Сегодняшняя заметка продолжает разговор о защите компьютера. Сегодня мы
поговорим о троянах. Вообще-то о них говорили и писали уже много, но
вопросы по этому поводу всплывают и задаются постоянно, так что, я
думаю, лишним оно не будет. Также как и вирусы, трояны - это программы.
Сами по себе они не заводятся, а как правило, попадают на ваш компьютер
вместе с какими-то другими программами. Изначально, под троянами
подразумевались программы, которые помимо своей основной работы
выполняли еще что-то, как правило, давали возможность введя некий
специальный код попасть в систему (так называемые "back doors"). Также
они могли, например, перехватывать введенные пользователем пароли и
записывать их в файл или пересылать автору. В этом и заключается
основное, на мой взгляд, отличие троянов от вирусов: вирусы
самодостаточны, а трояны должны "связываться" со своим автором. Таким
образом, если в борьбе с вирусами есть только один способ - их
вылавливание и уничтожение, то для защиты от троянов можно перекрыть их
возможность связи с автором. Разумеется это никак не исключает
необходимости их вылавливать и удалять, просто еще одна мера защиты.
Еще одно, непринципиальное различие между вирусами и троянами
заключается в том, что вирусы встраиваются в нормальные программы
("заражают" их), после чего при запуске зараженной программы сначало
выполняется код вируса, а потом вирус выполняет настоящую программу.
Трояны же, в последнее время, выполняются в виде отдельного файла,
который работает сам по себе. Для того, чтобы выполнить свою функцию
(дать доступ в компьютер или переслать ваши пароли) он должен
запуститься. Таким образом, если вы будете контролировать какие именно
программы запускаются у вас на компьютере, то защититесь от довольно
большого числа вирусов. Правда, для этого надо еще знать какие
программы должны работать, а какие являются посторонними... Посмотреть
что именно Windows запускает автоматически можно с помощью, например,
Starter-а, RunServices, OptiX или утилиты MSCONFIG.EXE, которая
поставляется вместе с Windows98 и живет в директории Windowssystem
Подобная защита - запрещение запуска файлов - успешно
работает против абсолютного большинства ныне действующих троянов, но я
подозреваю. что не за горами то время, когда "в свободное
распространение" поступят трояны, встраивающиеся в различные системные
библиотеки. С ними бороться будет намного сложнее - библиотек этих
огромное количество и пойди разберись какая из них что делает... Когда
это произойдет, единственной защитой пользователей станут те "бойцы
невидимого фронта", которые сейчас пишут антивирусные программы.
Следующий этап защиты - блокирование связи трояна с автором.
Большинство современных троянов "рассчитано" на Интернет, поэтому здесь
вам понадобится firewall. Firewall - это такая специальная программа,
которая пропускает "разрешенные" данные и не пропускает "не
разрешенные". Установка и настройка профессионального firewall-а дело
достаточно сложное и требующее изрядных знаний о том, как что работает,
но существуют и более простые версии, рассчитанные на относительно
начинающих пользователей. Например, ZoneAlarm. Когда вы его установите,
при каждой попытке какой-либо программы связаться с Интернетом он будет
спрашивать санкционировано это соединение или нет. Разумеется, вы
сможете "запомнить" разрешения для каждой программы, чтобы не отвечать
на вопросы каждый раз, когда пытаетесь скачать почту. Помимо этого,
ZoneAlarm спрашивает разрешаете ли вы выступать той или иной программе
в качестве сервера.
В предыдущей заметке я говорил, что компьютеру угрожают всего
четыре опасности: вирусы, трояны, атака из-вне и атака изнутри. Трояны
вполне могут являться компонентом одной из двух последних, так что и
защищаться стоит комплексно, в частности firewall - это один из
наиболее важных элементов защиты от удаленных атак. Кстати, у
ZoneAlarm-а есть и еще одна полезная функция - "запирание" компьютера.
В "запертом" режиме ваш компьютер невидим и недоступен по сети, что
довольно часто бывает полезно... О "локальных" атаках мы еще поговорим
позже, стоит только учитывать. что троян может ничего и не отправлять
по сети, а, скажем, писать в файл все. что вы делаете на компьютере,
включая пароли...
Немножко о том, как предотвратить появление троянов у вас.
Тут следует помнить две вещи: во-первых то, что усиление защиты всегда
ведет к некоторым неудобствам в работе (дополнительные пароли,
шифрование, проверка логов, бОльшая загрузка компьютера и т.п.), а
во-вторых замечательное правило "90/10" - "90 процентов работы требуют
10 процентов времени. Оставшиеся 10 процентов работы требуют 90
процентов времени". Работает это правило и в защите - серия
элементарных мер безопасности защитит вас от 90 процентов атак.
Итак, следует принять за правило: любой файл, полученный из
сети, если вы заранее не договаривались о его отправке вам может
оказаться трояном. Даже самый безобидный, скажем картинка - она может
оказаться замаскированной программой. Каждый такой файл надо либо сразу
удалить, если он вам не нужен, либо сохранить на диске и проверить
антивирусом, а заодно и посмотреть что он из себя представляет,
например, щелкнуть по нему правой кнопкой мыши и выбрать пункт
"свойства". Любую новую программу стоит запускать со включенным
антивирусом и firewall-ом, а если увидите, что она пытается связаться с
Интернетом, то проводить более детальную проверку. Перед и после
запуска надо сравнить список автоматически запускаемых программ - троян
может не запускаться сразу, а только прописать себя, скажем, в реестре
и запуститься после перезагрузки. Для отслеживания подобных действий
удобно использовать Jammer - он предупредит, что какая программа
пытается что-то записать в автозагрузку. Ну и наконец, надо запомнить,
что ни одна сравнительно известная организация не рассылает файлов -
если вы получите "от АВП" письмо с обновлением антивируса или "от
ListSOFT-а" письмо с прицепленной новой программой - это троян.
Максимум, что может быть в письме - это ссылка на сервер, с которого
надо скачать файл. Причем, если это письмо от АВП, то в качестве
сервера не будет выступать "www.geocities.com/avp/file.exe", а будет
стоять ссылка на "www.avp.ru".
Ну и, разумеется, можно воспользоваться программами,
специально предназначенными для борьбы с троянами - AVTrojan, BACKWORK,
P_CLEAR, Tauscan, The Cleaner... Правда, качество этих программ, на мой
взгляд, оставляет желать лучшего...
