Трояны и шпионы

У интернетовского вируса, помимо цели — уничтожить файлы, затереть диск или испортить BIOS — может быть совсем особая цель: проникнуть на компьютер и начать шпионить. Например, такая программа может разузнать пароли и логины для доступа в Сеть, чтобы ее хозяин пользовался ими вместо вас (но оплачивать счета по-прежнему будете вы). Злоумышленник сможет следить за изменениями информации на вашей машине, оперативно получая ее от своего «агента», может управлять вашим компьютером, причем у него может быть даже больше возможностей это делать, чем у вас. Вирусы такого рода называют троянскими.

Одним из первых троянов был вирус по имени Back Orifice (не Office, a Orifice, что вместе с первым словом означает «задний проход»), затем пошли другие подобные изделия. С 1999 года трояны — просто повседневная реальность нашей жизни.

Как говорят специалисты, вычислить неизвестные троянские вирусы сложно, их надо просто знать.

Формально считаться вирусом может не всякий троян, а только такой, который размножается. Но будет ли вам легче от мысли, что программа, укравшая у вас пароль, с научной точки зрения вирусом не является?

Очень близки к троянам программы-шпионы (spy-ware), которые не преследуют целей выкрасть ваш пароль или чем-то иным вам навредить, а потому обычные антивирусы внимания на них не обращают. Эти программы чаще всего преследуют цели коммерческие: следят за тем, какие сайты вы посещали, на каких сайтах регистрировались (с каким именем и какой вводили пароль), что покупали в интернет-магазинах, передавая своим хозяевам эту и некоторую другую конфиденциальную информацию. А те ее продают «третьим фирмам». Что ж потом удивляться, если в почтовом ящике каждый день будут собираться тонны спама, в котором вас будут вежливо называть по имени и предлагать купить недвижимость в Калифорнии, посетить виртуальное казино или заработать тысячу долларов, вложив всего две.

Некоторые программы лезут даже в настройки браузеров, что-то в них меняя по своему усмотрению. Запускаете Internet Explorer, а там — баннеры.

Встречаются, конечно, и тихие, глубоко законспирированные штучки, внешне никак себя не проявляющие, — нелегалы, но спама по их линии приходит ничуть не меньше.

И что самое обидное, все они не просто воруют нашу конфиденциальную информацию, они еще и резко замедляют работу: ведь тонны рекламы не падают с неба, их прогоняют через наше и без того не слишком производительное телефонное соединение. А если вы платите провайдеру не повременно, а за каждый перекачанный мегабайт, то придется оплатить еще и доставку этой кретинской рекламы.

Spy-ware — относительно новый вид безобразий, особенно широкое распространение получивший в сетях обмена музыкальными файлами формата mpЗ. Кроме того, шпионы иногда сидят в софте типа adware, за который денег не берут, а в качестве платы заставляют смотреть баннеры. Например, бесплатная, но очень назойливая и постоянно отовсюду выскакивающая качалка GoIZilla не только баннеры показывает, но и оснащена хорошеньким (и тоже бесплатным) шпионом.

Но уже созданы программы-контрразведчики, вылавливающие шпионов в на­ших компьютерах и уничтожающие их. И никаких тебе помилований от президен­та и условно-досрочных освобождений...

Вирусы в письмах и заплатки от них

Самую серьезную опасность представляют файлы, присланные вам малознакомыми людьми. Это может быть электронное письмо с вложением, файл, присланный по ICQ или с помощью иного интернетовского средства связи.

Злоумышленники всячески маскируют свои намерения, стараются придать файлу самый безобидный вид. Так, прославившийся в 2000 году разрушительный вирус I Love You рассылал в электронных письмах в виде вложения зараженный файл с безопасным на взгляд неспециалиста расширением vbs (visual basic script). А вирус Goner (самый конец 2001 года), который, помимо почты, распространяется также и через ICQ, присылает вам зараженный файл с расширением scr - якобы экранную заставку (screen saver).

Кроме com-, exe- и bat-файлов следует опасаться также файлов с не совсем очевидными расширениями scr, cmd, vbe, vbs, js, jse, wsf, wsh и ряда других.

