"Troians"

"Троянцы"

"Timeo Danaos et dona ferentes". "Бойтесь данайцев, дары приносящих".
The article elaborates on a definition of the "Trojan horses" - programs of intelligence or destructive purpose, possibilities of control over the system of wide-spread "Trojans", basic ways for their reception, the ways for launching in Windows, and finally the simplest precautionary measures.
"Троянец - независимая программа, которая на первый взгляд выполняет полезную функцию, но на самом деле прячет другую несанкционированную программу внутри себя. Когда пользователь выполняет явную функцию, троянский конь выполняет также несанкционированную функцию (часто узурпируя привилегии пользователя)".
"Основы компьютерной безопасности".
Дебора Рассел и Г.Т. Генгеми.
Дам перечень названий троянцев, без указания версий и дополнений: Acid Shivers, Antigen, Back End, Back Orifice, Back Door, DeepThroat, Devil, Dmsetup, EvilFTP, Executer 1, Executer 2, Fore 1.0b, FTP99cmp, GateCrasher, GirlFriend, Hacker's Paradise, ICKiLLEr, ICQ Troqen, Invisible FTP, Master's Paradise, Millenium, NetBus, Net Monitor, phAse zero, Phineas Phucker, PSS, Remote Grab, Ripper Pro, Remote windows shutdown, Shtirlitz, Sivka-Burka, Sstrojg (Senna Spy Trojan Back Door Generator), Sockets de Troje, StealthSpy Beta, Telecommando, Voice, Win Crash. Список можно продолжать. Многие из них имеют несколько версий. У меня лежит список 107 модификаций с указанием размера. Но это информация взята с одного сайта. Если честно, нет времени заниматься аккумулированием информации и систематизацией новых версий.
Не буду "растекаться по древу" и, чтобы пользователь представил характер угроз, приведу сокращенный список функций самого "продуманного" продукта – Back Orifice:
  1. Выдача списка приложений прослушивающих порты для соединений.
  2. Создание каталога на диске.
  3. Выдача списка файлов и каталогов (возможно использование масок).
  4. Удаление каталога.
  5. Выдача списка разделенных ресурсов, с типом ресурса, доступа и паролей для доступа.
  6. Копирование файла.
  7. Удаление файла.
  8. Поиск файла (возможно использование масок).
  9. Компрессирование (сжатие) файла.
  10. Декомпрессирование файла.
  11. Просмотр содержимого текстового файла.
  12. Запуск HTTP-сервера.
  13. Останов HTTP-сервера.
  14. Запуск записи нажатия клавиатуры в текстовый файл.
  15. Останов записи нажатия клавиатуры в текстовый файл.
  16. Захват изображения экрана с записью в bmp-файл.
  17. Просмотр входящих и выходящих сетевых соединений.
  18. Просмотр активных процессов.
  19. Запуск программы (скрытый или активизацией окна на экране пользователя).
  20. Редирект входящих IP-соединений или UDP-пакетов на другой ip-адрес.
  21. Создание/Удаление ключа реестра.
  22. Выдача списка (или значений) ключей реестра.
  23. Замыкание сервера.
  24. Перезагрузка системы.
  25. Выдача информации о системе (имя компьютера, текущий пользователь, тип процессора, общей и свободной памяти, версии Windows, тип и размер привода, свободное место и т.п.).
Я думаю, любой "сисадмин" согласится, что даже этих приведенных функций более чем достаточно, чтобы сделать с удаленной Windows-системой все, что угодно. Но не стоит необдуманно применять этот продукт. Он имеет подвох: применивший его (предостережение начинающим хакерам-недоучкам) ставит и свою машину под полный контроль "Культа мертвой коровы". Так называется группа создавшая этот продукт. Примечательно название продукта. Эта игра слов – переозвученное название известного продукта Microsoft "Back Office". "Back Orifice" дословно означает: "через задницу". Не любят хакеры Гейтса и его продукты. Есть даже поговорка: "Скажи мне кто такой Билл Гейтс и я скажу кто ты!"
Теперь о способах получения троянцев:
  1. Любой self-extract архив вроде zip, rar, arj и тому подобное. При распаковке сначала ставится "троянец", потом содержимое как при обычной распаковке.
  2. Широко применяется социальная инженерия для забрасывания троянцев в систему. Вам могут предложить новую утилиту, очередной "прикол", новый "патч" под аську и т.д. Особенно нужно быть осторожным при настойчивости благожелателя или при получении по E-mail аттачмента (вложенного файла) от незнакомых или пользующихся сомнительной репутацией людей.
  3. Файлы для MS Office 97 позволяют активизировать троянца прямо с документа (macros).
  4. Стоит напомнить, что в почтовых программах Microsoft Outlook Express 4.X, Outlook 98 и Netscape Messanger при получении почтового сообщения с аттачментом с длиной имени более 255 символов может произойти выполнение вложенного содержимого. Письма при этом не нужно даже открывать для чтения.
  5. Любые download-ы с всемирной паутины, как-то гороскопы, коллекции открыток или новые "супер-утилиты". Отмечены случаи, когда даже с сайтов официальных производителей поступала зараженная троянцами или вирусами продукция.
