Текст книги "Эффективный Интернет. Трюки и эффекты"

Чаще всего вирус проникает в компьютер через Интернет – пользователю достаточно быть подключенным к нему. Однако есть и другие пути. Рассмотрим самые популярные из всех способов распространения вирусов.

     □ Так называемый «добровольный» способ, когда пользователь скачивает какой-либо файл из Интернета.

     □ Метод «навязывания», когда из-за непрофессиональной настройки браузера вам предлагают загрузить, например, JavaScript или ActiveX как подписанный элемент. В результате такой загрузки могут открыться порты для дальнейшей атаки, удаления данных, кражи файлов и деактивации операционной системы. Поэтому в настройках безопасности любого браузера необходимо в первую очередь отключить загрузку неподписанных элементов ActiveX вместе с использованием элементов ActiveX, не помеченных как безопасные. Но лучшим решением проблемы будет установка высокого уровня безопасности.

     □ Распространение вирусов через электронную почту – наиболее популярный способ заражения компьютера. Наш совет – никогда не открывайте прикрепленные файлы, пришедшие с сообщением от незнакомого человека, в крайнем случае воспользуйтесь специальными программами-антивирусами.

     □ Заражение вирусом через USB flash drive и пиратские компакт-диски. По статистике, в большинстве случаев «флэшки» и диски вообще не проверяются. Однако очень часто именно они виноваты в распространении вирусов. Возьмите за правило проверять съемные диски антивирусной программой и регулярно обновлять антивирусные базы.

Вот ты какой, троянский конь!

В данном разделе мы расскажем вам о троянских конях. Обратите внимание на то, что это не вирус. Область их «компетенции» – воровство конфиденциальной информации, в том числе и паролей, с последующей передачей их хозяину. Троянский конь состоит из клиента и сервера. Серверная часть, как правило, находится на компьютере пользователя-жертвы, а клиентская – у того человека, который создал троянскую программу или просто модифицировал ее, заставив работать на себя. Связь этих составляющих трояна осуществляется через какой-либо открытый порт. Создатели троянских коней ловко маскируют их под часто используемые программы. При их запуске происходит выполнение кода, который затем передает управление основной программе. Помните, что троянский конь может быть с легкостью замаскирован под файл с абсолютно любым расширением.

Эти «вредители» классифицируются следующим образом.

     □ Mail Sender – наиболее распространенный тип троянов. Они отсылают своему хозяину пароли доступа в Интернет, к электронной почту, к ICQ, к чатам и все то, что пожелает их хозяин.

     □ Backdoor – программы удаленного администрирования. Они, как правило, обладают возможностями Mail Sender и функциями удаленного манипулирования компьютером. Такой троян ожидает соединения со стороны клиента обычно через какой-либо порт, а затем отсылает команды на сервер.

     □ Программы-дозвонщики отличаются тем, что наносят значительный финансовый урон. Они соединяются с зарубежным провайдером, и с телефонного номера пользователя происходит установка международного соединения, например с островами Кука, Диего-Гарсиа, Сьерра-Леоне и т. д.

     □ Трояны-кейлоггеры контролируют нажатия кнопок клавиатуры, чтобы потом отослать эту информацию своему создателю по почте или прямо на удаленный сервер.

     □ Эмуляторы DDoS-атак (Distributed Denial of Service) – уникальная и довольно интересная группа троянов. Серверная часть такой программы отслеживает конкретный порт и при получении команды извне начинает функционировать как нюкер, то есть приложение, отсылающее на заданный IP-адрес шквал некорректно сформированных пакетов. В результате этого происходит отказ в обслуживании.

     □ Downloader, или загрузчики, скачивают из Интернета файлы без уведомления пользователя. Это может быть все что угодно: от интернет-страниц нецензурного содержания до откровенно вредоносных программ.

     □ Dropper (дропперы) занимаются скрытой установкой в систему других троянских программ.

