Дата:   19.11.2017 г.
Время:
 
 
Профессионалам и любителям
ПРОСТО * ДОСТУПНО * ИНТЕРЕСНО
01796
Подписной
индекс
Опрос
Пользуетесь MS Office?
Погода
 
  • Гк фундамент отзывы
    Каркасные дома, строительство каркасных домов. Фундамент. Вопрос - Ответ
    novostroyka.net
  • Сто сп
    Оборудование и инструмент для СТО. Оборудование для автосервиса и СТО
    avtoservis23.com
Архив - Убить гадину! Кто выиграет войну за ВАШ компьютер? - Журнал «Компьютер»
Убить гадину! Кто выиграет войну за ВАШ компьютер?
№ 3-4'2003     Сергей Хомяк     Тема: Безопасность     ( Прочитано 6531 раз )
 
Написать эту статью меня побудила статья "Компьютерная инфекция" в журнале "Компьютер" №1/2 2003г. В ней автор поднимает вопрос защиты компьютера от вирусов, но почему-то не относит к вирусам троянских коней, хотя они являются их "мародерской" и "шпионской" разновидностью. Имея опыт как борьбы с этой напастью, так и написания подобных программ (что поделаешь - грешки молодости!), я хотел бы более детально рассказать о троянах, способах их обнаружения и истребления.
 
Убить гадину! Кто выиграет войну за ВАШ компьютер?
 
История троянского коня
 
Наверное, читателям "Компьютера" будет интересно узнать, откуда же появилось название "троянский конь". Так вот, согласно "Иллиаде" (древнегреческой поэме об Илионе, т.е. Трое), ночью греки оставили у ворот неприступной Трои деревянного коня, внутри которого спрятались солдаты. Когда любопытные горожане втащили коня за стены города, солдаты вырвались наружу и открыли ворота города. Вот так, из-за любопытства, пала Троя.
 
Убить гадину! Кто выиграет войну за ВАШ компьютер?
Святой Георгий, убивающий дракона
 
Аналогично действует и компьютерный "троянский конь". Попадая в компьютер, он ворует информацию и отсылает её на электронный почтовый ящик своего "хозяина".
Трояны были придуманы в тот период, когда Интернет еще был дорогим удовольствием, а побывать на его просторах хотелось многим. Вот "светлые головы" и придумали вирус, который мог украсть у неприятеля его пароль для доступа в сеть Интернет. Без Интернета троян теряет смысл своего существования - нет возможности передать наворованное своему "хозяину". Поэтому компьютер, который подключен к Интернету, имеет наибольшую вероятность заразится этой разновидностью вирусов.
 
Породы "лошадок"
 
Существует два вида троянов: Mail Senders (или по-нашему почтовые) и Back Orifice - удалённого администрирования (управления компьютером).
Почтовые трояны, попадая в компьютер, первым делом прописывают себя в автозапуске OC Windows, тем самым, обеспечивая себе долгую жизнь. Потом они начинают искать логин (имя) и пароль пользователя компьютера, которые он использует для входа в Интернет. Некоторые трояны этого вида также воруют информацию с рабочего стола (в основном текстовые документы), извлекают из почтовых программ пароли электронных почтовых ящиков. Если у пользователя есть ICQ (программа для общения в Интернете), то ее номер и пароль троян также скопирует. Теперь, совершив выше описанные диверсии, он будет ждать соединения с Интернетом. Как только пользователь войдет в Интернет, троян отправит всё наворованное на e-mail "хозяина". Типичными представителями этого вида "парнокопытных" являются New Moscow Trojan, Barrio Trojan, UniteMail, K2pS и другие.
 
Убить гадину! Кто выиграет войну за ВАШ компьютер?
Вот на какие шалости способны тронские вирусы!
 
