О "троянских конях" разговоров много. Что же они из себя представляют? Они, чем-то напоминают вирусы. А именно тем, что, как правило, попадают на ваш компьютер вместе с какими-то другими файлами. Изначально троянами назывались программы, которые, помимо необходимой незадачливому пользователю работы, выполняли еще что-то - обычно давали возможность после ввода некоего специального кода попасть в систему ( т.н "remote administration" - удаленное администрирование) и получить управление компьютером жертвы. Хрестоматийный пример - перехват введенных пользователем паролей, запись их в файл и пересылка автору по почте. В этом и заключается основное отличие троянов от вирусов: вирусы самодостаточны, а трояны должны "связываться" со своим автором. То есть, если бороться с вирусами можно только одним способом - вылавливать и уничтожать, - то для защиты от троянов можно перекрыть им возможность связи с автором. Разумеется, это никак не исключает необходимости их удаления, - просто еще один способ защиты. Опасность троянцев состоит в том, что их можно "приклеить" к любой полезной программе. После первого запуска такой программы серверная часть "прописывается" на вашей машине и скрытно запускается при каждой перезагрузке.

Функции и возможности

В основном они занимаются тем, что воруют пароли для доступа в Интернет и другую секретную информацию, например, номера кредитных карточек (а как вы думаете, откуда на "хакерских" сайтах берутся пароли для бесплатного подключения). Когда вы подключаетесь к Интернету, "клиент" записывает все комбинации нажатых пользователем клавиш в отдельный файл и через некоторый промежуток времени отправляет этот файл "хозяину". Таким образом можно узнать много интересного о своих знакомых. Другой распространенный вариант - установка различных серверов для удаленного администрирования. Если подобный "зверь" оказался у вас в системе, то его хозяин сможет работать на вашем компьютере почти как на своем собственном (или же просто пакостить, к примеру, отключая монитор). Также, "серверный" троянец может представлять из себя, скажем, FTP-сервер, и позволять злоумышленнику загружать к вам или скачивать от вас любые файлы. На Западе встречаются трояны, которые автоматически звонят на 900-е телефонные номера (это номера, за разговор по которым абонент платит дополнительные деньги, скажем, пресловутый "секс по телефону"). В общем, число разнообразных пакостей определяется только фантазией авторов...

Пути проникновени

К сожалению, однозначно тут сказать ничего нельзя - иначе, можно было бы просто перекрыть эти пути и не беспокоиться... Чаще всего, заражение происходит, когда пользователь запускает какую-то программу, полученную из сомнительного источника. Стандартным способом распространения троянов, является рассылка писем от имени известных серверов, причем в письме указывается, что прицепленный файл - это новая программа/заплатка и т.п. Другой способ - письмо, якобы по ошибке попавшее не туда. Основная задача таких писем - заинтересовать вас и заставить запустить прицепленный файл. Учтите, что даже прицепленная картинка может оказаться троянцем: можно, например, назвать его "1.gif «много пробелов» .exe" и прицепить соответствующую иконку - и вы в своей почтовой программе увидите только кусок названия: "1.gif". Например, вы можете получить по почте письмо такого вида: "Привет! Меня зовут Даша, мне 19 лет, симпатичная. Давай познакомимся - можешь посмотреть мою фотку". К письму прикреплен файл с "фоткой", которая на самом деле и является тем самым трояном. Запустив эту программу, вы может быть и увидите фотографию - но заодно и отдадите этой самой Даше все свои данные. И скорее всего не Даше, а подростку, который не прочь попользоваться Сетью за ваш счет. Не менее распространенной является маскировка троянцев под новые версии известных программ (в том числе антивирусов). Рассылают и некие анкеты (Анкета.exe, например), якобы от лица провайдера. В этом случае в поле From:(Откуда:) стоит адрес типа provider@sitycom.ru. Чтобы не попадаться на подобную "удочку", возьмите за правило просматривать служебный заголовок письма, где будет действительный адрес отправителя. Если коротко, то истинный отправитель (его адрес почтовый и IP) будет указан в самой нижней записи "Received:from........." Эту запись делает почтовая программа сервера. Подменить её трудно, в отличии от адреса в поле "From:" письма, где можно проставить что угодно.

