Защищаем свой компьютер от троянских коней
🕛 20.09.2009, 14:28
По греческому преданию, ахейцы, когда отступали, оставили в «подарок» Трое огромного деревянного коня. Троянцы как дар ввезли его в город Трою. Ночью спрятавшиеся в коне ахейцы поубивали часовых и открыли ворота в город, чтобы впустить основные войска. С тех пор выражение «троянский конь» стало нарицательным - дар врагу, чтобы погубить его. В рамках данного раздела мы поговорим с вами о троянских конях. Что это такое, какими они бывают, как можно подхватить эту заразу и как уберечься от нее. И наконец, самое главное - что делать, если вы все‑таки стали жертвой троянского коня.Сразу следует сделать маленькое, но существенное уточнение. Троянский конь - это не то же, что вирус. В отличие от вирусов, которые в основном "убивают" операционную систему и форматируют диски, троянские кони по своей сути существа весьма мирные. Сидят себе спокойно и делают свое черное дело.
Основная область компетенции этой части вредоносного ПО - воровство конфиденциальной информации, паролей с последующей передачей всего этого добра хозяину. В классическом варианте троянский конь состоит из клиента и сервера. Серверная часть инсталлируется на машине у жертвы, клиентская - у хозяина, то есть у того, кто создал троянского коня или просто модифицировал его, заставив работать на себя (такое тоже бывает и даже чаще, чем написание троянского коня с нуля). Связь клиента и сервера осуществляется через какой‑либо открытый порт. Протокол передачи данных обычно TCP/IP, но известны троянские кони, которые используют и другие протоколы связи, такие как ICMP и даже UDP.
Человек, который занимается написанием троянских коней, умело маскирует их. Один из вариантов - замаскировать троянского коня под какую‑либо полезную программу. После ее запуска сначала происходит выполнение его кода, который затем передает управление основной программе. Троянский конь также может быть просто, но эффективно замаскирован под файл с любым дружественным расширением, например GIF.
Приведем некоторые примеры троянских коней.
- Ворующие пароли:
- Trojan‑PSW.Win32.QQPass.du - китайский троянский конь, ворующий Windows‑пароли;
- Bandra.BOK - скачивается на компьютер жертвы при посещении определенного сайта, пытается украсть пароли от определенных банковских сайтов;
- Bancos.LU - сохраняет пароли во временных файлах, а затем пытается отослать их хозяину;
- Banker.XP - собирает конфиденциальные данные, пароли, счета и т. д., отправляя их на определенный адрес.
- Утилиты удаленного администрирования- backdoor ("потайная дверь"):
- Backdoor.Win32.Whisper.a - троянский конь со встроенной функцией удаленного управления компьютером;
- Back Orifice - позволяет постороннему контролировать ваш ПК как свой собственный (более подробно об этой программе см. далее).
- Программы‑дозвонщики отличаются тем, что могут нанести жертве значительный финансовый урон, устанавливая соединение с зарубежным интернет‑провайдером: таким образом, с телефонного номера абонента происходит установление "незаказанного" международного соединения, например с островами Кука, Сьерра‑Леоне, Диего‑Гарсиа или другим диковинным регионом в зависимости от чувства юмора создавшего программу:
- Trojan‑PSW.Win32.DUT;
- Trojan‑PSW.Win32.Delf.gj;
- PSWTool.Win32.DialUpPaper.
- Троянские кони типа клавиатурных шпионов способны отслеживать нажатия клавиш клавиатуры и отсылать эту информацию злонамеренному пользователю; это может осуществляться по почте или отправкой прямо на сервер, расположенный где‑либо в Сети:
- Backdoor.Win32.Assasin.2 ;
- Backdoor.Win32.BadBoy;
- Backdoor.Win32.Bancodor.d.
- Загрузчики - представляют собой троянского коня, загружающего из Интернета файлы без ведома пользователя; загружаемое может быть как HTML‑стра‑ницами нецензурного содержания, так и просто вредоносным ПО:
- Trojan‑Downloader.Win32.Agent.fk - представляет собой Windows PE EXE‑файл. Размер зараженных файлов существенно варьируется;
- Trojan‑Downloader.Win32.Small.bxp - троянский конь первоначально был разослан при помощи спам‑рассылки. Представляет собой Windows PE EXE‑файл. Имеет размер около 5 Кбайт. Упакован FSG. Размер распакованного файла около 33 Кбайт.
- Дропперы (Dropper) - троянские кони, созданные для скрытной установки в систему других троянских коней (пример - Trojan‑Dropper.Win32.Agent.vw).
- Proxy‑серверы - троянский конь устанавливает в вашу систему один из нескольких прокси‑серверов (socks, HTTP), а затем кто угодно, заплатив хозяину троянского коня, либо сам его создатель совершает интернет‑серфинг через этот прокси, не боясь, что его IP‑адрес вычислят, так как это уже не его IP, а ваш!
