O persoană rară legată de IT nu a întâlnit troienii. Teoretic, este timpul să nu mai trăim, cum ar fi HotPics.jpg. exe, dar nu, lansăm "patch-uri pentru Explorer" și "plugin-uri pentru Winamp", ca să nu mai vorbim de "crackerii de pe Internet". Obosit. Citiți manualul și fiți complet înarmați.
Știți ce greșeală Carl Linnaeus a făcut atunci când a încercat să împartă plantele în mai multe clase? El nu le-a unit în structură, ci înfățișând: există flori cu cinci stamine, aici - cu patru, etc. Am lovit ceva în biologie :). Păi, haide. Știința modernă împarte lumea vie în grupuri pe baza structurii interioare a ființelor. Dar, dacă vă gândiți în acest fel despre formele digitale de viață, există unele probleme, deoarece din punctul de vedere al utilizatorului, adică în aparență, toate aceste forme sunt aceleași și au forma fișierelor executabile. Și prin clasificarea entităților electronice în conformitate cu structura internă, obținem sistemul antivirus prezentat mai sus, care nu este foarte clar și incomod. Prin urmare, vom partaja fauna Web într-un mod vechi numai în trei grupuri - viruși, viermi și troieni. Dar înainte de a trece la o examinare detaliată a celor din urmă, vom înțelege diferențele dintre aceste forme de viață una de cealaltă.
Un virus, un vierme sau un troian?
Deci, virușii. Semnul principal este că virușii infectează fișierele. Și uitați de virusurile rău-intenționate - cele mai multe dintre ele sunt scrise de singuratici furioși; Un grup VX rar eliberează viruși ca CIH, adică cu un "încărcătură utilă distructivă", așa cum o numesc. La urma urmei, viruși pentru adevărat virmeyker - este arta, muzica. De ce să strici melodia cu strigătele victimelor nevinovate? Din nou, vorbesc despre adevărata virmeykerah, care astăzi nu este atât de mult, și nu despre acei indivizi care copiază munca altora pentru singurul scop - să se arate în top zece virus al Kaspersky. Și crede-mă, nici unul dintre virmeykerov nu-și eliberează creațiile dincolo de șurubul lor într-o formă diferită de sursă.
Worms. Semnul principal este că nu infectează fișierele, ci doar aranja o reședință ascunsă undeva pe șurub și se trimite la alte mașini de acolo. Pentru a crea un virus eficient, trebuie să înțelegeți sistemul de operare pe care îl scrieți, să înțelegeți toate complicațiile asamblului (și să nu-mi spuneți despre virușii pe C) și, de altfel, este de dorit o anumită mentalitate. Și știi care sunt cele mai multe viermi de astăzi? Visual Basic și VBScript. Acum înțelegi de ce sunt atât de mulți? Este adevărat că printre viermi există uneori exemplare foarte vrednice, dar aceasta este mai degrabă o excepție decât regula. Deci, dacă puterea de viruși - ca un cod, apoi viermi - în numărul de mașini infectate. În figură, acest lucru este arătat foarte clar.
În cele din urmă am ajuns la troieni. Cu toate acestea, adevărat virmeykerov - ideologic și nobil - un pic, astfel încât virusii și viermii poartă adesea un anumit element distructiv. Chiar și acele viruși, a căror sarcină utilă este epuizată prin afișarea inscripției pe ecran, pot strica utilizatorul multă nervi, să nu mai vorbim despre viruși mai periculoși. Deci, principala caracteristică a troianului este că este doar un instrument, iar modul de utilizare a acestuia este al doilea. O persoană poate scrie un troian numai în scopuri educaționale, protocoale de învățare în rețea și altul să folosească acest troian în scopuri, să-l spună blând, nu destul de legitim :). Cu ajutorul acestor entități cu două fețe vom înțelege tot timpul rămas (sau mai degrabă locul). Și primul lucru pe care trebuie să-l amintiți sunt că există două tipuri de troieni: mailer și backdoors.
În primul rând, trebuie să intrați în sistem fără a provoca suspiciuni din partea victimei. Sunt de acord, e ciudat, atunci când patch-ul pentru Outluck nu are patch-uri Outluck? Aceasta ar trebui să fie o explicație logică. Aici metode de greutate: de la primitiv „nu msmustdie.dll găsit“ și „deja peticite“, la metoda rafinat, când ieșirea fereastra de instalare „patch-uri“ și după ce este completă, readme cu o listă de erori pofiksennyh :). Și în acest moment, troianul se copiază undeva în sistemul% windir% și încearcă să proceseze sistemul în liniște. Pentru început, trebuie să vă înregistrați în Backup automat. Din nou, există multe modalități. Sincer, troieni stupizi se încadrează în folderul "startup" sau în autoexec.bat. Cei avansați - în win.ini și system.ini. Majoritatea covârșitoare este înscrisă în registru în următoarele locuri:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunservices
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunservicesOnce
Cuvântul BackDoor înseamnă "pasaj secret". Acest troian este format din două părți: client și server. Clientul are de obicei o interfață grafică frumos, cu o mulțime de butoane și alte clopote și fluiere, pentru întreaga viață petrece pe calculatorul gazdă, și, prin urmare, nu-i pasa de dimensiunea sa. Troianul însuși se află în partea de server. Până atunci, până când a fost timp pentru a colecta și a trimite date, algoritmi și backdoors mailere sunt aceleași: pentru a induce în eroare utilizatorul pentru a ajunge la sistemul% windir% și să fie înregistrate în pornire. Dar atunci începe diferențele serioase. Un atacator care a trimis un troian merge online, pornește partea clientului și caută să vadă dacă există un răspuns de la server, adică dacă victima este, de asemenea, pe Web. În cazul în care este primit răspunsul, server și client stabili o conexiune, iar apoi totul depinde de troian: cele care sunt accesul modest, deschis la șuruburile inamice sau orice altceva în acest spirit, iar cei care brusc, pur și simplu, da putere asupra calculatorului în mâinile unui atacator: el poate controla computerul victimei, de parcă ar fi fost în spatele lui.