     □ Прокси-серверы. Эти трояны при удачном стечении обстоятельств устанавливают в вашу систему один из нескольких прокси-серверов (SOCKS, HTTP и т. п.). Это позволяет хозяину прокси-сервера совершать интернет-серфинг через этот прокси, не боясь, что его IP будет вычислен.

Деструктивные троянские программы, помимо своих непосредственных функций по сбору и отсылке конфиденциальной информации, могут форматировать диски, удалять системные файлы и причинять еще много другого вреда пользователям.

Для обнаружения и удаления троянских коней существует целый арсенал специальных программ. Ниже представлена лишь их малая часть, которая реально поможет защитить ваш компьютер от всяких «вредителей».

     □ Advanced Spyware Remover. Это утилита, цель которой – защита вашей системы от вредоносных программ и шпионских модулей. С ее помощью можно избавиться от рекламных программ, дозвонщиков, программ-шпионов, кейлоггеров и т. д. От подобных программ ее отличает высокая скорость работы сканера, а также обновляемая база сегментов вредоносного кода F-Secure BlackLight.

     □ SpyDefense – программа для обнаружения шпионских модулей. Позволяет как найти, так и обезвредить большинство компьютерных шпионов.

     □ Arovax Shield – утилита, защищающая компьютер от программ-шпионов. В режиме реального времени она осуществляет мониторинг системы на предмет безопасности и предупреждает пользователя о любом проникновении троянов в систему.

     □ Anti-Spyware – система для борьбы с вредоносными программами и шпионскими модулями, разработанная компанией Microsoft. Разработчик утверждает, что утилита контролирует все возможные так называемые spyware-пути, по которым шпионские модули проникают в компьютер.

     □ Trend Micro CWShredder – программа для нахождения и удаления программ со шпионскими наклонностями. Обнаруживает следы присутствия так называемых CoolWeb Search – программ, которые также относят к троянским коням.

     □ SpyRemover – неплохая программа для поиска шпионских модулей. Она может распознать немало видов вредоносных программ, в том числе и со шпионским контекстом. Эту программу удобно обновлять в автоматическом режиме.

     □ XSpy Shield Gold – мощная утилита, которая защитит вас от spyware-модулей, присутствующих в некоторых программных продуктах и других шпионских модулях.

     □ CounterSpy отлично удаляет шпионские модули с компьютера.

     □ Spy Sweeper – неплохая программа для защиты от шпионских модулей, троянов и кейлоггеров.

     □ HookMonitor – программа, служащая для администрирования процессов, приводящих к установке глобальных ловушек на клавиатуру. Выявляет и блокирует модули spyware, ведущие наблюдение за набором паролей, и т. п.

     □ Browser Sentinel постоянно наблюдает за уязвимыми областями вашей системы. При обнаружении вредоносного компонента программа сразу же уведомит вас и поможет удалить вредоносное ПО, в том числе программы-шпионы, рекламу, клавиатурных шпионов, программы автодозвона и прочих непрошеных гостей.

Как поступить, если установленный антивирус не выдает никаких сообщений, а присутствие троянского коня просто налицо, например слишком большой трафик, непонятные процессы в оперативной памяти, частые зависания и неустойчивая работа приложений? Для обнаружения «шпиона» используйте специальные утилиты, например Trojan Remover. Как показывает практика, это способен сделать даже начинающий пользователь. Плюс ко всему, в Интернете предостаточно соответствующего программного обеспечения.

Конечно же, удалить троянского коня можно и вручную. Вредоносные программы обычно запускаются автоматически и прописываются в соответствующих областях в следующих ветвях реестра:

     □ {HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun} (наиболее часто встречаемые примеры);

     □ {HKEY_CURENT_USERSoftwareMicrosoftWindowsCurrentVersionRun};

     □ {HKEY_CURENT_USERSoftwareMicrosoftWindowsCurrentVersionRunonce};

     □ {HKEY_USERS.DefaultSoftwareMicrosoftWindowsCurrentVersionRun};

     □ {HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunonce}.