- Деструктивные троянские кони - помимо своих непосредственных функций сбора и отсылки конфиденциальной информации, могут форматировать диски и убивать операционные системы.
Как подхватить "заразу"? Вы можете поймать вирус одним из следующих способов.
- Скачивая файлы из сомнительных источников.
- С помощью электронной почты - самый распространенный способ заражения. Несмотря на многочисленные предупреждения, прогрессирует благодаря методам социальной инженерии. Прикрепленный файл, даже если он выглядит как картинка, может быть удачно замаскированным троянским конем.
- Через дискету, CD, флэш‑диск либо другой сменный носитель - довольно распространенный способ заражения.
- Просто выйдя в Интернет без установки последних обновлений Windows.
Эти пути проникновения неновы, однако именно они наиболее часто используются злоумышленниками.
Изобретательность вирусописателей не знает границ. Живой пример - Trojan horse.Bat.Format C, который сидел… в программном коде Trojan Remover (пакет для удаления троянских коней). Разобраться в таких случаях бывает нелегко. Правильность заключения можно проверить, лишь дизассемблировав такую программу.
Довольно оригинальный способ заражения - через autorun при попытке прочитать содержимое CD или флэшки. Как вы уже догадались, autorun.exe в данном случае выступает в довольно оригинальной роли. Лучшим способом защиты может стать отключение автозапуска на всех сменных носителях.
А теперь горячий пример, который, как я надеюсь, поможет вам лучше разобраться в сути троянизации, заглянув "по ту сторону баррикад".
Наш герой - Back Orifice.Без преувеличения будет сказано, с азартным трепетом и чувством глубокого уважения к создателям рассмотрим «анатомию» самой известной и нашумевшей в свое время утилиты удаленного администрирования - Back Orifice (BO).
С чего же все началось? Наверняка история создания знаменитого BO была бы неполной без упоминания ее создателей - известнейшей хакерской группы "Cult of the Dead Cow" (cDc). Основанная в середине 1980‑х, команда с достоинством прошла огонь, воду и медные трубы и до сих пор процветает и здравствует.
В 1993 году участник группы - Drunkfix - создал официальный сайт в Сети, после чего известность хак‑группы начала распространятся не только через BBS. Большую заслугу в обретении широкой известности cDc внес один из участников группы - Ratte, который играл роль вроде пресс‑атташе.
1 августа 1998 года на конференции Defcon один из членов группы - Sir Dystic - представил Back Orifice широкой публике. Как заявил автор, его детище - лишь подтверждение того, насколько уязвима может быть Windows.
Очень скоро BO приобрела статус троянского коня: антивирусные базы пополнились записями типа BackDoor: BOrifice, Trojan.Bo - чему, собственно, удивляться особенно и не приходится, ведь BO с успехом можно использовать и для удаленного управления чужим ПК. Графический, интуитивно понятный интерфейс программы и ее внушительные возможности произвели настоящий фурор, после чего в известных кругах установка BO на чужой ПК превратилась во что‑то вроде увлекательного соревнования.
Back Orifice работает по принципу "клиент - сервер" и позволяет удаленно администрировать ПК, на котором предварительно установлена серверная часть.
С выходом новой версии Back Orifice 2000, поддерживаемой Windows NT и имеющей открытый код, популярность "народного любимца" достигла своего апогея. Относительно BO начала высказываться и Microsoft: программа, мол, не является прямой угрозой для Windows и требует со стороны атакующего установки серверной части на машину жертвы. Так или иначе, а на сегодняшний день знаменитый Back Orifice классифицируется как самый настоящий троянский конь.
По современной классификации (использована информация http://www.virusList.com),
BO в базах данных различных антивирусных компаний выглядит следующим образом:
- Backdoor.Win32.BCa ("Лаборатория Касперского");
- Orifice.svr (McAfee);
- W32.HLLP.Clay.dr (Symantec);
- BackDoor.BOrifice (Doctor Web);
- Troj/Orifice‑A (Sophos);
- Backdoor:Win32/BOClay (RAV);
- BKDR_BO.58 8 80 (Trend Micro);
- Trj/BOr (Panda);
- Back_Orifice.Dropper (Eset).
Являясь достаточно мощной утилитой удаленного администрирования, Back Orifice разрешает пользователю контролировать компьютеры при помощи обычной консоли или графической оболочки. А теперь внимание! Ни много ни мало крылатая фраза, которая весьма емко отражает возможности программы: "В локальной сети или через Internet BO предоставляет пользователю больше возможностей на удаленном Windows‑компьютере, чем имеет сам пользователь этого компьютера".
