Stfw.RuТроянские кони бойтесь данайцев, дары приносящих
Остается лишь удивляться, что люди идут на преступления, когда существует так много легальных способов быть нечестным.
🕛 11.09.2009, 23:28
ТЕРМИН "ТРОЯНСКИЙ КОНЬ" ВОЗНИК ПОД ВЛИЯНИЕМ ИЗВЕСТНОЙ ЛЕГЕНДЫ, РАССКАЗЫВАЮЩЕЙ О ХИТРОСТИ ДРЕВНИХ ГРЕКОВ, КОТОРЫЕ ПРИТВОРИЛИСЬ, БУДТО ПРЕКРАЩАЮТ ИЗНУРИ ТЕЛЬНУЮ ОСАДУ ТРОИ, ДЛИВШУЮСЯ УЖЕ ОКОЛО ДЕСЯТИ ЛЕТ, И ОТПЛЫЛИ, ОСТАВИВ ПОД ВОРОТАМИ ГОРОДА ГИГАНТСКОГО ДЕРЕВЯННОГО КОНЯ. Полагая, что греки оставили коня в качестве дара богам, а также в знак того, что признают свое поражение. троянцы затащили его в город. Поздней ночью греческие воины, прятавшиеся внутри деревянной фигуры, незаметно пыбрались оттуда, напали на троянскую стражу и открыли ворота города вернувшейся греческой армии.В компьютерном мире "троянским конем" {Trojan horse), или просто - троянской программой, называют любую программу, скрывающую свои истинные намерения и выдающую себя за нечто другое. Основное отличие "троянских коней" от вирусов и червей заключается в том, что они не могут распространяться самостоятельно и п этом отношении должны рассчитывать лишь на действия неосторожных пользователей.
Как распространяются троянские программы
Прежде чем "троянский конь" сможет атаковать, он должен соблазнить жертву, чтобы она скопировала, загрузила и запустила его. Поскольку редкий пользователь сознательно запустит вредоносную программу, "троянский конь" должен маскироваться под другие программы,Глава 8. "Троянские кони": бойтесь данайцев, дары приносящих 11 ]
которые жертва сочтет безвредными (игры, служебные программы или популярные приложения).
Помимо маскировки под безвредные программы, "троянские кони" могут прятаться внутри вполне легальных программ, таких как Adobe Photoshop или Microsoft Excel. Для этого злонамеренные хакеры разработали программы-упаковщики ("wrappers" или "binders"), такие, например, как Saran Wrap, Silk Rope или The Joiner, которые прячут "троянских коней" в других программах, тем самым снижая вероятность их обнаружения. Поскольку большинство пользователей обычно даже не подозревают, что в программе, выпускаемой хорошо известной солидной компанией, может скрываться "троянский конь", они без малейших сомнений будут запускать се на выполнение.
После того как троянская программа написана, она должна быть распространена одним из следующих способов: перенесением копии программы в компьютер жертвы, размещением программы на Web-узле, чтобы сделать ее доступной для загрузки, пересылкой по электронной почте в виде вложенного файла, через службу 1RC и сетевые службы интерактивного общения (chat rooms), а также через службу 1CQ и другие службы немедленного обмена сообщениями (instant messaging services).
Физическое копирование троянских программ в компьютеры
Если к вашему компьютеру имеют доступ другие люди, то у них есть все возможности для того, чтобы непосредственно скопировать троянскую программу на жесткий диск. При этом особо искушенный злоумышленник может создать специального "троянского коня", замаскированного, например, под корпоративную программу регистрации пользователей или приложение базы данных компании, присутствие которых не вызовет никаких подозрений. Тем самым у "троянского коня" не только повышаются шансы того, что жертву удастся обвести вокруг пальца, но и появляется возможность действовать целенаправленно, с учетом характера хранимой в компьютере информации, например, украсть номера используемых компанией кредитных карточек или скопировать исходный код еще не выпущенной игры для его последующего размещения в Internet.
Загрузка программного обеспечения с Web-узла
"Троянские кони" чаще всего встречаются на Web-узлах, предлагающих бесплатное программное обеспечение, например, условно бесплатные программы. Такие людные месга в Wfeb не только помогает авторам троянских программ сохранять свою анонимность, но и предоставляют им возможность атаковать большее число случайных жертв. Поскольку у операторов Web-узлов редко находится время для тщательной проверки каждого размещенного файла, "троянский конь" может благополучно пройти процедуру проверки незамеченным.
