взломанных порталах солидных организаций). Часть из них просто предлагает загрузить инфицированный контент (доустановить модуль, скачать вьюер и т. п.). Другие действуют скрыто через уязвимости браузера и ActiveX-компоненты.
Наверняка история создания знаменитого Back Orifice была бы неполной без упоминания ее создателей - известнейшей хакерской группы Cult of the Dead Cow(cDc). Основанная в середине 80-х, команда прошла огонь, воду и медные трубы и до сих пор здравствует и процветает.
1 августа 1998 г. на конференции Defcon один из членов группы Sir Dystic представил Back Orifice широкой публике. Как заявил автор, его детище лишь подтверждает, насколько может быть уязвима MS Windows.
Back Orifice работал (и работает) по принципу клиент/сервер и позволяет удаленно администрировать ПК, на котором предварительно установлена серверная часть. Графический, интуитивно понятный интерфейс программы и ее внушительные возможности произвели настоящий фурор, после чего в известных кругах установка BO на чужой ПК превратилась во что-то вроде увлекательного соревнования.
С выходом в свет версии Back Orifice 2000, которая помимо Win95 и Win98 поддерживала Windows NT и имела открытый код, популярность «народного любимца» достигла апогея.
Распространяется BO как пакет, включающий в себя серверную часть (BOSERVE.EXE или bo2k.exe, возможны варианты), клиентскую часть (bo2kgui.exe) и файл конфигурации сервера (bo2kcfg.exe). В дополнение к трем перечисленным компонентам пакет может содержать плагины и документацию. Несмотря на заблуждение, что «настоящие хакеры пишут только на assembler-е», все три компоненты написаны на языке С++, имеют формат Portable Executable и могут выполнятся только в среде Windows.
При запуске серверной части происходит инициализация сокетов Windows (если очень упрощенно, сокет представляет собой серверный софт, работающий с каким-либо портом). Другими словами, сервер BO настраивает под себя нужные порты, в результате чего открытыми оказываются порт 31337 (кстати, цифра 31337 известна не только благодаря тому, что этот порт является дефолтовым портом BO. 31337 в околохацкерских кругах означает ни много ни мало - «элита», тройка напоминает E, единица - прописную L, а семерка - T «без палочки», то есть «eleet» [эли:т]), который затем используется для управления зараженным компьютером. ОБ
Если считать «брутто», учитывая как любой зловредный код с частичными признаками троянцев, так и все модификации, то на сегодня их число приблизится к 70 тысячам. И это не предел, в кузницах хакерских групп вроде cDc наверняка готовятся очередные «завоеватели мира». Меж тем известность получилают единицы. И ввиду ограниченности журнальной площади я привел лишь несколько примеров в качестве пояснения. Заинтересовавшихся же отсылаю на страницу www.viruslist.com, где описано множество самых разных и причудливых троянских коней.
Но при всем разнообразии их способов проникновения, есть ряд общих мер по предотвращению заражения, инструментов для лечения и рекомендаций по ручному удалению (доочистке) инфицированного компьютера. Об этом читайте в следующей статье.
Beast (англ. зверь, скот, грубиян) - троянский конь с функцией удаленного администрирования, работающий под всеми ОС семейства Windows и предоставляющий полный контроль над ними. Был написан в 2002 году вирмэйкером Tataye и стал одним из первых бэкдоров, использовавших механизм обратного соединения в классической системе клиент-сервер. В ней клиентом является собственно управляющая часть, а сервером - инфицирующий компонент. Его уникальность, в частности, в том, что атакующему не требовалось выяснять IP своей жертвы. Серверная часть сама устанавливала связь с определенным DNS, который сообщал трояну текущий IP-адрес клиентской «панели управления». Идеальное средство для управления ПК, использующего дайлап-соединение (и, соответственно, меняющего IP как перчатки).
Отдельно следует упомянуть о Win32.Peerat. В отличие от классических троянцев-загрузчиков, он не просто скачивает вредоносную программу из Интернета, но и пытается выложить ее в файлообменную сеть, если к таковой подключена инфицированная машина.
ТЕМА НОМЕРА: Осадное положение
Если бы участие человека в войнах можно было бы исключить, идеалы хиппи были бы воплощены в жизнь еще много столетий назад. Однако, несмотря на все ухищрения технического прогресса, победу в войне за свою независимость может одержать только сам человек. Разумеется, не без технических средств.
Одержимому паранойей/здравым смыслом пользователю компьютера давно предлагается масса всякого антивирусного вооружения - от тяжелого, сравнимого по размеру с операционной системой, до микроскопического, предназначенного для прицельного отстрела «вторженцев». Имеющееся на военных складах антивирусное ПО можно условно разбить на три класса:
1. Антивирусные (AV) сканеры в последние годы существенно расширили спектр действия, включив в него и троянов. Они являются хорошим подспорьем к основным инструментам борьбы с троянскими конями. С помощью антивирусов можно выявлять эти зловредные программы по совпадению проверяемых файлов с сигнатурами AV-баз. Прошу обратить внимание: большинство троянов, существующих в виде отдельных файлов, не определяются средствами эвристики, так как их действия не отличаются от таковых у легитимных программ: чтения с диска и записи на него, обращения к реестру, передачи данных по сети… такое поведение типично для любого софта и ни в коей мере не является специфичным для троянов. Поэтому если в базе антивируса нет подходящей сигнатуры, он будет рапортовать о чистоте системы, даже наткнувшись на авгиевы конюшни.
2. У антивирусных мониторов, осуществляющих постоянную проверку исполняемого в данный момент кода, шансов отловить троян и того меньше. Они не могут (да и не должны) вести проверку столь же тщательно, как AV-сканеры. Кроме того, антивирусный монитор (если он запускается как приложение, а не служба) трояну легко обмануть, попросту скрыв свое присутствие.
3. Специализированное ПО для поиска троянов действует схожим с AV-сканерами образом; однако оно также проверяет записи реестра (в первую очередь - все секции автозапуска), файлы настроек (boot.ini, win.ini etc.) и может быть способно определить открытые/прослушиваемые порты, что резко повышает эффективность проверки.
Мудрый пользователь имеет в своем арсенале все три вида, но вот запускать их одновременно не стоит ни в коем случае (см. врезку «много хорошо - тоже плохо»).
Полное удаление найденных троянов с помощью любой из этих утилит не всегда возможно. Логика работы WinXP такова, что не допускает удаления файлов, если к ним обращается какой-то активный процесс. А завершить процесс трояна (особенно уровня ядра ОС) в автоматическом режиме не всегда просто… да и опасно в плане сохранности данных.
