Оглавление
1. Основные понятия опасности и безопасности в Интернете
2. Откуда берутся компьютерные вирусы?
3. Как защититься от компьютерных вирусов?
4. Антивирусные программы
5. Разновидности вирусов
6. Вирусы
7. Троянские кони
8. Нюк (атака)
1. Основные понятия опасности и безопасности в Интернете
Довольно интересно бывает наблюдать отношение пользователей к защите своего компьютера. Оно колеблется от полного отсутствия таковой – "А, у меня все-равно ничего секретного нету!" – до параноидальной попытки установить пароли везде, где есть такая возможность и зашифровать все файлы, включая картинки рабочего стола и исполняемые файлы. К сожалению, и тот и другой способ не дает приемлемых результатов, особенно при отсутствии у пользователя некоторых знаний о работе компьютеров.
Для начала, немного о том, стоит ли вообще устанавливать какую-то защиту. На мой взгляд, да. Дело в том, что даже если вы не боитесь кражи промышленных секретов (ввиду отсутствия у вас таковых), то это не означает, что ваша машина не заинтересует злоумышленника. Во-первых, у вас могут утянуть пароли для подключения к Интернету, и вам придется платить "за себя и за того парня". Во-вторых, среди "кул хацкеров" существует довольно много вандалов, которым доставляет удовольствие процесс, скажем, форматирования чужого винчестера. А в-третьих, совсем не исключен вариант, что вы притащите какую-нибудь "заразу" со своего домашнего компьютера на работу, где она успеет напакостить до того, как сисадмин с ней разберется.
Еще один интересный вопрос, это может ли непрофессиональный пользователь защититься от нападения профессионала. Разумеется, нет. Но дело в том, что профессионалов довольно мало, и они, как правило, не прельщаются "халявным интернетом" и не форматируют диски просто-так. Соответственно, и вероятность того, что на вас нападет это легендарное существо – Хакер с большой буквы – довольно низка. А вот от "кул хацкеров" защититься можно. Хотя наличие как минимум базовых знаний совсем не помешает...
Теперь о том, что может угрожать вашему "железному другу". В принципе, опасностей не так много. Всего четыре. Вирусы, троянцы, вторжение из-вне, и несанкционированный локальный доступ к компьютеру. Разумеется, в "реальной жизни" эти способы могут пересекаться, например, троянец обеспечивает удаленное вторжение или локальный доступ используется для внесения вирусов, но все-таки эти категории прослеживаются достаточно четко.
Основное, что надо понять, это то, что вирусы и троянцы – это программы. Сами (из ниоткуда) они не появляются, их пишут программисты и потом стараются всеми правдами и неправдами запихнуть на ваш компьютер и запустить. Пока вы их не запустите, ничего не произойдет, другое дело, что многие современные "шибко умные" программы, могут что-то запустить (и запускают) без вашего ведома, именно таким способом распространяются всевозможные "почтовые вирусы", которые рассылают сами себя. Спасает то, что такие вирусы привязаны к определенным программам (чаще всего, к MS Outlook и Exchange), но как раз эти программы наиболее распространены в корпоративных сетях...
Однако, вернемся к нашим барашкам. Основное отличие вирусов от троянцев, на мой взгляд, заключается в том, что вирусы – существа "самодостаточные", а троянцам нужна связь с запустившим их товарищем. Традиционное определение насчет способности распространяться, самостоятельно заражать другие файлы и компьютеры и т.п. не совсем точно отражает суть. Дело в том, что при борьбе с этими "зверюшками", нам надо избежать вредных последствий. В случае вирусов, такими последствиями являются различные действия, предусмотренные программистом и выполняет их вирус самостоятельно; в случае же троянцев, вред заключается в том, что ваши данные пересылаются автору или распространителю трояна, или же он (троян) дает ему (автору или распространителю) доступ к вашей машине. Разумеется, никто не мешает создавать гибридные версии, скажем, самораспространяющегося трояна или вируса, который между делом отсылает пароли, но методы защиты от этого дела все равно будут различаться.
К сожалению, борьба с вирусами дело весьма сложное, и далеко не каждый программист сможет с ним справиться самостоятельно. Поэтому, практически единственный способ – это использование различных антивирусных программ. Но надо четко понимать, что ни одна подобная программа не дает 100% надежности – она может "не знать" какого-то вируса или наоборот, заподозрить его в "добропорядочной программе". Т.к. новые вирусы появляются постоянно, то антивирусные программы следует регулярно обновлять, например, вирусная база AVP сейчас обновляется ежедневно.