Разумеется, как только администратор Web-узла обнаружит присутствие троянской программы, он немедленно ее удалит, после чего ее загрузка пользователями станет невозможной. Однако за то время, в течение которого "троянский конь" будет оставаться размещенным на узле до обнаружения администратором, многие успеют его загрузить и передать другим пользователям. Поэтому, хотя удаление "троянского коня" и не вызывает особых сложностей, найти и уничтожить все его копии практически невозможно, поскольку это чрезвычайно сложно сделать, и для решения этой задачи потребовалось бы слишком много времени.
В некоторых случаях троянские программы размещаются не на посторонних, а на специально разворачиваемых для этой цели узлах, где, как правило, они предлагаются для загрузки под видом хакерских инструментальных средств или порнографических файлов. Можете не сомневаться, что среди таких файлов обязательно есть "троянские кони", так что после загрузки и запуска такой программы неосторожным пользователем ей ничто не помешает выполнить любые разрушительные действия, предусмотренные се автором.
Передача троянских программ в виде вложений в электронные письма
Еще одним популярным способом распространения "троянских коней" является присоединение программного файла к сообщению электронной почты. Чтобы вам захотелось открыть вложение, его либо маскируют под сообщение от вполне легаль пой организации (например, Microsoft или America Online), либо преподносят в виде обычно вызывающих интерес программ, например, хакерского инструмента, якобы обеспечивающего нелегальный или привилегированный доступ к хорошо известно му серверу, а также под видом объявления о конкурсе, порнографического файла иль любого другого аналогичного сообщения, призванного разжечь ваше любопытство.
Заражение "троянскими конями" через службы интерактивного общения или немедленного обмена сообщениями
Во многих случаях "троянских коней" подбрасывают пользователям служб интерактивного общения, поскольку это не требует знания электронных почтовых адресов. Обычно хакер завязывает дружеский разговор с потенциальной жертвой, а затем предлагает переслать ей хакерский инструмент или порнографический файл. "Троянский конь" начинает атаковать компьютер, как только жертва получает файл и открывает его.
Хакеры посылают троянские программы также тем, кто пользуются службами немедленного обмена сообщениями, такими как ICQ или AOL Instant Messenger. Как и в случае электронной почты, эти службы позволяют атаковать конкретное лицо, если известен его личный идентификатор, который легко отыскать в каталоге пользователей данной службы.
Типы троянских программ
Оказавшись и вашем компьютере, троянская программа, во многом подобно компьютерному вирусу, может проявить себя множеством способов:
> Отобразить насмешливое или поддразнивающее сообщение
> Затереть данные
> Украсть информацию, например пароль
> Поместить в компьютер вирус иди другого "троянского коня" >- Разрешить удаленный доступ к вашему компьютеру
Чтобы затруднить обнаружение "троянских коней", многие хакеры дают их файлам другие имена. Хота обмануть этим антивирусную программу или программу, специально предназначенную для обнаружения "троянских коней", невозможно, обычной замены имени часто вполне достаточно, чтобы ничего не подозревающий пользователь запустил зараженную программу.
Шуточные "троянские кони"
Шуточные "троянские кони" (joke Trojans) не причиняют никакого вреда, но могут заставлять динамики вашего компьютера издавать неприятные звуки, искажать изображения на экране или выводить пугающие сообщения, например: "Начинается форматирование жесткого диска!". Хотя шуточные "троянские кони" и могут раздражать или быть нежелательными, они безвредны и легко удаляются.
'Троянский конь " N VP
"Троянский конь" NVP, предназначенный для заражения компьютеров Macintosh, изменяет один из системных файлов таким образом, что из любого текста, вводимого пользователем, исчезают гласные. Чтобы побудить пачьзователя к запуску N VP, этот "троянский конь" замаскирован под вспомогательную программу, обеспечивающую пользовательскую настройку компьютерного экрана.
"Троянский конь" IconDance
"Троянский конь" IconDance сначала сворачивает окна всех приложений, а затем быстро перемешивает все пиктограммы, находящиеся на рабочем столе. Ничего другого эта троянская программа не делает, так что, в конечном счете, ее действия чре-наты для вас только затратами времени на приведение рабочего стола в порядок.
