"Троянцы"

"Бойтесь данайцев, дары приносящих"

"Троянец - независимая программа, которая на первый взгляд выполняет полезную функцию, но на самом деле прячет другую несанкционированную программу внутри себя. Когда пользователь выполняет явную функцию, троянский конь выполняет также несанкционированную функцию (часто узурпируя привилегии пользователя)".

"Основы компьютерной безопасности".
Дебора Рассел и Г.Т. Генгеми.

Итак, даю перечень названий троянцев без указания версий и дополнений: Acid Shivers, Antigen, Back End, Back Orifice, Back Door, DeepThroat, Devil, Dmsetup, EvilFTP, Executer 1, Executer 2, Fore 1.0b, FTP99cmp, GateCrasher, GirlFriend, Hacker's Paradise, ICKiLLEr, ICQ Troqen, Invisible FTP, Master's Paradise, Millenium, NetBus, Net Monitor, phAse zero, Phineas Phucker, PSS, Remote Grab, Ripper Pro, Remote windows shutdown, Shtirlitz, Sivka-Burka, Sstrojg (Senna Spy Trojan Back Door Generator), Sockets de Troje, StealthSpy Beta, Telecommando, Voice, Win Crash. Я не привел список всех известных мне троянцев - некоторые названия откровенно ругательские. Список можно продолжать. Многие из них имеют несколько версий. У меня лежит список 107 модификаций с указанием размера. Но эта информация взята с одного сайта. Если честно, нет времени заниматься аккумулированием информации и систематизацией новых версий. К "троянским коням" близки по своей сути так называемые "логические бомбы" - специальные программные вставки, выполняющие функции, необъявленные разработчиком программного обеспечения. Чаще всего "бомбы" стоят в программном обеспечении для защиты авторских прав, для ограничения времени пользования условно-бесплатной программой и т.п. Но "логические бомбы" могут выполнять и явно разрушительные функции или ставить "люки" для несанкционированного входа в систему.

Не буду "растекаться по древу" и, чтобы пользователь представил характер угроз, приведу сокращенный список функций самого "продуманного" продукта - Back Orifice:

  1. Выдача списка приложений, прослушивающих порты для соединений.
  2. Создание каталога на диске.
  3. Выдача списка файлов и каталогов (возможно использование масок).
  4. Удаление каталога.
  5. Выдача списка разделенных ресурсов с типом ресурса, доступа и паролей для доступа.
  6. Копирование файла.
  7. Удаление файла.
  8. Поиск файла (возможно использование масок).
  9. Компрессирование (сжатие) файла.
  10. Декомпрессирование файла.
  11. Просмотр содержимого текстового файла.
  12. Запуск HTTP-сервера.
  13. Останов HTTP-сервера.
  14. Запуск записи нажатий клавиатуры в текстовый файл.
  15. Останов записи нажатий клавиатуры в текстовый файл.
  16. Захват изображения экрана с записью в bmp-файл.
  17. Просмотр входящих и выходящих сетевых соединений.
  18. Просмотр активных процессов.
  19. Запуск программы (скрытый или активизацией окна на экране пользователя).
  20. Редирект входящих ip-соединений или udp-пакетов на другой ip-адрес.
  21. Создание/Удаление ключа реестра.
  22. Выдача списка (или значений) ключей реестра.
  23. Замыкание сервера.
  24. Перезагрузка системы.
  25. Выдача информации о системе (имя компьютера, текущий пользователь, тип процессора, общей и свободной памяти, версии windows, тип и размер привода, свободное место и т.п.).
 

Я думаю, любой "сисадмин" согласится, что даже этих приведенных функций более чем достаточно, чтобы сделать с удаленной windows-системой все, что угодно. Но не стоит необдуманно применять этот продукт. Он имеет подвох: применивший его (предостережение начинающим хакерам-недоучкам) ставит и свою машину под полный контроль "Культа мертвой коровы". Так в дословном переводе называется хакерская команда, создавшая этот продукт. Примечательно название продукта. Эта игра слов - переозвученное название известного продукта Microsoft "Back Office". "Back Orifice" дословно означает: "через задницу". Не любят хакеры Гейтса и его продукты. Известная шутка на этот счет: "Скажи мне, кто такой Билл Гейтс, и я скажу, кто ты!"

