К данной категории относятся программы, распространяющие свои копии по локальным и/или глобальным сетям с целью:
*проникновения на удаленные компьютеры;
*запуска своей копии на удаленном компьютере;
*дальнейшего распространения на другие компьютеры сети.
Для своего распространения сетевые черви используют разнообразные компьютерные и мобильные сети: электронную почту, интернет-пейджеры, файлообменные (P2P) и IRC-сети, LAN, сети обмена данными между мобильными устройствами (телефонами, карманными компьютерами) и т. д.
Большинство известных сетевых червей распространяются в виде файлов: вложений в электронные письма, ссылкой на зараженный файл на каком-либо веб- или FTP-ресурсе в ICQ- и IRC-сообщениях, файл в каталоге обмена P2P и пр.
Некоторые сетевые черви (так называемые "беcфайловые" или "пакетные" черви) распространяются в виде сетевых пакетов, проникают непосредственно в память компьютера и активизируют свой код.
Для проникновения на удаленные компьютеры и запуска своей копии сетевые черви используют различные методы: социальный инжиниринг (например, текст электронного письма, призывающий открыть вложенный файл), недочеты в конфигурации сети (например, копирование на диск, открытый на полный доступ), ошибки в службах безопасности операционных систем и приложений.
Некоторые сетевые черви обладают также свойствами других разновидностей вредоносного программного обеспечения. Например, содержат троянские функции или заражают выполняемые файлы на локальном диске, т. е. имеют свойства троянской программы и/или компьютерного вируса.
Это программы, используемые злоумышленником для сбора информации, её разрушения или модификации, нарушения работоспособности компьютера или использования его ресурсов в неблаговидных целях. Действие троянской программы может и не быть в действительности вредоносным, но трояны заслужили свою дурную славу за их использование в инсталляции программ типа Backdoor. По принципу распространения и действия троян не является вирусом, так как не способен распространяться саморазмножением.
Троянская программа запускается пользователем вручную или автоматически — программой или частью операционной системы, выполняемой на компьютере-жертве (как модуль или служебная программа). Для этого файл программы (его название, иконку программы) называют служебным именем, маскируют под другую программу (например, установки другой программы), файл другого типа или просто дают привлекательное для запуска название, иконку и т. п. Простым примером трояна может являться программа waterfalls.scr, чей автор утверждает, что это бесплатная экранная заставка. При запуске она загружает скрытые программы, команды и скрипты с или без согласия и ведома пользователя. Троянские программы часто используются для обмана систем защиты, в результате чего система становится уязвимой, позволяя таким образом неавторизированный доступ к компьютеру пользователя.
Троянская программа может в той или иной степени имитировать (или даже полноценно заменять) задачу или файл данных, под которые она маскируется (программа установки, прикладная программа, игра, прикладной документ, картинка). В том числе, злоумышленник может собрать существующую программу с добавлением к её исходному коду троянские компоненты, а потом выдавать за оригинал или подменять его.
Схожие вредоносные и маскировочные функции также используются компьютерными вирусами, но в отличие от них, троянские программы не умеют распространяться самостоятельно. Вместе с тем, троянская программа может быть модулем вируса.
Название «троянская программа» происходит от названия «троянский конь» — деревянный конь, по легенде, подаренный древними греками жителям Трои, внутри которого прятались воины, впоследствии открывшие завоевателям ворота города. Такое название, прежде всего, отражает скрытность и потенциальную коварность истинных замыслов разработчика программы.
Во времена войны с Троей ахейцы, после длительной и безуспешной осады, прибегли к хитрости: они соорудили огромного деревянного коня, оставили его у стен Трои, а сами сделали вид, что уплывают от берега Троады (изобретение этой уловки приписывают Одиссею, хитрейшему из вождей данайцев, а коня изготовил Эпей). Конь был приношением богине Афине Илионской. На боку коня было написано «Этот дар приносят Афине Воительнице уходящие данайцы». Жрец Лаокоонт, увидя этого коня и зная хитрости данайцев, воскликнул: «Что бы это ни было, я боюсь данайцев, даже дары приносящих!» Но троянцы, не слушая предостережений Лаокоона и пророчицы Кассандры, втащили коня в город. В нем сидело несколько десятков лучших воинов. Ночью греки, прятавшиеся внутри коня, вышли из него, перебили стражу, открыли городские ворота, впустили вернувшихся на кораблях товарищей и таким образом овладели Троей. Отсюда возникло выражение «троянский конь», употребляемое в значении: тайный, коварный замысел.
Троянские программы помещаются злоумышленником на открытые ресурсы (файл-серверы, открытые для записи накопители самого компьютера), носители информации или присылаются с помощью служб обмена сообщениями (например, электронной почтой) из расчета на их запуск на конкретном, входящем в определенный круг или произвольном «целевом» компьютере.
Тела троянских программ почти всегда разработаны для различных вредоносных целей, но могут быть также безвредными. Они разбиваются на категории, основанные на том, как трояны внедряются в систему и наносят ей вред. Существует 6 главных типов:
удалённый доступ;
уничтожение данных;
загрузчик;
сервер;
дезактиватор программ безопасности;
DDoS-атаки.
