Опубликовано в Gazeta.Ru от 12-08-1999 (Выпуск No 113)
Оригинал: http://gazeta.ru/flopovod/12-08-1999_dom.htm


Валерий Котов, <enterpress@mail.ru>
Мой дом - моя крепость

Для доступа к чужому компьютеру через Интернет в основном используются “троянские кони”. Из школьного курса истории вы наверняка знаете, что это такое; так вот, теперь эти милые создания поселились и на компьютерах. Наиболее известным представителем этой когорты можно назвать нашумевший Back Orifice (ВО), который вызвал некоторую панику и привлек внимание к проблемам защиты.

Напомню вкратце, что такое “троян”. Он состоит из двух основных частей - сервера и клиента. Сервер запускается на заражаемой машине, после чего машина находится в полном распоряжении злоумышленника. Клиент - это программа для получения доступа к зараженной машине, именно через него передаются команды на сервер и получаются подтверждения об их выполнении.

Примечание редактора. Далеко не все "трояны" предоставляют возможность удаленного управления вашим компьютером. Многие занимаются тем, что "в автоматическом режиме" разыскивают личную информацию (например, пароли или номера кредитных карточек) у вас на компьютере и отправляют ее своему хозяину через Интернет.

Некоторые пользователи даже и не подозревают, что на их машине находится троянец. В отличие от обычного вируса, который может запустить заставку в виде: “Поздравляю, Вы выиграли конкурс ЛАМЕР 99” или просто-напросто отформатировать ваш винчестер, “троян” никак себя не проявляет. После запуска программы, возможно, появится надпись, что программа выполнила недопустимую операцию и будет закрыта или что для запуска не хватает какой-нибудь библиотеки dll. После чего разочарованный пользователь сочтет, что программа непригодна и попросту забудет про нее, в лучшем случае удалит файл. Но “троян” уже сделал свое грязное дело. После запуска он создает файл, какой-нибудь WinTroy.dll, и прописывается в реестре Windows на автозапуск, а после получения команды может производить различные действия, от выдвижения подставки CD-ROM, до копирования, удаления и запуска файлов на зараженной машине. В двух словах, зараженная машина становится такой же доступной, как и машина в локальной сети, даже с еще большими функциями.

Откуда же появляются “трояны”? Да очень просто. По аське, по электронной почте (обычно это бесплатное мыло, наподобие hotmai.com или mail.ru). Возможно, к ним идет приписка, что это навороченный ускоритель траффика или какой нибудь ICQ port scanner. А возможно, и фотография какой нибудь топ-модели в экзешном виде. Не перевелись еще у нас доверчивые люди... После того, как “троян” поселяется на компьютере, все остальное уже становится делом времени, практически во всех “троянах” существует функция монитора клавиатуры. Таким образом вытаскивается вся нужная информация.

Выявить работающего “трояна” очень проблематично, так как обычно он находится в состоянии покоя и никак себя не проявляет. Активизируется же он при запросе с клиентской части программы, да и то выявить это простому пользователю вряд ли удастся, так как отличить, на каком порту сидит троян, а на каком - Quake, тоже надо уметь. ВО по умолчанию "работает" через 31337 порт. Хотя уже появились программы, которые сканируют порты компьютера на наличие троянов, так что хоть в этом небольшое облегчение. Например, Jammer. Это программа для защиты от двух наиболее распространенных “троянцев” Back Orifice и NetBus’а, а также их модификаций. Она анализирует все входящие и исходящие пакеты. Причем Jammer не только обнаруживает факт присутствия “троянца”, но и может найти его. Конечно, современные антивирусы отлавливают распространенных “троянских коней”, но такая защита однобока: во-первых, эти программы не всегда обнаруживаются антивирусами (исходные тексты ВО и NetBus'а свободно лежат в Сети, поэтому создано много их модификаций), а во-вторых, антивирусы не отвечают на главные вопросы - “Кто поставил?”, “Откуда шли попытки взлома?”. А вот анализ пакетов гарантированно обнаружит эту пакость и определит IP-адрес взломщика.

Но вот, допустим, вы на 200% знаете, что на вашей машине стоит “троян”, что же теперь делать? Простое удаление присланного файла ничего не даст, вы убьете только запускающую программу,- как уже говорилось, троян создает файл и прописывается в реестре. Поэтому желательно вызвать специалиста, либо же, зная название “трояна”, самостоятельно выискивать по нему информацию. Например, ВО создает файл Windll.dll и прописывается в реестре по адресу HKEY_LOCAL_MACHINE\SOFTWARE\Micro-soft\Windows\CurrentVersion\RunServices. Если уж ничего не помогает, то самый радикальный способ - это переинсталляция системы, и не поверхностная, а полная.

Другой способ - заполучить логин и пароль пользователя, рассчитан на самых доверчивых и неопытных пользователей Сети. Иногда злоумышленники рассылают письма пользователям, от имени технических служб провайдера. В письмах содержится просьба или требование прислать на указываемый в письме адрес свой логин и пароль. Делается это под разными предлогами - под видом перерегистрации, для сверки данных или якобы рухнула система и срочно!!! требуются данные пользователя.

Запомните, ни один провайдер никогда не станет рассылать по адресам своих пользователей писем подобного содержания! Вам стоит научиться защищаться от атак недоброжелателей. Для начала установите у себя антивирусную программу, которая, в том числе, умеет проверять запускаемые Вами файлы на предмет наличия в них вирусов и троянских программ. Это умеет, например, Antiviral Toolkit Pro. Также можно воспользоваться программой Dr. Web. Возьмите за правило проверять полученную почту антивирусом, особенно подозрительно относитесь к файлам с расширением ехе, хотя уже сейчас “трояны” поселяются и в wav. Антивирусные программы, конечно, не могут обеспечить полную защищенность вашего компьютера, но наверняка помогут избавиться от некоторой части возникающих проблем.

Стоит также упомянуть о том, что имеет смысл удалить неиспользуемые сетевые протоколы. Если ваш компьютер используется только для доступа в Интернет с помощью модема и вы не подключены ни к какой локальной сети, то имеет смысл оставить в разделе 'Панель управления/Сеть' только протокол TCP/IP, удалив все остальные протоколы. Должны остаться только 'Адаптер удаленного доступа' и 'TCP/IP'. Также стоит отключить совместное использование дисков и принтеров на Вашем компьютере, убрав соответствующие галочки в разделе 'Доступ к файлам и принтерам'.

Не сохраняйте пароль на своем жестком диске, не ленитесь вводить его каждый раз по новой при соединении с сетью. Потеряв пару секунд, вы можете быть уверены, что значительно уменьшите риск кражи вашего пароля.

Пишите нам: info@gazeta.ru
Copyright © Gazeta.Ru
RRU_Network
При перепечатке и цитировании ссылка на источник с указанием автора обязательна. Перепечатка без ссылки и упоминания имени автора является нарушением российского и международного законодательства, а также большим свинством.