У большинства антивирусов есть два режима использования – сканер и монитор. Сканер занимается тем, что тщательно проверяет файлы, расположенные на диске; при этом, вы можете указать для проверки отдельные файлы, директории или весь винчестер. Монитор же, является резидентной программой (т.е. он запущен все время, пока включен компьютер) и "на лету" проверяет запускаемые вами программы и файлы, к которым эти программы обращаются. Как правило, монитор производит менее тщательную проверку чем сканер, но все же он позволяет выловить наиболее распространенные гадости. К сожалению, у антивирусов есть один минус – они довольно ощутимо тормозят работу, ведь им надо проанализировать каждый файл перед тем как разрешить его использование. Именно из-за этих "тормозов" пользователи очень часто отключают антивирусы... А зря.
Разумеется, можно отключить монитор, когда вы работаете со знакомыми программами, но если вы работаете с Интернетом или запускаете что-то новое, то лучше перестраховаться... И еще – стоит потратить пару минут и настроить сканер на автоматический запуск, скажем, в пятницу вечером и проверку всех дисков и файлов – вы ночью, все-равно не работаете, а береженого, как известно, Бог бережет...
Помимо антивирусов, есть еще один очень полезный тип программ – ревизоры (самым, пожалуй, известным из них является ADinf32). Занимаются они тем, что отслеживают изменения ваших файлов, хранящихся на диске. При первом запуске такая программа просматривает ваши файлы и для каждого из них запоминает "контрольную сумму", а при последующих запусках вновь пересчитывает эти суммы и сравнивает с хранящимся значением. Ну и, разумеется, выдает предупрежедение, если какой-то файл изменился (а вирус, "заражая" файл, его несколько меняет). Использование ревизоров требует некоторого терпения, т.к. сначала у вас уйдет определенное время на его настройку – указание тех директорий и файлов, которые не надо отслеживать – а потом, вам придется просматривать списки измененных файлов и решать не вирус ли это... Но эти сложности вполне окупаются – совместное использование антивируса и ревизора дает очень высокую степень защиты от вирусов.
2. Откуда берутся компьютерные вирусы?
Вредоносная программа создается человеком. Создатели вирусов преследуют различные цели и имеют разную квалификацию. Часто бывает, что вирус создается человеком, у которого нет глубоких познаний в искусстве программирования. Что касается целей вирусо-писателей, то здесь можно назвать следующие: желание незаконным путем завладеть информацией, хранящейся на удаленном компьютере, и в дальнейшем использовать ее в своих корыстных целях; многие пытаются таким образом самоутвердиться и завоевать авторитет в окружении своих друзей и знакомых; и, наконец, для большинства вирусо-писателей это – своего рода хобби, интерес, как для Вас, например, коллекционирование каких-либо предметов или просмотр кинофильмов, снятых неизвестными режиссерами.
Есть только два пути проникновения вируса в Ваш компьютер. Во-первых, вирус может быть записан на какой-либо носитель информации (например, на дискету или компакт-диск), и, как только Вы вставляете его в компьютер и обращаетесь к его содержимому, вирус активизируется и происходит так называемое "заражение" компьютера. Во-вторых, вирус может попасть в Ваш компьютер из всемирной сети Интернет (чаше всего через программы Microsoft – Outlook Express, Internet Explorer). Сегодня это самый быстрый и самый актуальный способ распространения компьютерных вирусов. В сети Интернет вирусом можно "заразиться", просматривая самый безобидный сайт, и, естественно, приняв письмо по электронной почте.
Но, для того, чтобы не "заразиться" компьютерным вирусом совсем ненужно прибегать к крайним мерам. Без дискет, компакт-дисков и других носителей информации не обойтись. Не пользоваться всемирной сетью Интернет – значит сделать шаг назад в развитии прогресса.
3. Как защититься от компьютерных вирусов?
Защищаться от компьютерных вирусов необходимо так же, как Вы защищаетесь, например от инфекционных заболеваний.