Теперь о способах получения троянцев:

  1. Любой self-extract архив вроде zip, rar, arj и т. п. При распаковке сначала ставится "троянец", потом содержимое как при обычной распаковке.
  2. Широко применяется "социальная инженерия" для забрасывания троянцев в систему. Вам могут предложить новую утилиту, очередной "прикол", новый "патч" под аську и т.д. Особенно нужно быть осторожным при настойчивости благожелателя или при получении по E-mail аттачмента (вложенного файла) от незнакомых или пользующихся сомнительной репутацией людей.
  3. Файлы для MS Office 97 позволяют активизировать троянца прямо из документа (макровирусы и "троянские кони").
  4. Стоит напомнить, что в почтовых программах Microsoft Outlook Express 4.X, Outlook 98 и Netscape Messanger при получении почтового сообщения с аттачментом с длиной имени более 255 символов может произойти выполнение вложенного содержимого. Письма при этом даже не нужно открывать для чтения.
  5. Любые download`ы с Всемирной Паутины, как-то гороскопы, коллекции открыток или новые "супер-утилиты". Отмечены случаи, когда даже с сайтов официальных производителей поступала зараженная троянцами или вирусами продукция.
  6. ActiveX, plug-in под различный ходовой "софт" и другие высокотехнологические атаки требуют отдельного и развернутого описания. Сюда же можно отнести множество компонент под Delphi, Builder ++. Вставить в них "логическую бомбу" проще простого. Для минимального контроля, например, у меня, есть правило: брать freeware-компоненты только с "исходниками" и компилировать самостоятельно. Да и для повышения квалификации полезно разобраться с текстами сторонних авторов.
  7. Различные шутовские программки, внешне безобидные, могут нести в себе встроенный троянский довесок. В этот же ряд можно поставить "халявное" программное обеспечение, будь то игрушки, бесплатные скрин-сэйверы или трайл-версии. Большинство пиратских компакт-дисков, продаваемых на радио-рынках по единой цене, но без учета содержания, создаются наспех, без какой-либо проверки "на вшивость". Да и ответственность у продавцов минимальная. Кроме "троянцев", подобная продукция изобилует вирусами.
  8. С программой, распространяемой в режиме freeware или shareware, обычно идет описание пакета, его функций и замеченных ошибок в работе, перечень файлов с именами и размерами. Для защиты от поздних вставок сторонними авторами и вирусов полезно сравнить список и размеры файлов в файле-описании с имеющимися файлами в полученном пакете. Еще можно привести правило: получать "пиратский" софт с разных мест и сравнивать полученное. Иногда помогает решить массу проблем.
  9. Начинающим хакерам следует понимать, что высокотехнологические "отмычки", скачиваемые ими с Интернета и BBS, могут выполнять необъявленные функции. Порой авторами в них намеренно делаются вставки. Ничего не попишешь - мечта "совка" номер два: "халяву - на халяву" имеет своим продолжением наказание.

И как защищаться от подобных вторжений:

  1. Так как "троянский конь" - это самостоятельная программа, чаще всего она запускается самой операционной системой при запуске. Следует смотреть изменения в файлах autoexec.bat и config.sys. Следующее место - это папка "автозапуска". Но с подобных мест запуски производятся только откровенными новичками от программирования. Еще одна "группа риска" - это Win.ini раздел [windows], строки load, run. Hookdump (скрытый KeyRecorder) стартует именно оттуда. Теперь о соответствующих разделах реестра. Просто перечислю:

    HKEY_LOCAL_MACHINE\SOFT WARE\Microsoft\Windows\Current Version\Run

    HKEY_LO CAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunservicesOnce

    HKEY_USERS\какое-то_имя\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    HKEY_USERS\какое-то_имя\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

    HKEY_USERS\какое-то_имя\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices

    HKEY_USERS\какое-то_имя\SOFTWARE\Microsoft\Windows\CurrentVersion\RunservicesOnce

    В них необходимо просмотреть все "Строковые параметры", запускающие подозрительные программы. Программные закладки не обязательно могут присутствовать в виде exe-шника. Можно переименовать исполняемые файлы с любым расширением или без него, но они все равно запустятся из строкового параметра командной строкой (например, переименовать notepad.exe в notepad.doc и запустить через реестр до запуска Runservices).