Впрочем заразиться можно, даже не открывая письма. По последним данным обнаружена очередная разновидность троянов (и вирусов). Новаторство их авторов заключается в том, что для заражения компьютера пользователю не нужно ни запускать прикрепленную к сообщению программу, ни даже просто открывать само письмо. До сих пор считалось, что вы защищены от вредоносных программ, если не открываете приложенные к сообщению файлы. Теперь можно утверждать, что если вы вообще пользуетесь электронной почтой, вам необходимо либо установить антивирусные программы, либо перестать читать поступающие сообщения. Вот Outlook Express позволяет ознакомиться с содержанием полученной корреспонденции, используя окно предварительного просмотра, а этого оказывается достаточно для заражения. Впрочем, другие программы (вроде ExchanLotus Notes) также не способны защитить пользователя. Вообще говоря популярные клиенты для работы с электронной почтой переживают не лучшие времена - у них постоянно возникают какие-то проблемы с безопасностью. Несколько раз отличался Outlook (благодаря взрывоопасному сочетанию HTML, JavaScript и VBScript), затем The Bat (позволявший злоумышленнику прислать письмо с фальшивой строкой X-BAT-FILES:), а теперь эпидемия ошибок докатилась и до Eudora. Ничего необычного нет, это все те же грабли, на которые поочередно натыкаются разработчики, желающие снабдить свои почтовые клиенты поддержкой html. Делается все очень просто: злоумышленник вставляет в письмо URL, ссылающийся на .lnk (ярлык) файл на машине пользователя (пользователь при этом видит ссылку на обычную страничку в Интернете). При клике по ссылке .lnk файл запускает указанный в нем .exe и... дело сделано. Если бы хакер попытался установить ссылку прямо на .exe, то почтовая программа предупредила бы пользователя об этом, а файлы .lnk она просто не считает опасными.

Общее правило: всегда с подозрением относитесь к файлам, полученным из незнакомого источника. Да и из знакомого - тоже. Любой файл, полученный вами по почте, если вы заранее не договаривались о его отправке вам, с высокой долей вероятности, окажется трояном. Большинство, так называемых, "хакерских" программ, предназначенных для взлома сети и т.п. - тоже окажутся троянами. Здесь очень хорошо срабатывает правило: "то, что у вас паранойя, еще не значит, что за вами не следят".

Как вычислить трояна?

Для того, чтобы троян мог творить свое "черное дело", он должен быть запущен у вас на компьютере. В первый раз вы запускаете его сами, но надеяться то, что вы будете делать это каждый раз - нельзя. Соответственно, троянец должен позаботиться о том, чтобы не умереть после перезагрузки компьютера. В Windows есть три места, откуда программа может автоматически запуститься при загрузке системы: папка Автозагрузка, win.ini и реестр (разумеется, есть еще различные драйвера, но такие сложные трояны встречаются очень редко). Так что, если вы будете периодически проверять эти места, скажем, с помощью "PC Security Guard" или "RunServices", на предмет "неопознанных" программ, то с уверенностью сможете обезвредить троянов.

Другое дело, что надо еще разобраться, что это именно троян... Дело в том, что в Windows живет огромное количество файлов, и определить должен ли этот файл здесь "жить" или это "пришелец" довольно сложно. Тем более, что многие трояны имеют достаточно правдоподобные названия, например browser.exe или spoolsrv.exe...

Уже запущенного трояна определить сложнее, хотя тоже возможно. Нажав Ctrl-Alt-Del или используя какую-нибудь специальную программу, можно посмотреть список процессов, запущенных на вашем компьютере. С помощью утилиты netstat (или другой аналогичной) можно посмотреть, с кем и на каком порту ваш компьютер устанавливает связь. Правда, для пользования этими утилитами (точнее, для того, чтобы понять их результаты) требуются определенные знания... Кстати, косвенным признаком наличия трояна может служить Интернет-активность вашего компьютера в то время, когда вы ничего не делаете (хотя с тем же успехом, это может оказаться какая-нибудь безобидная утилита, проверяющая в фоновом режиме ваши закладки или кэширующая страницы).

Ну и, наконец, традиционный способ: антивирусы. К сожалению, до последнего времени большинство из них боролось именно с вирусами, отлавливая некоторых троянцев в качестве побочного результата. На мой взгляд, лучшие других справляется с этой задачей AntiViral Toolkit Pro - его база троянов достаточно велика. Существуют также утилиты, защищающие от того или иного трояна, но они довольно неудобны: троянов сотни, а запускать сотню утилит для защиты от них довольно проблематично. В последнее время появились и активно развиваются специализированные антитроянские программы - BACKWORK, The Cleaner и т.д. - но они пока еще довольно слабы, по крайней мере, у меня они не выловили примерно треть запущенных троянов.

Даже если вы вычислили троянца, не факт, что вам удастся его легко удалить - Windows не разрешает удалять файлы запущенных программ. Поэтому, вам надо определить откуда запускается троянец, удалить эту запись, перезагрузить компьютер и уже после этого убить вредный файл. Хотя, лучше его не убивать, а для начала куда-нибудь переместить - вдруг это все-таки что-то нужное...

Эпилог

Вот такой получился рассказ о троянах. Напоследок напомню, что если вы получили письмо от AVP с прикрепленным обновлением антивируса, от Микрософта с утилитой для подготовки к 2000-му году, от ListSOFT-а с прикрепленной крутой программой или еще что-то подобное - лучше это письмо как следует проверить.