Защита от "троянских коней"

Развитие Internet породило новый подход в написании вирусов. Если еще пару лет назад основной целью создателя вируса было простое деструктивное вмешательство — вредительство, то сегодня хакеры стремятся получить более существенные практические результаты от заражения чужих компьютеров. Все более широкое распространение получают так называемые «троянские кони» — вирусы, с помощью которых злоумышленник может получить доступ к ресурсам зараженной машины. Самыми известными из них являются программы Back Orifice и NetBus, но список подобных вирусов постоянно расширяется. Самое неприятное в «троянских конях» то, что они не всегда обнаруживаются антивирусными пакетами, поскольку их «методы работы» несколько отличаются от действий традиционных вирусов. На корпоративном уровне применение брандмауэра для перекрытия доступа извне совместно с антивирусным пакетом — рано или поздно необходимые сигнатуры появятся в очередном обновлении — дает вполне надежную защиту от «троянских коней». Не все, однако, имеют возможность воспользоваться такой комбинацией, например, когда ПК непосредственно подключен к Internet.

НА ЗАМОК

Защитить отдельно взятые ПК от «троянских коней» можно при помощи специально предназначенных для этой цели утилит. Среди доступных через Internet программ мы выделили разработку Harbor Telco Corp. под названием Lockdown 2000 (http://www.lockdown2000.com) как утилиту с самым широким набором функций. Lockdown 2000 обнаруживает все известные на сегодняшний день вирусы по типу «троянских коней», и даже те, что пока не попали в «черные списки» вследствие своей новизны. Обнаружение вируса происходит посредством контроля за обращениями к портам TCP/IP. Когда сигнатура «троянского коня» опознается, он «вылечивается», т. е. программа работает как антивирусная. Всего «черный список» Lockdown 2000 содержит около двух десятков различных «троянских коней», причем база данных сигнатур регулярно пополняется разработчиком. Если же вирус программе не известен, то он не удаляется с ПК, но его работа блокируется. Определение происходит практически мгновенно, в чем мы могли убедиться в результате экспериментов с уже упомянутыми Back Orifice и NetBus. Частота проверок на наличие вирусов регулируется: их можно сделать непрерывными, повторять через произвольный интервал или, по желанию, запускать вручную. Lockdown 2000 может не только детектировать запуск «троянского коня», но и определить, с какого IP-адреса к нему обращается злодей-хакер. При желании программу можно настроить так, что она постарается автоматически определить местонахождение взломщика при помощи утилит traceroute и whois. По итогам такого мини-расследования пострадавший может, например, пожаловаться провайдеру предполагаемого нарушителя на то, что в такое-то время, с такого-то адреса была произведена атака.

Попался, который кусался. При попытке
регистрации NetBus был бы удален.

Защита от «троянских коней» — не единственная функция Lockdown 2000. Программа также помогает защитить компьютер от различных атак извне (естественно, по протоколу TCP/IP). Так, Lockdown 2000 имеет встроенную функцию автоматического блокирования так называемых «ньюков», т. е. атак по типу «отказ в обслуживании», когда компьютер оказывается блокирован потоком пакетов (любимое средство мести участников различных «чатов»). Кроме того, она позволяет извне контролировать все IP-соединения. В частности, утилита может отслеживать все попытки просканировать доступные на вашей машине порты TCP/IP. Для пользователей ICQ, например, эта возможность полезна тем, что позволяет выявить авторов сообщений, подозрительно старающихся сохранить анонимность.

В том случае, если ваш ПК работает в одноранговой сети Windows, а взаимодействие между машинами осуществляется исключительно по TCP/IP, Lockdown 2000 позволяет защитить «открытые настежь» ресурсы от проникновения из Internet (разумеется, если сеть имеет туда выход). Утилита может отслеживать, с какой машины и к каким ресурсам осуществлялся доступ, а также составлять «белые» и «черные» списки IP-адресов и имен компьютеров для назначения прав доступа к вашему ПК. Полезной также является функция блокировки всех IP-соединений при запуске на вашем ПК определенных программ. Это могут быть как программы для доступа к важной информации, так и просто «обоюдоострые» приложения наподобие системных низкоуровневых утилит.

ЗАКЛЮЧЕНИЕ

Lockdown 2000, на наш взгляд, представляет собой надежное средство защиты от большинства возможных атак на системы под управлением Windows. Особенно привлекательной его чертой является возможность обнаруживать и отражать атаки различного рода, а не только противодействовать «троянским коням», благодаря чему программа превращается из антивирусной утилиты в своего рода персональный брандмауэр для рабочих станций под управлением Windows 95/98 или NT.

Об авторе

C Александром Авдуевским можно связаться по адресу: shura@lanmag.ru.