Олег Бойцев - Защити свой компьютер на 100% от вирусов и хакеров

Резюмируя вышеприведенный англоязычный оригинал, можно сказать, что использование списка "диких" вирусов позволяет получить максимально объективную оценку надежности того или иного антивирусного средства.

Итак, результаты "Virus Bulletin" представлены в табл. 4.2.

Обозначения:

♦ "+" – антивирусы, которые смогли определить 100 % вирусов из списка "диких" вирусов (WildList);

♦ "-" – антивирусы, которые не смогли идентифицировать все вирусы из испытательного набора;

♦ "Испытания не проведены" – испытания этого антивируса для данной платформы не проводились.

Вывод: невооруженным глазом видно, что первое и второе места в данном авторитетном рейтинге делят между собой Eset (NOD32) и "Антивирус Касперского 6.0.2.546".

Ну что ж, момент истины.

Подводя итог, необходимо сказать следующее: по совокупным результатам приведенных тестов лидером среди антивирусных продуктов следует признать продукт "Лаборатории Касперского" – "Антивирус Касперского 6.0". На втором месте уверенно располагается NOD32.

Каждый из двух антивирусов, соответственно, имеет свои плюсы и минусы. Так, "Антивирус Касперского" можно смело устанавливать в систему, "богатую ресурсами" (с более 512 Мбайт оперативной памяти и мощным процессором). Благодаря гибкой конфигурируемости и набору модулей (модуль проактивной защиты, поиск руткитов и т. д.) он окажется незаменимым помощником при работе в агрессивных вирусных средах. При должном уровне настройки данный антивирус окажется весьма неплохим помощником при поиске "хитрой" модифицированной "заразы".

Таблица 4.2. Результаты "Virus Bulletins – рейтинг антивирусов по состоянию на февраль 2007 г.

В то же самое время антивирусный продукт NOD32 можно посоветовать для установки на «слабые» машины, где «притормаживание» системы может оказаться крайне нежелательным. Как и «Антивирус Касперского», NOD32 имеет качественный движок и проработанную систему эвристики, что позволяет рекомендовать его как альтернативное решение при выборе лучшего антивируса.

4.3. Защищаем свой компьютер от троянских коней

По греческому преданию, ахейцы, когда отступали, оставили в «подарок» Трое огромного деревянного коня. Троянцы как дар ввезли его в город Трою. Ночью спрятавшиеся в коне ахейцы поубивали часовых и открыли ворота в город, чтобы впустить основные войска. С тех пор выражение «троянский конь» стало нарицательным – дар врагу, чтобы погубить его. В рамках данного раздела мы поговорим с вами о троянских конях. Что это такое, какими они бывают, как можно подхватить эту заразу и как уберечься от нее. И наконец, самое главное – что делать, если вы все-таки стали жертвой троянского коня.

Сразу следует сделать маленькое, но существенное уточнение. Троянский конь – это не то же, что вирус. В отличие от вирусов, которые в основном "убивают" операционную систему и форматируют диски, троянские кони по своей сути существа весьма мирные. Сидят себе спокойно и делают свое черное дело.

Основная область компетенции этой части вредоносного ПО – воровство конфиденциальной информации, паролей с последующей передачей всего этого добра хозяину. В классическом варианте троянский конь состоит из клиента и сервера. Серверная часть инсталлируется на машине у жертвы, клиентская – у хозяина, то есть у того, кто создал троянского коня или просто модифицировал его, заставив работать на себя (такое тоже бывает и даже чаще, чем написание троянского коня с нуля). Связь клиента и сервера осуществляется через какой-либо открытый порт. Протокол передачи данных обычно TCP/IP, но известны троянские кони, которые используют и другие протоколы связи, такие как ICMP и даже UDP.

Человек, который занимается написанием троянских коней, умело маскирует их. Один из вариантов – замаскировать троянского коня под какую-либо полезную программу. После ее запуска сначала происходит выполнение его кода, который затем передает управление основной программе. Троянский конь также может быть просто, но эффективно замаскирован под файл с любым дружественным расширением, например GIF.

Приведем некоторые примеры троянских коней.

♦ Ворующие пароли:

• Trojan-PSW.Win32.QQPass.du – китайский троянский конь, ворующий Windows-пароли;

• Bandra.BOK – скачивается на компьютер жертвы при посещении определенного сайта, пытается украсть пароли от определенных банковских сайтов;

• Bancos.LU – сохраняет пароли во временных файлах, а затем пытается отослать их хозяину;

• Banker.XP – собирает конфиденциальные данные, пароли, счета и т. д., отправляя их на определенный адрес.