"Троянские кони" разрушающего действия
Деструктивные "троянские кони" (destructive Trojans) могут либо уничтожать данные на жестком диске, либо выборочно удалять или изменять определенные файлы. Хотя троянские программы этого типа и представляют наибольшую опасность, возможности их распространения, в силу самой их природы, ограничены: атакуя компьютер, они обнаруживают свое присутствие, причем зачастую это сопровождается выводом на экран насмешливых сообщений. А если они осуществляют переформатирование жесткого диска, то заодно стирают и самих себя.Единственным предупреждением о том, что ваш компьютер атакован разрушающим "троянским конем", может служить мерцание индикаторной лампочки жесткого диска или доносящийся от него скрежещущий звук. Правда, к тому времени, когда вы услышите этот звук, по крайней мере часть ваших файлов уже будет уничтожена.
"Троянский конь " Feliz
После запуска Feliz на экран выводится изображение, представленное на рис. К. 1. Когда жертва щелкает на кнопке Exit, чтобы убрать изображение, экран заполняется диалоговыми окнами с сообщениями, предупреждающими о недопустимости попыток запуска других программ. В конце концов, программа выводит на экран новогоднее поздравление.
Выводом на экран этого грозного лика "троянский конь" предупреждает пользователей о начале атаки
Одновременно с выводом на экран диалоговых окон с сообщениями программа Feliz уничтожает файлы ядра Windows, тем самым исключая возможность перезапуска компьютера
"Троянский конь " АО L4Free
В 1995 году студент Йельского университета Николас Райан (Nicholas Ryan) написал программу под названием AQL4FREE, которая открывала перед пользователями возможность доступа к сети America Online без обычной абонентской платы. Сразу же вслед за сообщением об AOL4FREE кто-то распространил ложное сообщение, в котором утверждалось, будто AOL4FREE на самом деле является троянской программой:
Каждый, кто получит это [сообщение}, должен переслать его как можно большему количеству других людей. Возникшую проблему необходимо решить как можно скорее, Несколько часов назад один человек открыл сообщение электронной почты, в котором в поле темы значилось: "AOL4FREE.COM". Спустя несколько секунд после открытия письма на экране появилось окно, отображающее имена уничтожаемых в это время файлов. Человек, о котором идет речь, немедленно отключил компьютер, но было уже поздно - все файлы были уничтожены вирусом!
Как и следовало ожидать, вскоре после этого действительно была написана троянская программа под названием AOL4FREE, которая в марте 1997 года начала распространяться среди пользователей America Online по электронной почте. В электронные сообщения вкладывался архивный файл, который, как утверждалось, представлял собой первоначальную программу AOL4FREE, открывающую бесплатный доступ к America Online.
После запуска этот "троянский конь" стирает все файлы, хранящиеся на жестком диске, и выводит на экран сообщение: "Bad Command or file name" {"Имя команды или файла указаны неправильно"), сопровождаемое неприличными выражениями.
"Троянские кони", ворующие пароли и другую конфиденциальную информацию
Одним из наиболее распространенных применений троянских программ является кража паролей. Хакеры часто создают специальным образом адаптированные троянские программы для того, чтобы получить возможность несанкционированного доступа к компьютеру. Например, если школьный компьютер разрешается использовать только после предварительного ввода пароля, то хакер может установить программу с внешним интерфейсом в виде окна входа в систему, в котором пользователю предлагается ввести пароль.
Когда ничего не подозревающая жертва попадается на эту удочку и вводит пароль, "троянский конь" сохраняет его и выводит на экран сообщение наподобие: "Computer down" ("Завершение работы!"), чтобы заставить пользователя отойти от компьютера или попытаться поработать за другой машиной. После этого хакер может извлечь сохраненные пароли и использовать их для доступа к не принадлежащим ему учетным записям.
В тех случаях, когда у хакера нет физического доступа к намеченному компьютеру, он пытается обмануть жертву, подсунув ей для загрузки "троянского коня", замаскированного под игровую или служебную программу. Как только "троянский конь" будет загружен, он сможет украсть файлы, хранящиеся на жестком диске, и переслать их хакеру. Поскольку о существовании в компьютере "троянского коня" вы можете даже и не логадываться, то он будет иметь возможность воровать информацию всякий раз, когда вы будете пользоваться компьютером.