Во-первых, элементарно нужно соблюдать правила "компьютерной гигиены" и с особой внимательностью относиться ко всему, что Вы делаете на компьютере. Не вступать в случайные связи, т.е. например, не открывать письма от незнакомых отправителей, избегать случайных контактов, т.е. не кликать без разбора на различные баннеры в Интернете и ссылки, и перед обращением к содержимому, например, дискеты, проверить ее антивирусной программой. Здесь же нужна обычная профилактика. Т.е. если Вы обратили внимание на то, что "поведение" Вашего компьютера изменилось, то его информационное содержимое полностью необходимо просканировать на наличие вирусов, чтобы вовремя принять меры. Отсюда следует вторая рекомендация.
Во-вторых, не следует пренебрегать антивирусным программным обеспечением. К сожалению, не сразу удается найти самый оптимальный антивирусный программный продукт. На это уйдет какое-то время. Если нужно заплатить деньги, то их лучше заплатить, если Вы дорожите хранящейся на компьютере информацией и ее конфиденциальностью, а также Вашим собственным временем, тем более, что сегодня достойные решения по антивирусной защите стоят недорого (например, 10 дол. в месяц.
В-третьих, необходимо следить за информацией и новостями. Проинформирован – значит защищен. Если услышали или прочли информацию о новом компьютерном вирусе, то можете подготовиться заблаговременно.
В-четвертых, программное обеспечение, направленное на защиту от компьютерных вирусов, необходимо периодически обновлять. Это основы, которые должен знать каждый современный пользователь компьютера и Интернет.
Поэтому, существуют основные правила профилактики вирусного заражения:
1. Будьте особо осторожны с электронными письмами, обратный адрес которых вам неизвестен;
2. Никогда не открывайте файлы, прикрепленные к письму, если вы не знаете, что там;
3. Используйте «почтовые ящики» на серверах, имеющих антивирусы. Тогда антивирус сам отсканирует присланную вам почту и выдаст сообщение о возможности заражения, если письмо будет содержать опасные файлы.
4. Будьте осторожны при скачивании программ из инета. Хотя большинство сайтов проверяют свои библиотеки на предмет вирусов, но кто может быть уверен на все 100%?
5. Установите ОБЯЗАТЕЛЬНО на свой комп антивирусную программу, имеющую опцию постоянного обновления вирусной базы через Интернет.
4. Антивирусные программы
Борьбу с вирусами ведут антивирусные программы. Как правило такие программы основаны на эвристике. Эвристика – антивирусная технология, заключающаяся в поиске признаков деятельности вирусов, таких как подозрительный код или неожиданные изменения в файлах. Некоторые антивирусные программы:
NOD32 www.eset.comCommand AntiVirus www.commandcom.comMcAfee VirusScan www.mcafee.comNorton AntiVirus www.symantec.comPanda Antivirus www.pandasoftware.comSophos Anti-Virus www.sophos.comTrend PC-cillin www.antivirus.comDoctor Web компании «Диалог Наука» www.dialognauka.ruAVP «Лаборатории Касперского» www.kaspersky.ru
5. Разновидности вирусов
В настоящее время "развелось" огромное количество компьютерных вирусов.
Загрузочный вирус – поражает область дискеты или жесткого диска, в которой хранится информация операционной и файловой систем. Каждый запуск машины с оставленной в дисководе зараженной дискетой может привести к попаданию туда вируса.
Файловый вирус – внедряется в программные (exe- и com-) файлы. После этого копирует себя при каждом выполнении зараженной программы.
Дикий» вирус – тот, который реально циркулирует.
Лабораторный» вирус – обитает в основном в стенах исследовательских лабораторий, не сумев включиться в общую циркуляцию.
Макровирус – наиболее распространенный тип вирусов; на долю макровирусов сейчас приходится около 80% всех случаев заражения компьютеров. Макрокоманды Microsoft Word и Excel могут автоматически выполнять определенную последовательность действий при открытии документа. Такая макрокоманда, зараженная вирусом, способна повредить любому документу Word или Excel, который вы откроете.
Многосторонний вирус – использует несколько механизмов распространения; наиболее распространенный вариант – комбинация файлового и загрузочного вирусов.
Полиморфный вирус – меняет себя всякий раз, когда размножается. Из-за того, что сигнатуры таких вирусов меняются (в ряде случаев произвольным образом), традиционная техника определения вируса по сигнатуре часто не позволяет их выявить; для поиска полиморфных вирусов антивирусные утилиты должны использовать эвристику.
Стелс-вирус – использует специальные приемы, чтобы скрыться от антивирусных программ. По большей части стелс-вирусы действуют в DOS.
