Трояни - правила самооборони

1. Трішки історії
2. Правила безпеки
3. визначаємо трояна
4. обчислюємо кривдника

Наша взаимовыгодная связь https://banwar.org/

Ви користуєтеся Інтернетом? На вашому комп'ютері зберігається важлива інформація, особисті відомості? Ви не хочете втратити вміст свого жорсткого диска або оплачувати чужі рахунки за Інтернет? У цій статті я розповім вам про один з найбільш важливих умов, що забезпечують безпеку ваших даних - про те, як визначити наявність на вашому комп'ютері троянів, і про те, як з ними треба боротися. Якщо ви ще жодного разу не чули про існування троянів і не уявляєте, чим вони небезпечні, попередньо прочитайте врізку.

Трішки історії

Про троянця вперше серйозно заговорили після появи програми Back Orifice, створеної хакерської групою Cult of the Dead Cow в 1998 році. Можливість повністю управляти будь-яким комп'ютером, підключеним до Мережі, попередньо запустивши на ньому потрібну програму, дуже сильно схвилювала людей. Розробники програми запевняли, що це всього лише звичайний засіб віддаленого адміністрування, але численні зломи, вчинені за допомогою Orifice'а, переконували у зворотному. Тільки хотілося б відзначити, що в порівнянні зі своїми численними клонами, що виходять з тих пір із завидною постійністю, Back Orifice виглядає мало не нешкідливим тетрісом. Справа в тому, що для використання цього трояна зловмисник повинен був володіти непоганими знаннями в роботі мереж і комп'ютерів взагалі, що сильно обмежувало коло його користувачів. Крім того, перша версія проги взагалі не мала графічного інтерфейсу, що здорово розполохувати початківців хакерів. Однак час ішов, з'являлися все нові і нові програми, можливості їх удосконалювалися, алгоритми роботи поліпшувалися. Тепер вкрасти необхідні паролі або отримати доступ до комп'ютера зайве довірливого людини зможе навіть малолітня дитина.

Один з перших троянів - оцініть можливості управління комп'ютером жертви.

короткий лікнеп

Що таке троян? Троянців можна умовно віднести до категорії вірусів, від яких вони, втім, мають чимало відмінностей. На відміну від більшості вірусів, троян сам по собі не здатний на деструктивні дії, він не буде неконтрольовано розмножуватися на вашому вінчестері і робити інші гидоти, - але тільки до тих пір, поки за справу не візьметься його "господар". Більшість троянів складається з двох частин: клієнтської і серверної. Клієнтська частина використовується тільки для конфігурації трояна і для доступу до комп'ютера жертви, а серверна - це та, яка поширюється потенційним жертвам. Запустивши у себе на комп'ютері серверну частину трояна, ви активуєте його, і з цього моменту він починає свою діяльність. Тому в подальшому під словом "троян" буде матися на увазі саме серверна його частина. Взагалі, трояни можна розділити на три основні категорії, відповідно до їх основними функціями:

BackDoor (задні двері, задні двері) - ці трояни надають своєму господареві повний доступ до комп'ютера жертви. Вони працюють за таким принципом: ви запускаєте файл, який містить троян, він прописується в автозавантаження і кожні 10-15 хвилин перевіряє наявність з'єднання з Інтернетом. Якщо з'єднання встановлено, троян відсилає своєму господареві сигнал готовності і починає працювати за принципом додатки віддаленого доступу. З цього моменту зловмисник може здійснити будь-які дії з вашим комп'ютером, аж до форматування диска.

MailSender (отруйник пошти) - будучи одного разу запущений, такий троян прописується в системі і тихенько збирає відомості про всі паролі, які використовуються вами. Найбільш просунуті MailSender'и здатні навіть перехоплювати будь-які вікна введення пароля і зберігати всі введене там. Через певні проміжки часу вся зібрана інформація відправляється по електронній пошті зловмисникові. Такий вид троянів є, на мою думку, найбільш небезпечним, так як ви навіть можете і не дізнатися про те, що хтось користується вашим логіном для входу в Інтернет або відправляє від вашого імені повідомлення поштою і асьці. До того ж, більш-менш просунуті хакери все свої протизаконні дії вчиняють тільки під чужим ім'ям, так що в найбільш важкому випадку у вас можуть початися серйозні неприємності ...