Догадываетесь, что произойдет, если кто-то украдет у вас пароль или любую другую важную информацию (например, номер кредитной карточки)? Имея доступ к вашей учетной записи, пор будет пользоваться ею и доставлять неприятности другим пользователям сети, прикрываясь вашим именем, а располагая номером вашей кредитной карточки, он снимет с нее крупную сумму.
"Троянский конь"Hey You! AOL
"Троянский конь" Hey You! AOL часто прибывает в качестве непрошеного электронного письма с обращением "hey you" в поле темы и следующим содержанием:
Привет! Наконец-то мне сканировали рисунки. Их всего 5 или 6, так что вы можете загрузить и разархиеировать их, а те, кто не знает, как это делается, могут узнать об этом далее в этом сообщении. Скажите, что вы думаете по поводу моих рисунков?
Если вы не знаете, как разархивировать файл, следуйте приведенным ниже инструкциям.
При выходе из сети AOL автоматически разархивирует этот файл, если только данная опция не была отключена вами в окне параметров загрузки. Если вы хотите сделать это вручную, выберите пункт Download Manager меню My Files на панели инструментов AOL. В окне Download Manager щелкните на Show Files Downloaded. Выделите мой файл и щелкните на кнопке Decompress.
Если жертва загружает и запускает вложенный файл, "троянский конь" скрывается в памяти компьютера и пытается переслать имя пользователя и пароль для доступа к America Online хакеру. Вооружившись вашим именем и паролем, любой сможет воспользоваться вашей учетной записью для доступа к America Online и даже изменить ваш пароль, тем самым блокируя вам доступ к вашей же учетной записи.
"Троянский конь " ProMail
В 1998 году программист по имени Майкл Холлер (Michael Halle г) разработал почтовую программу, назвав ее Phoenix Mail. В конце концов, ему надоело поддерживать эту программу и он выпустил ее как бесплатный программный продукт, предоставив при этом даже ее исходный код на языке Delphi, чтобы любой мог внести в нее свои изменения. К сожалению, кто-то воспользовался исходным кодом Phoenix Mail для создания "троянского коня", которого он назвал Promail vl.21.
Заявляющий о себе, подобно Phoenix Mail, как о бесплатной почтовой программе, ProMail был распространен несколькими Web-узлами, предоставляющими бесплатное и условно бесплатное обеспечение, включая узлы SimTel.net и Shareware.com, в виде архивированного файла promll21.zip.
Когда жертва запускает ProMail, программа запрашивает детальную информацию об учетной записи пользователя в Internet - примерно в том же объеме, что и при настройке программного обеспечения для загрузки электронной почты:
> Адрес электронной почты и действительное имя пользователя
> Название организации
> Адрес электронной почты для ответных сообщений
> Действительное имя для ответных сообщений
> Имя пользователя и пароль для доступа к серверу РОРЗ
> Имя сервера РОРЗ и номер порта
> Имя сервера SMTP и номер порта
Как только пользователь предоставляет эту информацию, ProMail зашифровывает ее и пытается переслать на учетную запись бесплатного почтового ящика (naggamanteh@usa.net), предоставленного узлом NetAddress (http://www.netaddress.com).
Поскольку "троянский конь" ProMail обеспечивает управление одновременно несколькими учетными записями, он может переслать всю информацию об учетных записях ожидающему ее хакеру, который после этого получает полный контроль над любой учетной записью электронной почты, принадлежащей жертве.
"Троянские кони" удаленного доступа
Программы удаленного доступа (remote access programs) - это легальные программы, используемые для получения доступа к удаленному компьютеру через телефонную сеть или сеть Internet. Так, агенту по продажам может потребоваться доступ к файлам, хранящимся на корпоративном компьютере, а технику может потребоваться дистанционная диагностика компьютера без физического доступа к нему. В качестве примера популярных программ удаленного доступа можно привести такие программы, как pcAnywhere, Carbon Copy, LapLink, а также средство удаленного обслуживания, встроенное в операционную систему Windows ХР. "Троянские кони" удаленного доступа (RAT - Remote Access Trojans) - это те же программы удаленлого доступа, но пробравшиеся в компьютер жертвы тайком. В то время как программы наподобие pcAnywhere сознательно устанавливаются пользователем, RAT провоцирует жертву, чтобы она установила его на своем компьютере, обманным путем. Будучи установленным, RAT открывает удаленному злоумышленнику (который может находиться в любой точке земного шара) полный доступ к вашему компьютеру, и тот может видеть и делать на компьютере абсолютно все, что можете видеть и делать вы сами.Используя RAT, хакер может уничтожать файлы на жестком диске, копировать их (в том числе файлы вирусов и других "троянских коней") на зараженную машину, вводить сообщения в программу, с которой пользователь работает в данный момент, манипулировать папками, изменять пароль входа в систему, открывать дверцу привода компакт-диска, заставлять динамик издавать необычные звуки, перезагружать компьютер или отслеживать и записывать любую информацию, вводимую с помощью клавиатуры, включая номера кредитных карточек и пароли для использования учетных записей в Internet, а также все сообщения электронной почты.