Троян – вирус состоящий из двух частей: клиентской и серверной. Серверная часть заражает твой компьютер и открывает какой-либо порт. А с помощью клиентской программы происходит удаленное управление зараженным компьютером через открытый порт.
6. Вирусы
Компьютерные вирусы, или, как их еще иногда называют, "Интернет-черви", уже много лет терроризируют пользователей Интернета. Сейчас в базах антивирусных программ таких вирусов насчитывается более 150 тысяч. Недавно было обнаружено очередное творение недобронамеренных программистов вирус "Nimda". Антивирусные компании объявили, что это один из самых опасных вирусов за всю историю Всемирной сети. Вирус "Nimda", появившийся в Соединенных Штатах Америки во вторник ранним утром, за три первые часа заразил одиннадцать тысяч компьютеров. Он с одинаковым успехом поражает и серверы, и обычные домашние компьютеры. К четвергу зараженными оказались сети многих известных компаний, и даже сайт самой "Microsoft" – производителя программного обеспечения, против которого и был написан вирус. Новый "червь" распространяется несколькими способами, один из которых, самый популярный – рассылка по электронной почте.
Адресат получает письмо, открывает его, и либо сам запускает вложенный файл с названием README.EXE, либо за него это делает почтовая программа "Outlook Express", если в ней задействован средний уровень безопасности. То есть, вы открываете письмо, и даже не подозреваете, что запускаете вирус. Эта способность и делает "Интернет-червя" особенно опасным. Как и его предшественники, "Nimda" способен рассылать себя по всем адресам в электронной записной книге пользователя. А также заражает все найденные на вашем жестком диске файлы HTML – веб-страницы. Подхватить вирус можно и просто просматривая сайты, размещенные на уже зараженных серверах.
Действие вируса оправдывает и его название – прочитайте "Nimda" справа налево, получите "Admin", сокращение от "Администратор". Самый зловещий его эффект: вирус открывает доступ к вашим жестким дискам, а соответственно и ко всей информации, которая на них имеется.
Самыми знаменитыми вирусами за их историю являются "Chernobyl", "Melissa", "I love you", "Anna Kournikova" и "Code red". "Chernobyl", и "Melissa", нанесли большой урон пользователям в 1999-м году. Они были первыми. "Chernobyl" появился 26 апреля, в день годовщины аварии на атомной станции. Вирус стирал в компьютере всю информацию, превращая его в груду металлолома. "Melissa" рассылала себя по адресам из электронной адресной книги и позволяла получить доступ к любой информации на жестком диске. Их авторы были найдены и осуждены.
Автор безобидного вируса "Anna Kournikova" сдался сам. Этот вирус лишь размножал себя рассылкой по другим адресам, но вреда не наносил. Автору – молодому голландскому программисту – светит 240 часов общественных работ с конфискацией компьютера и модема.
Письма с вирусом "I love you" – "Я тебя люблю" – стали приходить в прошлом году, заражение распространялось очень быстро, но авторы антивирусов быстро справились с этой "любовной" угрозой. Вирус поражал большое количество различных файлов, и за несколько дней нанес ущерб сотням тысяч компьютеров. Автор – неизвестен.
"Code red" свирепствовал на планете всего месяц назад, заразил более 350 тысяч компьютеров и даже вызвал сбой в работе сервера Белого дома. У желающего посмотреть сайт на зараженном сервере Белого дома на 10 часов выскакивала надпись на английском языке: "Взломано китайцами". Последующая модификация вируса позволяла удаленно управлять компьютером и перезагружать его в любое время. Авторы этого вируса также еще не найдены.
Очередной вирус в очередной раз поражает тысячи компьютеров по всему миру. Причем в списке пострадавших часто одни и те же компании. Неужели от вирусов нет защиты? Ведь вирус – просто программа, которая использует ошибки в имеющемся на машине программном обеспечении. Первая и легко устранимая причина заражения – обычная халатность системных администраторов крупных организаций. До каких размеров она доходит, можно понять, вспомнив, что пораженными оказываются серверы самой компании "Microsoft" – разработчика компьютерной среды, в которой эти вирусы так быстро распространяются. Ведь после каждой крупной цифровой эпидемии специалисты "Microsoft" разрабатывают и выпускают специальные программки "патчи" – то есть заплатки, латающие дыры в почтовых программах "Outlook" и "Outlook Express" и браузера "Internet Explorer". Так вот, оказывается, что даже в компании "Microsoft" и некоторых ее дочерних фирмах эти заплатки не установлены. А говорят, что у Билла Гейтса железная дисциплина...