Обнаружив неизвестные записи (не принадлежащие обычным приложениям), смело удаляйте их. Однако при работе с реестром вам следует вести себя очень внимательно и аккуратно. Нелишне также просмотреть все, что прописано в автозагрузке. Для этого пройдите по ссылке Пуск ► Выполнить и введите в открывшемся окне команду {msconfig}, а затем перейдите на вкладку Автозагрузка. Чтобы разрешить или запретить автозагрузку конкретной программы, установите соответствующий флажок. Надо также внимательно следить за драйверами и программами, прописанными в автозагрузку. Это поможет быстрее обнаружить троянского коня. Если, несмотря на вашу бдительность, троян все же запустился, для начала надо распознать его и завершить выполняемый им процесс, воспользовавшись сочетанием клавиш Ctrl+Alt+Delete. Чтобы получить полную информацию о запущенных в Windows программах, можно запустить утилиту XRun или аналогичную ей – CTask.

Если признаки зловредных программ остались, просканируйте компьютер извне на наличие открытых портов. Все, что нужно для этого, – лишь ваш IP и хороший сканер портов (самый популярный из них – XSpider). Данная процедура действительно высокоэффективна и помогает выявить даже троянских коней, скрытых самым надежным образом.

Другие виды опасности в Сети

Все мы знаем об основных опасностях в Сети и, наверное, уже привыкли к ним. Про вирусы и хакеров написано много, и эта тема раскрыта, пожалуй, полностью. Но со временем совершенствуются не только вирусы и антивирусные программы, но и методы обмана, от которого ни одна программа не спасет вас на все 100%. Единственным средством борьбы со злоумышленниками является информированность и осторожность пользователя. Поэтому в данном разделе мы решили описать наиболее часто встречающиеся методы мошенничества и способы борьбы с ними.

Английское слово phishing образовано от слов fishing (в пер. с англ. – рыбалка) и password (в пер. с англ. – пароль). Фишинг – это особый вид мошенничества, цель которого – получить какую-либо секретную информацию, например авторизационные данные для выхода в Интернет, информацию о банковский счетах и кредитных картах и т. д. Способ получения информации очень метко зашифрован в самом названии: злоумышленник расставляет ловушки, а несчастному пользователю остается только попасться на крючок, и при этом пострадавший самостоятельно, без принуждения делится секретными данными. Звучит неправдоподобно, но это так.

Можно выделить три вида фишинга: почтовый, онлайновый и комбинированный.

Самая ранняя стадия развития фишинга – почтовый фишинг. Он заключается в отправке жертве специального письма по электронной почте с требованием выслать какие-либо личные секретные данные.

Онлайновый фишинг заключается в копировании дизайна какого-либо сайта, например интернет-магазина или платежной системы, который использует сходное по написанию доменное имя. При совершении «покупки» или «авторизации» на таком сайте-подделке жертва вводит номер своей кредитной карточки и другую конфиденциальную информацию, чем сразу же могут воспользоваться злоумышленники.

Эти два вида фишинга существуют относительно давно. Самое большое распространение получил комбинированный тип. Суть его в следующем: мошенник создает поддельный сайт, а потом с помощью электронных писем-приманок завлекает пользователей. Главная опасность заключается в том, что выглядит это очень правдоподобно (рис. 3.1).

Обезопасить свою почту, деньги и личные данные от этого вида мошенничества можно. Все, что требуется, – это соблюдать простые правила.

При получении письма от службы поддержки какого-нибудь финансового или другого сервиса необходимо убедиться, что оно действительно отправлено с настоящего адреса. Это легко сделать, просмотрев заголовки. Сообщение как минимум должно быть персонифицировано, то есть отправлено именно вам, а не «уважаемому абоненту» или другому безличному получателю. Кроме того, если в поле Отправитель стоит какой-либо адрес, то это не означает, что письмо было отправлено именно с этого адреса. Стиль письма должен быть деловым, ошибки не допускаются. И запомните: никакая компания не просит у своих клиентов помощи, это как минимум глупо.