RAT состоит из двух частей: серверного файла (server file) и клиентского файла (client file). Серверный файл выполняется на компьютере жертвы, а клиентский - на компьютере хакера. Коль скоро на компьютере хакера установлен соответствующий клиентский файл, он может соединиться с любым компьютером, хозяин которого, нисколько об этом не догадываясь, установил серверный файл данного "троянского коня".
Чтобы ввести кого-то в заблуждение и спровоцировать его на установку серверного файла "троянского коня", хакеры часто маскируют этот файл под игру или служебную программу, как показано на рис. 8.2. Когда жертва запускает "троянского коня", серверный файл самостоятельно осуществляет свою установку и пребывает в состоянии ожидания до тех пор, пока тот, у кого установлен соответствующий клиентский файл, не попытается получить доступ к данному компьютеру.
В случае успешной установки серверного файла он открывает на компьютере порт, через который может осуществляться прием и передача данных. Многие хакеры систематически зондируют компьютеры, подключенные к какой-либо сети (например, через телефонные или цифровые абонентские линии), и пытаются "нащупать" клиентские файлы, соответствующие различным "троянским коням". При этом хакер исходит из того, что если ему или другим хакерам удалось инфицировать чей-то компьютер серверным файлом, то к такому компьютеру можно будет подключиться с помощью соответствующего клиентского файла.
Некоторые "троянские кони" даже высылают хакеру по электронной почте секретное сообщение, в котором уведомляют его об успешной установке программы и предоставляют IP-адрес зараженного компьютера. Зная IP-адрес компьютера, хакер может получить к нему доступ через "троянского коня". Особо злостный хакер может опубликовать сведения о своей находке, в результате чего все остальные хакеры, имеющие возможность взаимодействовать с данной разновидностью "троянского коня", будут непрестанно атаковать ваш компьютер.
Back Orifice (ВО)
Самый известный "троянский конь" удаленного доступа - Back Orifice (сокращенно - ВО), который своим названием как бы насмехается над программой Back Office фирмы Microsoft. Back Orifice1 - одна из немногих троянских программ, которая имеет собственный Web-узел (http://www.cultdeadcow.coni/tools/bo.html).
Вся эта история началась с того, что одна подпольная компьютерная группа, называвшаяся Cult of the Dead Cow (http://www.cultdeadcow.com), написала профамму Back Orifice в качестве "троянского коня" и выпустила ее в 1998 году. Появление программы вызвало немедленную волну возмущения, поскольку хакеры принялись заражать компьютеры других людей ло всему миру с помощью серверного файла Back Orifice, который позволял получить доступ к чужим компьютерам.
В 1999 году группа Cult of the Dead Cow выпустила обновленную версию Back Orifice, которая была названа Back Orifice 2000 (или В02К). В отличие от предыдущей версии Back Orifice 2000 поставлялась вместе с полным исходным кодом на C/C++, так что теперь каждый мог изучить принцип работы этой программы. Кроме того, в Back Orifice появилась возможность подключения дополнительных модулей, что позволяло программистам расширять функциональные возможности программы за счет написания собственных подключаемых модулей.
Выпуск Back Orifice 2000 группой Cult of the Dead Cow ознаменовал разрыв программы с ее хакерским прошлым, и В02К начала рекламироваться как средство удаленного администрирования для Windows, относящееся к тому же классу профамм удаленного доступа, что и pcAnywhere или Carbon Copy. При этом фуппа Cult of the Dead Cow не только бесплатно раздавала Back Orifice 2000 вместе с исходным кодом, но обнародовала результаты сравнительного анализа возможностей В02К с возможностями коммерческих средств удаленного доступа, чем обескуражила коммерческих поставщиков.
'Back Orifice (англ.) - задний прохаг).