Целью троянской программы может быть:
закачивание и скачивание файлов;
копирование ложных ссылок, ведущих на поддельные вебсайты, чаты или другие сайты с регистрацией;
создание помех работе пользователя (в шутку или для достижения других целей);
похищение данных, представляющих ценность или тайну, в том числе информации для *аутентификации, для несанкционированного доступа к ресурсам (в том числе третьих систем), *выуживание деталей касательно банковских счетов, которые могут быть использованы в преступных целях, криптографической информации (для шифрования и цифровой подписи);
шифрование файлов при кодовирусной атаке;
распространение других вредоносных программ, таких как вирусы. Троян такого типа называется Dropper;
вандализм: уничтожение данных (стирание или переписывание данных на диске, труднозамечаемые повреждения файлов) и оборудования, выведения из строя или отказа обслуживания компьютерных систем, сетей и т. п., в том числе в составе ботнета (организованной группы зомбированных компьютеров), например, для организации DoS-атаки на целевой компьютер (или сервер) одновременно со множества зараженных компьютеров или рассылки спама. Для этого иногда используются гибриды троянского коня и сетевого червя — программы, обладающие способностью к скоростному распространению по компьютерным сетям и захватывающие зараженные компьютеры в зомби-сеть.;
сбор адресов электронной почты и использование их для рассылки спама;
прямое управление компьютером (разрешение удалённого доступа к компьютеру-жертве);
шпионство за пользователем и тайное сообщение третьим лицам сведений, таких как, например, привычка посещения сайтов;
регистрация нажатий клавиш (Keylogger) с целю кражи информации такого рода как пароли и номера кредитных карточек;
получения несанкционированного (и/или дарового) доступа к ресурсам самого компьютера или третьим ресурсам, доступным через него;
установка Backdoor;
использование телефонного модема для совершения дорогостоящих звонков, что влечёт за собой значительные суммы в телефонных счетах;
дезактивация или создание помех работе антивирусных программ и файрвола.
Симптомы заражения трояном
появление в реестре автозапуска новых приложений;
показ фальшивой закачки видеопрограмм, игр, порно-роликов и порносайтов, которые вы не *закачивали и не посещали;
создание снимков экрана;
открывание и закрывание консоли CD-ROM;
проигрывание звуков и/или изображений, демонстрация фотоснимков;
перезапуск компьютера во время старта инфицированной программы;
случайное и/или беспорядочное отключение компьютера.
Методы удаления
Поскольку трояны обладают множеством видов и форм, не существует единого метода их удаления. Наиболее простое решение заключается в очистке папки Temporary Internet Files или нахождении вредоносного файла и удаление его вручную (рекомендуется Безопасный Режим). Если Ваш антивирус не способен отыскать троян, загрузка ОС с альтернативного источника может дать возможность антивирусной программе обнаружить троян и удалить его. Чрезвычайно важно для обеспечения бóльшей точности обнаружения регулярное обновление антивирусной базы данных.
Маскировка
Многие трояны могут находиться на компьютере пользователя без его ведома. Иногда трояны прописываются в Реестре, что приводит к их автоматическому запуску при старте Windows. Также трояны могут комбинироваться с легитимными файлами. Когда пользователь открывает такой файл или запускает приложение, троян запускается также.
Принцип действия трояна
Трояны обычно состоят из двух частей: Клиент и Сервер. Сервер запускается на машине-жертве и следит за соединениями от Клиента, используемого атакующей стороной. Когда Сервер запущен, он отслеживает порт или несколько портов в поиске соединения от Клиента. Для того, чтобы атакующая сторона подсоединилась к Серверу, она должна знать IP-адрес машины, на которой запущен Сервер. Некоторые трояны отправляют IP-адрес машины-жертвы атакующей стороне по электронной почте или иным способом. Как только с Сервером произошло соединение, Клиент может отправлять на него команды, которые Сервер будет исполнять на машине-жертве. В настоящее время благодаря NAT-технологии получить доступ к большинству компьютеров через их внешний IP-адрес невозможно. И теперь многие трояны соединяются с компьютером атакующей стороны, который установлен на приём соединений, вместо того, чтобы атакующая сторона сама пыталась соединиться с жертвой. Многие современные трояны также могут беспрепятственно обходить файрволы на компьютере жертвы.
Трояны чрезвычайно просты в создании на многих языках программирования. Простой троян на Visual Basic или C++ с использованием Visual Studio может быть создан в не более чем 10 строчках кода.
Виды
Троянские программы различаются между собой по тем действиям, которые они производят на зараженном компьютере.
Backdoor — троянские утилиты удаленного администрирования
Троянские программы этого класса являются утилитами удаленного администрирования компьютеров в сети. По своей функциональности они во многом напоминают различные системы администрирования, разрабатываемые и распространяемые фирмами-производителями программных продуктов.
Единственная особенность этих программ заставляет классифицировать их как вредные троянские программы: отсутствие предупреждения об инсталляции и запуске. При запуске «троянец» устанавливает себя в системе и затем следит за ней, при этом пользователю не выдается никаких сообщений о действиях троянца в системе. Более того, ссылка на «троянца» может отсутствовать в списке активных приложений. В результате «пользователь» этой троянской программы может и не знать о ее присутствии в системе, в то время как его компьютер открыт для удаленного управления.
Утилиты скрытого управления позволяют делать с компьютером все, что в них заложил автор: принимать или отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер и т. д. В результате эти троянцы могут быть использованы для обнаружения и передачи конфиденциальной информации, для запуска вирусов, уничтожения данных и т. п. — пораженные компьютеры оказываются открытыми для злоумышленных действий хакеров.
Таким образом, троянские программы данного типа являются одним из самых опасных видов вредоносного программного обеспечения, поскольку в них заложена возможность самых разнообразных злоумышленных действий, присущих другим видам троянских программ.
Отдельно следует отметить группу бэкдоров, способных распространяться по сети и внедряться в другие компьютеры, как это делают компьютерные черви. Отличает такие «троянцы» от червей тот факт, что они распространяются по сети не самопроизвольно (как черви), а только по специальной команде «хозяина», управляющего данной копией троянской программы.
Trojan-PSW — воровство паролей
Данное семейство объединяет троянские программы, «ворующие» различную информацию с зараженного компьютера, обычно — системные пароли (PSW — Password-Stealing-Ware). При запуске PSW-троянцы ищут сиcтемные файлы, хранящие различную конфиденциальную информацию (обычно номера телефонов и пароли доступа к интернету) и отсылают ее по указанному в коде «троянца» электронному адресу или адресам.
