Рекомендации не запускать программы, пришедшие к вам по почте от
неизвестных отправителей под видом полезных утилит, обновлений и т. п.,
стали уже общим местом. К сожалению, выполнения этих рекомендаций
совершенно недостаточно для сохранения ваших паролей, конфиденциальной
информации, да и просто целостности данных на вашем жестком диске. Не
будет преувеличением утверждать, что с момента представления широкой
публике самого известного троянского коня Back Orifice и хлынувшего за
этим в Internet потока подобных программ, ваши шансы заполучить в свою
систему подобного "помощника" очень велики. Например, в последние месяцы
значительный процент скачиваемых из Internet мелких утилит и
программок-забав (toy) содержал в себе того или иного троянца. Не лучше
ситуация и с содержимым пиратских дисков.

Часть троянских программ ограничивается тем, что отправляет ваши пароли по
почте своему создателю или человеку, который сконфигурировал эту
программу. Но для лучших из них пароли - это мелочь: Back Orifice,
несмотря на аскетичный интерфейс, позволяет постороннему человеку по
локальной сети или Internet получить полный контроль над вашим
компьютером. Полный доступ к вашим дискам (включая возможность их
форматировать!), наблюдение за содержимым экрана в реальном времени,
запись с подключенного к системе микрофона или видеокамеры - вот далеко не
полный перечень возможностей подобных программ. Малоизвестный троянец
Master of Paradise по удобству и скорости работы на медленном соединении c
успехом может поспорить с такими лучшими представителями средств
удаленного управления, как VNC (www.orl.co.uk/vnc).

Любой классический троянец состоит из двух частей: сервера и клиента.
Сервер - это собственно исполняемый файл, который, попав в ваш компьютер,
загружается в память одновременно с запуском Windows и выполняет
получаемые от удаленного клиента команды. Возможны различные пути его
проникновения в вашу систему: чаще всего это происходит при запуске
какой-либо полезной программы, в которую внедрен сервер. В момент первого
запуска сервер копирует себя в какое-нибудь потаенное местечко (особой
любовью у авторов троянцев пользуется директория c:\windows\system),
прописывает себя на запуск в системном реестре, и даже если вы никогда
больше не запустите программу-носитель, ваша система уже поражена.
Возможно также внедрение сервиса просто при открытии Web-страницы, если
уровень безопасности, установленный в вашем браузере, позволяет
проделывать с вами такие трюки.

Существует также очень развитый инструментарий для внедрения сервисов
троянцев в исполняемые файлы, и вполне возможно, что кто-то уже
"усовершенствовал" ваш internat.exe (программа-индикатор языка клавиатуры,
которая загружается при запуске Windows, и любой код, внедренный в этот
exe-файл, также будет делать свое черное дело, пока включен ваш
компьютер).

Как бороться

"Обнаружить работу такой программы (троянца) на своем компьютере
достаточно сложно. Как правило, требуется полностью удалить Windows 95/98
и установить заново на чистый диск", - так пишет на своей страничке служба
поддержки одного из крупнейших московских провайдеров. Спасибо, что не
рекомендуют отформатировать все жесткие диски на низком уровне. На самом
деле, троянский конь в вашей системе - не такая уж неизлечимая болезнь. Я
хотел бы вкратце коснуться менее радикальных методов противодействия
троянским атакам.

А - Антивирусы. Почти все производители антивирусного ПО после выхода Back
Orifice спохватились и стали включать в свои программы средства борьбы с
троянцами. От случайного залетного троянца применение антивирусов вас
может спасти, но в целом этот метод нельзя признать абсолютно надежным.
Во-первых, новые программы-троянцы (и новые версии старых добрых троянцев)
выходят с не меньшей регулярностью, чем обновления антивирусных баз.
Существует даже троянский конь с нецензурным названием, написанный в
России, автор которого регулярно отслеживает обновления AVP и в течение
суток (!) выпускает новую версию; вот такое соревнование брони и снаряда.
Во-вторых, как показывает опыт, если сервис троянца внедрен в исполняемый
файл, антивирусы во многих случаях не могут его детектировать.

Б - Специальные программы для обнаружения троянских программ (антигены).
По сути, это антивирусное ПО, специализирующееся только на выявлении и
уничтожении троянских коней (и действующее при этом зачастую весьма
примитивно).

В - Следите за портами. Первый признак того, что у вас в системе завелась
какая-то дрянь, - лишние открытые порты. На мой взгляд, персональные
брандмауэры (типа описанного С. Голубицким AtGuard в "КТ" #292) дают
защиту настолько близкую к абсолютной, насколько это вообще возможно,
однако, вероятно, вам покажется утомительным каждые 15 секунд отвечать на
вопросы по поводу того, принимать ли данный пакет в данный порт или нет.
Для контроля открытых портов можно воспользоваться обычными порт-сканерами
(в этом случае вы будете выступать в роли хакера, "прощупывающего"
собственную систему) или программами типа NetMonitor
(www.leechsoftware.com), которые показывают открытые в настоящий момент
порты и сигнализируют об открытии новых портов и подключении к ним
посторонних личностей.

Г - Контролируйте ваши задачи. Следите за тем, какие задачи и сервисы
запускаются в вашей системе. 99 процентов троянских коней прописываются на
запуск в системном реестре в следующих ключах:

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\RunServices - чаще всего;

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run;

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run;

в файле WIN.INI раздел [windows] параметры "load=" и "run=".

Советую также иногда заглядывать в раздел
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Network\LanMan и проверять, не открыт ли некими
"доброжелателями" полный доступ к вашему диску С: как "скрытому ресурсу"
(открытый для доступа ресурс, не видимый обычными средствами).

Даже если вы не нашли в этих разделах ничего лишнего, это не значит, что в
настоящий момент у вас ничего такого не запущено. Ни для кого не секрет,
что список задач, вызываемый нажатием Ctrl+Alt+Del, далеко не полон. Для
контроля над запущенными задачами я предпочитаю пользоваться программой
CCtask (www.cybercreek.com). Она показывает полный список запущенных
задач, включая используемые DLL, и позволяет ими гибко управлять.

В заключение хотелось бы заметить, что широкое распространение троянских
коней дало в руки людей, не обладающих высокой квалификацией в хакерстве
или программировании, весьма эффективный и гибкий инструмент для получения
конфиденциальной информации и просто деструктивной деятельности по
отношению к пользователям локальных сетей и Internet. Некоторым для
предохранения от этой напасти будет достаточно применения антивирусных
программ и программ-антигенов, но если у вас есть основания полагать, что
вы стали объектом целенаправленной троянской атаки, вам следует очень
серьезно отнестись к вышеописанным аспектам безопасности вашей системы и
применять все эти меры в комплексе. Или отформатировать все ваши жесткие
диски... до следующего раза.

Computerra