|
'Удаленное управление' компьютером в сетях Internet/intranet
АНДРЕЙ ВИНОКУРОВ
andvin@bigfoot.com
Как завести дома коня
Рекомендации не запускать программы, пришедшие к вам по почте от
неизвестных отправителей под видом полезных утилит, обновлений и т. п.,
стали уже общим местом. К сожалению, выполнения этих рекомендаций
совершенно недостаточно для сохранения ваших паролей, конфиденциальной
информации, да и просто целостности данных на вашем жестком диске. Не
будет преувеличением утверждать, что с момента представления широкой
публике самого известного троянского коня Back Orifice и хлынувшего за
этим в Internet потока подобных программ, ваши шансы заполучить в свою
систему подобного "помощника" очень велики. Например, в последние месяцы
значительный процент скачиваемых из Internet мелких утилит и
программок-забав (toy) содержал в себе того или иного троянца. Не лучше
ситуация и с содержимым пиратских дисков.
Часть троянских программ ограничивается тем, что отправляет ваши пароли по
почте своему создателю или человеку, который сконфигурировал эту
программу. Но для лучших из них пароли - это мелочь: Back Orifice,
несмотря на аскетичный интерфейс, позволяет постороннему человеку по
локальной сети или Internet получить полный контроль над вашим
компьютером. Полный доступ к вашим дискам (включая возможность их
форматировать!), наблюдение за содержимым экрана в реальном времени,
запись с подключенного к системе микрофона или видеокамеры - вот далеко не
полный перечень возможностей подобных программ. Малоизвестный троянец
Master of Paradise по удобству и скорости работы на медленном соединении c
успехом может поспорить с такими лучшими представителями средств
удаленного управления, как VNC (www.orl.co.uk/vnc).
Любой классический троянец состоит из двух частей: сервера и клиента.
Сервер - это собственно исполняемый файл, который, попав в ваш компьютер,
загружается в память одновременно с запуском Windows и выполняет
получаемые от удаленного клиента команды. Возможны различные пути его
проникновения в вашу систему: чаще всего это происходит при запуске
какой-либо полезной программы, в которую внедрен сервер. В момент первого
запуска сервер копирует себя в какое-нибудь потаенное местечко (особой
любовью у авторов троянцев пользуется директория c:\windows\system),
прописывает себя на запуск в системном реестре, и даже если вы никогда
больше не запустите программу-носитель, ваша система уже поражена.
Возможно также внедрение сервиса просто при открытии Web-страницы, если
уровень безопасности, установленный в вашем браузере, позволяет
проделывать с вами такие трюки.
Существует также очень развитый инструментарий для внедрения сервисов
троянцев в исполняемые файлы, и вполне возможно, что кто-то уже
"усовершенствовал" ваш internat.exe (программа-индикатор языка клавиатуры,
которая загружается при запуске Windows, и любой код, внедренный в этот
exe-файл, также будет делать свое черное дело, пока включен ваш
компьютер).
Как бороться
"Обнаружить работу такой программы (троянца) на своем компьютере
достаточно сложно. Как правило, требуется полностью удалить Windows 95/98
и установить заново на чистый диск", - так пишет на своей страничке служба
поддержки одного из крупнейших московских провайдеров. Спасибо, что не
рекомендуют отформатировать все жесткие диски на низком уровне. На самом
деле, троянский конь в вашей системе - не такая уж неизлечимая болезнь. Я
хотел бы вкратце коснуться менее радикальных методов противодействия
троянским атакам.
А - Антивирусы. Почти все производители антивирусного ПО после
выхода Back Orifice спохватились и стали включать в свои программы
средства борьбы с троянцами. От случайного залетного троянца применение
антивирусов вас может спасти, но в целом этот метод нельзя признать
абсолютно надежным. Во-первых, новые программы-троянцы (и новые версии
старых добрых троянцев) выходят с не меньшей регулярностью, чем обновления
антивирусных баз. Существует даже троянский конь с нецензурным названием,
написанный в России, автор которого регулярно отслеживает обновления AVP и
в течение суток (!) выпускает новую версию; вот такое соревнование брони и
снаряда. Во-вторых, как показывает опыт, если сервис троянца внедрен в
исполняемый файл, антивирусы во многих случаях не могут его
детектировать.
Б - Специальные программы для обнаружения троянских программ
(антигены). По сути, это антивирусное ПО, специализирующееся только на
выявлении и уничтожении троянских коней (и действующее при этом зачастую
весьма примитивно).
В - Следите за портами. Первый признак того, что у вас в системе
завелась какая-то дрянь, - лишние открытые порты. На мой взгляд,
персональные брандмауэры (типа описанного С. Голубицким AtGuard в "КТ" #292)
дают защиту настолько близкую к абсолютной, насколько это вообще возможно,
однако, вероятно, вам покажется утомительным каждые 15 секунд отвечать на
вопросы по поводу того, принимать ли данный пакет в данный порт или нет.
Для контроля открытых портов можно воспользоваться обычными порт-сканерами
(в этом случае вы будете выступать в роли хакера, "прощупывающего"
собственную систему) или программами типа NetMonitor (www.leechsoftware.com), которые показывают открытые в
настоящий момент порты и сигнализируют об открытии новых портов и
подключении к ним посторонних личностей.
Г - Контролируйте ваши задачи. Следите за тем, какие задачи и
сервисы запускаются в вашей системе. 99 процентов троянских коней
прописываются на запуск в системном реестре в следующих ключах:
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\RunServices
- чаще всего;
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run;
HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run;
в файле WIN.INI раздел [windows] параметры "load=" и "run=".
Советую также иногда заглядывать в раздел
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Network\LanMan
и проверять, не открыт ли некими "доброжелателями" полный доступ к вашему
диску С: как "скрытому ресурсу" (открытый для доступа ресурс, не видимый
обычными средствами).
Даже если вы не нашли в этих разделах ничего лишнего, это не значит, что в
настоящий момент у вас ничего такого не запущено. Ни для кого не секрет,
что список задач, вызываемый нажатием Ctrl+Alt+Del, далеко не полон. Для
контроля над запущенными задачами я предпочитаю пользоваться программой
CCtask (www.cybercreek.com). Она показывает полный список
запущенных задач, включая используемые DLL, и позволяет ими гибко
управлять.
В заключение хотелось бы заметить, что широкое распространение троянских
коней дало в руки людей, не обладающих высокой квалификацией в хакерстве
или программировании, весьма эффективный и гибкий инструмент для получения
конфиденциальной информации и просто деструктивной деятельности по
отношению к пользователям локальных сетей и Internet. Некоторым для
предохранения от этой напасти будет достаточно применения антивирусных
программ и программ-антигенов, но если у вас есть основания полагать, что
вы стали объектом целенаправленной троянской атаки, вам следует очень
серьезно отнестись к вышеописанным аспектам безопасности вашей системы и
применять все эти меры в комплексе. Или отформатировать все ваши жесткие
диски... до следующего раза.
Computerra
 |
|