Роман Кравцов - Домашний компьютер

Следующий способ рассмотрим на примере Worm.Win32.Lovesan (известного также как msblast). Чем же примечателен этот вирус, и почему заражение им приобрело массовый характер? Примечателен сей индивид тем, что в принципе никак не влияет на работоспособность системы в целом. Компьютер, зараженный им, просто не может нормально работать в Интернете. Через некоторое время выскакивает табличка с сообщением об ошибке RPC, после чего компьютер перезагружается.

Еще один способ – через Интернет, когда вы скачиваете файлы (в желательном или нежелательном варианте). Опять же, объясню на примерах. Пример желательного. Вы скачиваете из Сети какой-нибудь новый прикол, или программу, или игру, а она заражена вирусом. После загрузки программа/игра/прикол запускается, и – вуаля – вы являетесь обладателем вируса. Что тут можно сказать? Будьте бдительны, регулярно обновляйте базы данных своего антивируса, проверяйте все программы антивирусом и не забывайте хотя бы основы компьютерной безопасности. Кто-то может сказать: «А зачем мне, например, проверять программы, которые не могли быть заражены вирусом?». Хочется спросить: «Это что ж за программы такие?» Любые программы могут быть заражены, особенно если скачиваются они с варезников или сайтов хакерских групп.

Теперь перейдем к нежелательной загрузке. Я бы выделил два вида такой загрузки. Первый – когда пользователь и не подозревает о том, что на его компьютер что-то загружается. Выполняется данная загрузка посредством выполнения скриптов. Второй вид нежелательной загрузки – это когда загружается не то, что надо. Приведу пример. В свое время один сайт с крэками непосредственно перед закачкой файла предлагал установить то «Free XXX bar», то «100 % крэк Интернета». Если пользователь согласился с этим (а я уверен, что такие были, ибо еще помню вопрос месяца в «Виртуальных Радостях» про «стопроцентный крэк инета»), то происходила закачка трояна или вируса. Разница, в принципе, небольшая. Однако это еще не самое интересное: в случае отклонения такого заманчивого предложения выскакивала табличка с надписью приблизительно следующего содержания: «Site error» и кнопочкой О К или Continue, по нажатии на которую закачка трояна все же происходила, правда, уже без ведома пользователя. И спасти от этого мог лишь файрволл (firewall).

Трояны

Троян — это программа, которая предоставляет посторонним доступ к компьютеру для совершения каких-либо действий на месте назначения без предупреждения самого владельца компьютера либо высылает по определенному адресу собранную информацию. При этом она, как правило, выдает себя за что-нибудь мирное и чрезвычайно полезное.

Часть троянских программ ограничивается тем, что отправляет ваши пароли по почте своему создателю или человеку, который сконфигурировал эту программу ( e-mail trojan). Однако для пользователей Internet наиболее опасны программы, позволяющие получить удаленный доступ к их машине со стороны ( BackDoor ). Очень часто трояны попадают на компьютер вместе с полезными программами или популярными утилитами, маскируясь под них.

Особенностью этих программ, заставляющей классифицировать их как вредные, является отсутствие предупреждения об их инсталляции и запуске. При запуске троян устанавливает себя в систему и затем следит за ней, при этом пользователю не выдается никаких сообщений о его действиях. Более того, ссылка на троянца может отсутствовать в списке активных приложений или сливаться с ними. В результате пользователь компьютера может и не знать о его присутствии в системе, в то время как компьютер открыт для удаленного управления.

Достаточно часто под понятием «троян» подразумевается вирус. На самом деле это далеко не так. В отличие от вирусов, трояны направлены на получение конфиденциальной информации и доступ к определенным ресурсам компьютера.

Возможны различные пути проникновения трояна в вашу систему. Чаще всего это происходит при запуске какой-либо полезной программы, в которую внедрен сервер трояна. В момент первого запуска сервер копирует себя в какую-нибудь директорию, прописывает себя на запуск в системном реестре, и даже если программа-носитель никогда больше не запустится, ваша система уже заражена трояном. Заразить машину можете вы сами, запустив зараженную программу. Обычно это происходит, если программы скачиваются не с официальных серверов, а с личных страничек. Внедрить трояна могут также посторонние люди при наличии доступа к вашей машине, просто запустив его с дискеты.

На данный момент наибольшее распространение получили трояны следующих типов:

1. Утилиты скрытого (удаленного) администрирования(BackDoor – с англ. «задняя дверь»), Троянские кони этого класса по своей сути являются достаточно мощными утилитами удаленного администрирования компьютеров в сети. По своей функциональности они во многом напоминают различные системы администрирования, разрабатываемые известными фирмами – производителями программных продуктов. Современные утилиты скрытого администрирования (BackDoor) достаточно просты в использовании. Они обычно состоят главным образом из двух основных частей: сервера (исполнитель) и клиента (управляющий орган сервера). Сервер — это исполняемый файл, который определенным образом внедряется в вашу машину, загружается в память одновременно с запуском Windows и выполняет получаемые от удаленного клиента команды. Сервер отправляется жертве, и в дальнейшем вся работа ведется через клиента на компьютере хакера, т. е. через клиента посылаются команды, а сервер их выполняет. Внешне его присутствие никак не обнаруживается. После запуска серверной части трояна на компьютере пользователя резервируется определенный порт, отвечающий за связь с Интернетом.

После этих действий злоумышленник запускает клиентскую часть программы, подключается к этому компьютеру через открытый в онлайне порт и может выполнять на вашей машине практически любые действия (это ограничивается лишь возможностями используемой программы). После подключения к серверу управлять удаленным компьютером можно практически как своим: перезагружать, выключать, открывать CD-ROM, удалять, записывать, менять файлы, выводить сообщения и т. д.

На некоторых троянах можно изменять открытый порт в процессе работы и даже устанавливать пароль доступа для «хозяина» данного трояна. Существуют также трояны, которые позволяют использовать «затрояненную» машину в качестве прокси-сервера (протоколы HTTP или Socks) для сокрытия реального IP-адреса хакера.