‘Віддалене управління’ комп’ютером в мережах Internet / intranet, Віруси, Security & Hack, статті

Андрій Винокуров

Як завести вдома коня</p> <p>Рекомендації не запускати програми, які прийшли до вас поштою від<br /> невідомих відправників під виглядом корисних утиліт, оновлення і т. п.,<br /> стали вже загальним місцем. На жаль, виконання цих рекомендацій<br /> зовсім недостатньо для збереження ваших паролів, конфіденційної<br /> інформації, та й просто цілісності даних на жорсткому диску. Чи не<br /> буде перебільшенням стверджувати, що з моменту представлення широкої<br /> публіці найвідомішого троянського коня Back Orifice і хлинули за<br /> цим в Internet потоку подібних програм, ваші шанси дістати в свою<br /> систему подібного &#8220;помічника&#8221; дуже великі. Наприклад, в останні місяці<br /> значний відсоток завантажуваних з Internet дрібних утиліт і<br /> програмок-забав (toy) містив в собі того чи іншого троянця. Чи не краще<br /> ситуація і з вмістом піратських дисків.</p> <p>Частина троянських програм обмежується тим, що відправляє ваші паролі по<br /> поштою своєму творцеві або людині, яка сконфигурирован цю<br /> програму. Але для найкращих з них паролі &#8211; це дрібниця: Back Orifice,<br /> незважаючи на аскетичний інтерфейс, дозволяє сторонній людині по<br /> локальної мережі або Internet отримати повний контроль над вашим<br /> комп&#8217;ютером. Повний доступ до ваших дисків (включаючи можливість їх<br /> форматувати!), спостереження за вмістом екрана в реальному часі,<br /> запис з підключеного до системи мікрофона або відеокамери &#8211; ось далеко не<br /> неповний перелік можливостей подібних програм. Маловідомий троянець<br /> Master of Paradise по зручності і швидкості роботи на повільному з&#8217;єднанні c<br /> успіхом може посперечатися з такими кращими представниками засобів<br /> віддаленого управління, як VNC (www.orl.co.uk / vnc).</p> <p>Будь класичний троянець складається з двох частин: сервера і клієнта.<br /> Сервер &#8211; це власне виконуваний файл, який, потрапивши у ваш комп&#8217;ютер,<br /> завантажується в пам&#8217;ять одночасно із запуском Windows і виконує<br /> одержувані від віддаленого клієнта команди. Можливі різні шляхи його<br /> проникнення у вашу систему: найчастіше це відбувається при запуску<br /> будь-якої корисної програми, до якої запроваджено сервер. У момент першого<br /> запуску сервер копіює себе в якесь потаємне містечко (особливої<br /> любов&#8217;ю у авторів троянців користується директорія c: \ windows \ system),<br /> прописує себе на запуск в системному реєстрі, і навіть якщо ви ніколи<br /> більше не запустите програму-носій, ваша система вже вражена.<br /> Можливо також впровадження сервісу просто при відкритті Web-сторінки, якщо<br /> рівень безпеки, встановлений у вашому браузері, дозволяє<br /> проробляти з вами такі трюки.</p> <p>Існує також дуже розвинений інструментарій для впровадження сервісів<br /> троянців у виконувані файли, і цілком можливо, що хтось вже<br /> &#8220;Удосконалив&#8221; ваш internat.exe (програма-індикатор мови клавіатури,<br /> яка завантажується при запуску Windows, і будь-код, впроваджений в цей<br /> exe-файл, також буде робити свою чорну справу, поки включений ваш<br /> комп&#8217;ютер).</p> <p>Як боротися</p> <p>&#8220;Виявити роботу такої програми (троянця) на своєму комп&#8217;ютері<br /> досить складно. Як правило, потрібно повністю видалити Windows 95/98<br /> і встановити заново на чистий диск &#8220;, &#8211; так пише на своїй сторінці служба<br /> підтримки одного з найбільших московських провайдерів. Спасибі, що не<br /> рекомендують відформатувати всі жорсткі диски на низькому рівні. На самому<br /> справі, троянський кінь у вашій системі &#8211; не така вже невиліковна хвороба. Я<br /> хотів би коротко торкнутися менш радикальних методів протидії<br /> троянським атакам.</p> <p>А &#8211; Антивіруси. Майже всі виробники антивірусного ПЗ після виходу Back<br /> Orifice схаменулися і стали включати в свої програми засоби боротьби з<br /> троянцями. Від випадкового залітного троянця застосування антивірусів вас<br /> може врятувати, але в цілому цей метод не можна визнати абсолютно надійним.