Делайте покупки только в проверенных интернет-магазинах. Будет хорошо, если вы сможете позвонить туда и уточнить сведения о проводимых акциях, а еще лучше – приехать лично. Если оплата производится с помощью кредитной карты, необходимо убедиться, что вы находитесь на странице магазина и в адресной строке адрес написан через https://, то есть данные передаются в зашифрованном виде. Электронные платежи должны осуществляться через автоматизированный интерфейс платежной системы, а не напрямую на кошелек продавца.

Рис. 3.1. Образец почтового фишинга популярной платежной системы

Используя браузеры Internet Explorer, Opera или Firefox, не забудьте установить и включить защиту от фишинга.

Для борьбы с фишингом был создан сервис PhishTank. Его работа основана на взаимодействии пользователей: одни публикуют ссылки на подозрительные ресурсы, а другие голосуют, являются ли эти ресурсы фишингом или нет. Все данные PhishTank свободны для загрузки.

Данный вид мошенничества по смыслу близок к фишингу (и поэтому назван аналогично). Первый случай вишинга зарегистрирован в июле 2006 года. В чем же его суть? Жертва получает по электронной почте сообщение с просьбой указать личные данные, для чего необходимо не перейти по ссылке, а просто позвонить на указанный телефонный номер. С развитием интернет-телефонии проследить за звонком стало непросто, так как он может быть перенаправлен на виртуальный номер в любую точку земного шара.

Электронная почта может и вовсе не использоваться. Компьютер программируют таким образом, чтобы он набирал телефонные номера из огромного списка и на ответ пользователя проигрывал записанное ранее сообщение. В сообщении может говориться, к примеру, о том, что информация о кредитной карте пользователя исчезла и его просят ввести номер карты и PIN-код с клавиатуры телефона.

Помимо фишинга и вишинга, существует еще более коварная ловушка – фарминг (от англ. pharming). Суть мошенничества – в перенаправлении жертвы на ложный IP-адрес. Механизм сходен со стандартным заражением вирусом: при посещении неблагонадежного сайта или открытии электронного сообщения выполняется некий сценарий, который перенаправляет набранный адрес на один из ложных сайтов. На данный момент механизмов защиты от фарминга не существует, поэтому будьте предельно осторожны и внимательны.

Похищение страниц (page-jacking) и ловля указателя мыши (mouse-trapping) используются, чтобы ввести пользователя в заблуждение, привести его на сайт злоумышленника и не дать уйти при нажатии кнопок перехода и закрытия в браузере.

Самое главное о безопасности

Исследования показывают, что в настоящее время более миллиона компьютеров заражено пиратскими программами, рассылающими спам и вирусы. И, к сожалению, ситуация не изменяется в лучшую сторону, скорее, наоборот. Самое интересное, что обычный пользователь чаще всего и не подозревает о том, что его компьютер стал средством распространения вирусов. А зря…

В данном разделе рассмотрены основные уязвимые места операционной системы Windows и выстроена общая модель многоуровневой защиты.

Каждый из нас, обыкновенных пользователей, периодически обнаруживает ошибки в Windows. А ведь основной фактор уязвимости компьютера – Windows без обновлений. Большинство вирусов заражают систему именно благодаря наличию брешей, или дыр. Учитывая то, что чаще всего вредоносные программы появляются при переполненном буфере (а служб и портов в Windows более чем достаточно), необходимо регулярно обновлять систему.

По статистике большинство пользователей применяют браузер Internet Explorer. Именно поэтому он представляет собой объект для нападок со стороны зловредных программ. А без пакетов обновлений он является просто идеальной мишенью для атак извне, удачный исход которых гарантирован. Например, JavaScript, ActiveX или DHTML успешно применяются для кражи файлов, удаления данных и т. п. Поэтому лучшая альтернатива Internet Explorer – это Opera и Mozilla Firefox.