Существуют PSW-троянцы, которые сообщают и другую информацию о зараженном компьютере, например, информацию о системе (размер памяти и дискового пространства, версия операционной системы), тип используемого почтового клиента, IP-адрес и т. п. Некоторые троянцы данного типа «воруют» регистрационную информацию к различному программному обеспечению, коды доступа к сетевым играм и прочее.
Trojan-AOL — семейство троянских программ, «ворующих» коды доступа к сети AOL (America Online). Выделены в особую группу по причине своей многочисленности.
Trojan-Clicker — интернет-кликеры
Семейство троянских программ, основная функция которых — организация несанкционированных обращений к интернет-ресурсам (обычно к веб-страницам). Достигается это либо посылкой соответствующих команд браузеру, либо заменой системных файлов, в которых указаны «стандартные» адреса интернет-ресурсов (например, файл hosts в MS Windows).
У злоумышленника могут быть следующие цели для подобных действий:
увеличение посещаемости каких-либо сайтов с целью увеличения показов рекламы;
организация DoS-атаки (Denial of Service) на какой-либо сервер;
привлечение потенциальных жертв для заражения вирусами или троянскими программами.
Trojan-Downloader — доставка прочих вредоносных программ
Троянские программы этого класса предназначены для загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки «троянцев» или рекламных систем. Загруженные из интернета программы затем либо запускаются на выполнение, либо регистрируются «троянцем» на автозагрузку в соответствии с возможностями операционной системы. Данные действия при этом происходят без ведома пользователя.
Информация об именах и расположении загружаемых программ содержится в коде и данных троянца или скачивается троянцем с «управляющего» интернет-ресурса (обычно с веб-страницы).
Trojan-Dropper — инсталляторы прочих вредоносных программ
Троянские программы этого класса написаны в целях скрытной инсталляции других программ и практически всегда используются для «подсовывания» на компьютер-жертву вирусов или других троянских программ.
Данные троянцы обычно без каких-либо сообщений (либо с ложными сообщениями об ошибке в архиве или неверной версии операционной системы) сбрасывают на диск в какой-либо каталог (в корень диска C:, во временный каталог, в каталоги Windows) другие файлы и запускают их на выполнение.
Обычно структура таких программ следующая:Основной код
Файл 1
Файл 2
...
«Основной код» выделяет из своего файла остальные компоненты (файл 1, файл 2, ...), записывает их на диск и открывает их (запускает на выполнение).
Обычно один (или более) компонентов являются троянскими программами, и как минимум один компонент является «обманкой»: программой-шуткой, игрой, картинкой или чем-то подобным. «Обманка» должна отвлечь внимание пользователя и/или продемонстрировать то, что запускаемый файл действительно делает что-то «полезное», в то время как троянская компонента инсталлируется в систему.
В результате использования программ данного класса хакеры достигают двух целей:
скрытная инсталляция троянских программ и/или вирусов;
защита от антивирусных программ, поскольку не все из них в состоянии проверить все компоненты внутри файлов этого типа.
Trojan-Proxy — троянские прокси-сервера
Семейство троянских программ, скрытно осуществляющих анонимный доступ к различным интернет-ресурсам. Обычно используются для рассылки спама.
Trojan-Spy — шпионские программы
Данные троянцы осуществляют электронный шпионаж за пользователем зараженного компьютера: вводимая с клавиатуры информация, снимки экрана, список активных приложений и действия пользователя с ними сохраняются в какой-либо файл на диске и периодически отправляются злоумышленнику.
Троянские программы этого типа часто используются для кражи информации пользователей различных систем онлайновых платежей и банковских систем.
Trojan — прочие троянские программы
К данным троянцам относятся те из них, которые осуществляют прочие действия, попадающие под определение троянских программ, т. е. разрушение или злонамеренная модификация данных, нарушение работоспособности компьютера и прочее.
В данной категории также присутствуют «многоцелевые» троянские программы, например, те из них, которые одновременно шпионят за пользователем и предоставляют proxy-сервис удаленному злоумышленнику.
Rootkit — сокрытие присутствия в операционной системе
Понятие rootkit пришло к нам из UNIX. Первоначально это понятие использовалось для обозначения набора инструментов, применяемых для получения прав root.
Так как инструменты типа rootkit на сегодняшний день «прижились» и на других ОС (в том числе, на Windows), то следует признать подобное определение rootkit морально устаревшим и не отвечающим реальному положению дел.
Таким образом, rootkit — программный код или техника, направленная на сокрытие присутствия в системе заданных объектов (процессов, файлов, ключей реестра и т.д.).
Rootkit — самое младшее поведение среди вредоносных программ. То есть, если Rootkit-программа имеет троянскую составляющую, то она детектируется как Trojan.
ArcBomb — «бомбы» в архивах
Представляют собой архивы, специально оформленные таким образом, чтобы вызывать нештатное поведение архиваторов при попытке разархивировать данные — зависание или существенное замедление работы компьютера или заполнение диска большим количеством «пустых» данных. Особенно опасны «архивные бомбы» для файловых и почтовых серверов, если на сервере используется какая-либо система автоматической обработки входящей информации — «архивная бомба» может просто остановить работу сервера.
Встречаются три типа подобных «бомб»: некорректный заголовок архива, повторяющиеся данные и одинаковые файлы в архиве.
Некорректный заголовок архива или испорченные данные в архиве могут привести к сбою в работе конкретного архиватора или алгоритма разархивирования при разборе содержимого архива.
Значительных размеров файл, содержащий повторяющиеся данные, позволяет заархивировать такой файл в архив небольшого размера (например, 5ГБ данных упаковываются в 200КБ RAR или в 480КБ ZIP-архив).
Огромное количество одинаковых файлов в архиве также практически не сказывается на размере архива при использовании специальных методов (например, существуют приемы упаковки 10100 одинаковых файлов в 30КБ RAR или 230КБ ZIP-архив).
