1.Культурное наследие Бивиса и Баттхета.
Собственно идея не нова и ничего сверхъестественного программисты из Cult of the Dead Cow не придумали. Всем известен Троянский конь, в чреве которого в город пробрались враги и открыли изнутри запертые ворота. Именно так и работают программы этого типа, слово "троян" стало нарицательным, с позволения читателя именно его я и буду использовать ниже по тексту. Не нова идея "back door" и в технологии взлома сетей, применялась она задолго до Back Orifice. Вся новизна ситуации заключалась в том, что теперь этим мог воспользоваться абсолютно любой желающий. Для того, чтобы взломать чужой компьютер больше не надо быть семи пядей во лбу, не надо изучать уязвимости, не надо знать технологию срыва стека, не надо ровным счетом никаких мозговых усилий, надо просто тем или иным способом запустить на машине жертвы троян, или ,что еще проще просканировать сеть в поисках уже запущенных троянов. Именно с этого момента на большую дорогу выходит СЕРОСТЬ. Любой малолетний преступник, впервые попав в сеть, насмотревшись вдоволь обнаженной натуры рано или поздно попадает на один из хакерских сайтов. Там скачав себе пару нюков, майлбомберов, троянов и бог весть чего еще он уже мнит себя непревзойденным хакером и вершиной мира. Здесь по моему скромному мнению нужно внести некоторую ясность в терминологию. То, что эти посредственности называют себя хакерами означает только то, что они выдают желаемое за действительное. Вопрос "- Кто такие хакеры?" пожалуй послужил бы темой для отдельной статьи. Давайте просто не будем осквернять хакерское движение, зародившееся много лет назад сравнением их с теледебилами из MTV. Уверен, что большинство таких псевдохакеров даже не представляют ,кто же на самом деле были Бивис и Баттхет, до того ,как этими именами были названы их мультипликационные кумиры.

2.Причины и следствия.
К сожалению, большинство пользователей склонно преуменьшать эту проблему. Часто приходится слышать " -Да кому я нужен" ", " - У меня и взять то нечего". На что я всегда отвечаю, что, если взять нечего, так можно отформатировать диск и стереть флеш материнской платы. Просто так, ради удовольствия. Посмотрите на наши автобусные остановки и лифты , в нечто подобное может превратиться и ваш компьютер если по нему будут лазить все, кому не лень. Конечно, наиболее часто похищаются пароли к Dial up провайдера, таким образом, вам придется оплачивать не только свой трафик, но и время, которое провел в сети злоумышленник, воспользовавшись вашей любезностью. Не менее редки кражи коммерческой или личной информации, писем, фотографий, да в принципе всего что у вас есть на жестком диске. Учитывая то, что у некоторых в компьютере хранятся пароли к WWW страницам, FTP серверам и закрытым сетям, компьтеры простых пользователей становятся повышенным обьектом внимания. Больше не нужно изнурительно перебирать пароли по словарю, долой все гиперсложные методы взлома, самый простой способ взломать сервер -это заслать трояна его администратору.
Как происходит заражение? Программа присылается по почте или ICQ доброжелателем, или вы сами скачиваете ее на одном из сайтов. Здесь можно посоветовать только одно- чем невероятнее обещанные свойства программы, тем больше вероятность,что это троян.Это может быть супер ускоритель модема с 14400 до бесконечности, эмулятор 3Dfx на любой машине от 386 и ниже, бесплатный интернет, нюк, убивающий наповал любой Windows (а так же Linux и OS2) и много чего еще. Одним словом опасайтесь раздачи слонов, и не доверяйте случайным знакомым.

3.Особенности и места обитания.
Клиент - серверный троян состоит из 2 частей - клиента и сервера На удаленном компьютере запускается сервер программы, он производит действия, позволяющие ему стартовать каждый раз при загрузке операционной системы. Будучи запущенным, сервер открывает доступ к практически любым ресурсам контролируемого компьютера с помощью клиента. Злодею достаточно ввести в окошке своего клиента ваш IP адрес и┘он у вас дома. Конечно, для этого необходимо знать ваш IP.Некоторые трояны могут его высылать каждый раз, когда вы подключаетесь к сети, но большинство такого сервиса не предлагают. Хотя IP элементарно узнать, если вы пользуетесь ICQ ,или большую часть времени проводите в каком либо чате.
Так выглядит клиент трояна Back Orifice 2000.