Второй вид троянов состоит из двух программ - сервера и клиента. Троян выступает в роли сервера, т.е. программы, которая, попадая в компьютер "жертвы", ждет соединения с Интернетом. Как только соединение будет установлено, троян отсылает на e-mail или ICQ своего "хозяина" IP жертвы. Теперь, имея все данные, "хозяин" с помощью программы клиента, может управлять компьютером "жертвы", пока та находится в сети. А делать можно всё, что угодно: удалять файлы на диске, запускать программы, выдавать различные сообщения на экран, и даже выключить компьютер. К этому виду относятся трояны Back Orifice (один из первых троянов, в честь которого, собственно, и был назван этот вид), NetBus, Смерть Ламера (как и большинство троянов, он был написан хакерами из России, и по своим возможностям оставляет далеко позади многие настоящие программы удаленного администрирования!).
Таким образом, очевидно, что Троянский конь, как вирус, очень опасен. Особенно, если на компьютере хранится важная информация.
 
Способы заражения
 
Трояны, практически, никогда не распространяются в чистом виде. Их прикрепляют (соединяют с помощью специальных программ) к другим файлам: программам, текстовым документам, картинкам. В общем, создается видимость "невинной" программы или рисунка.
Например, к Вам пришел друг и говорит, что у него есть классная программка для оптимизации соединения с Интернетом, мол скорость соединения увеличивается чуть ли не в 2 раза ("бойтесь данайцев, дары приносящих"!). Вы, долго не задумываясь, запускаете эту программку. Да, появилось окошечко с надписью: "оптимизация выполнена". Теперь Вы горите желанием проверить, насколько увеличилась скорость. Подключившись к Интернету, Вы видите, что ничего не изменилось (хотя некоторые люди, поддающиеся внушению, могут утверждать что скорость выросла). А в это время троян, который "сидел" внутри программы "оптимизации", успел скопировать себя на Ваш компьютер, установил себя в автозагрузку, нашел и "запомнил" Ваши имя и пароль для входа в Интернет. После Вашего соединения с Интернетом он перешлет на E-mail Вашего "друга" всё "наворованное добро". Обидно!
Вот другой пример. Вы общаетесь по ICQ с красивой (по её словам) девушкой. И тут она предлагает Вам скачать и посмотреть её фото. Вы, разумеется, скачиваете. Это небольшой файлик с названием Myfoto.bmp. Кликнув по нему мышкой, Вы увидите красивое личико. Вы восхищены, - с Вами общается такая красивая девушка! Но не всё так мило и безоблачно. Файл-то называется Myfoto.bmp_ _ _ _ _ _ _ _ _ _ _ .exe. А Вы этого не замечаете, поскольку по умолчанию ОС Windows в свойствах папки выставлено, что расширения файлов показывать не надо. Иконка файла соответствует картинке. Вот и получилось, что кликнув мышкой по файлу, Вы не столько открыли картинку, сколько запустили троян, который замаскировался под образом миловидной девушки! После того, как непрошенный гость выполнит свои грязные дела, он откроет Вам картинку, дабы себя не рассекретить (вот ведь змей!).
Эти два примера показывают, как легко трояны могут принимать облик других программ и проникать в Вашу крепость, то бишь компьютер.
 
Игра в прятки
 
Теперь поговорим о том, что нужно делать, если троян пробрался в Ваш компьютер.
"Запустить антивирус", - ответите Вы. Согласен, антивирусы являются основным средством борьбы с вирусами. Но здесь есть одно большое "НО"! Трояны - не просто вирусы, а очень хитрые вирусы! Ну не дружат они с антивирусами: то запортят их базы, а то вообще сделают неработоспособными! Да и модификаций одного и того же трояна много, поди их всех распознай! В общем, попробовать конечно стоит, но если Вы не найдете трояна - не расслабляйтесь, а читайте дальше.
Второй способ разоблачения - с помощью программ Firewall, т.е. программ, которые контролируют порты входа и выхода Вашего компьютера.
Запускаем такую программу (например Outpost или ZoneAlarm), подключаемся к Интернету и ждем (удочка заброшена, ловим зверя на приманку). Троян, увидев, что соединение установлено, будет отсылать свой отчет "хозяину". Если он это сделает, Firewall сразу нам его покажет!
А если троян не захочет отсылать? "Хозяин" может настроить трояна так, чтобы тот отсылал отчет только каждые 30 дней (ну не зараза, блин!). Не будем же мы месяц впустую караулить его в Интернете! Так что, и этот способ не всегда подходит, но попробовать обязательно нужно.
 
