Вирусы
Троянские программы.
По греческому преданию, после долгих лет осады ахейцы, отступая от Трои, оставили в подарок ее жителям огромного деревянного коня. Троянцы как дар ввезли его в город. Ночью спрятавшиеся в коне воины убили часовых и открыли ворота в город, чтобы впустить основное войска. С тех пор выражение "троянский конь" стало нарицательным (дар врагу, чтобы погубить его). "Троян" - что это такое, какими они бывают, как можно подхватить эту заразу и как уберечься от нее. И, наконец, самое главное: что делать, если вы все-таки стали жертвой троянского коня.
Сразу следует сделать маленькое, но существенное уточнение. Троян - это не одно и то же, что вирус. В отличие от вирусов, которые в основном сносят Windows и форматируют диски, трояны по своей сути существа мирные. Сидят себе тихонько и делают свое черное дело: Область их компетенции - воровство конфиденциальной информации, паролей с последующей передачей всего этого добра хозяину. В классическом варианте троян состоит из клиента и сервера. Серверная часть обычно на компе у жертвы, клиентская - у хозяина, т.е. у того, кто создал троян или просто модифицировал его, заставив работать на себя. Связь клиента и сервера осуществляется через какой-либо открытый порт. Протокол передачи данных - обычно TCP/IP, но известны трояны, которые используют и другие протоколы связи - в частности, ICMP и даже UDP. Тот, кто создает трояны, умело маскирует их. Один из вариантов - замаскировать троянского коня под какую-либо полезную программу. При ее запуске вначале происходит выполнение кода трояна, который затем передает управление основной программе. Троян также может быть просто, но эффективно замаскирован под файл с любым дружественным расширением - например, GIF.
Какими они бывают:
Современная классификация троянов выглядит следующим образом:
1. Программы-шпионы типа Mail sender.
2. Утилиты удаленного администрирования - BackDoor.
3. Программы-дозвонщики - Dialer.
4. Кейлоггеры - KeyLogger.
5. Эмуляторы DDos-атак.
6. Загрузчики - Downloader.
7. Дропперы - Dropper.
8. Прокси-серверы.
9. Деструктивные троянские программы (есть и такие - напр., FlashKiller).
Первая группа - Mail Sender - наиболее распространена, т.к. подавляющее большинство троянов, если не все, отсылают хозяину пароли от Интернета, вашей электронной почты, ICQ, чатов, ну, и т.д. в зависимости от изобретательности троянмейкера. Примеры: Trojan-PSW.Win32.QQPass.du (китайский троян, ворующий Windows-пароли), Bandra.BOK (скачивается на компьютер жертвы при посещении определенного сайта и пытается украсть пароли от определенных банковских сайтов), Bancos.LU (сохраняет пароли во временных файлах, а затем пытается отослать их хозяину), Banker.XP (собирает конфиденциальные данные, пароли, счета и т.д., отправляя их на определенный адрес).
Утилиты удаленного администрирования - backdoor (дословно "потайная дверь") - обычно обладают возможностями Mail Sender'а плюс функциями удаленного управления компьютером. Такой троян ждет соединения со стороны клиента (соединение осуществляется через какой-либо порт), с помощью которого посылаются команды на сервер. Примеры: Backdoor.Win32.Whisper.a - троянская программа со встроенной функцией удаленного управления компьютером, знаменитый Back Orifice, позволяющий постороннему контролировать ваш ПК, как свой. Созданный группой хакеров Cult of Dead Cow, он, несмотря на аскетичный интерфейс, позволяет постороннему по локальной сети или Internet получить возможность полного контроля над вашим компьютером, полного доступа к вашим дискам, наблюдения за содержимым экрана в реальном времени, записи с подключенного к системе микрофона или видеокамеры и т.п.
Программы-дозвонщики отличаются тем, что могут нанести жертве значительный финансовый урон, устанавливая соединение с зарубежным интернет-провайдером. Таким образом, с телефонного номера абонента происходит установление "незаказанного" международного соединения, например, с островами Кука, Сьерра-Леоне, Диего-Гарсиа или другим диковинным регионом в зависимости от чувства юмора создавшего программу. Примеры: Trojan- PSW.Win32.DUT или trojan.dialuppasswordmailer.a; Trojan-PSW.Win32.Delf.gj; not-a-virusSWTool.Win32.DialUpPaper; not-a-virusornWare.Dialer.RTSMini.
Трояны-кейлоггеры удачно сочетают в себе функции кейлоггера и обычного Send-Mailer'а. Они способны отслеживать нажатия клавиш клавиатуры и отсылать эту информацию злонамеренному пользователю. Это может осуществляться по почте или отправкой прямо на сервер, расположенный где-либо в глобальной сети. Примеры: Backdoor.Win32.Assasin.20.; Backdoor.Win32.Assasin.20.n; Backdoor.Win32.BadBoy; Backdoor.Win32.Bancodor.d (keylogger.trojan).