Trojan-Notifier — оповещение об успешной атаке
Троянцы данного типа предназначены для сообщения своему «хозяину» о зараженном компьютере. При этом на адрес «хозяина» отправляется информация о компьютере, например, IP-адрес компьютера, номер открытого порта, адрес электронной почты и т. п. Отсылка осуществляется различными способами: электронным письмом, специально оформленным обращением к веб-странице «хозяина», ICQ-сообщением.
Данные троянские программы используются в многокомпонентных троянских наборах для извещения своего «хозяина» об успешной инсталляции троянских компонент в атакуемую систему.
Мало кто, наверное, слышал о системе HIPS и еще меньше знает, что это такое, а ведь именно она заложена в основу работы самых популярных антивирусных программ. HIPS - это система, способная предотвращать вторжения на компьютер пользователя, расшифровывается как Host-based Intrusion Prevention System. Программы, созданные на ее основе, позволяют контролировать права приложений по возможности выполнения каких-либо действий. Принцип схож на работу брандмауэра, который контролирует сетевой доступ. Сходство заключается еще и в том, что систему HIPS часто используют в одной защитной программе вместе с брандмауэром.
Можно сказать что HIPS - это такая система, работающая на основе проактивной защиты. Другими словами, данное средство не использует вирусную базу (сигнатуры) и не занимается детектированием ее элементов. Суть работы системы HIPS можно выразить кратко: «разрешенное действие — запрещенное действие». Благодаря такому заложенному принципу, эффективность работы данного средства вполне может достигать 100% (что более чем отлично), то есть у пользователя есть гарантия защищенности, предотвращения повреждения и несанкционированного доступа к системе. Правда, неопытному пользователю будет сложно работать с программой подобного рода, поэтому разработчики рекомендуют приобрести хотя бы начальные знания.
Всего же разработчики HIPS определяют три основных вида своего продукта:
1. Что такое HIPS в классическом понимании - это такие системы, в инвентарь которых входит специальная таблица правил открытого вида. Ориентируясь на эту таблицу, драйверы HIPS могут автоматически запретить или разрешить какие-либо действия различных приложений, а также отправить пользователю запрос, чтобы он сам принял решение. Как следствия, для успешной работы классического HIPS пользователь должен обладать хоть какими-либо знаниями о системе, т.к. устройство, по сути, ориентировано на ручное управление. Для примера подобного вида ХИПС можно взять программы System Safety Monitor и AntiHook.
2. Второй вид, это более продвинутые системы - Экспертные HIPS, или по-другому поведенческие эвристики. Они способны проводить анализ активной работы запущенного приложения и оценивать его действия "в целом". То есть, если совокупность действий приложения схожа на вредительскую программу или на любое другое вредоносное действие - система сообщит пользователю о возможной опасности. ThreatFire ( в прошлом известная как CyberHawk) - это один из примеров подобных систем, работающих по принципу экспертных HIPS
3. Что такое HIPS-Sandbox (что в переводе значит "песочница") - это третий и последний вид данных систем, который ставит за цель исключить взаимодействие с пользователем или минимизировать его насколько возможно. Принцип работы заключается в том, чтобы разделить все приложения по спискам - белому и черному. Приложения доверенного типа, то есть из "белого списка" работают в обычном режиме, в то время как противоположные им запускаются в специальном пространстве, которое как бы ограничено от остальной ОС. Таким образом, пользователь работает с нужными ему программами без малейшего риска подхватить заразу и не опасаясь за сохранность системы.
Это небольшая программа, размером всего лишь 40kB.
Скачав ее и запустив, вы получите возможность достаточно просто определить, насколько хорош ваш Firewall, если конечно же он у вас установлен.
Вы увидите следующее окошко
При установленном интернет соединении просто нажмите кнопку Test. Программа произведет попытку установки связи с нашим сервером.
Если у вас установлен Firewall, то скорее всего он не допустит этого соединения и спросит, разрешить ли выход в интернет этой программе. Если же все пройдет гладко и тестер сможет связаться с сервером, то вы увидите вот такое окошко
Этим все сказано. Или у вас вообще нет firewall или ваш firewall совершенно не пригоден к использованию.
Предположим, что все же вы получили предупреждение о том, что наша программа пытается установить соединение с сервером, дайте единоразово разрешение на это. После чего закройте окно программы 2ip Firewall Tester.
Теперь переименуйте ее во что нибудь хорошо известное вашему компьютеру, во что нибудь, что постоянно использует интернет соединение. Например это может быть программа Internet Explorer, соответственно переименуйте файл FireWallTest.exe в iexplore.exe. Таким образом мы попытаемся обмануть ваш Firewall, который наверняка уже хорошо знает эту программу и постоянно и автоматически выпускает ее в интернет. Заставим его думать, что наш тестер и есть самый настоящий Internet Explorer.
После переименования запустите наш пеереименованый тестер снова и нажмите кнопку Test. Ждите результата, если соединение будет установлено, смените ваш Firewall. Если же соединение установить не удастся
то можете быть спокойны, ваша система находится под надежной защитой.
В моем случае при запуске 2ip Firewall Tester мой Firewall – Online Armor Premium не дал программе запуститься (сработало HIPS), выдав эту информацию:
Я намеренно кликнул «Разрешить» и сразу возникло это предупреждение:
Далее во второй раз кликаю «разрешить» и всплывает аналогичная информация как вверху.
И только с третьего моего «разрешить» соединение было осуществлено и тест был провален.
Стоило мне при первом предупреждении поставить галочку «запомнить мое решение» и нажать «Блокировать», как эта программа не смогла бы больше запуститься. И с другой стороны, если программа надежная, ставим галочку «Запомнить решение» и «Пометить надежной» и Online Armor больше не будет беспокоить вас вопросами, автоматически разрешая программе запускаться.