 
Убить гадину! Кто выиграет войну за ВАШ компьютер?
Рис. 1 Трояны, в основном, выбирают названия широко известных программ, например RUNDLL.EXE, SCANREG.EXE, SMARTDRV.EXE и другие.
 
 
 
 
 
Так что же делать?
 
Внимание, подходим к самому интересному. Я расскажу вам как искать троянов "вручную", т.е. самостоятельно.
Нажимаем кнопку "Пуск", выбираем "Выполнить...". В строке "Открыть:" пишем MSCONFIG и жмем Enter. Да, да, да! С помощью программы настройки системы мы будем ловить троянов. Смотрим в раздел АВТОЗАГРУЗКА. Видим, что запускается много программ. Так какая из них троян? По своей натуре, трояны стараются как можно больше раз записать себя в автозагрузку (жадность фраера погубит). Вот и смотрим, если одна и та же программа записана как минимум три раза (рис.1) - 90%, что это троян! А какое у такой программы имя? Трояны в основном выбирают названия широко известных программ, например RUNDLL .EXE, SCANREG. EXE, SMARTDRV.EXE и другие. У Вас есть что-то похожее? В любом случае, читайте дальше.
 
Убить гадину! Кто выиграет войну за ВАШ компьютер?
Рис. 2 Переходим в файл WIN.INI.Открываем папку Windows и смотрим строки Load и Run. Посмотрите на рисунок. Нет ли у Вас чего - то похожего?
 
Переходим в файл WIN.INI. Открываем папку Windows и смотрим строки Load и Run. Посмотрите на рис.2 . Нет ли у Вас чего - то похожего? На рис.3 показано, как троян записал себя в файле SYSTEM.INI (папка Boot ). Продолжаем поиск, опять нажимаем "Пуск", выбираем "Выполнить...". В строке "Открыть:" пишем REGEDIT и нажимаем Enter. Попадаем в редактор реестра. Смотрим разделы:
HKEY_LOCAL_MACHINEMicrosoft WindowsCurrentVersionRunOnce
HKEY_LOCAL_MACHINEMicrosoft WindowsCurrentVersionRunOnceEx
HKEY_LOCAL_MACHINEMicrosoft WindowsCurrentVersionRunServicesOnce
 
Убить гадину! Кто выиграет войну за ВАШ компьютер?
Рис. 3 Троян записал себя в файл SYSTEM.INI
 
Это разделы, которые совершают автозагрузку программ только один раз. После того, как программа запустилась, все значения в разделе удаляются. Трояны очень любят именно сюда себя записывать. Так их не будет видно в разделе "Автозагрузка" программы MSCONFIG.EXE и ей аналогичных. Надо заметить, что все вышеописанное справедливо только для Windows 95/98/Me. Для Windows 2000/XP в редакторе реестра отсутствует вышеприведенная последняя строка. Также файлы SYSTEM.INI и WIN.INI имеют совсем другую структуру.
 
Последнее средство (не для слабонервных!)
 
Но что же делать, если ни один из описанных выше методов обнаружения троянов не помог? Однозначно одно - расслабляться рано! Рассмотрим еще один способ поиска, который подходить для всех ОС семейства Windows. Сразу оговорюсь - этот способ поиска довольно сложный, и скорее всего, начинающим пользователям будет понятен не сразу, так как при этом нужно знать, где и какие библиотеки (файлы с расширением .dll) используются. Зато вероятность нахождения трояна этим способом приближается к 100%, так что дерзайте, игра стоит свеч!
Для этого способа нам нужна программа, которая будет показывать, какие программы (процессы) активны в данный момент. Например, очень подойдет программа ProcDump32 (к сожалению, не могу дать прямого адреса для получения ее в Интернете, но попробуйте сами поискать с помощью поисковых серверов). Она также показывает, какие библиотеки используют активные в данный момент программы. Запустив программу, мы увидим, что она имеет два окна. Верхнее - активные программы, а нижнее - используемые библиотеки (рис.4). Просматривая активные программы, нужно обращать внимание на то, какие ими используются библиотеки. Вот, например, интересно, почему программа HOOKER.EXE использует библиотеки wininet.dll, wsock32.dll и rasapi32.dll? Ведь эти библиотеки используются для соединения с Интернетом! Вот так просто троян замаскировался под невинную овечку (программку). И так далее.
 