♦ Утилиты удаленного администрирования– backdoor ("потайная дверь"):

• Backdoor.Win32.Whisper.a – троянский конь со встроенной функцией удаленного управления компьютером;

• Back Orifice – позволяет постороннему контролировать ваш ПК как свой собственный (более подробно об этой программе см. далее).

♦ Программы-дозвонщики отличаются тем, что могут нанести жертве значительный финансовый урон, устанавливая соединение с зарубежным интернет-провайдером: таким образом, с телефонного номера абонента происходит установление "незаказанного" международного соединения, например с островами Кука, Сьерра-Леоне, Диего-Гарсиа или другим диковинным регионом в зависимости от чувства юмора создавшего программу:

• Trojan-PSW.Win32.DUT;

• Trojan-PSW.Win32.Delf.gj;

• PSWTool.Win32.DialUpPaper.

♦ Троянские кони типа клавиатурных шпионов способны отслеживать нажатия клавиш клавиатуры и отсылать эту информацию злонамеренному пользователю; это может осуществляться по почте или отправкой прямо на сервер, расположенный где-либо в Сети:

• Backdoor.Win32.Assasin.2 ;

• Backdoor.Win32.BadBoy;

• Backdoor.Win32.Bancodor.d.

♦ Загрузчики – представляют собой троянского коня, загружающего из Интернета файлы без ведома пользователя; загружаемое может быть как HTML-стра-ницами нецензурного содержания, так и просто вредоносным ПО:

• Trojan-Downloader.Win32.Agent.fk – представляет собой Windows PE EXE-файл. Размер зараженных файлов существенно варьируется;

• Trojan-Downloader.Win32.Small.bxp – троянский конь первоначально был разослан при помощи спам-рассылки. Представляет собой Windows PE EXE-файл. Имеет размер около 5 Кбайт. Упакован FSG. Размер распакованного файла около 33 Кбайт.

♦ Дропперы (Dropper) – троянские кони, созданные для скрытной установки в систему других троянских коней (пример – Trojan-Dropper.Win32.Agent.vw).

♦ Proxy-серверы – троянский конь устанавливает в вашу систему один из нескольких прокси-серверов (socks, HTTP), а затем кто угодно, заплатив хозяину троянского коня, либо сам его создатель совершает интернет-серфинг через этот прокси, не боясь, что его IP-адрес вычислят, так как это уже не его IP, а ваш!

♦ Деструктивные троянские кони – помимо своих непосредственных функций сбора и отсылки конфиденциальной информации, могут форматировать диски и убивать операционные системы.

Как подхватить "заразу"? Вы можете поймать вирус одним из следующих способов.

♦ Скачивая файлы из сомнительных источников.

♦ С помощью электронной почты – самый распространенный способ заражения. Несмотря на многочисленные предупреждения, прогрессирует благодаря методам социальной инженерии. Прикрепленный файл, даже если он выглядит как картинка, может быть удачно замаскированным троянским конем.

♦ Через дискету, CD, флэш-диск либо другой сменный носитель – довольно распространенный способ заражения.

♦ Просто выйдя в Интернет без установки последних обновлений Windows.

Эти пути проникновения неновы, однако именно они наиболее часто используются злоумышленниками.

Изобретательность вирусописателей не знает границ. Живой пример – Trojan horse.Bat.Format C, который сидел… в программном коде Trojan Remover (пакет для удаления троянских коней). Разобраться в таких случаях бывает нелегко. Правильность заключения можно проверить, лишь дизассемблировав такую программу.

Довольно оригинальный способ заражения – через autorun при попытке прочитать содержимое CD или флэшки. Как вы уже догадались, autorun.exe в данном случае выступает в довольно оригинальной роли. Лучшим способом защиты может стать отключение автозапуска на всех сменных носителях.

А теперь горячий пример, который, как я надеюсь, поможет вам лучше разобраться в сути троянизации, заглянув "по ту сторону баррикад".

Наш герой – Back Orifice. Без преувеличения будет сказано, с азартным трепетом и чувством глубокого уважения к создателям рассмотрим «анатомию» самой известной и нашумевшей в свое время утилиты удаленного администрирования – Back Orifice (BO).

С чего же все началось? Наверняка история создания знаменитого BO была бы неполной без упоминания ее создателей – известнейшей хакерской группы "Cult of the Dead Cow" (cDc). Основанная в середине 1980-х, команда с достоинством прошла огонь, воду и медные трубы и до сих пор процветает и здравствует.

В 1993 году участник группы – Drunkfix – создал официальный сайт в Сети, после чего известность хак-группы начала распространятся не только через BBS. Большую заслугу в обретении широкой известности cDc внес один из участников группы – Ratte, который играл роль вроде пресс-атташе.