Оказалось, что при своей более высокой стоимости коммерческие программы удаленного доступа требуют гораздо большие объемы ресурсов жестких дисков и памяти, чем В02К. В то время как для В02К требуется немногим более 1 Мб свободного дискового пространства и 2 Мб ОЗУ, Carbon Copy должна иметь 20 Мб дискового пространства и 8 Мб ОЗУ, a pcAnywhere соответственно 32 Мб и 16 Мб. Возможно, наиболее удивительным здесь является то, что и В02К и Carbon Copy предлагают возможность удаленной установки в скрытом режиме, а это означает, что обе программы могут быть использованы для удаленного доступа к компьютеру без ведома пользователя!
Хотя компьютерное сообщество и старается держаться от Back Orifice 2000 подальше как от дешевого хакерского средства, эта программа является хакерским инструментом не более, чем Carbon Copy. И все же, учитывая первоначальные намерения и характер деятельности группы, которая ее создала, программа Back Orifice занимает некоторую неустойчивую промежуточную позицию между троянскими программами и легальными программами удаленного администрирования. При аккуратном обращении Back Orifice может быть весьма ценной программой, однако в руках злоумышленника она может превратиться в грозное оружие.
SubSeven
Еще одним "троянским конем", популярность которого постоянно растет, является программа SubSeven (см. рис. 8.3). Помимо того что она предлагает стандартные возможности удаленного доступа (удаление, изменение и копирование папок и файлов), программа SubSeven позволяет воровать идентификаторы и пароли пользователей ICQ, перехватывать сообщения таких программ немедленного обмена сообщениями, как AOL Instant Messenger, и заставлять компьютер жертвы вслух читать текст голосом робота.
The Thing
Размеры серверных файлов RAT, таких как В02К. или SubSeven, могут колебаться в пределах от 300 Кб до 1,2 и более мегабайт. Скрыть присутствие таких файлов очень трудно, и поэтому в некоторых случаях хакеры используют троянские программы меньшего размера, такие как The Thing.
Размер The Thing составляет всего лишь 40 Кб, что затрудняет обнаружение "троянского коня" после того, как он связан или внедрен в другую программу. The Thing, ii отличие от других RAT, не предоставляет возможностей полного доступа к компьютеру жертвы. Вместо этого The Thing только открывает одиночный порт, через который хакер впоследствии сможет загрузить более крупный RAT, такой как Back Orifice или SubSeven, на который и будет возложена задача обеспечения полного дистанционного контроля над компьютером. Как только хакер загрузит и установит в компьютере жертвы более совершенные RAT, он сможет добиваться своих целей уже с их помощью, а программу The Thing, которая сделала свое дело, удалит из памяти компьютера.
Различные возможности "троянского коня", предоставляемые клиентской программой SubSeven посредством дружественного пользовательского интерфейса
Методики, используемые хакерами при написании троянских программ
Для создания "троянских коней" хакеры использовали практически все известные языки программирования, в том числе возможности командных файлов MS-DOS и языка BASIC. Выбор конкретного языка программирования не столь суще-стнен по сравнению с самой возможностью создания "троянского коня", способного избежать обнаружения, самостоятельно инсталлироваться и выполнить возложенные на него задачи. Тем не менее, двумя наиболее популярными языками, используемыми для написания RAT, являются C/C++ (пример - Back Orifice) и Delphi (пример - NetBus), поскольку оба эти языка позволяют создавать небольшие программы, хранящиеся в виде одного исполняемого файла.
Хотя для написания RAT и может быть использован язык наподобие Visual Basic, шансов, что такая троянская программа сможет выполняться, гораздо меньше, поскольку для программ на Visual Basic требуются специализированные файлы времени выполнения, имеющие большие размеры, тогда как программы на C/C++ необходимости н таких файлах не испытывают. Если в компьютере отсутствуют требуемые файлы времени выполнения, программа на Visual Basic выполняться не сможет.
Написание троянских программ разного назначения требует различных усилий. Троянскую программу, позволяющую украсть пароль путем имитации диалогопого окна для входа в систему, написать гораздо проще, чем ту, которая предоставляет возможности удаленного доступа. В порядке оказания помощи друг другу многие хакеры предоставляют на хакерских узлах исходные коды своих "троянцев". Другие хакеры могут адаптировать эти исходные коды для своих нужд или использовать их при написании собственных троянских программ.