Итак, первое очевидное средство: подписаться на официальном сервере компании "Microsoft" на рассылку постоянно появляющихся заплаток, именно на рассылку, поскольку помимо крупных эпидемий ежедневно для продуктов компании "Microsoft" появляются десятки вирусов. Второе средство профилактики – отключить в почтовой программе опцию автоматического запуска любых приложений и ни в коем случае не открывать в письмах – даже от знакомых людей – приложенные к письму файлы с непонятными расширениями. Особенно – с расширением "EXE", так как это исполнимые файлы, которые запускаются автоматически и начинают хозяйничать в компьютере.
Почему надо быть внимательным даже к письмам со знакомыми адресами? Дело в том, что часто вирус использует записную книжку зараженного компьютера или считывает электронные адреса из архива, и вредоносные программы приходят со вполне знакомых и "порядочных" адресов. Осторожные пользователи просят своих корреспондентов описывать в письме, какой файл и зачем они присылают. Это очень разумно, ведь даже самый "продвинутый" хакер не сможет написать универсальное резюме -приложение, которое не вызовет подозрения у большинства людей.
К сожалению, в последней эпидемии вирусы пробрались на страницах серверов и можно заразиться, даже просто просматривая Интернет-страницы таких известных компаний как "Dell" и "Microsoft". Что же делать? Многие специалисты считают, и я к ним присоединяюсь, что безопаснее всего просто не пользоваться самыми уязвимыми продуктами "Microsoft", а заменить их на другие, тем более, что они распространяются бесплатно. Не надо даже долго размышлять – например браузер "Netscape", "Opera" или почтовая программа "Bat" – "летучая мышь". Впрочем, можно выбрать и другие.
Следует подчеркнуть, что вирус – это программа, которая ищет конкретные недостатки в конкретной программе, в 99 процентах случаев это продукты компании "Microsoft" – как самые распространенные и разветвленные. Если вы откроете обычный зараженный файл в "Netscape" или "Bat", то он, даже запустившись, не найдет тех дыр, на которые рассчитан. Так что надо соблюдать элементарную осторожность, подумать об установке пары бесплатных программ и обновить программу антивируса.
7. Троянские кони
В последнее время очень широкое распространение получили также специфические вредоносные программы, использующие Интернет-соединение. Их называют "троянскими конями", или "троянами". Довольно точное название, если вспомнить историю Троянской войны: после долгой осады Трои греки оставили у ворот города подарок для мужественных троянцев – огромного деревянного коня. Наивные троянцы затащили коня в стены города, а ночью из коня вылезли прятавшиеся там солдаты... Троянцы быстро поняли свою ошибку, а вот Вы, заполучив программу-трояна на свой компьютер, можете долго оставаться в неведении по этому поводу. А в это время зловредная программа собирает сведения, хранящиеся на вашем компьютере, и отсылает их в "нужное место".
Что делают трояны? По большей части, они занимаются тем, что воруют пароли для доступа в Интернет и другую "секретную" информацию (например, номера кредитных карточек) и пересылают ее "хозяину" (а как вы думаете, откуда на "хакерских" сайтах берутся пароли для бесплатного подключения?) Другой распространенный вариант – это установка различных серверов для удаленного управления. Если подобный "зверь" оказался у вас в системе, то его хозяин сможет работать на вашем компьютере почти как на своем собственном (или же просто пакостить, к примеру, отключая модем). Также, "серверный" троянец может представлять из себя, скажем, FTP-сервер, и позволять злоумышленнику загружать к вам или скачивать от вас любые файлы. Встречается, например, и такая экзотика, которая незаметно для пользователя устанавливает программное обеспечение для распределенного взлома RC5 алгоритма и использует его компьютер в пользу той или иной команды. У буржуев встречаются трояны, которые автоматически звонят на 900-е телефонные номера (это номера, за разговор по которым абонент платит дополнительные деньги, скажем, пресловутый "секс по телефону"). В общем, число разнообразных пакостей определяется только фантазией авторов...
Самой нашумевшей программой-трояном является Back Orifice (по-русски буквально: "задний проход"). Заиметь ее у себя на компьютере – настоящее бедствие. Это по сути дела мини-сервер, который позволяет управлять вашим компьютером на расстоянии по Интернет-соединению: скачивать с него любые файлы, запускать на нем программы, заставить ваш компьютер перестать откликаться на ввод с клавиатуры, перегрузить ваш компьютер и т.д. и т.п. Неприятно, правда?
