Наиболее серьезную опасность представляют пиратские программы, поскольку источник, из которого они поступают, по определению не заслуживает доверия. Серьезные программисты давно точат зуб на пиратов, распространяющих «троянских коней» под видом нелегальных программ. Под эту категорию подпадает первая известная атака на платформу Palm, предпринятая с помощью программы, представленной как эмулятор популярной программы GameBoy под названием Liberty. Вместо обещанной эмуляции она удаляет все файлы и приложения.
Список расширений имен файлов, используемых программами, постоянно пополняется, что затрудняет задачу их отслеживания с помощью сканеров вирусов. Большинство антивирусных программ проверяет около 30 различных видов файлов, но они все же «споткнулись» на файлах с расширением *.vbs (Visual Basic Script), которыми в 2000 г. воспользовался вирус Love Bug. Если ваша антивирусная программа старее, чем этот вирус, то вам следует либо обновить ее, либо вручную настроить на проверку всех типов файлов. Автоматические обновления, распространяемые через Internet, обычно содержат только новые списки вирусов и исправления, а не новые типы файлов, в которых те могут скрываться.
Наиболее опасным типом файлов являются системные файлы-фрагменты, предназначение которых состоит в передаче частей документов между приложениями и рабочим столом (shell scrap object) — они как будто специально созданы для использования в качестве «троянского коня». И хотя они должны были бы иметь расширение *.shs или *.shb, они остаются скрытыми в среде Windows 98/Me, маскируясь под любой другой тип файла. Первой программой, где была использована подобная уязвимость, был появившийся в июне 1998 г. вирус Stages. Прикидываясь безобидным текстовым файлом, он на самом деле был сценарием Visual Basic и рассылал себя по электронной почте всем, кто был указан в адресной книге пользователя.
Файлы-фрагменты настолько опасны, что антивирусный исследовательский центр компании Symantec рекомендует вообще отказаться от их использования. Поскольку с этими файлами имеет дело очень мало легальных приложений, многие пользователи вполне могли бы вообще обойтись без них, удалив файл schscrap.dll из каталога Windows/system на своем ПК. В качестве менее радикальной меры можно запретить системе скрывать такие файлы, удалив элемент реестра HKEY_ CLASSES_ROOT\ShellScrap.
Натягивая поводья
Какую бы серьезную угрозу ни несли в себе вирусы и «черви», они все же являются не самой опасной начинкой, которая может быть спрятана в «троянских конях». Многие из них предназначены для получения доступа к вашей сети и прячут небольшие серверные программы, работающие практически незаметно. С помощью этих программ хакер может выведать ваши секреты или даже получить контроль над вашим ПК.
Самым бессовестным хакерским инструментом считается Back Orifice 2000, часто называемый просто BO2K, созданный командой хакеров «Культ дохлой коровы». Авторы определяют свою программу как «средство дистанционного администрирования», позволяющее управлять компьютером без ведома и согласия пользователя. Она может практически незаметно работать под любой версией Windows, обеспечивая постороннему пользователю практически полный доступ к системе. Кроме копирования и изменения содержимого файлов хакеры, имеющие на вооружении BO2K, могут записывать каждое действие пользователя и даже в реальном времени получать поток видеоинформации с его экрана.
По иронии судьбы, команда «Культ дохлой коровы» сама стала жертвой «троянского коня». Первые компакт-диски с Back Orifice 2000, предназначавшиеся для распространения, были заражены страшным вирусом Chernobyl («Чернобыль»), способным нанести необратимый ущерб оборудованию. Честолюбивые хакеры, участвовавшие в 1999 г. в конференции DefCon, обнаружили, что вместо того, чтобы получить контроль на компьютерами других людей, они потеряли контроль над своими собственными, так как их жесткие диски оказались перезаписаны, а микросхемы BIOS стерты.
В нападении на Microsoft осенью 2000 г. использовался «троянский конь» под названием QAZ, который маскировался под утилиту Notepad, размещаясь в файле notepdad.exe. Исходная программа Notepad была по-прежнему доступна, но переименована в note.exe, так что пользователи не замечали изменений. Администратор, зная, что этот файл не входит в стандартную установку Windows, мог удалить его, в результате чего программа Notepad переставала работать, а «троянский конь» оставался нетронутым.