Эмуляторы DDos (Distributed Denial of Service) - довольно интересная группа троянов. Серверная часть слушает определенный порт и, как только получает команды извне, начинает функционировать как нюкер (Nuker - приложение, отсылающее на заданный IP шквал некорректно сформированных пакетов, что приводит к эффекту, известному как отказ в обслуживании).
Загрузчики - Downloader. Это троянские программы, загружающие из Интернета файлы без ведома пользователя. Загружаемое может быть как интернет-страницами нецензурного содержания, так и просто вредоносным ПО. Примеры: Trojan-Downloader.Win32.Agent.fk (представляет собой Windows PE EXE файл. Размер зараженных файлов существенно варьируется. После запуска троянец создает папку под названием %Program Files%Archive, после чего копирует себя в нее и т.д. Троянская программа Trojan-Downloader.Win32.Small.bxp первоначально была разослана при помощи спам-рассылки. Представляет собой Windows PE EXE файл, имеет размер около 5 Кб. Упакована FSG. Размер распакованного файла - около 33 Кб.
Дропперы (Dropper) - Троянские программы, созданные для скрытной установки в систему других троянских программ. Пример: Trojan-Dropper.Win32.Agent.vw.
Proxy-серверы - троян устанавливает в вашу систему один из нескольких proxy-серверов (socks, HTTP и т.п.), а затем кто угодно, заплатив хозяину трояна, либо сам троянмейкер совершает интернет-серфинг через этот proxy, не боясь, что его IP вычислят, т.к. это уже не его IP, а ваш.
Деструктивные троянские программы, помимо своих непосредственных функций сбора и отсылки конфиденциальной информации, могут форматировать диски, "сносить" Windows и т.д.
Как подхватить заразу?
Способы заражения не новы, но именно они и являются воротами для нечисти в ваш ПК:
Через Internet (самый обычный способ - когда юзер качает из интернета программы). Очень часто под безобидным ускорителем браузера может сидеть троян. С помощью всеми нами любимого "мыла"- самый распространенный способ заражения. Несмотря на многочисленные предупреждения, прогрессирует благодаря методам социальной инженерии. Прикрепленный файл, даже если он выглядит как картинка, может быть удачно замаскированной троянской программой.
Через дискету, флешку или CD-DVD диск. Довольно распространенный способ заражения. По статистике юзеры проверяют дискеты и флешки чаще, чем диски, если не сказать более: диски обычно не проверяют вообще. А зря: Ведь именно пиратские диски (никто не будет отрицать, что таких у нас большинство) - не самое слабое звено в канале распространения деструктивных программ..
Баннер-информер, требующий отправить СМС.
Новая волна баннеров, еще их называют информеры, захлестнула оседлых жителей Интернета. Не так давно, вирус в виде информера всплывал только в окнах браузеров, чаще в Internet Explorer. Ладно, с этим быстро научились бороться и без особых потерь, кроме как траты личного времени. Заметьте, вирусная эпидемия в виде таких порно баннеров информеров, которые через «дырки» в браузерах появляются в интернет- страницах, ничуть не стала меньше, и по-прежнему вымогают деньги через разного рода СМС. Если раньше баннеры информеры появлялись в окнах браузеров, через которые просматриваются интернет-страницы, то теперь, информер появляется прямо на рабочем столе и противно мозолит глаза.
Главное правило – не отправляйте СМС! И по каждому такому случаю надо жаловаться операторам сотовой связи и в полицию, указывая короткие номера и коды, по которым мошенники получают деньги. Только так можно усложнить хакерам жизнь, и соответственно усмирить их пыл.
Если отправить СМС, как того требуют вымогатели, с вашего счета спишут приличную сумму денег (примерно 300 руб.), однако от баннера так и не избавят. В ответном сообщении вас попросят отправить еще один СМС. И так до тех пор, пока у вас не кончится терпение или деньги на счете.
Каковы задачи таких баннеров информеров?
Некоторые принуждают «счастливого» обладателя баннера отправить немного денег с мобильного телефона в виде СМС, дабы получить специальный код и закрыть баннер. В 99% случаев, - это развод. А некоторые информеры, видимо более «интеллектуальные», не просят от обладателя денег, а вежливо указывают на то, что они немного поживут на рабочем столе, например 30 дней или 900 показов, а потом мирно исчезнут.
Как баннеры-информеры попадают на рабочий стол?