Запомните раз и навсегда, что абсолютной защиты от вирусов не существует. При определенных условиях вас может подвести даже самый авторитетный антивирус с отличной эвристикой и модулем анализа подозрительного поведения программного кода. Всегда учитывайте то, что параллельно с развитием антивирусного программного обеспечения совершенствуются и сами вирусы, и так уж получается, что последние всегда на шаг впереди, ибо развитию защиты способствует развитие самих вирусов. Например, существуют так называемые stealth-вирусы, интересной особенностью которых является способность маскироваться и не быть обнаруженными антивирусной программой. Все это возможно благодаря особенностям работы программного кода: такие вирусы следят за обращениями антивируса к инфицированному файлу и представляют последний незараженным. В итоге вируса как будто бы и нет. На самом деле он распространяется от файла к файлу, скрывая свое присутствие.

Не обязательно, но крайне желательно, чтобы на вашем компьютере было установлено как минимум две операционные системы. Во-первых, так удобно «препарировать» Windows. Во-вторых, наличие чистой среды при проверке зараженной способствует выявлению «сложных» вирусов, особенно если дело касается stelth-вирусов и быстро распространяющихся «червей». Сегодня среди бесплатных антивирусных программ можно выделить ряд достойных продуктов. Мы советуем (естественно, для разных систем) Kaspersky Anti-Virus Personal 8.0 и Panda Platinum 2009 Internet Security. KAV обладает обширными базами, хотя и они могут содержать вирусы, записи на эксплоиты (программы, написанные для практического использования какой-либо уязвимости в злонамеренных целях), нюкеры, кейлоггеры, а также программы, идентифицируемые антивирусом как «инструменты хакера». Panda соблазняет анализом подозрительного поведения программного кода, защитой от неизвестных угроз, а также модулем самодиагностики – то есть своей многофункциональностью. Этой двойке наиболее уважаемых антивирусных продуктов точно можно доверить безопасность компьютера. Но, увы, от «свежих» вирусов они все равно вас не спасут – такова правда жизни.

Существуют также программы-ревизоры. В качестве примера можно привести ADinf. Принцип ее работы не слишком оригинален: он основан на формировании специальной базы, где хранится основная информация о каждом логическом диске в системе. При первом запуске программа запоминает объем оперативной памяти, образы главного загрузочного и других загрузочных секторов, список сбойных кластеров, структуру дерева каталогов, длины имен и контрольные суммы файлов. При проникновении вируса в систему он заражает компьютер, изменяя главный загрузочный сектор и объект, в который внедряется исполняемый файл. Если программа-ревизор обнаруживает изменения, характерные для действий вируса, она предупреждает об этом пользователя. Важным свойством ADinf, отличающим ее от других программ-ревизоров, является доступ к дискам без использования функций операционной системы. Помимо борьбы с вирусами, ADinf следит за целостностью и сохранностью информации на жестком диске, отслеживая все происходящие изменения.

Помните, что не следует рассчитывать на встроенный брандмауэр. Максимум, на что он способен, – отражать примитивнейшие атаки, но не более того. Любая, а тем более грамотная, DоS-атака с использованием хотя бы ICMP (Internet Control Message Protocol – протокол межсетевых управляющих сообщений, используемый для диагностики состояния сетей) выведет его из строя. В таких случаях нужно использовать более серьезное программное обеспечение, например брандмауэр ZoneAlarm (http://www.zonelabs.com). ZoneAlarm можно рекомендовать тем пользователям, которым нужен авторитетный и беспроблемный «наблюдатель» сетевой активности компьютера. ZoneAlarm зарегистрирует сканирование ваших портов и любую попытку вырваться в Сеть или установить соединение из нее и выдаст сообщение с указанием порта и IP.