Майловый троян тоже состоит из двух частей - собственно трояна, который прописывается в системе и высылает на определенный адрес электронной почты ваши пароли, и программы-конфигуратора, с помощью которой он настраивается. Все трояны работают в фоновом режиме, невидимы в таск баре и списке задач, могут распространяться в виде исполняемых файлов (*.EXE или *.COM) отдельно или будучи прикрепленным к другой программе. Крайне реже встречаются трояны, инкапсулированные в *.DOC и *.HLP файлы. При запуске такого файла на выполнение как правило ничего не происходит, либо выдается сообщение об ошибке, либо файл, который вы только что запустили исчезает.
Существует мнение, будто можно получить трояна открыв зараженную картинку или звуковой файл.Это не совсем так, скорее всего имя файла, у которого по вашему мнению расширение JPG или WAW имеет слишком большую длину, заполненную пробелами и его настоящее расширение EXE просто не вмещается. Проверить это очень просто. Получив файл по почте или ICQ, не открывайте его сразу, воспользуйтесь проводником.

Напротив имени файла будет указан его тип. В данном случае несмотря на расширение JPG файл является приложением. Обратите внимание на три точки справа, это означает, что название файла не поместилось. Задержите над ним курсор, и всплывет хинт с полным именем.
Есть еще группа программ, которые нельзя назвать троянами, но упомянуть необходимо, это - keyloggers. Может запоминать и сохранять на диске все нажатия клавиш, открываемые окна и приложения, словом шпионить за вами, даже когда компьютер не подключен к сети. Злодею остается только время от времени забирать протокол работы. Некоторые трояны сами включают в себя такую функцию.
Для того чтобы стартовать каждый раз при запуске Windows троян должен сделать запись в WIN.INI (run=, load=) , SYSTEM.INI или системный реестр.
Обратите внимание на следующие ключи -
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ,
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ,
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\SOFTWARE\Mirabilis\ICQ\Agent\Apps\Run
Не забудьте о том, что кроме троянов там еще есть и полезные записи.

4.Что делать?

Возможно дочитав статью до этого места у некоторых уже пропало желание не только входить в сеть, но и вообще включать компьютер. К счастью инженерная мысль в области защиты информации тоже не стояла на месте, и в последнее время появилось довольно много программ более или менее успешно борющихся с троянами.
Попробую помочь читателю разобраться в их разнообразии.
Антитрояны можно, пожалуй, разделить на 2 вида. Одни находят их и удаляют, другие препятствуют установлению связи между трояном и его клиентом. К первым относятся различного рода антивирусы, вторые выполняют функции firewall ,закрывая доступ к тем или иным сетевым протоколам, портам и информируют о попытках подключения к подконтрольным ресурсам.
Постараюсь коротко описать назначение, достоинства и недостатки некоторых программ. Чем оценить эффективность подобных программ? На мой взгляд программа должна во первых не пропустить незамеченным троян, во вторых как можно реже бить ложную тревогу и в третьих не раздражать пользователя своим присутствием. Совокупность этих трех факторов и будет служить оценкой ее профпригодности.

1.Atguard. www.atguard.com

Фаервол с гибкой системой настроек просит подтверждения на все незаявленные в настройках действия, выводит IP . порт и протокол. Если порт принадлежит нижеприведенному списку, значит с данного IP кто-то пытается приконнектиться к трояну на вашем компьютере. Можете написать кляузу его провайдеру, приложив для убедительности цитату из лог файла. Защищает не только от атак из сети, но может вырезать из загружаемых www страниц баннеры, запрещать плюшки (Cookies). Ведется лог файл, статистика. Очень полезная вещь, однако включенная опция firewall раздражает параноидальной подозрительностью.
Вот далеко неполный список портов, используемых троянами. port

