Из истории трояна
---------------------

Согласно Илиаде и Одиссее , 10 летняя война коалиции ахейских царей во главе с Агамемноном - царём Микен против Трои , завершилась взятием Трои ахейцами. Раскопки Трои показали, что около 1260 до н. э. город Троя испытал длительную осаду и был разрушен, тем самым подтвердились греческие предания...
    А по греческому преданию ахейцы якобы отступая оставили в подарок Трои огромного деревянного коня. Троянцы ввезли его в город Трою. Ночью спрятавшиеся ахейцы в коне убили часовых и открыли ворота в город основному войску. С тех пор стало нарицательным выражение - Троянский конь. (Дар врагу с целью его погубить).

   1998-й год можно смело назвать годом троянцев. Конечно, атаки такого рода происходили и раньше, техника небольшой модификации кода, приводящая к возможности захвата хоста, была очень популярна в unix-системах, но это никогда еще не было таким массовым явлением. Год начался со скромных поделок, представляющих собой обычные пакетные файлы DOS, сжатые с помощью в WinZip в самораспаковывающиеся архивы. Иногда фантазии авторов хватало на преобразование bat-файлов в com, внутри же, как правило, были всевозможные комбинации из деструктивных команд. Чуть позже были освоены конструкции, включающие в себя программы типа pwlview, предназначенные для извлечения из системных файлов имен и паролей для доступа к Internet, а также средства для отправки полученных результатов на некоторый адрес. Разумеется, чтобы заставить пользователя запустить это изделие, придумывались всевозможные приманки. Почетные места в этом ряду занимают "крякер интернета", позволяющий получить заветный бесплатный доступ у любого провайдера, всевозможные 3dfx-эмуляторы и icq-ускорители, а также личные письма от компании Microsoft, в знак большой признательности присылающей лично вам последние заплатки, исправляющие очень опасную брешь в системе.

   Однако несомненным событием года стало августовское явление миру BackOrifice. Эта программа стала основоположником нового поколения троянцев, количество которых на данный момент исчисляется десятками (к счастью для пользователей Windows NT, в ней почти все из них не могут функционировать). Фактически она представляет собой средство удаленного администрирования и состоит из двух частей - сервера и клиента. До сих пор все вполне прилично и ничем не отличается от любого средства удаленного доступа - того же PCAnywhere. Однако что принципиально отличается - так это поведение сервера, который после запуска тихо добавляет себя в раздел реестра Windows, отвечающий за автоматическую загрузку приложений при старте системы, и начинает ждать соединения на определенном порту. Соединившись с сервером с помощью отдельного клиентского приложения, с серверным компьютером можно делать практически все, что угодно - получать список процессов, запускать/удалять процессы, копировать/удалять файлы, каталоги, перенаправлять входящие пакеты на другие адреса, работать с реестром, выводить диалоговые окна, блокировать систему. Одним словом, машина оказывается под полным контролем.

   Жертвами BO порой становились не только пользователи, но и целые системы, включающие в том числе и web-серверы. Так, прошлогодний взлом Relcom-Ukraine был осуществлен именно с помощью BO, внедренного всего лишь на одну машину в офисе провайдера (причем даже не самими взломщиками).

Как с ним бороться
----------------------

  "Обнаружить работу такой программы (троянца) на своем компьютере достаточно сложно. Как правило, требуется полностью удалить Windows 95/98 и установить заново на чистый диск", - так пишет на своей страничке служба поддержки одного из крупнейших московских провайдеров. Спасибо, что не рекомендуют отформатировать все жесткие диски на низком уровне. На самом деле, троянский конь в вашей системе - не такая уж неизлечимая болезнь. Я хотел бы вкратце коснуться менее радикальных методов противодействия троянским атакам.
    Антивирусы. Почти все производители антивирусного ПО после выхода Back Orifice спохватились и стали включать в свои программы средства борьбы с троянцами. От случайного залетного троянца применение антивирусов вас может спасти, но в целом этот метод нельзя признать абсолютно надежным. Во-первых, новые программы-троянцы (и новые версии старых добрых троянцев) выходят с не меньшей регулярностью, чем обновления антивирусных баз. Существует даже троянский конь с нецензурным названием, написанный в России, автор которого регулярно отслеживает обновления AVP и в течение суток (!) выпускает новую версию; вот такое соревнование брони и снаряда. Во-вторых, как показывает опыт, если сервис троянца внедрен в исполняемый файл, антивирусы во многих случаях не могут его детектировать.

    Специальные программы для обнаружения троянских программ (антигены). По сути, это антивирусное ПО, специализирующееся только на выявлении и уничтожении троянских коней (и действующее при этом зачастую весьма примитивно).