Другую возможность получения исходных кодов, которые можно было бы использовать для создания "троянских коней", предоставляют проекты с открытым исходным кодом. (Наиболее известным из таких проектов является Linux, но существуют и другие проекты подобного рода, например PhoenixMail, который был использо-нан для создания "троянского коня" ProMail.) Как только исходный код легальной программы оказывается в руках хакера, он может добавить в него собственный код и создать собственного "троянского коня".
Как бороться с "троянскими конями"
Чтобы обезопасить свой компьютер от троянских коней, используйте наборы различных средств защиты в сочетании с толикой здравого смысла.Во-первых, убедитесь в том, что вам известно, у кого есть возможность доступа к вашему компьютеру. Заблокируйте компьютер, защитите его паролем или отключитесь от сети, если не работаете с ним.
Во-вторых, следите за тем, откуда к вам попадает программное обеспечение. Всегда будьте начеку, если кто-то пытается всучить вам программу по электронной почте, а также через службы интерактивного общения или немедленного обмена сообщениями! Эта программа может оказаться зараженной "троянским конем", причем сам отправитель сообщения об этом может даже и не знать.
Загружайте программное обеспечение только с официальных Web-узлов известных поставщиков. Если вы загрузите программу с другого Wfeb-узла, то не исключено, что в ней содержится внедренный "троянский конь". Существует множество хакер-ских узлов, на которых предлагаются пиратские копии программ и инструментальные средства хакера, и некоторые из этих файлов также могут быть инфицированы "троянскими конями".
Но как бы тщательно вы сами ни оберегали слой компьютер, кто-то другой может все-таки "подбросить" нам "троянского кони", во время вашего отсутствия. Поэтому не забывайте о таких дополнительных мерах защиты, как установка программ восстановления предыдущего состояния системы, антивирусных программ, брандмауэров, а также специальных "антитроянских" программ.
Программы восстановления предыдущего состояния системы
Одной из серьезных проблем, связанных с использованием современного программного обеспечения, является то, что после его установки даже на самом хорошем компьютере оно часто работает неустойчиво. Программы восстановления предыдущего состояния системы (rollback programs - программы "отката") призваны выручать вас в подобных случаях, отслеживая изменения, которым подвергаются данные на жестких дисках, и периодически получая "моментальные снимки" ("snapshots") системы. Благодаря этому, если вновь установленная программа приводит к краху системы, указанные программы отменяют все произведенные изменения содержи мого жестких дисков и восстанавливают состояние компьютера, в котором он нам1 дился до установки программы.Хотя первоначальной целью разработки таких программ являлось предотврацп ние конфликтов между различными программными продуктами, их также можм использовать для защиты компьютеров от вирусов или "троянских коней". Если тол ко "троянский конь" удалит ваши данные, немедленно запустите программу восст новления, чтобы вернуть систему в то состояние, в котором она находилась до то как данные были запорчены.
Несмотря на способность программ восстановления ликвидировать ущерб, П| чиненный "троянскими копями", вирусами или крахом жесткого диска, они и состоянии исключить саму возможность возникновения подобных проблем. Од1 ко в сочетании с регулярным сохранением резервных копий содержимого жсстк( диска эти программы надежно страхуют вас от потери важных данных и снижа вероятность того, что атака "троянского коня" будет иметь для вас катастрофич кие последствия.
К числу наиболее популярных программ восстановления предыдущего состоя! системы, которые вы можете купить, относятся программы ConfigSafe (httj www.imagine-lan.com), Flash Back (littp://www.aladdinsys.com) и Undelete (htt www.execsoft.com).
Антивирусные программы
Хотя антивирусные программы (antivirus programms) в первую очередь предна^ чены для обнаружения и удаления компьютерных вирусов, их также можно испо. зовать для обнаружения и удаления клиентских файлов простых RAT. Вместе с тс антивирусные программы способны распознавать лишь наиболее распространен!i типы "троянских коней" и поэтому могут не защитить вас от менее известных де( руктивных троянских программ, RAT и "троянских коней" нестандартного тип;1 связи с этим антивирусные программы следует использовать исключительно и честве дополнительного, но ни в коем случае не единственного средства защиты > пьютсра от "троянских коней".Брандмауэры
Брандмауэр (firewall) может изолировать вашу компьютерную сеть от любо-розы извне (см. рис. 8.4). Несмотря на то что брандмауэр не в состоянии уни> жить троянского коня, он обеспечивает мониторинг и отключение внешнего трэ' ка, проходящего через любой открытый порт вашего компьютера. Закрывая и брандмауэр препятствует доступу хакеров к компьютеру посредством RAT. К того, брандмауэры могут отслеживать и регистрировать все попытки доступдирования возможных каналов проникновения в компьютер, а также генерировать предупреждающие звуковые сигналы в случае, если кто-то посторонний пытается получить доступ к компьютеру без вашего разрешения.