Согласно классификации "Лаборатории Касперского", BO (как и другие утилиты удаленного администрирования) могла вовсе и не попасть в "черный список", если бы не одно но. При запуске серверной части отсутствуют какие‑либо предупреждения: "продвигаясь вглубь", троянский конь незаметно устанавливает себя в системе и затем берет ее полностью под свой контроль, при этом жертве не выдается никаких сообщений о действиях троянского коня в системе. Более того, в списке активных приложений ссылка на BO отсутствует.
Распространяется BO как пакет, включающий в себя серверную часть (boserve.exe или bo2k.exe), клиентскую часть (bo2kgui.exe) и файл конфигурации сервера (bo2kcfg.exe). В дополнение к трем перечисленным компонентам пакет может содержать плагины и документацию.
Все три компонента программы написаны на C++ и откомпилированы Microsoft Visual C++. Все программы имеют формат Portable Executable и могут выполняться только в среде Win32.
Как вы уже поняли, основной программой в пакете является boserve.exe, он же bo2k.exe. Следует отметить, что при установке на целевой ПК сервер можно обнаружить под другими именами, вплоть до system, explore, в зависимости от фантазии того, кто конфигурировал сервер.
Вторым файлом является boconfig.exe, он же bo2kcfg.exe, назначение которого - первичная настройка сервера. Программа конфигурации позволяет производить самые разнообразные настройки, вплоть до склейки сервера с каким‑либо другим исполняемым файлом. Зачем это нужно, думаю, объяснять не стоит.
И наконец, посредством чего осуществляется удаленное управление серверной частью - клиентская часть - bo2kgui.exe.
При запуске серверной части происходит следующее: сервер BO настраивает под себя нужные порты, в результате чего открытым оказывается порт 31337.
ПРИМЕЧАНИЕ
Кстати, цифра 31337 известна не только благодаря тому, что порт 31337 является портом по умолчанию BO. Дело в том, что 31337 в околохакерских кругах означает ни много ни мало, а "элита".
Следует учесть, что при заражении BO порт 31337 может молчать, ведь никто не мешает настроить работу сервер/клиент на другой порт. При заражении в системном каталоге Windows появляется файл windll.dll. Далее троянский конь определяет адреса нескольких Windows API, ищет свою копию в памяти и выгружает ее, если обнаружена старая версия утилиты; попросту говоря, троянский конь сам себя обновляет. После вышеперечисленного BO, как и любой уважающий себя троянский конь, копируется в системный каталог Windows (), прописывая себя на автозапуск в следующем ключе реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
После того как троянский конь закрепляется в системе, он начинает слушать 31337 UDP‑порт, оставаясь в памяти Windows как скрытое приложение (то есть без активного окна и ссылки в списке приложений). После того как сервер получил команды от клиента, на машине жертвы возможно развитие следующего сценария:
- сервер высылает своему истинному хозяину различную информацию о системе: тип процессора, размер памяти, версия системы, установленные устройства и т. п.;
- сервер открывает для общего доступа диски, делая их видимыми из сети.
Таким образом, удаленный пользователь получает полный контроль над зараженной системой: операции удаления, копирования, вплоть до форматирования, становятся настолько же реальными, как если бы вы работали за своим собственным ПК. Помимо перечисленного, удаленный пользователь имеет возможность: отключать текущего пользователя от сети, подвешивать систему, убивать процессы, получать и отправлять кэшированные пароли, выводить текстовые сообщения, проигрывать звуковые файлы и т. д.
Вышеперечисленные возможности отнюдь не являются "верхом" того, на что способен BO: чтобы расширить список функций, достаточно скачать пару новых плагинов (plug‑in) - и все!
Вернемся к нашей защите.
Если ваш антивирус упорно молчит, а возможность присутствия троянского коня высока, то можно попробовать обнаружить шпиона, воспользовавшись специальными утилитами вроде Trojan Remover либо другими аналогичными продуктами. Как показывает практика, этот способ доступен даже самому неопытному пользователю ПК.
- Advanced Spyware Remover - утилита, предназначенная для защиты персонального компьютера от вредоносных программ и шпионских модулей и позволяющая избавиться от рекламных программ, дозвонщиков, программ‑шпионов, клавиатурных шпионов, троянских коней и т. д. Advanced Spyware Remover проверяет системный реестр на наличие в нем ключей, принадлежащих вышеперечисленным типам вредоносных программ. Ее главной отличительной особенностью перед аналогами является высокая скорость работы сканера и обновляемая антишпионская база сегментов вредоносного кода.
- SpyDefense - программа для обнаружения шпионских модулей; позволяет найти и обезвредить достаточно приличное количество компьютерных шпионов.
- Arovax AntiSpyware - утилита для удаления программ‑шпионов. На сегодняшний день в антишпионской базе утилиты содержится свыше 33 тыс. сегментов вредоносного кода.