Даже если злоумышленники не заинтересованы в вашей информации, получение ими контроля над компьютерами по-прежнему представляет серьезную опасность. Атаки по типу распределенный отказ в обслуживании (Distributed Denial of Service, DDoS), в результате которых в начале 2000 г. оказались недоступны некоторые популярные Web-сайты, были произведены с помощью «троянских коней». Принцип действия подобных программ основывается на использовании тысяч компьютеров, работающих вместе, и поэтому они не могут быть просто запущены на каком-то одном из них. Однако атака становится возможной, когда один из компьютеров получает контроль над тысячами других.
Последствия вашего участия в атаках наподобие DdoS не исчерпывается тем, что вы получаете неодобрение как член сетевого сообщества, а ваша организация подвергается риску судебного разбирательства. К примеру, в результате атак на Yahoo! и eBay пострадали не только эти серверы, но и тысячи домашних и офисных пользователей, чьи компьютеры были задействованы в данных атаках. Если ваш почтовый сервер занят в атаке, то он не сможет выполнять своего основного назначения.
Любой ПК, подключенный к телефонной линии, является потенциальной мишенью для нападения по финансовым мотивам, поскольку его модем может быть перепрограммирован на звонки по дорогостоящим телефонным номерам. Известны «троянские кони», заменяющие в параметрах настройки коммутируемого доступа пользователя обычный телефонный номер на международный, звонки по которому могут стоить несколько долларов в минуту. И если этот номер действительно подключен к провайдеру Internet, жертва может ничего не заметить до тех пор, пока не получит счета за телефонные разговоры.
Этот вид «троянских коней» впервые появился в 1998 г., когда тысячи пользователей в Европе, загружавшие порнографическое слайд-шоу, обнаружили, что их модемы звонят по очень дорогому номеру в Республике Гана. Данная атака была занесена под №3 в список наиболее опасных случаев мошенничества в Internet, составленный Федеральной торговой комиссией (Federal Trade Commission), и считается более опасным явлением, чем телефонное пиратство и финансовые пирамиды.
Плотно закрывайте дверь
Большинство «троянских коней» посылает хакеру сигнал о своем присутствии через заданный порт TCP, поэтому правильно настроенный брандмауэр может обнаружить и заблокировать их. Списки портов, используемых популярными «троянскими конями», публикуются на специальных Web-сайтах (см. врезку «Ресурсы Internet»), некоторые из них могут даже выполнять сканирование. Однако последние версии многих вредительских программ могут менять заданный порт, усложняя их обнаружение. Антивирусное ПО также может обнаруживать «троянских коней», хотя это и связано с определенным риском. Поскольку такое ПО необходимо регулярно обновлять, компания, производящая антивирусные программы, получает доступ к вашей сети. В ноябре 2000 г. обновление ПО McAfee VirusScan компании Network Associates привело к сбою некоторых систем и потере несохраненных данных. Это произошло из- за ошибки в ПО, а не в результате умышленных действий, однако для уже скомпрометированных компаний, таких, как Microsoft, выходящих на рынок антивирусного ПО, существует риск, что отдельные «троянские кони» могут использовать данный метод нападения.
Правительство Германии считает, что Windows 2000 возможно уже является убежищем для «троянского коня». Оно дошло до того, что грозится наложить запрет на распространение данного ПО, пока Microsoft не удалит из него утилиту Disk Defragmenter (программу дефрагментации диска), в которой якобы скрывается этот опасный код. Microsoft отказалась это делать, но опубликовала на своем немецком сайте технической поддержки подробные инструкции, объясняющие пользователям, как удалить утилиту самостоятельно. Те менеджеры, которых беспокоит этот факт, должны иметь в виду, что до сих пор нет доказательств того, что упомянутый «троянский конь» вообще существует. Действительно, правительство США настолько уверено в безопасности Windows 2000, что использует это ПО во многих своих организациях, включая военные.
Виды программ-паразитов
Хотя пресса и некоторые пользователи часто называют любую вредную программу вирусом, специалисты по безопасности знают, что это не так. Вот краткое описание трех наиболее распространенных видов зловредных программ, каждая из которых может скрываться внутри «троянского коня».
Вирус (virus) представляет собой самовоспроизводящийся код, присоединяющийся к другому файлу точно так же, как настоящие вирусы прикрепляются к живым клеткам. Изначально вирусы поражали программные файлы, имеющие расширения *.com или *.exe, однако распространение языков сценариев позволило им заражать офисные документы и даже сообщения электронной почты.
«Червь» (worm) — это автономная программа, обычно воспроизводящаяся путем копирования себя на другие компьютеры в сети. Иногда их называют бактериями, поскольку они не зависят от других программ. Наибольшее распространение получила программа happy99.exe, парализовавшая множество компьютеров два года назад и все еще изредка появляющаяся — особенно под Новый год.