Брандмауэры могут осуществлять мониторинг отдельных портов и извещать вас о попытках их использования без вашего разрешения
К числу наиболее популярных брандмауэров относятся: BlacklCE PC Protection (), Personal Firewall (http://www.mcafee.com), Norton Internet Security (http://www.symantec.com), Outpost and Jammer (http://www.agnitum.com) и ZoneAlann (http://www.zoneIabs.com).
Программы для защиты от "троянских коней"
Лучший способ защиты от "троянских коней" - это установка одной из программ, которые специально предназначены для их обнаружения и удаления. Такие программы, называемые антитрояискими (anti-Trojan horse programme), которые содержат базы данных сигнатур, однозначно идентифицирующих различные разновидности "троянских коней" (см. рис. 8.5), сканируют диск и проверяют, не встречается ли в содержимом того или иного файла известная сигнатура из базы данных. Наличие одной из сигнатур в файле указывает на присутствие "троянского коня", что дает возможность своевременно удалить преступную программу и ликвидировать последствия ее работы, например, восстановить испорченные данные реестра Windows.
Антитроянские программы позволяют обнаруживать и удалять "троянских коней" еще до того, как они получат возможность атаковать компьютер
В отличие от брандмауэров, которые блокируют порты, предоставляющие путь доступа в компьютер через локальную сеть или Internet, антитроянские программы могут осуществлять мониторинг открытых портов и обнаруживать любой подозрительный трафик, который может быть связан с деятельностью "троянского коня". Как только программа RAT попытается получить доступ к порту вашего компьютера или открыть его, ее действия будут замечены, а "троянский конь" - найден и уничтожен.
Специализированные программы защиты от "троянских коней", как и антивирусные программы, следует регулярно обновлять. К числу наиболее популярных ан-титроянских программ относятся следующие: Hacker Eliminator (http://hacker-eliminator.com), Tauscan (http://www.agnitum.com), TDS-3: Trojan Defence Suite (tds.diamondcs.com.au), NetSpyHunter (http://www.netspyhunter.com), Anti-Trojan (www.anti-trojan.net) и The Cieaner (http://www.moosoft.com).
Хакерский инструментарий для борьбы с "троянскими конями"
Поскольку хакеры часто атакуют друг друга, многие из них написали собственные инструментальные средства, позволяющие им удалять из своих компьютеров
"троянских коней" определенного типа. В отличие от антитроянских программ общею назначения, просматривающих жесткий диск в поиске "троянских коней" всех известных типов, аналогичные им хакерские программы предназначаются для об-шфужения и удаления лишь какого-то одного определенного их типа. (Будьте бдительны: хакер-злоумышленник может предлагать вам для загрузки якобы антитро-янскую программу, которая в действительно несет в себе "троянского коня".)
Еще несколько слов о "троянских конях"
Для защиты от "троянских коней" используйте комбинацию различных защитных средств в сочетании с небольшой толикой здравого смысла.
Лучшим способом оградить свой компьютер от заражения "троянским конем" является блокирование всех возможных каналов его проникновения, например: установка брандмауэра, отказ от запуска неизвестных программ и физическое блокирование доступа к компьютеру, исключающее вероятность случайной или преднамеренной установки на нем троянской программы в ваше отсутствие. Для получения более подробной информации о "троянских конях" посетите \№Ь-узел HackFix (www.hackfix.org) или Web-узел TL Security (http://www.tlsecurity.net), на котором не только рассказывается о троянских программах, но и предоставляются их исходные коды для вашего ознакомления.
"Троянские кони" представляют собой реальную опасность, однако если вы будете избегать использования неизвестных программ и защитите свой компьютер всеми известными средствами, то вам удастся не допустить в него "троянских коней", которые будут угрожать вашим данным. После этого вам останется лишь побеспокоиться о том, чтобы возле компьютера не мелькали посторонние люди.