LogWriter (укладач протоколу) - такі трояни ведуть запис в файл все, що вводиться з клавіатури. Пізніше вся ця інформація може бути відправлена ​​поштою або переглянута по ftp-протоколу.

Крім того, найбільш небезпечні трояни поєднують в собі функції відразу декількох видів, що дозволяє хакеру отримати дійсно повний контроль над віддаленою машиною.

Правила безпеки

Як на комп'ютер можуть потрапити трояни? Як це не прикро, але в більшості випадків злощасний файл запускає сам користувач. Тому головними засобами в боротьбі з троянами є зовсім навіть не антивіруси і фаєрволи, а звичайнісінька обережність. Подумайте самі, звідки у вас на комп'ютері можуть взятися заражені файли? Як показує практика, більшість троянців приходить до користувачів по електронній пошті або ж скачується ними з веб-сайтів, bbs'ок і з інших файлових архівів. Почнемо з найбільш ймовірного випадку - з листа з вкладеним файлом.

Ось такий лист я недавно отримав. "Фотки" виявилися заражені вірусом, та ще й містили трояна ...

У більшості випадків такий лист відразу виділяється серед інших. Але щоб бути повністю впевненим, зверніть увагу на такі ознаки:

1. Лист отримано від незнайомого вам людини, не має зворотної адреси або ж прийшло нібито від великої компанії (наприклад, Microsoft), до якої ви не маєте ніякого відношення. Дуже часто трапляються листи, підписані вашим провайдером, але (увага!) Надіслані з халявного адреси на зразок [email protected].

2. Лист адресовано парі десятків людей відразу, причому жодного з них ви не знаєте.

3. У листі міститься текст типу: "Привіт, YYY! Пам'ятаєш, ти просив мене вислати тобі круті прогу XXXXXX? Вибач, що так довго - раніше були проблеми з сервером. З повагою, В. Пупкін ". Природно, що ніякого Пупкіна ви не знаєте і ніяких файлів у нього не просили.

4. У файлі, надісланому з листом, міститься нібито одну з таких дій: крута порнуха, зломщик Інтернету, емулятор Direct3D для старих відеокарт, генератор номерів кредитних карт і тому подібні "корисності". Причому подібні файли зазвичай мають дуже маленький розмір (десяток-другий кілобайт).

5. До листа додано файл з розширенням * .exe, який, за словами відправника, є фотографією або відеокліпом. Причому розміри файлу знову ж таки не відповідають його опису. Запам'ятайте - ніяк не може відеофільм, навіть тривалістю 1-2 хвилини, займати 20-30Kb.

Ну-ну ... Качав я, значить, патч до ігруху - а там ...

Ні в якому разі не запускайте такі файли! Навіть якщо в них насправді містилося щось з перерахованого вище, нічого істотного ви не пропустіть. Вже краще зайвий раз не подивитися супер-пупер-порно-картинки, ніж втратити все оплачений час в Інтернеті або дорогоцінний вміст свого жорсткого диска. Уважні читачі повинні запитати: а як троянець може міститися в картинках та інше - адже це ж не виконувані файли? Справа тут ось у чому. Ці "картинки" представляють собою звичайні виконувані exe-файли, яким додали відповідне розширення. Робиться це так. Файл, скажімо, trojan.exe перейменовується в Porno.jpg.exe (причому між .jpg і .exe можна наставити штук сто прогалин, щоб друга частина вже зовсім "непомітною" стала). У провіднику Windows відобразиться тільки перше розширення файлу - і виглядати він буде як картинка, але тільки до тих пір, поки користувач не вирішить його подивитися. А ось при виборі цієї "картинки" і запуститься троянець. Щоб не попастися на такий прийом, відкрийте Провідник, виберіть пункт меню Вид / Властивості папки і там на вкладці Вид / Додаткова настройка приберіть галочку напроти пункту Більше не показувати розширення для ... А ще краще - замість Провідника використовувати більш просунутий файл-менеджер, наприклад , Windows Commander. І ще, якщо вже мова пішла про "правильному" софт, не можу не порадити викинути подалі Microsoft Outlook і поставити The Bat! . Справа в тому, що Outlook містить ряд помилок, завдяки яким отримане вами лист, що містить певні коди, але взагалі не має вкладень, може заразити ваш комп'ютер всякою поганню і наробити багато інших неприємних речей. Але це вже тема для окремої розмови.