Опасайтесь зараженных дискет, нелицензионных компакт-дисков, программ, сгруженных со случайных Интернет-сайтов, или присланных по почте неизвестными лицами, под каким бы видом эти программы ни были Вам предложены. Если Вы получили нежданное письмо с приложенной программой, не нужно паниковать, сам по себе вирус не проникнет на ваш компьютер. Просто удалите такое письмо и программу, не запуская ее на выполнение. Если любопытство сильнее осторожности, то обязательно проверьте программу на наличие вирусов.
Регулярно проверяйте ваш компьютер при помощи антивирусных программ на наличие вирусов и троянов. Также обязательно проверяйте все новые программы, которые Вы собираетесь установить или просто запустить на своем компьютере, в том числе и полученные по электронной почте. Для обнаружения и удаления двух наиболее распространенных троянов Back Orifice и NetBus воспользуйтесь программой BODetect.
Для фиксирования попыток проникновения на ваш компьютер и их блокирования, воспользуйтесь программой NukeNabber (dynamsol.com/puppet/nukenabber.html). После установки и запуска программы Nuke Nabber проделайте следующие действия:
В разделе File | Options | General поставьте галочку перед следующими пунктами: Run Minimized, Use SysTray, Block Port Scanners. На этой же закладке в разделе Default Port Options включите Disable Port For. В разделе File | Options | Advanced можно изменить список портов, за которыми наблюдает программа. В частности, можно добавить слежение за портами 31337/udp и 31338/udp (их по умолчанию использует троян Back Orifice), а также 12345/tcp и 12346/tcp (их по умолчанию использует троян NetBus). Щелкните по кнопке OK и минимизируйте (сверните) основное окно программы. NukeNabber будет предупреждать о попытках проникновения на ваш компьютер, а также блокировать порт, по которому идет соединение, на время, заданное в пункте Disable Port For. Если Nuke Nabber выдает сообщение: Winsock doesn't support ICMP monitoring, то рекомендуется произвести обновление Winsock в вашей системе.
Еще очень хорошая программа Zone Alarm Pro. Она вмещает в себе множество полезных вещей для обеспечения безопасности в инете.
Как троянцы попадают на компьютер? К сожалению, однозначно тут сказать ничего нельзя – иначе, можно было бы просто перекрыть эти пути и не беспокоиться... Чаще всего, заражение происходит, когда пользователь запускает какую-то программу, полученную из "сомнительного источника". Стандартным способом распространения троянов, является рассылка писем от имени известных серверов, причем в письме указывается, что прицепленный файл – это новая программа/заплатка и т.п. Другой способ – письмо, якобы по ошибке попавшее не туда. Основная задача таких писем – заинтересовать вас и заставить запустить прицепленный файл. Учтите, что даже прицепленная картинка может оказаться троянцем: можно, например, назвать его "1.gif много пробелов .exe" и прицепить соответствующую иконку – и вы в своей почтовой программе увидите только кусок названия: "1.gif". Не менее распространенной является маскировка троянцев под новые версии известных программ (в том числе антивирусов) и под... троянцев. Так что, если вы решите поразвлечься и подсунуть трояна своему знакомому, то не исключено, что и сами окажетесь жертвой злоумышленника.
Общее правило: всегда с подозрением относитесь к файлам, полученным из незнакомого источника. Да и из знакомого – тоже. Любой файл, полученный вами по почте, если вы заранее не договаривались о его отправке вам, скорее всего, окажется трояном. Большинство, так называемых, "хакерских" программ, предназначенных для взлома сети и т.п. – тоже окажутся троянами. Здесь очень хорошо срабатывает правило: "то, что у вас паранойя, еще не значит, что за вами не следят".
Кстати, довольно часто троянца можно определить и по стилю письма. Если вы получаете письмо, или видите на страничке что-то вроде "эй, чувак, здесь самая крутая нюка", то процентов 90, что это именно троян.