- Microsoft AntiSpyware - система разработки Microsoft для борьбы с вредоносными программами и шпионскими модулями. Как утверждает разработчик, утилита держит под контролем более 50 так называемых spyware‑путей, по которым в компьютер могут попасть шпионские модули.
Перечисленные утилиты можно скачать по адресу: http://www.izone.ru/security/spy/.
Говоря о добротных программных средствах противодействия вредоносному ПО, напоследок стоит все же упомянуть условно бесплатную программу Anti‑Spy Info, которую можно загрузить с одноименного сайта (http://anti‑spy.info).При запуске программа отображает список активных процессов и автоматически загружаемых объектов (тип запуска того или иного объекта приведен в графе Запуск).Все, что нам нужно делать, - следить за списком автозагрузки на предмет появления в нем новых объектов. Следует отметить тот факт, что Anti‑Spy Info обладает достаточно мощным эвристическим механизмом, анализирующим активные процессы и автоматически загружаемые объекты и определяющим вероятность их принадлежности к вирусам.
Если все усилия по поимке "зло‑кода" так ничего и не дали, а признаки троянизации налицо (слишком большой трафик, непонятные процессы в оперативной памяти, зависания системы, лишние открытые порты) - то пришло, как говорят, время для плана Б. Необходимо просканировать ваш ПК извне на наличие открытых портов. Зачем? Все просто. Как уже было сказано выше, при своей работе троянский конь, как правило, открывает "левый", нестандартный для нормального состояния системы порт.
ВНИМАНИЕ
Имейте в виду - ничто не мешает троянскому коню использовать порт доверенного приложения!
Все, что вам понадобится для такой операции, - хороший сканер портов. Данная процедура высокоэффективна, и с ее помощью выявляются даже самые скрытные и хитрые троянские кони. Из сканеров можно посоветовать X‑Spider, который является лучшим сканером для подобных дел. Если у вас открыты нестандартные порты, то стоит задуматься и прикрыть это дело в настройках брандмауэра (подробно о выборе брандмауэра смотрите в гл. 6). Ниже приведен далеко не полный список подозрительных портов:
- 23 - Tiny Telnet Server (= TTS);
- 25 - Ajan, Antigen, Email Password Sender, Haebi Coceda, Happy 99;
- 31 - Master Paradise;
- 121 - BO jammerkillahV;
- 456 - HackersParadise;
- 555 - Phase Zero;
- 666 - Attack FTP;
- 1001 - Silencer;
- 1001 - WebEx;
- 1010 - Doly Trojan 1.30 (Subm.Cronco);
- 1011 - Doly Trojan 1.1 + 1.2;
- 1015 - Doly Trojan 1.5 (Subm.Cronco);
- 1033 - Netspy;
- 1042 - Bla1.1;
- 1170 - Streaming Audio Trojan;
- 1207 - SoftWar;
- 1243 - SubSeven;
- 1245 - Vodoo;
- 1269 - Maverick's Matrix;
- 1492 - FTP99CMP;
- 1509 - PsyberStreamingServer Nikhil G;
- 1600 - Shiva Burka;
- 1807 - SpySender;
- 6669 - Vampire 1.0;
- 6670 - Deep Throat;
- 6883 - DeltaSource (DarkStar);
- 6912 - Shitheep;
- 6939 - Indoctrination;
- 7306 - NetMonitor;
- 7789 - iCkiller;
- 9872 - PortalOfDoom;
- 9989 - nIkiller;
- 10607 - Coma Danny;
- 11000 - SennaSpyTrojans;
- 11223 - ProgenicTrojan;
- 12076 - Gjamer;
- 12223 - Hackr99 KeyLogge;
- 12346 - NetBus 1.x (avoiding Netbuster);
- 12701 - Eclipse 2000;
- 16969 - Priotrity;
- 20000 - Millenium20034‑NetBus Pro;
- 20203 - Logged!;
- 20203 - Chupacabra;
- 20331 - Bla;
- 21544- GirlFriend;
- 22222 - Prosiak 0.47;
- 23456 - EvilFtp;
- 27374 - Sub‑7 2.1;
- 29891 - The Unexplained;
- 30029 - AOLTrojan1.1;
- 30100 - NetSphere;
- 30303 - Socket25;
- 30999 - Kuang;
- 31787 - Hack'a'tack;
- 33911 - Trojan Spirit 2001 a;
- 34324 - Tiny Telnet Server;
- 34324 - BigGluck TN;
- 40412 - TheSpy;
- 40423 - Master Paradise;
- 50766 - Fore;
- 53001 - RemoteWindowsShutdown;
- 54320 - Back Orifice 2000 (default port);
- 54321 - Schoolbus 1.6+2.0;
- 61466 - Telecommando;
- 65000 - Devil 1.03.