкую к
абсолютной, насколько это вообще возможно, однако, вероятно, вам покажется
утомительным каждые 15 секунд отвечать на вопросы по поводу того, принимать ли
данный пакет в данный порт или нет. Для контроля открытых портов можно
воспользоваться обычными порт-сканерами (в этом
случае вы будете выступать в роли хакера, "прощупывающего"
собственную систему) или программами типа NetMonitor (www.leechsoftware.com), которые показывают открытые в
настоящий момент порты и сигнализируют об открытии новых портов и подключении к
ним посторонних личностей.
Г - Контролируйте ваши задачи. Следите за тем, какие задачи и сервисы
запускаются в вашей системе. 99 процентов троянских коней прописываются на
запуск в системном реестре в следующих ключах:
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\RunServices - чаще всего;
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run;
HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run;
в файле WIN.INI раздел [windows] параметры "load=" и "run=".
Советую также иногда заглядывать в раздел HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Network\LanMan
и проверять, не открыт ли некими
"доброжелателями" полный доступ к вашему диску С: как "скрытому
ресурсу" (открытый для доступа ресурс, не видимый обычными средствами).
Даже если вы не нашли в этих разделах ничего лишнего, это не значит, что в
настоящий момент у вас ничего такого не запущено. Ни для кого не секрет, что
список задач, вызываемый нажатием Ctrl+Alt+Del,
далеко не полон. Для контроля над запущенными задачами я предпочитаю
пользоваться программой CCtask (www.cybercreek.com).
Она показывает полный список запущенных задач, включая используемые DLL, и
позволяет ими гибко управлять.
В заключение хотелось бы заметить, что широкое распространение троянских коней
дало в руки людей, не обладающих высокой квалификацией в хакерстве или
программировании, весьма эффективный и гибкий инструмент для получения
конфиденциальной информации и просто деструктивной деятельности по отношению к
пользователям локальных сетей и Internet. Некоторым
для предохранения от этой напасти будет достаточно применения антивирусных
программ и программ-антигенов, но если у вас есть основания полагать, что вы
стали объектом целенаправленной троянской атаки, вам следует очень серьезно
отнестись к вышеописанным аспектам безопасности вашей системы и применять все
эти меры в комплексе. Или отформатировать все ваши жесткие диски... до
следующего раза.