През последните месеци огромно разпространение сред потребителите на Интернет получиха програми от типа "Троянски кон", които се използват за кражба на акаунти. В следващите редове ще се опитаме да разясним опасностите и средствата за защита от такива програми.
. Какво представляват
Троянски кон е прогрaма, която под прикритието на някаква полезна функция (или обещание за извършване на такава) извършва скрити от потребителя действия. Троянският кон не е вирус защото не може да се разпространява сам и единственият начин за неговото разпространение е чрез измама от страна на създателите му и благодарение на лековерие от страна на потребителите. Създадени са специални разновидности на троянските коне, основната цел на които е кражба на акаунти за достъп до Интернет. Възможностите, които те дават на създателите си (респ. на злонамерените разпространители ) обаче далеч надхвърлят тази цел. Този тип троянски коне се базират на една отдавна съществуваща група софтуерни продукти известни като Remote Administration Tools (RAT). Типичен представител на този тип програми е PC Anywhere на Norton. Идеята е да се осъществи отдалечен мрежов достъп до даден компютър, така че да е възможно пълно използване на ресурсите - все едно, че седим зад клавиатурата и мишката му. Инсталирането и използването на програма от такъв тип без знанието на собственика на компютъра обаче води до големи опасности за потребителите на Интернет. В интервалите от време, когато такъв компютър е online, т.е. свързан е към Интернет, е възможен пълен дистанционен контрол на абсолютно всичките му ресурси от всяка точка на земното кълбо!
За да предотвратят конкурентна намеса на заразени от тях машини разпространителите на RAT в повечето случаи имат възможност да изберат парола с която да кодират връзката си, така че други хакери да не могат да се възползват от техния троянски кон. Това ограничение обаче не се отнася до авторите на RAT софтуера (и хората запознати в тънкости с дадената разновидност), които винаги имат възможност да осъществят пълен контрол над даден заразен компютър независимо от използваната от конкретния разпространител парола.
Разпространители най-често са не особено компютърно грамотни тинейджъри. В желанието си да откраднат акаунти за достъп до Интернет те дават възможност на злонамерени хакери с по-висока компютърна грамотност да осъществят неоторизиран достъп до данните от хиляди компютри по цял сват. Този факт прави разпространенитето на RAT много по-опасно за потребителите от колкото изглежда на пръв поглед. Напълно реалната възможност за изтичане на важна фирмена или лична информация в никакъв случай не трябва да бъде пренебрегвана.
. Какво правят
В момента чрез Интернет в различна степен са разпространени над различни RAT троянски коне, създадени предимно за осъществяване на неоторизиран дистанционен контрол над включени в мрежа компютри. Най-разпространени в момента са Back Office и Netbus, като вторият работи и под Windows NT. Възможностите, които те дават на разпространителите си с малки нюанси са едни и същи а именно:
* изтегляне на произволен файл
* записване на произволен файл (вкл. подмяна на инсталирани програми, които търсят троянски коне!)
* търсене и декодиране на записани на диска пароли
* записване на всеки натиснат клавиш (всички пароли, които не са записани се въвеждат от клавиатурата)
* блокиране/рестартиране на компютъра
* извеждане на съобщения на екрана
* записване изображението на екрана
* изпращане на писма от името на собственика на заразения компютър
. Как да се предпазим
Единственият начин е чрез строга хигиена на софтуера които използваме. При спазване на следните условия вероятността да пострадаме е под 1%:
НИКОГА не стартирайте прикачени към e-mail изпълними (.exe/.com) файлове независимо от изпращача. Не отваряйте компресирани файлове във ZIP формат ако не сте сигурни в изпращача. За съжаление пощенската систeма на Интернет позволява в графата "подател" да фигурира произволно избрано име и адрес на изпращача. Това означава, че дори там да фигурира името на ваш добър приятел или на вашият ISP, НЯМА ГАРАНЦИЯ, че това наистина е той. Можете да сте сигурни в изпращача само след потвърждение от него. ВИНАГИ обръщайте внимание на типа на прикачения файл независимо за какъв е обявен в текста на писмото.
НЕ СТАРТИРАЙТЕ изпълними файлове изпратени или посочени ви по какъвто и да е друг начин (ICQ, линкове от e-mail и т.н.)
ИЗБЯГВАЙТЕ да теглите от Интернет (download) софтуер от подозрителни web/ftp сайтове. Ако търсите най-новата версия на известна програма изберете за download сайта на автора или някое от популярните download места като download.com, cdrom.com, winfiles.com. Избягвайте хакерските и малките източноевропейски сайтове. - Излишно е да споменаваме софтуерите със свалена защита или за сваляне на защити. Вероятността такъв софтуер да съдържа троянски кон е многократно по-голяма. По този начин ловците на краден софтуер рискуват сами да станат плячка.
. Дали вече не сме заразени
На първо място ще обърнем внимание, че RAT са силно зависими от операционната система. 90% са предназначени за Windows 95/98 която е абсолютно незащитена от такъв вид агресия. WindowsNT е значително по-слабо уязвим, но вече съществува немалък брой RAT и за него. Известно е съществуването на програми от тозит тип и за UNIX, но поради естестовото на тази ОС разпространеието им е нищожно.
Следните косвени признаци са характерни за заразените с RAT компютри:
* Някой знае паролата ви за достъп до Интернет и изразходва времето ви за достъп независимо дали я променяте. Напоследък е разпространено и сканиране за други RAT през крадени акаунти или директно докато собстевника е на линия
* Windows-a ви се държи странно когато сте на линия. Поради принципно странното държане на Windows този признак не е подходящ за проверка.
* Обвиняват ви в хакерски действия (сканиране за Back Orifice например).
* непознат процес в списъка при натискане на <ctrl+alt+del> в Windows. Само най-старите и любителски написани RAT се виждат така
По наличие на някой от тези преки признаци можете да разпознаете RAT на вашия компютър:
Отворен непознат порт по време на връзка с Интернет (проверката е за по-напреднали потребители). За да проверите е необходимо да сте online и след като затоворите всички приложения за работа с Интернет (броузър, ICQ) да стартирате в DOS shell командата "netstat -na". За да сте сигурни, че netstat.exe не е подменен е необходимо да използвате гарантирано чисто копие. В резултат ще получите списък с TCP/IP връзките на вашият компютър. Ако в лявата колона видите номер на порт (числото след ":"), различен от 137-139 това най-вероятно е мрежовия порт на който се осъществява връзката с троянския кон. За целта трябва да сте сигурни, че знаете кои портове са нормално отворени на вашия компютър.
. Как да се отървем -Съществува голямо разнообразие от противовирусни програми, които откриват една част от най-разпространените RAT. За съжаление засега неоткриваемите преобладават. Набира скорост и нов раздел програми - търсачки на троянски коне.
Ако имате сериозни подозрения, че не работите сами на вашия компютър и противовирусните програми не намират нищо ви остава само едно изпитано решение - форматиране на диска и преинсталиране на всичко на чисто. Ако след това спазвате горните инструкции е много вероятно за дълго след това вашия компютър да се използва само с вашето съгласие.