Не помогло программе и переименование файла с тестом в другое имя как iexplore.exe и так далее. Все повторилось, как в прошлый раз.
Мой Firewall трижды предупредил меня о несанкционированном действии.
Другими словами у меня было три попытки на ошибку, что согласитесь не мало.
Firewall в переводе с английского означает горящая стена (fire - огонь, wall - стена), также часто можно встретить название фаервол (это обозначение firewall только русскими буквами) или Brandmauer это в переводе с немецкого значит тоже самое (brand - гореть, mauer - стена), наиболее часто употребляется как брандмауэр. В народе очень часто firewall называют просто стена или стенка.
Итак, давайте попробуем разобраться, что же такое firewall и зачем он нужен. Представьте себе, что ваш компьютер это ваша квартира. В квартире есть окна и двери. Я уверен, что все окна и двери вы держите на замке и не думаю, что вы были бы довольны, если бы каждый прохожий мог бы зайти к вам через открытую дверь или влезть через открытое окно. По аналогии, вы должны быть заинтересованы в том, чтобы никто чужой не смог просто так войти в ваш компьютер и взять что ему захочется или удалить какие нибудь важные для вас данные.
На окнах и дверях вашего дома есть замки, вы запираете их и чувствуете себя в безопасности. Если вам нужно выйти или впустить к себе знакомого, вы открываете двери и впускаете или выпускаете нужных вам людей. Установив фаервол, вы можете настроить его таким образом, чтобы он пропускал в интернет или запускал из интернета только те программы, которые вы ему разрешите. Все остальное будет блокировано как на вход так и на выход.
Фактически вы ставите фильтр между вашим компьютером и интернет, который пропускает только нужное и важное для вас, все остальное фильтруется.
Согласно статистике, компьютер, на котором не установлен firewall и который находится в сети, остается не зараженным максимум 2 минуты. По истечении этого времени вы обязательно получите свою порцию вредоносных программ.
Не стоит бояться процедуры установки и настройки, хотя этот тип программ и нельзя назвать простым, большинство из них настраиваются автоматически. Вам нужно будет лишь нажимать на кнопку разрешить или запретить доступ определенной программе.
Что такое IP адрес
IP-адрес (Internet Protocol Address) - уникальный идентификатор устройства, подключённого к локальной сети или Интернету.
В сети интернет у каждого компьютера есть свой уникальный IP - адрес. Он состоит из 4 цифр, каждая цифра может быть от 0 до 255. Весь адрес состоит из идентификатора сети и идентификатора хоста.
Существуют 5 классов IP - адресов, отличающихся количеством бит в сетевом номере и хост - номере. Класс адреса определяется значением его первого октета.
Свой IP в интернете имеет каждый компьютер. Будь то какой либо сайт или пользователь. Но есть и одно отличие: Каждый сайт имеет свой IP адрес. Т.е. по IP адресу находят сервер где находится сайт и сам сайт. Пользователи же обычно имеют динамически выделяемые IP адреса. То есть при дозвоне провайдеру, человеку выделяется один из свободных IP адресов, который принадлежат провайдеру. Провайдер же их берет в аренду и платит за это деньги, поэтому информацию о том, кому принадлежит какой либо диапазон IP адресов можно узнать вплоть до телефона владельца этого диапазона.
Иногда пользователь может иметь статический IP адрес (адрес не изменяется при каждом переподключении к сети) по которому его всегда можно найти, но это редко, и за такую услугу провайдер обычно берет плату.
Как узнать свой собственный IP адрес.
В Windows входит специальная программа Winipcfg, c ее помощью можно узнать некоторую интересную информацию, в том числе и свой IP адрес. Просто наберите в командной строке winipcfg и перед вами появится окошко с вашим IP адресом.
Надо еще отметить, что изначально (т.е. пока вы не подключены ни к какой сети и вам не выдан IP адрес) ваш компьютер имеет адрес - 127.0.0.1
Что можно узнать по IP
Сперва объясню, зачем это нужно и для чего может пригодиться:
Например, Вы администратор какого-либо сайта, чата, форума,: Допустим такую ситуацию: к вам приходит продвинутый юзер или чем хуже "хакер" и начинает издеваться над вашим ресурсом (имеется ввиду: получать доступ через открытые вами дыры, это и не мудрено, ведь не каждый из нас специалист по безопасности). Как в этом случае поступить? Попытаться закрыть этому пользователю доступ к ресурсу, хм: - это наверняка не получится, постоянно восстанавливать данные, которые мог испортить атакующий, тоже не выход. Единственно, что можно посоветовать - службы определения по IP или hostname имя провайдера, его географическое расположение и т.д.
Что это нам даст?
В идеальном случае - местонахождение нашего "хакера", его телефон, ну и соответственно фамилии людей проживающих по этому адресу.
Для начала поговорим о том, как узнать сам IP человека.
Способов может быть множество.
Например, вам нужно узнать IP адрес человека, побывавшего на вашем сайте.
Начнем с того, что при обращении к какому либо серверу (в нашем случае - серверу предоставляющему хостинг этому сайту), в логах сервера всегда фиксируется с какого IP адреса поступил запрос. Ниже приведена часть лога программы Small HTTP Server:
!->18/09 13:19:40 [194.29.16.182:>80] (t1 23) дата, время, IP адрес и порт, номер запроса
HEAD /images/pic.gif HTTP/1.1
Что запрашивается, протокол
Connection: close
From: admin@provider.com Е-Mail адрес для связи
Host: 195.232.27.17 кому был послан запрос
Referer: http:// mpeg4.nightmail.ru /index. htm откуда поступил запрос
Accept-Language: ru язык сделавшего запрос
Accept-Encoding: gzip, deflate кодирование
User-Agent: Mozilla/4.0 (compatible; MSIE 5.01; Windows 98; MyIE2 0.3) информация о программе сделавшей запрос
Connection: Keep-Alive связь: проложить соединение.
