Надежда Баловсяк - Интернет. Трюки и эффекты

• Через электронную почту. Несмотря на многочисленные предупреждения и предосторожности, этот способ заражения, как самый распространенный, прогрессирует. Поэтому будьте внимательны и никогда не открывайте прикрепленные файлы, пришедшие с сообщением от незнакомого человека.

• Через дискету или компакт-диск – также довольно распространенный способ заражения. По статистике, пользователи проверяют дискеты чаще, чем диски, если не сказать больше: компакт-диски обычно не проверяют вообще. Однако именно пиратские диски (никто не будет отрицать, что таких у нас большинство) играют значительную роль в распространении вирусов. Почему, когда вирус «Чернобыль» пронесся над Европой и Азией, оказалось, что инфицированы около 1 млн машин, а в США – всего 10 000? Потому что он распространялся через нелегальное программное обеспечение, скопированное на компакт-диски. Поэтому возьмите за правило проверять съемные диски антивирусной программой и регулярно обновляйте антивирусные базы.

Иногда вирус может быть замаскирован под joke-программу, имитирующую вирус, хотя и Kaspersky 5.0 и Panda Platinum определяют его как самый настоящий вирус. Изобретательность создателя вируса в этом случае не знает границ: название такой «шутки» может быть Not virus!Joke! Убедиться в объективности антивирусной проверки можно, лишь дизассемблировав подобную программу. Иногда вирусы могут находиться даже в программном коде антивируса.

В данном разделе поговорим о троянских конях. Сразу следует сказать, что троянский конь – это не вирус. По сравнению с вирусами, которые уничтожают Windows и форматируют диски, они приносят меньший ущерб. Область их компетенции – воровство конфиденциальной информации, паролей с последующей передачей их хозяину. В классическом варианте троянский конь состоит из клиента и сервера. Серверная часть обычно находится на компьютере у жертвы, клиентская – у хозяина, то есть у того, кто создал троянского коня или просто модифицировал его, заставив работать на себя. Связь клиента и сервера осуществляется через какой-либо открытый порт. Протоколом передачи данных обычно является TCP/IP (Transmission Control Protocol/Internet Protocol), но известны троянские кони, которые используют и другие протоколы связи, в частности ICMP (протокол межсетевых управляющих сообщений – Internet Control Message Protocol) и даже UDP (User Dategram Protocol – протокол стека TCP/IP). Тот, кто создает троянских коней, умело маскирует их, например, под полезные программы. При их запуске вначале происходит выполнение кода, который затем передает управление основной программе. Троянский конь также может быть просто, но эффективно замаскирован под файл с любым расширением, например GIF.

Современная классификация троянских коней выглядит следующим образом.

• Mail Sender – наиболее распространенная разновидность, так как подавляющее большинство троянов, если не все, отсылают хозяину пароли доступа в Интернет, от электронной почты, ICQ, чатов и т. д. в зависимости от изобретательности их создателя. Например: Trojan-PSW.Win32.QQPass.du (ворует пароли Windows), Bandra.BOK (пытается украсть пароли от банковских сайтов), Bancos.LU (сохраняет пароли во временных файлах, а затем пытается отослать их хозяину), Banker.XP (собирает конфиденциальные данные, пароли, счета и т. д. и отправляет их хозяину).

• Backdoor – утилиты удаленного администрирования, обычно обладают возможностями Mail Sender и функциями удаленного управления компьютером. Такой троян ждет соединения со стороны клиента (через какой-либо порт), с помощью которого посылает команды на сервер. Например: Backdoor.Win32.Whisper.a (имеет встроенную функцию удаленного управления компьютером), Back Orifice (позволяет полностью контролировать компьютер).

• Программы-дозвонщики – отличаются тем, что могут нанести значительный финансовый урон, соединяясь с зарубежным провайдером. С телефонного номера абонента происходит установка международного соединения, допустим с островами Кука, Сьерра-Леоне и т. д. Например: Trojan – PSW.Win32.DUT или trojan.dialuppasswordmailer.a, Trojan-PSW.Win32.Delf.gj, Not-a-virus:?PSWTool.Win32.DialUpPaper, Not-a-virus: PornWare.Dialer.RTSMini и др.

• Трояны-кейлоггеры – удачно сочетают в себе функции кейлоггера и Send-Mailer. Они способны отслеживать нажатия клавиш клавиатуры и отсылать эту информацию своему создателю по почте или прямо на сервер, расположенный в Интернете. Например: Backdoor.Win32.Assasin.20, Backdoor.Win32.Assasin.20.n, Backdoor.Win32.BadBoy, Backdoor.Win32.Bancodor.d (keylogger.trojan) и др.

• Эмуляторы DDos (Distributed Denial of Service) – довольно интересная группа троянов. Серверная часть отслеживает определенный порт и, как только получает команды извне, начинает функционировать как нюкер (приложение, отсылающее на заданный IP шквал некорректно сформированных пакетов, что приводит к отказу в обслуживании).