<br /> По-перше, нові програми-троянці (і нові версії старих добрих троянців)<br /> виходять з не меншою регулярністю, ніж оновлення антивірусних баз.<br /> Існує навіть троянський кінь з нецензурною назвою, написаний у<br /> Росії, автор якого регулярно відстежує поновлення AVP і протягом<br /> доби (!) випускає нову версію, ось таке змагання броні і снаряда.<br /> По-друге, як показує досвід, якщо сервіс троянця впроваджений у виконуваний<br /> файл, антивіруси в багатьох випадках не можуть його детектувати.</p> <p>Б &#8211; Спеціальні програми для виявлення троянських програм (антигени).<br /> По суті, це антивірусне ПЗ, яке спеціалізується тільки на виявленні та<br /> знищенні троянських коней (і діє при цьому найчастіше досить<br /> примітивно).</p> <p>В &#8211; Слідкуйте за портами. Перша ознака того, що у вас в системі завелася<br /> якась погань, &#8211; зайві відкриті порти. На мій погляд, персональні<br /> брандмауери (типу описаного С. Голубицький AtGuard в &#8220;КТ&#8221; # 292) дають<br /> захист настільки близьку до абсолютної, наскільки це взагалі можливо,<br /> однак, імовірно, вам здасться стомлюючим кожні 15 секунд відповідати на<br /> питання з приводу того, чи приймати даний пакет в даний порт чи ні.<br /> Для контролю відкритих портів можна скористатися звичайними порт-сканерами<br /> (У цьому випадку ви будете виступати в ролі хакера, &#8220;промацують&#8221;<br /> власну систему) або програмами типу NetMonitor<br /> (Www.leechsoftware.com), які показують відкриті зараз<br /> порти і сигналізують про відкриття нових портів і підключенні до них<br /> сторонніх осіб.</p> <p>Г &#8211; Контролюйте ваші завдання. Слідкуйте за тим, які завдання і сервіси<br /> запускаються у вашій системі. 99 відсотків троянських коней прописуються на<br /> запуск в системному реєстрі в наступних ключах:</p> <p> HKEY_LOCAL_MACHINE\Software\Microsoft\<br /> Windows \ CurrentVersion \ RunServices &#8211; найчастіше;</p> <p> HKEY_LOCAL_MACHINE\Software\Microsoft\<br /> Windows\CurrentVersion\Run;</p> <p> HKEY_CURRENT_USER\SOFTWARE\Microsoft\<br /> Windows\CurrentVersion\Run;</p> <p>у файлі WIN.INI розділ [windows] параметри &#8220;load =&#8221; і &#8220;run =&#8221;.</p> <p>Раджу також іноді заглядати в розділ<br /> HKEY_LOCAL_MACHINE\Software\Microsoft\<br /> Windows \ CurrentVersion \ Network \ LanMan і перевіряти, чи не чи відкритий якимись<br /> &#8220;Доброзичливцями&#8221; повний доступ до вашого диску С: як &#8220;прихованого ресурсу&#8221;<br /> (Відкритий для доступу ресурс, не видимий звичайними засобами).</p> <p>Навіть якщо ви не знайшли в цих розділах нічого зайвого, це не означає, що в<br /> Наразі у вас нічого такого не запущено. Ні для кого не секрет,<br /> що список завдань, що викликається натисненням Ctrl + Alt + Del, далеко не повний. Для<br /> контролю над запущеними завданнями я вважаю за краще користуватися програмою<br /> CCtask (www.cybercreek.com). Вона показує повний список запущених<br /> завдань, включаючи використовувані DLL, і дозволяє гнучко управляти ними.</p> <p>На закінчення хотілося б зауважити, що широке поширення троянських<br /> коней дало в руки людей, не володіють високою кваліфікацією в хакерстві<br /> або програмуванні, досить ефективний і гнучкий інструмент для отримання<br /> конфіденційної інформації та просто деструктивної діяльності з<br /> відношенню до користувачів локальних мереж і Internet. Деяким для<br /> оберігання від цієї напасті буде достатньо застосування антивірусних<br /> програм та програм-антигенів, але якщо у вас є підстави вважати, що<br /> ви стали об&#8217;єктом цілеспрямованої троянської атаки, вам слід дуже<br /> серйозно поставитися до вищеописаних аспектам безпеки вашої системи і<br /> застосовувати всі ці заходи в комплексі. Або відформатувати всі ваші жорсткі<br /> диски &#8230; до наступного разу.</p> <p> Computerra</p> <p>

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*