ЗАПУСК ТРОЯНСКИХ ПРОГРАММ
К стандартным способам работы трояна относится также запись этой вредоносной программы как сервиса (службы) с автоматическим запуском. А ведь аналогичные способы автозапуска используются антивирусами, брандмауэрами и иными программами, призванными обеспечить защиту и покой пользователя.
Запуск при старте каждого *.exe-файла. Для этого троян меняет в реестре значение параметра HKEY_CLASSES_ROOT\ exefile\shell\open\command с “%1” %* на “Trojan” “%1” %*.
Запуск при старте каждого bat-, com-, cmd- и любого другого файла реализуется аналогично предыдущему способу путем внесения соответствующих корректировок в системный реестр.
41
ЗАПУСК ТРОЯНСКИХ ПРОГРАММ
Троянская программа запускается при выполнении какого- либо действия с любой специальной или обычной папкой либо файлом. Например, при добавлении записи о себе в раздел HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069- A2D8-08002B30309D}\shell\Manage\command троян будет запускаться при выборе пункта «Управление» в контекстном меню объекта «Мой компьютер».
Автозапуск при открытии диска. Немногие знают, что автозапуск может работать не только при помещении компакт- диска в привод, но и при открытии любого локального диска
— для этого создается файл autorun.inf, аналогичный тем, что содержатся на компакт-дисках, примерно со следующим содержимым:
[AUTORUN]
OPEN=trojan.exe;
42
ПРАВИЛА ДЛЯ СНИЖЕНИЯ РИСКА ЗАРАЖЕНИЯ
не работать в системе с правами администратора. Желательно работать с ограниченными правами, а для запуска программ, требующих больших прав, использовать пункт «Запустить от имени» в контекстном меню (такая политика реализована в современных системах Linux и Windows, начиная с версии Vista);
не загружать программ из непроверенных источников — прежде всего это относится к сайтам, распространяющим взломанное, нелицензионное программное обеспечение и хакерские утилиты;
по возможности не допускать к своему компьютеру посторонних; регулярно делать резервные копии важной информации и файлов;
пользоваться малораспространенными программами для работы в сети или хотя бы не теми, что установлены по умолчанию (например, браузером Opera, Mozilla, почтовым клиентом Thunderbird, The Bat! и т.д.). Этот подход, несомненно, имеет массу недостатков, но на уровне частных пользователей нередко оказывается самым действенным;
43
ПРАВИЛА ДЛЯ СНИЖЕНИЯ РИСКА ЗАРАЖЕНИЯ
пользоваться нестандартными брандмауэрами, пусть даже не самыми лучшими по результатам тестирований, поскольку злоумышленник, как правило, не будет встраивать средства для обхода всех существующих брандмауэров, ограничившись несколькими самыми популярными;
переименовывать исполняемые файлы антивирусов и брандмауэров, а также сервисы, используемые ими, а при наличии соответствующих навыков — изменять заголовки их окон;
пользоваться мониторами реестра, в которых необходимо включить слежение за разделами, управляющими автозапуском;
сделать снимок файлов в системных каталогах и при появлении новых попытаться определить, что это за файл и откуда он взялся, либо применять специальные программы — ревизоры диска, которые позволяют выявить новые подозрительные файлы, а также изменение размера существующих;
не запускать программ, полученных от неизвестных лиц;
44
ПРАВИЛА ДЛЯ СНИЖЕНИЯ РИСКА ЗАРАЖЕНИЯ
включать на компьютере отображение всех расширений файлов и внимательно следить за полным именем файла. Троянская программа может скрываться в файле, имеющем двойное расширение (первое — безопасное, служащие для маскировки, например картинки gif, а второе — реальное расширение исполняемого файла);
регулярно устанавливать обновления для операционной системы и используемых программ;
не разрешать браузеру запоминать пароли и не хранить их в слабо защищенных программах хранения паролей. В том случае, если вам удобнее не запоминать пароли, а хранить их на компьютере, стоит подумать над установкой программы, которая сохраняет вводимые в нее записи в стойко зашифрованном виде.
45
ХАКЕРСКИЕ УТИЛИТЫ И ПРОЧЕЕ ВРЕДОНОСНОЕ ПО
•утилиты автоматизации создания вирусов, червей и троянских программ (конструкторы);
•программные библиотеки, разработанные для создания вредоносного ПО;
•хакерские утилиты скрытия кода зараженных файлов от антивирусной проверки (шифровальщики файлов);
•«злые шутки», затрудняющие работу с компьютером;
•программы, сообщающие пользователю заведомо ложную информацию о своих действиях в системе;
•прочие программы, тем или иным способом намеренно наносящие прямой или косвенный ущерб данному или удалённым компьютерам.
46
ДОПОЛНИТЕЛЬНЫЕ ТЕРМИНЫ
Снифферы (sniffers - нюхачи) - это программное обеспечение, которое позволяет просматривать содержимое сетевых пакетов, перехватывать трафик в сети и анализировать его.
DoS (DDoS) - программы. DoS-программы реализуют атаку с одного компьютера с ведома пользователя. DDoS-программы (Distributed DoS) реализуют распределенные атаки с разных компьютеров, причем без ведома пользователя зараженного компьютера. Для этого DDoS-программа засылается любым способом на компьютер «жертв-посредников» и после запуска в зависимости от текущей даты или по команде от «хозяина» начинает DoS-атаку на указанный сервер в сети. (7 мая 1997 года был обнародован принцип самой, пожалуй, нашумевшей DOS-атаки под названием WinNuke. Ее жертвами становились Windows-системы. Автор метода поместил его описание и исходный текст программы в несколько news-конференций. Ввиду его крайней простоты практически каждый человек мог вооружиться этим новейшим оружием. Очевидной первой жертвой стал www.microsoft.com. Данный сервер был выведен из строя более двух суток. Microsoft.com прекратил откликаться в пятницу вечером (9 мая) и только к обеду понедельника вновь обрел устойчивость.
47
ДОПОЛНИТЕЛЬНЫЕ
ТЕРМИНЫ
Exploit, HackTool - взломщики удаленных компьютеров. Хакерские утилиты данного класса предназначены для проникновения в удаленные компьютеры с целью дальнейшего управления ими (используя методы троянских программ типа «backdoor») или для внедрения во взломанную систему других вредоносных программ.
Хакерские утилиты типа «exploit» при этом используют уязвимости в операционных системах или приложениях, установленных на атакуемом компьютере
48
ИСТОРИЯ ВИРУСОВ
HTTP://WWW.ITPEDIA.RU/
1949 год. Американский ученый венгерского происхождения Джон фон Нейман (John von Naumann) разработал математическую теорию создания самовоспроизводящихся программ. Это была первая теория создания компьютерных вирусов, вызвавшая весьма ограниченный интерес у научного сообщества.
Конец 60-х – начало 70-х годов. Появление первых вирусов. В ряде случаев это были ошибки в программах, приводивших к тому, что программы копировали сами себя, засоряя жесткий диск компьютеров, что снижало их продуктивность, однако считается, что в большинстве случаев вирусы сознательно создавались для разрушения. Вероятно, первой жертвой настоящего вируса, написанного программистом для развлечения, стал компьютер Univax 1108. Вирус назывался Pervading Animal и заразил только один компьютер - на котором и был создан.
1975 год. Через Telenet (прообраз ARPANET, а затем и Internet) распространяется первый в истории сетевой вирус The Creeper. Написанная для некогда популярной операционной системы Tenex, эта программа была в состоянии самостоятельно войти в сеть через модем и передать свою копию удаленной системе (первый червь).
49