Практично все вищеперелічене вірно і в більшості інших випадків, коли вам намагаються підсунути трояна. Дуже багато сайтів, ftp-сервера, bbs'кі, особливо хакерській тематики, просто битком набиті подібним вмістом. Не піддавайтеся спокусі - згадайте приказку про безкоштовний сир. З тієї ж причини рекомендується перевіряти новими антивірусами все викачані звідки-небудь файли, навіть якщо ви їх качали з найбільшого і найпопулярнішого сайту.

визначаємо трояна

Отже, уявімо собі ситуацію, що троянець все-таки був благополучно вами запущений, і тепер ваші дані знаходяться під серйозною загрозою. Як тут бути? Звичайно, в самому простому випадку вам знадобиться тільки запустити свіжу версію AVP або Doctor Web і видалити всі заражені файли. Але існує велика ймовірність того, що ці антивіруси нічого не знайдуть - справа в тому, що нові трояни створюються практично кожен день, і, можливо, ви "підчепили" щось недавно з'явилося. Однак і без антивірусів можна без проблем визначити наявність трояна. По-перше, є ознаки, за якими вже можна запідозрити недобре. Наприклад, якщо ваш комп'ютер періодично намагається вийти в Інтернет без ваших на те вказівок, або якщо під час неквапливих розмов по асьці з вашого комп'ютера кудись відправляються мегабайти даних, то вам варто задуматися. Ну і, звичайно ж, якщо ви ще й завантажили вчора файл, який відмовився запускатися з незрозумілих причин, то треба терміново братися за справу. Взагалі, завжди звертайте увагу на незвичайну поведінку файлів - якщо дистрибутив будь-якої програми після її запуску раптом змінився в розмірах, поміняв свій значок або взагалі зник - будьте впевнені, в цьому файлі був "прошитий" троян.

Зверніть увагу на останній рядок - це троян GIP ...

Насамперед подивіться, що з додатків запущено в даний момент, закривши перед цим всі виконувані програми. Робиться це так: в стартовому меню Windows виберіть пункт Програми / Стандартні / Відомості про систему. Потім у вікні відкрийте вкладку Програмне середовище / Що Їх завдання, і перед вами з'явиться список всіх виконуваних в даний момент додатків.

Тепер дивіться на четверту колонку списку - там знаходяться опису запущених додатків. Нам треба знайти файл, який не має опису або замаскований під що-небудь, пов'язане з Інтернетом або корпорацією Майкрософт (подібні описи присутні у більшості троянів). Зазвичай троян встановлюється в системному каталозі Windows - так що в першу чергу подивіться на файли з цієї папки. Тепер загляньте в розділ Автоматично файли програми і подивіться, чи присутній цей підозрілий файл там. Троянець повинен обов'язково завантажуватися разом з системою, так що він не може не відобразитися на цій сторінці. Якщо ви знайдете явно підозрілу програму, то, природно, треба буде її видалити. Але врахуйте, що видалити трояна під Windows вам не вдасться, так як система не дозволяє видаляти вже запущені файли (а троянець якраз запускається при кожному завантаженні системи). В цьому випадку перезавантажте комп'ютер під DOS або використовуйте системну дискету і, знайшовши той самий підозрілий файл, перенесіть його в тимчасовий каталог. Чому його відразу не видалити? Справа в тому, що ми могли помилитися, і, можливо, цей файл - зовсім і не троянець, а щось необхідне для роботи вашої операційки. Тепер знову завантажте Windows і, якщо система буде працювати нормально, можете сміливо видаляти підозрілий файл. У разі будь-яких збоїв знову завантажитеся в DOS-режимі і повертайте файл на його місце.