    Следите за портами. Первый признак того, что у вас в системе завелась какая-то дрянь, - лишние открытые порты. На мой взгляд, персональные брандмауэры (типа описанного С. Голубицким AtGuard в "КТ" #292) дают защиту настолько близкую к абсолютной, насколько это вообще возможно, однако, вероятно, вам покажется утомительным каждые 15 секунд отвечать на вопросы по поводу того, принимать ли данный пакет в данный порт или нет. Для контроля открытых портов можно воспользоваться обычными порт-сканерами (в этом случае вы будете выступать в роли хакера, "прощупывающего" собственную систему) или программами типа NetMonitor (wwwleechsoftware.com), которые показывают открытые в настоящий момент порты и сигнализируют об открытии новых портов и подключении к ним посторонних личностей.

    Контролируйте ваши задачи. Следите за тем, какие задачи и сервисы запускаются в вашей системе. 99 процентов троянских коней прописываются на запуск в системном реестре в следующих ключах: HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\RunServices - чаще всего; HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run; HKEY_CURRENT_USER\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run; в файле WIN.INI раздел [windows] параметры "load=" и "run=". Советую также иногда заглядывать в раздел HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Network\LanMan и проверять, не открыт ли некими "доброжелателями" полный доступ к вашему диску С: как "скрытому ресурсу" (открытый для доступа ресурс, не видимый обычными средствами).

    Даже если вы не нашли в этих разделах ничего лишнего, это не значит, что в настоящий момент у вас ничего такого не запущено. Ни для кого не секрет, что список задач, вызываемый нажатием Ctrl+Alt+Del, далеко не полон. Для контроля над запущенными задачами я предпочитаю пользоваться программой CCtask (wwwcybercreek.com). Она показывает полный список запущенных задач, включая используемые DLL, и позволяет ими гибко управлять.

    В заключение хотелось бы заметить, что широкое распространение троянских коней дало в руки людей, не обладающих высокой квалификацией в хакерстве или программировании, весьма эффективный и гибкий инструмент для получения конфиденциальной информации и просто деструктивной деятельности по отношению к пользователям локальных сетей и Internet. Некоторым для предохранения от этой напасти будет достаточно применения антивирусных программ и программ-антигенов, но если у вас есть основания полагать, что вы стали объектом целенаправленной троянской атаки, вам следует очень серьезно отнестись к вышеописанным аспектам безопасности вашей системы и применять все эти меры в комплексе. Или отформатировать все ваши жесткие диски... до следующего раза.

Описание некоторых троянов
---------------------------------

Далее приведены примеры самых известных программ (троянцев) в основу которых положен принцип обмена данными Клиент-Сервер :
Back Orifice 1.20
    Пакет программы BO состоит из 4 файлов и множества плагинов. Мы не будем рассматривать plugin'ы, а рассмотрим основные 4 компонента. И так :
    BoServ.exe - Этот файл является "сервером". Он как раз и отсылается к машине , которую нужно взломать. После запуска программа автоматически прописывается в автозагрузку Windows и "не видна" без вооруженного глаза. Но стоит просмотреть список текущих процессов (например с помощью программы PrcView ) и мы сразу увидим непонятный файл типа .exe.Это и есть "сервер" Bo. Так же он создает библиотеку в каталоге Windows\system\windll.dll. При удалении которой компьютер можно считать очищенным от Bo.
    BoGui.exe - Этот файл является "клиентом" и находится у Хакера . При помощи этой программы можно управлять удаленным компьютером (см.ниже.)
    BoConfig.exe - Является файлом при помощи которого файл BoServ.exe можно склеить с любой программой. Плюс ко всему, можно установить порт сервера, пароль сервера, название и т.д.
    BoClient.exe - Это приложение является такой же частью как и BoGui.exe но без аппликации и управление сервером происходит в командном режиме, т.е. в консольном...

Target host:port - Имя хоста на котором запущен сервер BO : Порт,по умолчанию 31337.Command - Комманды управления удаленным компьютером : Directory creat - Создание директорий (каталогов).Directory list - Просмотр директорий. Directory remove -Удаление директорий..Export add - Добавление sharing. Export delete - Удаление sharing. Export list - Список всех sharing. File copy - Копировать файл. File delete - Удалить файл. File find - Найти файл. File view - Показат файл. HTTP enable - Включить HTTP сервер на определенный порт. HTTP disable - Выключить HTTP сервер на определенный порт. Key log begin - Включить запись нажатия на клавиши. Key log end -Выключить запись нажатия на клавиш. MM capture avi - Записать видео .avi файл. MM capture frame - Скопировать frame. MM capture screen - Снять Screen Shot c экрана монитора. MM list capture device -Список доступных видео ресурсов. MM play sound - Приграть музыку. Net connections - Сетевые подключения. Net delete - Удаление подключений. Net use - Использования подключений. Net view - просмотр подключений. Ping host - Есть ли сервер Bo на этом хосте. Process kill - Убить какую нибудь запущенную программу. Process list - Список запущенныйх программ. Process spawn - Запустить программу. Комманды Reg - Группа команд позволяющих полностью управлять реестром Windows. System dialog box - Вывести всплывающее окно. System info - Информация о систиеме. System lockup - Вырубить комп. из сети. System passwords - Вывести все пассворды и логины. System reboot - Перезагрузить компютер.