Удаленное управление компьютером в сетях Internet/intranet
Андрей Винокуров
Как завести дома коня Рекомендации не запускать программы,
пришедшие к вам по почте от неизвестных отправителей под видом полезных утилит,
обновлений и т. п., стали уже общим местом. К сожалению, выполнения этих
рекомендаций совершенно недостаточно для сохранения ваших паролей,
конфиденциальной информации, да и просто целостности данных на вашем жестком
диске. Не будет преувеличением утверждать, что с момента представления широкой
публике самого известного троянского коня Back Orifice и хлынувшего за этим в
Internet потока подобных программ, ваши шансы заполучить в свою систему
подобного "помощника" очень велики. Например, в последние месяцы
значительный процент скачиваемых из Internet мелких утилит и программок-забав
(toy) содержал в себе того или иного троянца. Не лучше ситуация и с содержимым
пиратских дисков. Часть троянских программ ограничивается тем, что отправляет
ваши пароли по почте своему создателю или человеку, который сконфигурировал эту
программу. Но для лучших из них пароли - это мелочь: Back Orifice, несмотря на
аскетичный интерфейс, позволяет постороннему человеку по локальной сети или
Internet получить полный контроль над вашим компьютером. Полный доступ к вашим
дискам (включая возможность их форматировать!), наблюдение за содержимым экрана
в реальном времени, запись с подключенного к системе микрофона или видеокамеры -
вот далеко не полный перечень возможностей подобных программ. Малоизвестный
троянец Master of Paradise по удобству и скорости работы на медленном соединении
c успехом может поспорить с такими лучшими представителями средств удаленного
управления, как VNC (www.orl.co.uk/vnc). Любой классический троянец состоит из
двух частей: сервера и клиента. Сервер - это собственно исполняемый файл,
который, попав в ваш компьютер, загружается в память одновременно с запуском
Windows и выполняет получаемые от удаленного клиента команды. Возможны различные
пути его проникновения в вашу систему: чаще всего это происходит при запуске
какой-либо полезной программы, в которую внедрен сервер. В момент первого
запуска сервер копирует себя в какое-нибудь потаенное местечко (особой любовью у
авторов троянцев пользуется директория c:\windows\system), прописывает себя на
запуск в системном реестре, и даже если вы никогда больше не запустите
программу-носитель, ваша система уже поражена. Возможно также внедрение сервиса
просто при открытии Web-страницы, если уровень безопасности, установленный в
вашем браузере, позволяет проделывать с вами такие трюки. Существует также очень
развитый инструментарий для внедрения сервисов троянцев в исполняемые файлы, и
вполне возможно, что кто-то уже "усовершенствовал" ваш internat.exe
(программа-индикатор языка клавиатуры, которая загружается при запуске Windows,
и любой код, внедренный в этот exe-файл, также будет делать свое черное дело,
пока включен ваш компьютер). Как бороться "Обнаружить работу такой
программы (троянца) на своем компьютере достаточно сложно. Как правило,
требуется полностью удалить Windows 95/98 и установить заново на чистый
диск", - так пишет на своей страничке служба поддержки одного из крупнейших
московских провайдеров. Спасибо, что не рекомендуют отформатировать все жесткие
диски на низком уровне. На самом деле, троянский конь в вашей системе - не такая
уж неизлечимая болезнь. Я хотел бы вкратце коснуться менее радикальных методов
противодействия троянским атакам. А - Антивирусы. Почти все производители
антивирусного ПО после выхода Back Orifice спохватились и стали включать в свои
программы средства борьбы с троянцами. От случайного залетного троянца
применение антивирусов вас может спасти, но в целом этот метод нельзя признать
абсолютно надежным. Во-первых, новые программы-троянцы (и новые версии старых
добрых троянцев) выходят с не меньшей регулярностью, чем обновления антивирусных
баз. Существует даже троянский конь с нецензурным названием, написанный в
России, автор которого регулярно отслеживает обновления AVP и в течение суток
(!) выпускает новую версию; вот такое соревнование брони и снаряда. Во-вторых,
как показывает опыт, если сервис троянца внедрен в исполняемый файл, антивирусы
во многих случаях не могут его детектировать. Б - Специальные программы для
обнаружения троянских программ (антигены). По сути, это антивирусное ПО,
специализирующееся только на выявлении и уничтожении троянских коней (и
действующее при этом зачастую весьма примитивно). В - Следите за портами. Первый
признак того, что у вас в системе завелась какая-то дрянь, - лишние открытые
порты. На мой взгляд, персональные брандмауэры (типа описанного С. Голубицким
AtGuard в "КТ" #292) дают защиту настолько близкую к абсолютной,
насколько это вообще возможно, однако, вероятно, вам покажется утомительным
каждые 15 секунд отвечать на вопросы по поводу того, принимать ли данный пакет в
данный порт или нет. Для контроля открытых портов можно воспользоваться обычными
порт-сканерами (в этом случае вы будете выступать в роли хакера,
"прощупывающего" собственную систему) или программами типа NetMonitor
(www.leechsoftware.com), которые показывают открытые в настоящий момент порты и
сигнализируют об открытии новых портов и подключении к ним посторонних
личностей. Г - Контролируйте ваши задачи. Следите за тем, какие задачи и сервисы
запускаются в вашей системе. 99 процентов троянских коней прописываются на
запуск в системном реестре в следующих ключах:
HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\RunServices - чаще
всего; HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run;
HKEY_CURRENT_USER\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run; в файле
WIN.INI раздел [windows] параметры "load=" и "run=". Советую
также иногда заглядывать в раздел HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Network\LanMan и проверять, не открыт ли некими
"доброжелателями" полный доступ к вашему диску С: как "скрытому
ресурсу" (открытый для доступа ресурс, не видимый обычными средствами).
Даже если вы не нашли в этих разделах ничего лишнего, это не значит, что в
настоящий момент у вас ничего такого не запущено. Ни для кого не секрет, что
список задач, вызываемый нажатием Ctrl+Alt+Del, далеко не полон. Для контроля
над запущенными задачами я предпочитаю пользоваться программой CCtask
(www.cybercreek.com). Она показывает полный список запущенных задач, включая
используемые DLL, и позволяет ими гибко управлять. В заключение хотелось бы
заметить, что широкое распространение троянских коней дало в руки людей, не
обладающих высокой квалификацией в хакерстве или программировании, весьма
эффективный и гибкий инструмент для получения конфиденциальной информации и
просто деструктивной деятельности по отношению к пользователям локальных сетей и
Internet. Некоторым для предохранения от этой напасти будет достаточно
применения антивирусных программ и программ-антигенов, но если у вас есть
основания полагать, что вы стали объектом целенаправленной троянской атаки, вам
следует очень серьезно отнестись к вышеописанным аспектам безопасности вашей
системы и применять все эти меры в комплексе. Или отформатировать все ваши
жесткие диски... до следующего раза.