для установки на «слабые» машины, где «притормаживание» системы может оказаться крайне нежелательным. Как и «Антивирус Касперского», NOD32 имеет качественный движок и проработанную систему эвристики, что позволяет рекомендовать его как альтернативное решение при выборе лучшего антивируса.
4.3. Защищаем свой компьютер от троянских коней
По греческому преданию, ахейцы, когда отступали, оставили в «подарок» Трое огромного деревянного коня. Троянцы как дар ввезли его в город Трою. Ночью спрятавшиеся в коне ахейцы поубивали часовых и открыли ворота в город, чтобы впустить основные войска. С тех пор выражение «троянский конь» стало нарицательным – дар врагу, чтобы погубить его. В рамках данного раздела мы поговорим с вами о троянских конях. Что это такое, какими они бывают, как можно подхватить эту заразу и как уберечься от нее. И наконец, самое главное – что делать, если вы все-таки стали жертвой троянского коня.
Сразу следует сделать маленькое, но существенное уточнение. Троянский конь – это не то же, что вирус. В отличие от вирусов, которые в основном 'убивают' операционную систему и форматируют диски, троянские кони по своей сути существа весьма мирные. Сидят себе спокойно и делают свое черное дело.
Основная область компетенции этой части вредоносного ПО – воровство конфиденциальной информации, паролей с последующей передачей всего этого добра хозяину. В классическом варианте троянский конь состоит из клиента и сервера. Серверная часть инсталлируется на машине у жертвы, клиентская – у хозяина, то есть у того, кто создал троянского коня или просто модифицировал его, заставив работать на себя (такое тоже бывает и даже чаще, чем написание троянского коня с нуля). Связь клиента и сервера осуществляется через какой-либо открытый порт. Протокол передачи данных обычно TCP/IP, но известны троянские кони, которые используют и другие протоколы связи, такие как ICMP и даже UDP.
Человек, который занимается написанием троянских коней, умело маскирует их. Один из вариантов – замаскировать троянского коня под какую-либо полезную программу. После ее запуска сначала происходит выполнение его кода, который затем передает управление основной программе. Троянский конь также может быть просто, но эффективно замаскирован под файл с любым дружественным расширением, например GIF.
Приведем некоторые примеры троянских коней.
¦ Ворующие пароли:
• Trojan-PSW.Win32.QQPass.du – китайский троянский конь, ворующий Windows-пароли;
• Bandra.BOK – скачивается на компьютер жертвы при посещении определенного сайта, пытается украсть пароли от определенных банковских сайтов;
• Bancos.LU – сохраняет пароли во временных файлах, а затем пытается отослать их хозяину;
• Banker.XP – собирает конфиденциальные данные, пароли, счета и т. д., отправляя их на определенный адрес.
¦ Утилиты удаленного администрирования– backdoor ('потайная дверь'):
• Backdoor.Win32.Whisper.a – троянский конь со встроенной функцией удаленного управления компьютером;
• Back Orifice – позволяет постороннему контролировать ваш ПК как свой собственный (более подробно об этой программе см. далее).
¦ Программы-дозвонщики отличаются тем, что могут нанести жертве значительный финансовый урон, устанавливая соединение с зарубежным интернет-провайдером: таким образом, с телефонного номера абонента происходит установление 'незаказанного' международного соединения, например с островами Кука, Сьерра-Леоне, Диего-Гарсиа или другим диковинным регионом в зависимости от чувства юмора создавшего программу:
• Trojan-PSW.Win32.DUT;
• Trojan-PSW.Win32.Delf.gj;
• PSWTool.Win32.DialUpPaper.
¦ Троянские кони типа клавиатурных шпионов способны отслеживать нажатия клавиш клавиатуры и отсылать эту информацию злонамеренному пользователю; это может осуществляться по почте или отправкой прямо на сервер, расположенный где-либо в Сети:
• Backdoor.Win32.Assasin.2 ;
• Backdoor.Win32.BadBoy;
• Backdoor.Win32.Bancodor.d.
¦ Загрузчики – представляют собой троянского коня, загружающего из Интернета файлы без ведома пользователя; загружаемое может быть как HTML-стра-ницами нецензурного содержания, так и просто вредоносным ПО:
• Trojan-Downloader.Win32.Agent.fk – представляет собой Windows PE EXE-файл. Размер зараженных файлов существенно варьируется;
• Trojan-Downloader.Win32.Small.bxp – троянский конь первоначально был разослан при помощи спам- рассылки. Представляет собой Windows PE EXE-файл. Имеет размер около 5 Кбайт. Упакован FSG. Размер распакованного файла около 33 Кбайт.
¦ Дропперы (Dropper) – троянские кони, созданные для скрытной установки в систему других троянских коней (пример – Trojan-Dropper.Win32.Agent.vw).
¦ Proxy-серверы – троянский конь устанавливает в вашу систему один из нескольких прокси-серверов (socks, HTTP), а затем кто угодно, заплатив хозяину троянского коня, либо сам его создатель совершает интернет-серфинг через этот прокси, не боясь, что его IP-адрес вычислят, так как это уже не его IP, а ваш!
¦ Деструктивные троянские кони – помимо своих непосредственных функций сбора и отсылки конфиденциальной информации, могут форматировать диски и убивать операционные системы.
Как подхватить 'заразу'? Вы можете поймать вирус одним из следующих способов.
¦ Скачивая файлы из сомнительных источников.
¦ С помощью электронной почты – самый распространенный способ заражения. Несмотря на многочисленные предупреждения, прогрессирует благодаря методам социальной инженерии. Прикрепленный файл, даже если он выглядит как картинка, может быть удачно замаскированным троянским конем.
¦ Через дискету, CD, флэш-диск либо другой сменный носитель – довольно распространенный способ заражения.
¦ Просто выйдя в Интернет без установки последних обновлений Windows.
Эти пути проникновения неновы, однако именно они наиболее часто используются злоумышленниками.
Изобретательность вирусописателей не знает границ. Живой пример – Trojan horse.Bat.Format C, который сидел… в программном коде Trojan Remover (пакет для удаления троянских коней). Разобраться в таких случаях бывает нелегко. Правильность заключения можно проверить, лишь дизассемблировав такую программу.
Довольно оригинальный способ заражения – через autorun при попытке прочитать содержимое CD или флэшки. Как вы уже догадались, autorun.exe в данном случае выступает в довольно оригинальной роли. Лучшим способом защиты может стать отключение автозапуска на всех сменных носителях.
А теперь горячий пример, который, как я надеюсь, поможет вам лучше разобраться в сути троянизации, заглянув 'по ту сторону баррикад'.
Наш герой – Back Orifice. Без преувеличения будет сказано, с азартным трепетом и чувством глубокого уважения к создателям рассмотрим «анатомию» самой известной и нашумевшей в свое время утилиты удаленного администрирования – Back Orifice (BO).
С чего же все началось? Наверняка история создания знаменитого BO была бы неполной без упоминания ее создателей – известнейшей хакерской группы 'Cult of the Dead Cow' (cDc). Основанная в середине 1980-х, команда с достоинством прошла огонь, воду и медные трубы и до сих пор процветает и здравствует.
В 1993 году участник группы – Drunkfix – создал официальный сайт в Сети, после чего известность хак- группы начала распространятся не только через BBS. Большую заслугу в обретении широкой известности cDc внес один из участников группы – Ratte, который играл роль вроде пресс-атташе.
