Дмитрий Таевский, dt@dsi.ru В работе использованы инструкции службы безопасности ОАО "Деловая Сеть - Иркутск" Заройте ваши денежки...  Последнее время - примерно три-четыре месяца - все провайдерские фирмы буквально сходят с ума. И дело не в развивающемся кризисе и не в начавшейся ценовой войне. Провайдеров одолевают клиенты с одной и той же проблемой: клиент практически не работал в Интернете, а счет на услуги провайдера за этот период составляет значительную сумму.  Ситуация эта, обычно неожиданная и странная для клиента, совершенно понятна для любого, кто имеет представление о принципах работы Интернет. Просто пароль доступа, который выдается человеку при его регистрации у провайдера, попал в руки другого человека - причем необязательно злоумышленника, а, возможно, просто так называемого “халявщика”. Такое происходит довольно часто, как правило, по вине самого клиента, и лечится очень просто - сменой пароля, процедурой бесплатной и безболезненной. Однако когда масштабы подобных происшествий затрагивают половину клиентов (а у некоторых провайдеров - и всех клиентов), а смена пароля помогает максимум на пару дней - поневоле приходится задуматься о полтергейсте и прочих икс-файлах.  Однако на самом деле все оказывается намного проще. И опять же по вине самого клиента. Все дело в так называемом троянском коне, или, в просторечии, троянце.  Все помнят легенду об огромном деревянном коне, которого данайцы оставили у ворот осажденной Трои. Любопытные троянцы затащили коня внутрь крепости, а ночью из него вышли вооруженные воины и перебили стражу.  Принцип действия программного “троянца” примерно такой же. Троянец - это программа, которая, как правило, выдает себя за что-то мирное и чрезвычайно полезное или увлекательное. На самом деле эта программа поселяется на компьютере клиента, прячется и совершает какие-то действия. Это могут быть простые шутки (например, самопроизвольное выдвигание CD-ROMа, передвижение курсора мыши и т.п.) или очень серьезные вещи. Самой серьезной из этих вещей является открытие злоумышленнику полного доступа к Вашему компьютеру. Серьезный троянец подсматривает все пароли, которые вводятся с клавиатуры, отправляет их хозяину по все той же сети в момент, когда Вы тихо-мирно работаете в Интернете, в результате чего компьютер оказывается совершенно открыт для доступа. После этого злоумышленник может делать на компьютере клиента все, что хочет, начиная с простого использования его пароля для брожения по Интернету и заканчивая кражей файлов, удалением информации и форматированием жесткого диска. Люди с фантазией наверняка уже поняли, что в перечне возможных действий кража пароля доступа к Интернет - далеко не самое опасное, когда речь может идти о краже финансовых договоров, бухгалтерских отчетов и прочих коммерческих секретов.  Как же попадает троянский конь в компьютер?  Так же, как и его деревянный аналог - по глупости владельца компьютера - и только. Никакой злоумышленник не проникнет в секреты, которые хранятся на компьютере, пока владелец компьютера сам любезно его не пропустит.  На установку троянской программы требуются буквально секунды. Это может сделать и товарищ по работе, который присел на минутку поправить текст на своей дискете, и одноклассник сына, который принес новую игрушку, и сотрудник ремонтной или обслуживающей фирмы... Достаточно просто вставить дискету с нужной программой, запустить ее - и все, невидимый диверсант поселился в компьютере.  Троянец может годами дремать в программах, которые лежат на бесплатном доступе практически любого сервера или домашней странички в Интернет (исключение составляют сервера известных фирм, например: ftp:/ftp.microsoft.com, http://www.hp.com, http://www.download.com, ftp://ftp.irk.ru).  Однако самый распространенный и простой путь заражения троянцем - это электронная почта. Сейчас уже практически ежедневно в каждый почтовый ящик приходит одно-два зараженных письма с вирусом или троянским конем (всем памятна недавняя эпидемия почтового вируса Happy99). Как правило, в сопровождающем письме говорится, что это новая программа от фирмы Microsoft, или новый антивирус от фирмы Диалог, или новая эротическая программа от журнала Playboy, или просто новый документ в формате Word от Вашего партнера... Достаточно только запустить прилагающуюся к письму программу или документ - и, возможно, Вы действительно увидите на экране заставку микрософтовской программы или раздевающихся девиц - а заодно получите и троянца. Можно, конечно, использовать антивирусные программы - однако они ориентированы именно на вирусы, а троянец - это все-таки не вирус, а совершенно специализированная программа, которую антивирус отлавливать не обязан.  Возможно, отправитель письма и не собирался заражать Вас троянцем. Наиболее сложные версии этих программ не ограничиваются заражением одного компьютера, а самостоятельно (и незаметно для пользователя) заражают отправляемые письма, распространясь все дальше по сети.  Как защититься от троянца? А заодно и поберечь деньги - свои и своей фирмы? Достаточно просто раз и навсегда выполнять одно правило - НИКОГДА НЕ ЗАПУСКАТЬ НЕИЗВЕСТНЫЕ ПРОГРАММЫ, ДОКУМЕНТЫ WORD И ТАБЛИЦЫ EXCEL! А также ограничить доступ к Вашему компьютеру для всех, кроме лиц, которым Вы безоговорочно доверяете. Распространители троянцев хитры и часто маскируются под серьезные фирмы, поэтому всегда тщательно исследуйте электронные письма, которые к Вам приходят. Все адреса серьезных фирм заканчиваются на название фирмы и префикс com или ru (например, postmaster@microsoft.com или info@dsi.ru), а все другие комбинации типа microsoft@usa.net или corel@mail.ru - это всего лишь фантазии вирусописателей.  Итак - способ предохранения ясен. А как узнать, не заражен ли компьютер троянцем уже? Ведь в этом случае смена пароля у провайдера не поможет - троянец отправит новый пароль своему хозяину в тот момент, когда он будет набран на клавиатуре.  Во-первых, самый простой способ - это вызов специалиста. Правда, способ достаточно накладный, но надежный. Специалист должен быть из хорошей фирмы - они в Иркутске всем известны. Просто “знакомый студент” здесь не поможет: троянец - это все-таки не курсовая по информатике, к тому же студенты, по своему финансовому положению, чаще всего и являются ворищками Вашего пароля.  Во-вторых, существуют программы, которые отлавливают троянцев. Например, AVP (http://www.avp.ru) или “Доктор Web” последних версий. Правда, в отличие от вирусов, троянцы выявляются достаточно сложно, к тому же ежедневно появляется с десяток новых троянцев.  Ну и в-третьих, есть возможность самому поразбираться с несложной механикой работы троянца. Начать нужно со внимательного наблюдения за поведением компьютера. Все необычные вещи, которые вдруг начнут проявляться в нем - это, весьма вероятно, признаки жизни троянца. После этого необходимо проконтролировать список процессов (Task manager), и внимательно просмотреть все ini-файлы, каталог автозагрузки, реестр Windows. Это все не так сложно, как кажется. В крайнем случае, проконсультируйтесь у тех же фирм-провайдеров.

Copyright © 1998 "Компьютерное обозрение"

Дизайн - leidenwebdesign - http://leiden.irkutsk.ru