Как вычислить трояна? Для того, чтобы троян мог творить свое "черное дело", он должен быть запущен у вас на компьютере. В первый раз вы запускаете его сами, но надеяться то, что вы будете делать это каждый раз – нельзя. Соответственно, троянец должен позаботиться о том, чтобы не умереть после перезагрузки компьютера. В Windows есть три места, откуда программа может автоматически запуститься при загрузке системы: папка Автозагрузка, win.ini и реестр (разумеется, есть еще различные драйвера, но такие сложные трояны встречаются очень редко). Так что, если вы будете периодически проверять эти места, скажем, с помощью PC Security Guard или RunServices, на предмет "неопознанных" программ, то с большой долей уверенности сможете обезвредить троянов. Другое дело, что надо еще разобраться, что это именно троян... Дело в том, что в Windows живет огромное количество файлов, и определить должен ли этот файл здесь "жить" или это "пришелец" довольно сложно. Тем более, что многие трояны имеют достаточно правдоподобные названия, например browser.exe или spoolsrv.exe...
Уже запущенного трояна определить сложнее, хотя тоже возможно. Нажав Ctrl-Alt-Del или используюя какую-нибудь специальную программу, можно посмотреть список процессов, запущенных на вашем компьютере. С помощью утилиты netstat (или другой аналогичной) можно посмотреть, с кем и на каком порту ваш компьютер устанавливает связь. Правда, для пользования этими утилитами (точнее, для того, чтобы понять их результаты) требуются определенные знания... Кстати, косвенным признаком наличия трояна может служить Интернет-активность вашего компьютера в то время, когда вы ничего не делаете (хотя с тем же успехом, это может оказаться какая-нибудь безобидная утилита, проверяющая в фоновом режиме ваши закладки или кэширующая страницы).
Даже если вы вычислили троянца, то не факт, что вам удастся его легко удалить – Windows не разрешает удалять файлы запущенных программ. Поэтому, вам надо определить откуда запускается троянец, удалить эту запись, перезагрузить компьютер и уже после этого убить вредный файл. Хотя, лучше его не убивать, а для начала куда-нибудь переместить – вдруг это все-таки что-то нужное.
8. Нюк (атака)
Нюк (Nuke) – это атака, целью которой является отказ в работе, какого либо сетевого сервиса. Для этой цели создано множество программ (WinNuke, Nuke Attack и тд.), которые может скачать в инете каждый засранец и свалить вашу машину. Для того чтобы этого не случилось, я и написал эту статью. О том, как работают эти проги я здесь писать не буду, а только скажу, что большинство из них атакуют компьютер по указанному IP-адресу (как правило, на 139 порт, а в Win95 была такая дыра, что нюком можно было перезагрузить компьютер) посылая один или несколько некорректных запросов к запущенному на компьютере сетевому приложению. Возможность этих атак основанна на протоколе TCP/IP и является следствием разнообразных дыр и ошибок в ПО.
Для того чтобы обезопасить себя от нюков вам надо постоянно заходить на сайты программ, которыми вы пользуетесь при работе в Интернете (в первую очередь на microsoft.com) и поставить на свой компьютер антинюкер. О том как скачивать и устанавливать апдейты я писать здесь тоже не буду, но об одном хорошем антинюкере расскажу.
Этот антинюкер называется NukeNabber (переводиться, как "Нюкохвататель") и является (по моему мнению, да и не только по моему) лучшим в своем роде. Он будучи запущенным, резидентно висит в оперативке и следит сразу за 50 портами (по умолчанию он следит за 13, но остальные вы можете сами назначить) перекрывая доступ извне к сетевым сервисам, которые могут атаковать хакеры по средствам нюков и флудов. Обнаружив атаку он отключает временно порт (по умолчанию на 60 сек., но лучше поставить на 120 сек.), что избавляет вас от нюка или влуда. Еще что привлекает в этой программе это, что она предоставляет приличный объем информации о самом нападающем (человеке), вплоть до его NickName`а.
Надеюсь, что с настройками вы сами разберетесь (быть может, я напишу добавление к этой статье заключающееся в настройках NukeNabber`а) причем до меня уже доходили слухи, что NukeNabber переведен и на русский язык. Теперь о том, где можно скачать NukeNabber. Он является Freeware`ым и доступен для скачивания с сайт автора программы по адресу: dynamsol.com/puppet/nukenabber.html или с web-hack.ru. На данном этапе я откланиваюсь и оставляю вас на едине с NukeNabber`ом, который даст вам познать жизнь без нюков и флудов.
Но все же всегда более высокую защиту вам даст хорошо настроенный FireWall. типа Zone Alarm Pro.