Из этого видно , что при запросе любого документа сервер фиксирует обращение даже к каждой картинке входящей в этот документ, иначе как бы он узнал, что и куда отправлять. Поэтому можно составить полную картину обмена информацией между пользователем и сервером, и узнать IP адрес не составляет труда. Труда может стоить получение этой информации с сервера, но такой метод возможен.
Часто сервер, предоставляющий хостинг сам ведет статистику, и вы как пользователь их услуг, получить эту информацию можете. Но многие пользуются услугами сервисов бесплатного хостинга, порой таких услуг не предоставляющих. Тогда, если на сайте установлен какой-нибудь счетчик посетителей (RamblerTOP100, HotLog и т.д.) вы легко можете узнать IP адрес посетителя и время визита из его отчета.
Также, почти всегда при создании сообщений в гостевых книгах и форумах фиксируется и IP адрес отправителя, который обычно доступен только администраторам этого форума. Если администратор - вы, вам не составит труда его узнать. Если нет, вы можете обратиться за помощью к администратору.
Иногда бывает необходимо узнать IP адрес отправителя письма. Узнать его можно из его служебного заголовка.
Существуют также программы и методы чтобы узнать IP адрес человека в чате или по ICQ. Например, есть множество программ, с помощью которых можно зная UIN ICQ человека узнать его IP адрес.
Перейдём к самому интересному, а именно как
получить данные о "владельце" IP:
Итак, если вам известен IP адрес, вы можете узнать много полезной информации о его владельце. Для этих целей нужно воспользоваться специальным сервисом - Whois .
Подобных сервисов в интернете много:
http://www.whoisinform.ru
http://www.web-tools.ru http://www.iontail.com/?p=utils http://www.all-nettools.com
С помощью такого сервиса можно узнать имя человека на которого зарегистрирован данный IP адрес, его E-Mail, телефон и даже адрес. Также можно узнать когда был арендован данный диапазон, на какой срок. и для какой организации.
Если владелец IP адреса в данный момент находится в On-Line, то можно посмотреть, какие порты открыты на этом компьютере. Это тоже может дать некоторую информацию о компьютере. Сделать это можно любым сканером. Некоторые из таких сканеров сами могут вам сообщить и о назначении каждого открытого порта. К примеру на компьютере оказались открыты следующие порты: 139 (NETBIOS ), 11476 (icq).
Есть вероятность, что на компьютере обнаружатся открытые порты известных троянов (т.е. можно взять клиента и подключиться к удаленному компьютеру), хотя во многих троянах появилась возможность устанавливать пароль на подключение к серверу и произвольный порт (что затрудняет определение "троянского коня"). В таком случае можно просканировать все порты определенного IP. Многие порты открыты стандартными сервисами, а к подозрительным портам можно попробовать подключиться например с помощью утилиты RawTCP входящей в состав Essential Net Tools 3.0 885kb . Тогда при определении подключения к порту троян на другом конце просто может "представиться" как это делает например NetBus (посылает сообщение вида NetBus v1.7)
А еще, раз уж речь зашла о работе троянских программ, хочу предупредить тех кто использует такие программы в благих целях (например для контроля своей локальной сети и.т.п.) Даже установка пароля на подключение к серверу наверняка не сможет защитить от несанкционированного подключения. Например в Internet'e без труда можно найти программу RAT Cracker с помощью которой легко обойти парольную защиту самых распространенных троянов.
Сейчас много домашних компьютеров объединены в локальные сети и некоторые на своем компьютере открывают папки или диски для совместного доступа. При подключении этого человека к интернету в эти папки можно заглянуть, если они не запаролены Для этого надо воспользоваться любой программой для поиска расширенных данных (Legion, ESS NetTools, Shared Resource Scanner 6.2) И в этом случае установленный пароль не даст надежной защиты вашему компьютеру. Для взлома паролей к таким ресурсам существует множество эффективных программ.
Компьютерный вирус - это специально написанная небольшая по размерам программа, которая может "приписывать" себя к другим программам (т.е. "заражать" их),а также выполнять различные нежелательные действия на компьютере. Программа, внутри которой находится вирус, называется "зараженной". Когда такая программа начинает работу, то сначала управление получает вирус.
Вирус находит и "заражает" другие программы, а также выполняет какие-нибудь вредные действия (например, портит файлы или таблицу размещения файлов на диске, "засоряет" оперативную память и т.д.). Для маскировки вируса действия по заражению других программ и нанесению вреда могут выполняться не всегда, а, скажем, при выполнении определенных условий. После того как вирус выполнит нужные ему действия, он передает управление той программе, в которой он находится, и она работает также, как обычно. Тем самым внешне работа зараженной программы выглядит так же, как и незараженной.
Многие разновидности вирусов устроены так, что при запуске зараженной программы вирус остается резидентно, т.е. до перезагрузки ОС, в памяти компьютера и время от времени заражает программы и выполняет вредные действия на компьютере.
Компьютерный вирус может испортить, т.е. изменить ненадлежащим образом, любой файл на имеющих в компьютере дисках. Но некоторые виды файлов вирус может "заразить". Это означает, что вирус может "внедриться" в эти файлы, т.е. изменить их так, что они будут содержать вирус, который при некоторых обстоятельствах может начать свою работу.
Следует заметить, что тексты программ и документов, информационные файлы без данных, таблицы табличных процессоров и другие аналогичные файлы не могут быть заражены вирусом, он может их только испортить.
Вирус - это программа (как ни абсурдно это звучит, но некоторые до сих пор об этом не знают). И, следовательно, вредить она может лишь программно, но никак не аппаратно - страшные сказки о вирусах, убивающих и сводящих с ума пользователей при помощи вывода на экран смертельной цветовой гаммы, были и остаются всего лишь сказками. Далее - вирус является программой, способной к размножению. Мы совсем не случайно не упомянули о наносимом ущербе - существуют вирусы, которые не занимаются ничем, кроме самораспространения.