Există deja oferă posibilități de fantezie sofisticate: puteți opri la software-ul antivirus computer la distanță, puteți pune o pereche de troieni - în orice caz, puteți utiliza computerul altcuiva ca o rampă de lansare pentru atacuri de rețea, sau pur și simplu pentru răspândirea în continuare a troieni. În general, backdoors - un mare ajutor în sortarea sau decripta parole: clatina un troian zece oameni, petreci timp în ea de zece ori mai puțin (și, în cazul în care troienii vor fi o sută sau o mie?) Și, în același timp, transfere responsabilitatea pe umerii altcuiva :).
Virus Brood pe computer - este o problemă, un virus sau pentru a distruge informațiile dvs. - acesta este un dezastru, dar realizarea că cineva se uită imaginile, citiți scrisorile tale, și se așează pe internet pe cheltuiala ta, supărat mult mai mult. În orice caz, eu. Cum pot să nu mă îmbrac? Mai întâi, citiți articolul "Reguli de comportament pe web" din acest număr al revistei noastre. Acolo, mai mult decât totul este descris. Căutarea pe web troienii interesante pentru acest articol, cu greu am găsit neinfectați diverse cadouri, cum ar fi Virey și alți troieni. Știți cât de distractiv este clientul Backdoor și de fapt este și un server Trojan B? Apropo, aici e mai multe informații să ia în considerare: troian scris este o „ușa din spate“ specială în codul său, și Trojan răspândit o rețea, pe orice site hatskersky - „Nou rece troian descărcare mai repede!“ Oamenii se grăbesc să încerce: ei recuperează sistemele altor persoane, stau gratuit într-un Internet etc. Între timp, persoana care a scris troianul se bucură de puterea asupra tuturor calculatoarelor afectate. Se amintește de piramida financiară. Dar din moment ce utilizatorul speriat acum a mers, deseori facut astfel: impreuna cu Troianul au publicat sursa, spun ei, toate intr-un mod corect. Utilizatorul vede fișierul * .cpp, calmeaza si vlyapyvaetsya probleme mari, pentru că ar trebui să arunce codul sursă al punerii în aplicare a „ușa din spate“? Adevărat, camarazii cu experiență în astfel de cazuri, în astfel de cazuri nu folosesc executabilele gata, ci își compun propriile din sursa furnizată. Dar această metodă are contramăsuri: se întâmplă că aceste cincisprezece linii care sunt responsabile pentru pasajul secret în după-amiaza cu foc, nu veți găsi în mii de linii de cod troian.
Ceea ce avem: aveți suspiciuni puternice că mașina dvs. este afectată și, cel puțin, trebuie să ucizi calul și, dacă ești norocos, să ajungi la proprietar. Deci, algoritmul pentru vânătoare de troieni!
BO2K (backdoor, dimensiune server 112 KB, este invizibil pentru TaskInfo în 9x)
N @ și vecin (mailer, dimensiune server 13 KB, vezi pentru TaskInfo)
Acest mailer este foarte popular în Rusia, aș spune chiar că acesta este troianul nostru național. Utilizare elementară configurabilă, elementară. De remarcat este și dimensiunea redusă a serverului, astfel încât troianul poate fi atașat fără probleme la un alt program. Pe scurt, alegerea oamenilor: nu este necesară cunoașterea, eficiența este ridicată.
Anti-Lamer Light (mailer, dimensiune server 24 KB, vezi pentru TaskInfo)
Un troian de mail simplu, promite să reducă antivirusurile și firewall-urile cunoscute. Prin configurator, serverul poate fi cusut împreună cu un alt fișier.
Aceasta este o versiune "lată" a Trojanului Anti-Lamer Backdoor, care are câteva caracteristici interesante, dar, bineînțeles, BO nu se potrivește în sfeșnici.
GROB (backdoor / mailer, dimensiune server 49 KB, vezi pentru TaskInfo)
Un mailer complet cu unele capabilități backdoor. Auto-apărarea este minimă, algoritmul de lucru este standard, serverul este mare. Singurul avantaj în fața colegilor este interfața plăcută a utilizatorului :).