Подивіться на перші два рядки - це ж друже NetBus!

Так і тільки так можна визначити присутність абсолютно будь-якого трояна. Не намагайтеся подивитися список завдань, що відкривається після натискання Ctrl-Alt-Del або Alt-Tab - будь-який поважаючий себе трояноклепатель зробить так, щоб його дітище не було видно звідти. А ось від sysinfo (про яку ми тільки що говорили) сховатися неможливо.

Крім того, багато трояни з легкістю визначаються програмою Netstat. Для її запуску, перебуваючи в онлайні, відкрийте пункт стартового меню Windows Виконати і введіть netstat -a 15 (параметри -a 15 змусять програму оновлювати інформацію кожні 15 секунд). Дана програма перевіряє всі відкриті порти (п'ятизначні числа) і повідомляє вам про те, що за додаток використовує їх. Якщо ви бачите порти 12345 і 12346 відкритими, то знайте, що це робота трояна NetBus, а якщо 31337 - перед вами Back Orifice.

Існують і інші способи визначення троянів, але вам повинно вистачити і цих. Плюс, звичайно, можна використовувати антивіруси, які вміють боротися з троянами. Наприклад, антивірус Касперського (AVP). І запам'ятайте одне. У будь-якому випадку, ви повинні займатися не виловом і знешкодженням численних троянів - краще просто не запускати "погані" файли.

обчислюємо кривдника

Ось який шлях пройшло цей лист ...

Наостанок поговоримо про те, що робити в разі, якщо троян вже був благополучно вами запущений, але з системи ще не був знищений. Думаю, багатьом захочеться дізнатися, що за жартівник спробував атакувати ваш комп'ютер, це допоможе вам запобігти можливим неприємностям. Якщо троян був присланий вам поштою, то насамперед потрібно глянути на те, хто ж вам його відправив. Звичайно, тільки дуже дурна людина розсилає трояни від свого імені, тому нам доведеться скористатися деякою додатковою інформацією про лист. Справа в тому, що за замовчуванням поштові програми не показують так звані кладжі (Kludges - детальна інформація про відправника), обмежуючись лише тим адресою, який ввів сам відправник. Для перегляду цих даних включите в своєму поштовому клієнті опцію Show Kludges (хоча в деяких програмах вона може називатися по-іншому). Для з'ясування, звідки прийшло злощасне лист, подивіться на рядок Received. Якщо ж ваш поштовий клієнт не підтримує такий режим, просто знайдіть папку на вінчестері, в якій лежить отримана вами кореспонденція, і відкрийте потрібний лист будь-яким текстовим редактором.

Крім того, трояни типу BackDoor (див. Врізку) дуже просто визначаються утилітою NetStat (див вище). В даному випадку нас цікавить третій стовпець зліва (Зовнішній адреса), який є ні чим іншим, як ip-адресою нападника. На додаток до цього, на нашому диску ви знайдете кілька програм, що стежать за всіма відкритими портами і дозволяють робити з кривдником багато цікавих речей (опису програм дивіться в CD-Манії). А що робити, маючи на руках ip-адреса зловмисника, - вибирати вам. Однак в першу чергу не завадить визначити, з якої мережі або через якого провайдера цей "жартівник" підключився до Інтернету. Для цього існують спеціальні служби ( http://internic.net/whois.html , www.ripn.net:8080/nic/whois/ ), Що дозволяють отримати цю інформацію по його ip-адресу. Тільки врахуйте, що більшість провайдерів дають своїм клієнтам динамічні (тимчасові) ip-адреси, тому чим швидше ви цим займетеся, тим краще. Дізнавшись, що за служба надала зловмисникові доступ в Інтернет, напишіть лист адміністратору (зазвичай потрібно ввести адресу виду admin@название.домен або ж root@название.домен), в якому вкажіть час з'єднання з вами і ip-адреса. Таким чином можна отримати повну інформацію про своє кривдника, ну а як ви їй розпорядитися - вже ваша справа.