Все вирусы можно объединить в следующие основные группы:
загрузочные, файловые, загрузочно-файловые, резидентные и нерезидентные, полиморфные, stealth-вирусы, multipartition-вирусы, трояны и другие.
Небольшое отступление
20-е столетие, несомненно, является одним из поворотных этапов в жизни человечества. Как сказал один из писателей-фантастов, “человечество понеслось вперед, как подстегнутая лошадь”, и, определив себя как технократическую цивилизацию, все свои силы наши деды, отцы и мы сами бросили на развитие техники в самых разных ее обличиях - от медицинских приборов до космических аппаратов, от сельскохозяйственных комбайнов до атомных электростанций, от транспорта до систем связи, - список бесконечен, поскольку крайне сложно привести область деятельности человечества, не затронутую развитием техники. Что являлось причиной столь широкомасштабного и стремительного развития - военное противостояние политических систем, эволюционное “поумнение” человека или его патологическая лень (изобрести колесо, дабы не таскать мамонта на плечах) - пока неясно. Оставим эту загадку для историков последующих столетий.
Человечество захвачено техникой и уже вряд ли откажется от удобств, предоставляемых ею (мало кто пожелает поменять современный автомобиль на гужевую тягу). Уже очень многими напрочь забыта обычная почта с ее конвертами и почтальонами - вместо нее пришла электронная почта с ее ошеломляющей скоростью доставки (до нескольких минут вне зависимости от расстояния) и очень высокой надежностью. Не представляю себе существования современного общества без компьютера, способного многократно повысить производительность труда и доставить любую мыслимую информацию (что-то вроде принципа “пойди туда, не знаю куда, найди то, не знаю что”). Уже не удивляемся мобильному телефону на улице - я и сам к нему привык всего за один день.
20-е столетие также является одним из самых противоречивых, принесших истории человечества немало парадоксов, основной из которых, как мне кажется, является отношение человека к природе. Перестав жить в дружбе с природой, победив ее и доказав себе, что легко может ее уничтожить, человек вдруг понял, что погибнет и сам, - и поменялись роли в драме ”Человек-Природа”. Раньше человек защищал себя от природы, теперь же он все больше и больше защищает природу от самого себя. Другим феноменом 20-го века является отношение человека к религии. Став технократом, человек не перестал верить в Бога (или его аналогов). Более того, появились и окрепли другие религии.
К основным техническим феноменам 20-го века относятся, на мой взгляд, появление человека в космосе, утилизация атомной энергии вещества, грандиозный прогресс систем связи и передачи информации и, конечно же, ошеломляющее развитие микро- и макро-компьютеров. И как скоро появляется упоминание о феномене компьютеров, так тут же возникает еще один феномен конца нашего столетия - феномен компьютерных вирусов.
Быть может, многим покажется смешным или легкомысленным то, что факт возникновения компьютерных вирусов поставлен в один ряд с исследованиями космоса, атомного ядра и развитием электроники. Возможно, что я не прав в своих рассуждениях, однако дайте возможность объясниться.
Во-вторых, компьютерные вирусы - это первая вполне удачная попытка создать жизнь. Попытка удачная, но нельзя сказать, что полезная - современные компьютерные “микроорганизмы” более всего напоминают насекомых-вредителей, приносящих только проблемы и неприятности.
Но все таки - жизнь, поскольку компьютерным вирусам присущи все атрибуты живого - способность к размножению, приспособляемости к среде, движению и т.д. (естественно, только в пределах компьютеров - так же как все вышесказанное верно для биологических вирусов в пределах клеток организма). Более того, существуют “двуполые” вирусы, а примером “многоклеточности” могут служить, например, макро-вирусы, состоящие из нескольких независимых макросов.
И, в-третьих, тема вирусов стоит несколько особняком от всех остальных задач, решаемых при помощи компьютера (забудем о таких специфичных задачах, как взлом защиты от копирования и криптографию). Практически все проблемы, решаемые при помощи вычислительной техники, являются продолжением целенаправленной борьбы человека с окружающей его природой. Природа ставит человеку длинное нелинейное дифференциальное уравнение в трехмерном пространстве - человек набивает компьютер процессорами, памятью, обвешивает пыльными проводами, много курит и в итоге решает это уравнение (или пребывает в состоянии уверенности, что решил). Природа дает человеку кусок провода с вполне определенными характеристиками - человек придумывает алгоритмы передачи как можно большего объема информации по этому проводу, терзает его модуляциями, сжимает байты в биты и терпеливо ждет сверхпроводимости при комнатной температуре. Природа (в лице фирмы IBM) дает человеку очередное ограничение в виде очередной версии IBM PC - и человек не спит ночами, опять много курит, оптимизируя коды очередной базы данных, дабы уместить ее в предоставленные ему ресурсы оперативной и дисковой памяти. И так далее.
А вот борьба с компьютерными вирусами является борьбой человека с человеческим же разумом (в некотором смысле тоже проявлением природных сил, хотя на этот счет имеется более одного мнения). Эта борьба является борьбой умов, поскольку задачи, стоящие перед вирусологами, ставят такие же люди. Они придумывают новый вирус - а вирусологам с ним разбираться. Затем они придумывают вирус, в котором разобраться очень тяжело - но и с ним разбираются. И сейчас наверняка где-то сидит за компьютером парень, страдающий над очередным монстром, в котором вирусологам придется разбираться целую неделю, а потом еще одну неделю отлаживать алгоритм антивируса. Кстати, чем не эволюция живых организмов?
Итак, появление компьютерных вирусов - один из наиболее интересных моментов в истории технического прогресса 20-го века, и настал момент закончить с околофилософскими рассуждениями и перейти к конкретным вопросам. И вопрос об определении понятия “компьютерный вирус” будет стоять на первом месте.