    Подраздел \SOFTWARE\ Microsoft\Windows\CurrentVersion\Run существует не только в разделе HKEY_LOCAL_MACHINE, еще и в HKEY_USERS (HKEY_USERS\.Default\ или HKEY_ USERS\. Ваш_логин_при_старте\).

    Поэтому повторите поиск разделов "Run" ("RunOnce", "Run... ") в еще 2-х главных разделах.
  2. Не следует ставить неизвестные программы на серверах и, особенно, с админовскими правами (NT). У "пуганых" пользователей я встретил интересное правило: для серфинга по Интернету и игрушек используется отдельный компьютер, не связанный с остальными по локальной сети.
  3. Можно комбинацией Ctrl-Alt-Del посмотреть список задач. Правда, стоит отметить, что есть способы скрыть процесс от показа в переключателе задач. Для просмотра скрытых процессов в системе существует масса утилит, например, Microsoft Process Viewer Application, входящее в поставку к VC++. Мне известна еще программа подобного класса Process Viewer, бывший Pview95. Еще можно упомянуть о пакете Xrun, работающем в DOS-ком сеансе. Эти утилиты позволяют просмотреть список процессов и убить среди них ненужный или подозрительный. Для просмотра активных процессов, на худой конец, можно воспользоваться MSInfo из MS Office, запускающейся из пункта меню помощи (О программе \О системе...) или System Information из нортоновских утилит (раздел Memory).
  4. В Windows-системах полезно следить за изменениями реестра и ini-файлов, для этого есть Regmon for Windows NT/9x или Registry Tracker из пакета Norton Utilities.
  5. Следите за инсталляцией программного обеспечения, лог-файл полной инсталляции будет содержать информацию, например, что перед тем, как создать каталог c:\Quake, сначала был скопирован файл C:\Windows\system\Icqpatch.exe и в реестре была произведена подозрительная запись. Есть программные пакеты, помогающего вам просмотреть действия программ при инсталяции, например, Cleansweep от Quaterdeck или InCtrl 3. Symantec тоже предлагает массу программного обеспечения для различных проверок системы.
  6. Следует вспомнить о ревизорах Adinf АО "ДиалогНаука" для Win95/NT или AVP Inspector Касперского. Эти пакеты позволяют отслеживать любые изменения на диске как то: появление, удаление файлов, изменение уже существовавших. Кроме защиты от "троянских коней", при умелом использовании надежно закроют и от проникновения вирусов. Перед использованием новых программ полезно сделать "снимок" диска в режиме расчета полной CRC.
  7. Полезно время от времени просканировать открытые порты собственного компьютера, чтобы узнать, какие на самом деле приложения используют или прослушивают открытые порты на вашей системе.
  8. Есть готовые утилиты и пакеты для "зачистки" от РПС (разрушающих программных средств). Многие антивирусные пакеты избавят вас от непрошеных гостей. Касперский, Питер Нортон, Соломон успешно обезвреживают многих "троянцев". Есть специализированная "метелка" от Panda Software: PandaBO.
  9. Ну и, конечно же, смотреть за необычными действиями компьютера. Если вдруг замедляется работа компьютера, вылетают на экран различные сообщения вроде "Must die", кто-то явно сменил вам пароль на аську или почтовый ящик, расслабьтесь - Вас атакуют:).

Black Prince,
Werebad@bigfoot.com

Версия для печатиВерсия для печати

Номер: 

18 за 1999 год

Рубрика: 

Защита информации
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!