21 - Blade Runner, Doly Trojan, Fore, Invisible FTP, WebEx, WinCrash
port 23 - Tiny Telnet Server
port 25 - Antigen, Email Password Sender, Haebu Coceda, Shtrilitz
Stealth, Terminator, WinPC, WinSpy
port 31 - Hackers Paradise
port 80 - Executor
port 456 - Hackers Paradise
port 555 - Ini-Killer, Phase Zero, Stealth Spy
port 666 - Satanz Backdoor
port 1001 - Silencer, WebEx
port 1011 - Doly Trojan
port 1170 - Psyber Stream Server, Voice
port 1234 - Ultors Trojan
port 1245 - VooDoo Doll
port 1492 - FTP99CMP
port 1600 - Shivka-Burka
port 1807 - SpySender
port 1981 - Shockrave
port 1999 - BackDoor
port 2001 - Trojan Cow
port 2023 - Ripper
port 2115 - Bugs
port 2140 - Deep Throat, The Invasor
port 2801 - Phineas Phucker
port 3024 - WinCrash
port 3129 - Masters Paradise
port 3150 - Deep Throat, The Invasor
port 3700 - Portal of Doom
port 4092 - WinCrash
port 4590 - ICQTrojan
port 5000 - Sockets de Troie
port 5001 - Sockets de Troie
port 5321 - Firehotcker
port 5400 - Blade Runner
port 5401 - Blade Runner
port 5402 - Blade Runner
port 5569 - Robo-Hack
port 5742 - WinCrash
port 6670 - DeepThroat
port 6771 - DeepThroat
port 6969 - GateCrasher, Priority
port 7000 - Remote Grab
port 7300 - NetMonitor
port 7301 - NetMonitor
port 7306 - NetMonitor
port 7307 - NetMonitor
port 7308 - NetMonitor
port 7789 - ICKiller
port 9872 - Portal of Doom
port 9873 - Portal of Doom
port 9874 - Portal of Doom
port 9875 - Portal of Doom
port 9989 - iNi-Killer
port 10067 - Portal of Doom
port 10167 - Portal of Doom
port 11000 - Senna Spy
port 11223 - Progenic trojan
port 12223 - Hack╢99 KeyLogger
port 12345 - GabanBus, NetBus
port 12346 - GabanBus, NetBus
port 12361 - Whack-a-mole
port 12362 - Whack-a-mole
port 16969 - Priority
port 20001 - Millennium
port 20034 - NetBus 2 Pro
port 21544 - GirlFriend
port 22222 - Prosiak
port 23456 - Evil FTP, Ugly FTP
port 26274 - Delta
port 31337 - Back Orifice
port 31338 - Back Orifice, DeepBO
port 31339 - NetSpy DK
port 31666 - BOWhack
port 33333 - Prosiak
port 34324 - BigGluck, TN
port 40412 - The Spy
port 40421 - Masters Paradise
port 40422 - Masters Paradise
port 40423 - Masters Paradise
port 40426 - Masters Paradise
port 47262 - Delta
port 50505 - Sockets de Troie
port 50766 - Fore
port 53001 - Remote Windows Shutdown
port 61466 - Telecommando
port 65000 - Devil
А так же необходимо иметь ввиду, что некоторые трояны могут быть настроены на произвольный порт

2. Nuke nabber http://www.dynamsol.com/puppet/
Вопреки расхожему мнению пригодна не только для защиты от нюков, но и при правильной настройке может закрыть порты, используемые троянами. Нужно просто вписать их в Options.

3.Jammer jammer.comset.net

.
Закрывает определенные порты, функции regedit, netstat, можно посмотреть список процессов, но для того чтобы узнать какой из них принадлежит трояну нужно наверно быть экстрасенсом и провидцем. Сообщает о попытке любой программы прописаться в реестр. Опять же, прописывается троян, или какое либо полезное животное Jammer не разбирает.

Теперь рассмотрим антивирусы. Для их сравнения я распаковал все имеющиеся у меня трояны (169 штук) в одну директорию. Для чистоты эксперимента все файлы переименованы. ( Вряд ли кто рассылает boserve.exe скорее всего злодей назовет его supernuke.exe или icqhack.exe или что ни будь в этом духе...) Кроме этого я запустил на своем компьютере сервера трех троянов (NetBus1.7 , GirlFrend1.35 , Stealth 2), для того, чтобы проверить как хорошо(плохо) антивирусы их удалят.

P_CLEAR 2 \ http://www.chat.ru/~p_clear \

AVP \ www.avp.ru \

Norton antivirus

The Cleaner

обнаружил 7 из 169.Выявил присутствие в системе NetBus1.7 и GirlFrend1.35,при включенной опции 'auto clean' удалить их не смог, Stealth 2 не обнаружил вовсе. Не могу не упомянуть о том, что меня удивило при знакомстве с этой программой - она не обнаруживает трояны из своего же заявленного списка, То есть должна бы обнаружить довольно много, судя по внушительному списку слева в окне, но молчит.
Итак, как мы видим, с этим злом можно и нужно бороться. Не бросайте свой компьютер на произвол судьбы, он вам еще пригодится .

21.08.99

Олег Шашин

Если Вы собрались уходить, нажмите на баннер спонсора.

Get Sponsored by Russian Story

---

If you have any question or ideas please mail to pilat@mail.ru