История возникновения и развития компьютерных вирусов
Считают, что идея создания компьютерных вирусов была придумана писателем-фантастом Т. Дж. Райн, который в одной из своих книг, опубликованной в США в 1977 г., описал эпидемию, за короткое время поразившую более 7000 компьютеров. Причиной эпидемии стал компьютерный вирус, который, передаваясь от одного компьютера к другому, внедрялся в их операционные системы и выводил их из-под контроля человека. Ущерб, наносимый компьютерными вирусами, быстро возрастает, а их опасность для таких жизненно важных систем, как оборона, транспорт, связь, поставила проблему компьютерных вирусов в ряд тех, которые обычно находятся под пристальным вниманием органов государственной безопасности.
Считается признанным, что в последние годы больше всего вирусов создавалось в СССР, а затем и других странах СНГ. Но и в других странах, в том числе в США, значителен урон, наносимый вирусами. В США борьба с вирусами ведется на самом высоком уровне.
1. Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети а равно использование либо распространение таких программ или машинных носителей с такими программами – наказываются лишением свободы на срок до 3 лет со штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев.
2. Те же деяния, повлекшие по неосторожности тяжкие последствия, - наказываются лишением свободы на срок от трех до семи лет.
В США, вскоре после объявления в 1993 году Белым домом о подключении президента Билла Клинтона и вице-президента Альберта Гора к сети Internet, администрация поддержала идею проведения Национального дня борьбы с компьютерными вирусами. Такой день отмечается теперь ежегодно. Национальной ассоциацией по компьютерной защите США (NCSA) и компанией Dataquest опубликованы следующие данные по результатам исследований вирусной проблемы:
- 63% опрошенных пострадали от компьютерных вирусов;
- предполагаемые потери американского бизнеса от компьютерных вирусов в 1999 году составят около 3 млрд. долларов;
- идентифицировано более 23000 компьютерных вирусов;
- каждый месяц появляется более 50 новых вирусов;
- в среднем от каждой вирусной атаки страдает 142 персональных компьютера: на ее отражение в среднем уходит 2,4 дня;
- для компенсации ущерба в 114 случаев требовалось более 5 дней.
Начиная с конца 1990 г., появилась новая тенденция, получившая название "экспоненциальный вирусный взрыв". Количество новых вирусов, обнаруживаемых в месяц, стало исчисляться десятками, а в дальнейшем и сотнями. Поначалу эпицентром этого взрыва была Болгария. После 1994 г. темп роста вирусов пошел на убыль, хотя их общее количество продолжает увеличиваться. Это связано с тем, что ОС MS D0S, которая и дает 99% существующих компьютерных вирусов, постепенно сдает свои лидирующие позиции как операционная система для персональных компьютеров, уступая их Windows, 0S\2, UNIX и т.п.
Кроме того, вирусы постоянно расширяют свою "среду обитания" и реализуют принципиально новые алгоритмы внедрения и поведения. Так, в 1995 году появились представители, опровергающие ключевые принципы антивирусной защиты – то, что компьютер, загруженный с заведомо чистой системной дискеты, не может содержать вирус; и то, что вирусы не заражают файлы с данными.
Первым появился вирус, который таким образом корректирует конфигурацию компьютера, что при попытке загрузки с дискеты он все равно загружается с зараженного жесткого диска, и вирус активизируется в системе.
Другой вирус, появившийся в середине августа 1995 г. в США и ряде стран Западной Европы, использует возможность представления информации в виде конгломерата данных и программ. Он заражает документы, подготовленные в системе MS Word for Windows – файлы типа .DOC. Так как такие файлы ежедневно десятками тысяч циркулируют в локальных и глобальных сетях, эта способность вируса обеспечила его мгновенное распространение по всему свету в течение нескольких дней и 25 августа он был обнаружен в Москве. Вирус написан на макроязыке пакета Word. Он переносит себя в область глобальных макросов, переопределяет макрос FileSaveAs и копирует себя в каждый файл, сохраняемый с помощью команды Save As. При этом он переводит файл из категории "документ" в категорию "шаблон", что делает, невозможным его дальнейшее редактирование. Обнаружить наличие этого вируса можно по появлению в файле winword6.ini строки ww6i=1.
Новым словом в вирусологии стал вирус под названием “Чернобыль” или WIN95.CIH. Данный вирус в отличие от своих собратьев в зависимости от модификации мог уничтожать MBR жесткого диска, таблицу размещения данных и не защищенную от перезаписи Flash-память. Волна эпидемии этого вируса прокатилась по всему миру. Громадный материальный ущерб был нанесен в Швеции. 26 апреля 1999 года пострадало большое количество пользователей и в России.
Наиболее известен вызвавший всемирную сенсацию и привлекший внимание к вирусной проблеме инцидент с вирусом-червем в глобальной сети Internet. Второго ноября 1988 года студент Корнелловского университета Роберт Моррис запустил на компьютере Массачусетского технологического института программу-червь, которая передавала свой код с машины на машину, используя ошибки в системе UNIX на компьютерах VAX и Sun. В течение 6 часов были поражены 6000 компьютеров, в том числе Станфордского университета, Массачусетского технологического института, университета Беркли и многих других. Кроме того, были поражены компьютеры Исследовательского института НАСА и Национальной лаборатории Лоуренса в Ливерморе – объекты, на которых проводятся самые секретные стратегические исследования и разработки. Червь представлял собой программу из 4000 строк на языке "С" и входном языке командного интерпретатора системы UNIX. Следует отметить, что вирус только распространялся по сети и не совершал каких-либо разрушающих действий. Однако это стало ясно только на этапе анализа его кода, а пока вирус распространялся, в вычислительных центрах царила настоящая паника. Тысячи компьютеров были остановлены, ущерб составил многие миллионы долларов.
Следующие Предыдущие Главная страница
Subscribe to:
Сообщения (Atom)