Особое место среди почтовых вирусов занимают черви (warms). Заразивший ваш компьютер червяк лезет в адресную книжку, берет там адреса ваших приятелей и высылает им свои копии, приложенные к письмам. Заголовка у письма может не быть вовсе, он может содержать какие-то завлекательные фразы, чаще на английском языке, а некоторые червяки умеют утаскивать темы и из реальных писем вашего почтового ящика. Тогда тема окажется не только осмысленная, но и на русском языке.

Самое неприятное в этой ситуации то, что, получая письма от хороших знакомых, вы обычно не ждете подвоха. Будьте внимательны хотя бы к заголовкам писем с вложениями, особенно когда заголовок пустой или когда старый знакомый, за которым раньше ничего такого не замечалось, вдруг заговорил по-английски. Некоторые червяки способны рассылать свои копии по локальной сети.

В 2001 году появились и очень широко распространились по миру вирусы нового типа. Подцепить Aliz, Nimda, Zoher и другие подобные инфекции можно, даже не открывая файла, приложенного к письму!

В последних версиях Outlook Express приложенные к письму рисунки можно увидеть прямо в теле письма — щелкать по скрепочке и открывать вложение для этого не требуется. Это, конечно, очень хорошо и удобно. Одна беда: благодаря этому механизму приложенная к письму программа может запуститься без вашего ведома.

Еще одна напасть — макровирусы. Прочитав присоединенный к электронному письму файл в формате Microsoft Word или Excel, вполне можно подцепить зара­зу этого типа. Макровирусы заражают документы и шаблоны Microsoft Word и Excel, внедряя в них свои зловредные макрокоманды.

Еще пару лет назад безопасными с точки зрения макровирусов считались файлы формата RTF. Сегодня это уже не так: известны вирусы, которые преспокойно распространяются вместе с RTF-документами.

В Word 97 для защиты от макровирусов достаточно зайти в Параметры (меню Сервис) и на странице Общие поставить галочку в строке Защита от вирусов в макросах. Теперь каждый раз, когда в открываемом файле есть макрокоманды, Word запросит вашего разрешения на их запуск.

В Word 2000 и ХР можно задать целых три уровня безопасности. При высоком незнакомые макросы вообще никогда не запускаются. Знакомыми считаются те, у которых есть цифровая подпись (впрочем, это пока редкость). При среднем уров­не вам всякий раз задают вопрос, разрешаете ли вы выполнение макросов, имею­щихся в файле. А при низком выполняют все не раздумывая. Режимы эти задаются в окне Безопасность (команда Сервис ► Макрос ► Безопасность).

Но ни в Word 6.0, ни в Word 95 (7.0), довольно широко распространенных на слабых компьютерах, такой настройки нет. А ведь почтовые программы при попытке прочесть присоединенный к письму DOC-файл, ни о чем не спрашивая, от­правляют его прямиком в Word!

Можно воспользоваться также стандартным виндоузовским средством обновления системы — Windows Update, ярлык которого сидит в главном меню. Но приедете туда же — на сайт windowsupdate.

Чтобы снять эту проблему, можно поставить себе микрософтовский просмотровщик WordViewer (бесплатный). Версия WordViewer 97 воспроизводит любые режимы просмотра, все тонкости оформления, только редактировать файлы не позволяет. И заразиться не может. И не тормозит, как огромный Word 97 и еще более огромные Word 2000 и ХР, применение которых на стареньких четверках и слабо оборудованных пентиумах является самой популярной разновидностью мазохизма. Правда, на сильно больших и сложных файлах программа может спотыкаться.

WordViewer переведет на себя ассоциации файлов с расширением doc, то есть будет запускаться двойным щелчком по DOC-файлу и при открытии вордовского документа, присоединенного к письму. И вы уже никогда не заразитесь описан­ным выше способом. Разве что сами (опять сами!) сохраните на диск, а потом от­кроете зараженный документ из WinWord'a, не проверив предварительно антиви­русом или не отключив в редакторе выполнение макрокоманд.

Другое радикальное решение — поставить себе антивирусный монитор (об этом чуть ниже).