Так как цель таких баннеров – попасть на рабочий компьютер и появиться на рабочем столе, то для этого выбираются разные способы, от грубого проникновения через уязвимость в системе или через более интеллектуальный (инженеренговый) - с согласия самого пользователя. Да-да, зачастую последний способ наиболее распространенный. Процесс заражения таким способом становится абсолютно легальным и по «обоюдному» согласию.
Вот как происходит процесс попадания баннера на ваш компьютер
Пользователь гуляет по страницам интернет сайтов (порно сайты не рассматриваются, ибо там используется грубый метод) в поисках информации, например, для реферата, лабораторки и т.п., зайдя на сайт с нужной информацией, ему предлагается скачать ту, или иную книгу, реферат и т.п., файл скачивается на компьютер.
Вот именно здесь кончается грань дозволенного, где нужно остановиться и подумать. Файл информера представлен в виде исполняемого файла с расширение .exe, а не как привычный архив. Процесс установки такого файла на первый взгляд безобидный, после установки предлагается скачать тот или иной материал, который искался. В чем же подвох и, причем здесь информер?
Когда устанавливается софт для доступа к материалам, в лицензионном соглашении, которое, как правило, никто не читает, говорится, что за предоставления доступа к бесплатному материалу, Вы обязаны просмотреть информер № количество раз…
Выходит, что пользователь сам соглашается на просмотр информера, только ОН пока этого не знает.
Как не стать жертвой вируса-вымогателя?
1. Конечно же, никак не обойтись без антивирусной программы. С последними, постоянно обновляемыми базами данных. Защиту от вирусов вполне может обеспечить как платный, так и бесплатный антивирус. В любом случае вы сами оцениваете важность стабильной работы и защиты данных на вашем компьютере. Экономить на защите – не самый лучший вариант.
2. Из обязательных действий, которые стоит возлагать на вашу антивирусную программу – полная проверка компьютера на наличие вирусов. Периодичность проверки снова же вы определяете для себя сами, но как минимум раз в неделю такую проверку делать стоит.
3. Стоит ли в очередной раз повторять, что некоторые ресурсы лучше обходить десятой дорогой. Речь о сайтах обещающих быстрый заработок, много бесплатного порно и т.п. Кстати, ресурсы, предлагающие всевозможные кряки, программы для взлома, ключи и тому подобный софт также потенциально опасны для вашего компьютера. Кстати, любые программы – будь-то обычная программа для просмотра фотографий, IM-клиент или даже стандартный набор кодеков – рекомендую загружать их с официальных сайтов. Как минимум, ресурс должен быть надежным и проверенным. Крупные поисковые сайты (например, Яндекс, Google) уже научились распознавать сайты, зайдя на которые вы можете получить в награду вирус, и предупреждают об этом. Но если вы не уверены в надежности сайта (даже официальные сайты иногда могут нести угрозу заражения), можно проверить его самостоятельно. Это легко осуществимо на странице того же онлайн-сканера Dr.Web, где нажав по ссылке «Проверить ссылку (URL)» и введя адрес страницы сайта, вы узнаете, не содержит ли интересующий ваш ресурс вирусы.
4. Не стоит открывать электронные письма или файлы от незнакомых вам людей или переходить по ссылкам, полученным от незнакомцев. Чаще, именно там содержатся вирусы-вымогатели, и не только они.
5. Важные для вас пароли и логины рекомендуется хранить отдельно.
6. Все диски, флешки, карты памяти и прочие съемные носители, которые вы подключаете к компьютеру, сразу проверяйте на наличие вредоносных программ и только потом начинайте работу с ней. В случае же, когда ранее работавшая программа не запускается, не открываются файлы, с которыми еще недавно вы спокойно работали, не получается выйти в интернет или вообще невозможно работать с компьютером… когда взамен всего этого появляется окно с требованием отправить СМС, почти наверняка вам пришлось познакомиться с одним из видов вирусов-вымогателей. Конечно же, отправлять сообщения никуда не советую, результата не будет.
Как избавиться от навязчивого баннера, требующего отправить СМС
1. Скачайте утилиту AVZ, и просканируйте Ваш ПК. Задачей этой утилиты является удаление AdWare, SpyWare и троянских программ.
2. Зайдите на сайт www.freedrweb.com, и скачайте бесплатную (пока еще) утилиту Dr.Web CureIt!®. Установки это приложение не требует, и с установленным антивирусом не конфликтует. Запустите его и немного подождите. Он хорошо справляется с такого рода информерами, да и неплохо находит другие вредоносные программы.
3. Специалисты компании «Доктор Веб» подготовили специальную форму, в которую можно ввести текст предполагаемого СМС-сообщения и получить код разблокировки.
4. Лаборатория Касперского разместила у себя на сайте бесплатный сервис Deblocker поможет удалить/убрать баннер с рабочего стола, разблокировать Windows без отправки смс или вернуть зашифрованные вирусом файлы.