АНДРЕЙ ВИНОКУРОВ
andvin@bigfoot.com 

Как завести дома коня

Рекомендации не запускать программы, пришедшие к вам по почте от неизвестных отправителей под видом полезных утилит, обновлений и т. п., стали уже общим местом. К сожалению, выполнения этих рекомендаций совершенно недостаточно для сохранения ваших паролей, конфиденциальной информации, да и просто целостности данных на вашем жестком диске. Не будет преувеличением утверждать, что с момента представления широкой публике самого известного троянского коня Back Orifice и хлынувшего за этим в Internet потока подобных программ, ваши шансы заполучить в свою систему подобного "помощника" очень велики. Например, в последние месяцы значительный процент скачиваемых из Internet мелких утилит и программок-забав (toy) содержал в себе того или иного троянца. Не лучше ситуация и с содержимым пиратских дисков.

Часть троянских программ ограничивается тем, что отправляет ваши пароли по почте своему создателю или человеку, который сконфигурировал эту программу. Но для лучших из них пароли - это мелочь: Back Orifice, несмотря на аскетичный интерфейс, позволяет постороннему человеку по локальной сети или Internet получить полный контроль над вашим компьютером. Полный доступ к вашим дискам (включая возможность их форматировать!), наблюдение за содержимым экрана в реальном времени, запись с подключенного к системе микрофона или видеокамеры - вот далеко не полный перечень возможностей подобных программ. Малоизвестный троянец Master of Paradise по удобству и скорости работы на медленном соединении c успехом может поспорить с такими лучшими представителями средств удаленного управления, как VNC (www.orl.co.uk/vnc).

Любой классический троянец состоит из двух частей: сервера и клиента. Сервер - это собственно исполняемый файл, который, попав в ваш компьютер, загружается в память одновременно с запуском Windows и выполняет получаемые от удаленного клиента команды. Возможны различные пути его проникновения в вашу систему: чаще всего это происходит при запуске какой-либо полезной программы, в которую внедрен сервер. В момент первого запуска сервер копирует себя в какое-нибудь потаенное местечко (особой любовью у авторов троянцев пользуется директория c:windowssystem), прописывает себя на запуск в системном реестре, и даже если вы никогда больше не запустите программу-носитель, ваша система уже поражена. Возможно также внедрение сервиса просто при открытии Web-страницы, если уровень безопасности, установленный в вашем браузере, позволяет проделывать с вами такие трюки.

Существует также очень развитый инструментарий для внедрения сервисов троянцев в исполняемые файлы, и вполне возможно, что кто-то уже "усовершенствовал" ваш internat.exe (программа-индикатор языка клавиатуры, которая загружается при запуске Windows, и любой код, внедренный в этот exe-файл, также будет делать свое черное дело, пока включен ваш компьютер).

Как бороться

"Обнаружить работу такой программы (троянца) на своем компьютере достаточно сложно. Как правило, требуется полностью удалить Windows 95/98 и установить заново на чистый диск", - так пишет на своей страничке служба поддержки одного из крупнейших московских провайдеров. Спасибо, что не рекомендуют отформатировать все жесткие диски на низком уровне. На самом деле, троянский конь в вашей системе - не такая уж неизлечимая болезнь. Я хотел бы вкратце коснуться менее радикальных методов противодействия троянским атакам.

А - Антивирусы. Почти все производители антивирусного ПО после выхода Back Orifice спохватились и стали включать в свои программы средства борьбы с троянцами. От случайного залетного троянца применение антивирусов вас может спасти, но в целом этот метод нельзя признать абсолютно надежным. Во-первых, новые программы-троянцы (и новые версии старых добрых троянцев) выходят с не меньшей регулярностью, чем обновления антивирусных баз. Существует даже троянский конь с нецензурным названием, написанный в России, автор которого регулярно отслеживает обновления AVP и в течение суток (!) выпускает новую версию; вот такое соревнование брони и снаряда. Во-вторых, как показывает опыт, если сервис троянца внедрен в исполняемый файл, антивирусы во многих случаях не могут его детектировать.

Б - Специальные программы для обнаружения троянских программ (антигены). По сути, это антивирусное ПО, специализирующееся только на выявлении и уничтожении троянских коней (и действующее при этом зачастую весьма примитивно).

В - Следите за портами. Первый признак того, что у вас в системе завелась какая-то дрянь, - лишние открытые порты. На мой взгляд, персональные брандмауэры (типа описанного С. Голубицким AtGuard в "КТ" #292) дают защиту настолько близкую к абсолютной, насколько это вообще возможно, однако, вероятно, вам покажется утомительным каждые 15 секунд отвечать на вопросы по поводу того, принимать ли данный пакет в данный порт или нет. Для контроля открытых портов можно воспользоваться обычными порт-сканерами (в этом случае вы будете выступать в роли хакера, "прощупывающего" собственную систему) или программами типа NetMonitor (www.leechsoftware.com), которые показывают открытые в настоящий момент порты и сигнализируют об открытии новых портов и подключении к ним посторонних личностей.

Г - Контролируйте ваши задачи. Следите за тем, какие задачи и сервисы запускаются в вашей системе. 99 процентов троянских коней прописываются на запуск в системном реестре в следующих ключах:

HKEY_LOCAL_MACHINESoftwareMicrosoft
WindowsCurrentVersionRunServices - чаще всего;

HKEY_LOCAL_MACHINESoftwareMicrosoft
WindowsCurrentVersionRun;

HKEY_CURRENT_USERSOFTWAREMicrosoft
WindowsCurrentVersionRun;

в файле WIN.INI раздел [windows] параметры "load=" и "run=".

Советую также иногда заглядывать в раздел HKEY_LOCAL_MACHINESoftwareMicrosoft
WindowsCurrentVersionNetworkLanMan и проверять, не открыт ли некими "доброжелателями" полный доступ к вашему диску С: как "скрытому ресурсу" (открытый для доступа ресурс, не видимый обычными средствами).

Даже если вы не нашли в этих разделах ничего лишнего, это не значит, что в настоящий момент у вас ничего такого не запущено. Ни для кого не секрет, что список задач, вызываемый нажатием Ctrl+Alt+Del, далеко не полон. Для контроля над запущенными задачами я предпочитаю пользоваться программой CCtask (www.cybercreek.com). Она показывает полный список запущенных задач, включая используемые DLL, и позволяет ими гибко управлять.

В заключение хотелось бы заметить, что широкое распространение троянских коней дало в руки людей, не обладающих высокой квалификацией в хакерстве или программировании, весьма эффективный и гибкий инструмент для получения конфиденциальной информации и просто деструктивной деятельности по отношению к пользователям локальных сетей и Internet. Некоторым для предохранения от этой напасти будет достаточно применения антивирусных программ и программ-антигенов, но если у вас есть основания полагать, что вы стали объектом целенаправленной троянской атаки, вам следует очень серьезно отнестись к вышеописанным аспектам безопасности вашей системы и применять все эти меры в комплексе. Или отформатировать все ваши жесткие диски... до следующего раза.

Computerra