  6. ActiveX, plug-in под различный ходовой "софт" и другие высокотехнологические атаки требуют отдельного и развернутого описания. Сюда же можно отнести множество компонент под Delphi, Builder ++. Вставить в них троянца проще простого. К примеру, у меня есть правило, брать freeware-компоненты только с "исходниками" и компилировать самостоятельно, да и для повышения квалификации полезно разобраться с текстами сторонних авторов.
  7. Различные шутовские программки, внешне безобидные могут нести в себе встроенный троянский довесок. В этот же ряд можно поставить "халявное" программное обеспечение, будь-то игрушки, бесплатные скрин-сервера, или трайл-версии. Большинство компакт-дисков, продаваемых на радио-рынках по единой цене, но без учета содержания, создаются наспех, без какой-либо проверки "на вшивость". Да и ответственность у продавцов минимальная. Кроме "троянцев", подобная продукция изобилует вирусами.
  8. Начинающим хакерам следует понимать, что высокотехнологические "отмычки" скачиваемые ими с Интернета и BBS могут выполнять необъявленные функции. Порой авторами в них намеренно делаются вставки. Ничего не попишешь - мечта "совка" номер два: "халяву – на халяву".
И как защищаться от подобных вторжений:
  1. Так как "троянский конь" - это самостоятельная программа, чаще всего она запускается самой операционной системой при запуске. Следует смотреть изменения в файлах autoexec.bat и config.sys. Следующее место – это папка "автозапуска". Но с подобных ме
    2. ст запуски производятся только откровенными новичками от программирования. Еще одна "группа риска" - это Win.ini раздел [windows], строки load, run. Hookdump (скрытый KeyRecorder) стартует именно оттуда. Теперь о соответствующих разделах реестра. Просто перечислю:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_USERS\какое-то_имя\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_USERS\какое-то_имя\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_USERS\какое-то_имя\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_USERS\какое-то_имя\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
В них необходимо просмотреть все "Строковые параметры", запускающие подозрительные программы. Программные закладки не обязательно могут присутствовать в виде exe-шника. Можно переименовать исполняемые файлы с любым расширением или без него, но они все равно запустятся из строкового параметра командной строкой (например, переименовать notepad.exe в notepad.doc и запустить через реестр до запуска RunServices).
Подраздел \SOFTWARE\Microsoft\Windows\CurrentVersion\Run существует не только в разделе HKEY_LOCAL_MACHINE, еще и в HKEY_USERS (HKEY_USERS\.Default\ или HKEY_USERS\.Ваш_логин_при_старте\).
Поэтому, повторите поиск разделов "Run" ("RunOnce", "Run... ") в еще 2-х главных разделах.
  1. Не следует ставить неизвестные программы на серверах и, особенно, с админовскими правами (NT). У "пуганых" пользователей я встретил интересное правило: для серфинга по Интернету и игрушек используется отдельный компьютер не связанный с остальными по локальной сети.
  2. Можно комбинацией Ctrl-Alt-Del посмотреть список задач. Правда, стоить отметить, что есть способы скрыть процесс от показа в переключателе задач. Для просмотра скрытых процессов в системе существует масса утилит, например Microsoft Process Viewer Application, входящее в поставку к VC++. Мне известна еще подобного класса программа Process Viewer, бывший Pview95. Еще можно упомянуть о пакете Xrun, работающем в DOS-ком сеансе. Эти утилиты позволяют просмотреть список процессов и убить среди них ненужный или подозрительный. Для просмотра активных процессов, на худой конец, можно воспользоваться MSInfo из MS Office, запускающейся из пункта меню помощи (О программе \О системе…) или System Information из нортоновских утилит (раздел Memory).
  3. В Windows-системах полезно следить за изменениями реестра и ini-файлов, для этого есть Regmon for Windows NT/9x или Registry Tracker из пакета Norton Utilites.
  4. Следите за инсталляцией программного обеспечения, лог-файл полной инсталляции - будет содержать информацию, например, что перед тем как создать каталог c:\Quake сначала был скопирован файл C:\Windows\system\Icqpatch.exe и в реестре была произведена подозрительная запись. Есть программные пакеты, помогающего вам просмотреть действия программ при инсталяции, например, Cleansweep от Quaterdeck или InCtrl 3.
  5. Следует вспомнить о ревизорах Adinf АО "ДиалогНаука" для Win95/NT или AVP Inspector Касперского. Эти пакеты позволяют отслеживать любые изменения на диске как-то появление, удаление файлов, изменение уже существовавших. Кроме защиты от "троянских коней" при умелом использовании надежно закроют и от проникновения вирусов. Перед использованием новых программ полезно сделать "снимок" диска с полной CRC.
  6. Полезно время от времени просканировать открытые порты собственного компьютера, чтобы узнать какие на самом деле приложения используют или прослушивают открытые порты на вашей системе.
  7. Есть готовые утилиты и пакеты для "зачистки" от РПС (разрушающих программных средств). Многие антивирусные пакеты избавят вас от непрошеных гостей. Касперский, Питер Нортон, Соломон успешно обезвреживают многих "троянцев". Есть специализированная "метелка" от Panda Software PandaBO.
Black Prince
Publications Top Page Projects