Убить гадину! Кто выиграет войну за ВАШ компьютер?
Рис. 4 Программа ProcDump32  показывает, какие библиотеки используют активные в данный момент программы. Запустив программу, мы увидим, что она имеет два окна. Верхнее - активные программы, а нижнее - используемые библиотеки. Просматривая активные программы, нужно обращать внимание на то, какие ими используются библиотеки.
 
Убей его!
 
Итак, пришло время расплаты. Будем считать, что одним из перечисленных выше способов Вы нашли трояна (правильная диагностика - залог успешного лечения). Как же теперь изгнать эту "нечисть" со своего компьютера? Пока он запущен, Windows удалить его нам не даст (присосался!). Но существует два способа удаления.
Первый - с помощью все той же ProcDamp32. Нужно выбрать в списке активных программ ту, которую вы подозреваете как трояна, нажать правую кнопку на мышке. В появившемся меню выберите Kill Task. Все! Троян пропал из списка активных программ. Теперь его можно смело удалять. Я надеюсь, Вы предварительно запомнили, в какой папке он находится. Но я бы посоветовал, перед удалением, скопировать троян в другую папку: А вдруг это не троян, а Вы удалите какой-нибудь нужный файл? Это не есть хорошо. Так что, если в последствии Windows или какая-нибудь из прикладных программ "ругнется" на отсутствие удаленного Вами файла - значит, Вы обознались, казнив невинного, и его нужно срочно вернуть обратно.
Второй способ попроще. Загрузите компьютер с дискеты, и с помощью программ - оболочек (Dos Navigator, Volkov Commander) удалите троян. После перезагрузки компьютера Windows может возмущаться, что не найден файл для запуска. Нажимайте на эти вопросы "Отмен", а потом загрузите программу MSCONFIG.EXE (см.выше). В автозагрузке поснимайте галочки в тех местах, где должен был запускаться подозреваемый троян. Все! Можете себя поздравить! Теперь ЭТОТ троян больше никогда не украдет Ваши пароли.
 
Последние напутствия
 
Вот мы и научились находить и уничтожать одну из разновидностей компьютерных вирусов - "троянских коней". Теперь Вы знаете, какие бывают трояны, знакомы со способами распространения и методами борьбы с ними. Но в заключении, хотелось бы дать Вам несколько советов.
1. Никогда не запускайте неизвестные Вам программы. А если очень хочется запустить, то перед запуском проверьте эти программы антивирусом (пока еще не поздно).
2. Обязательно используйте при работе в Интернете программы типа FIREWALL. Вы всегда будете в курсе, какая программа обращается в Интернет. Также, это защитит Ваш компьютер от сетевых атак.
3. Каждый месяц меняйте пароль для доступа в Интернет и для доступа к Вашему электронному почтовому ящику. При выборе Интернет-провайдера поинтересуйтесь, обеспечивает ли он определение номера звонившего абонента. Тогда Вы сможете точно узнать, с какого телефонного номера заходили в Интернет под Вашим именем.
И последнее, - никогда не расслабляйтесь! Если "умельцы" на "общественных началах" взламывают профессионально защищенные сайты серьезных организаций, что говорить о наших "утлых суденышках", бороздящих океаны Интернета?
Удачного Вам плавания!
 
 

 
 
На главную страницу На предыдущую страницу На начало страницы
 
 
 
 
 
2009 - 2017 © СПД Зайцев А.Б.
Сайт является средством массовой информации.
При перепечатке и цитировании в печатных СМИ ссылка на журнал "Компьютер" обязательна.
При перепечатке и цитировании в Интернете обязательна активная гиперссылка на сайт Comput.com.ua, не закрытая для индексирования.
Украина онлайн Рейтинг@Mail.ru Рейтинг Сайтов YandeG