Бесплатный электронный учебник по защите информации компьютера в интернет |
|
служба Компьютерная
помощь |
Программы типа троянский конь |
Антивирусная защита компьютера. Вызов мастера на дом в Кириши |
|
|||||
|
Программы типа троянский конь Как уже упоминалось во введении, "троянский
конь" — это программа, которая для вида выполняет какие-нибудь
полезные действия, однако на самом деле предназначена совсем для других
(зачастую злонамеренных) действий или скрытно устанавливает коварные
или разрушительные программы. Многие из рассмотренных выше средств
создания "потайных ходов" могут быть помещены во внешне
безобидные пакеты, так что конечные пользователи даже не смогут догадаться
о том, насколько опасные программы установлены на их компьютерах.
В качестве другого примера можно привести коварную программу, маскирующуюся
под файл netstat. Эта программа, в отличие от настоящей утилиты netstat,
намеренно не показывает некоторые прослушиваемые порты, тем самым
скрывая наличие "потайного хода". Ниже вы познакомитесь
еще с несколькими примерами программ типа "троянский конь",
таких как FPWNCLNT. DLL и "наборы отмычек". |
||||
BoSniffer Что может быть лучше, чем инфицирование какой-нибудь
системы с помощью программы, предназначенной для поиска "потайных
ходов"? Утилита BoSniffer, которая вроде бы призвана выявлять
Back Orifice, на самом деле является замаскированной ВО. Так что соблюдайте
осторожность при использовании подобных бесплатных средств... К счастью,
эту программу можно удалить точно так же, как и обычный сервер ВО
(см. разделы выше). eLiTeWrap Очень популярной программой типа "троянский
конь" является eLiTeWrap. Она предназначена для "упаковки"
многочисленных файлов в один исполняемый файл и последующей их распаковки
либо запуска на удаленном узле. Как видно из следующего примера, в
такую "обертку" можно поместить также сценарии, что позволяет
взломщикам реализовать неповторимые атаки. С:\nt\ew>elitewrap Программу eLiTeWrap можно обнаружить, если из исполняемого файла взломщик забыл удалить ее сигнатуру. Следующая команда поиска позволит найти сигнатуру в любом файле .ЕХЕ. С:\nt\ew>find "eLiTeWrap" bad.exe Ключевое слово "eLiTeWrap" может измениться, поэтому при выявлении программы eLiTeWrap не следует полностью полагаться на этот признак. Библиотека FPWNCLNT. DLL для Windows NT Одна из тайных задач программ типа "троянский
конь" состоит в их маскировке под системный компонент регистрации
в системе и захвате имен/паролей пользователей. Одним из примеров
реализации такого подхода является библиотека FPNWCLNT.DLL, устанавливаемая
на серверы NT, на которых требуется выполнять синхронизацию паролей
с системами Novell NetWare. Эта библиотека перехватывает изменения
паролей перед тем, как они будут зашифрованы и записаны в базу данных
SAM, что позволяет службам NetWare получить пароли в удобочитаемом
виде, обеспечивая тем самым единую форму регистрации. Контрмеры Если нет необходимости в синхронизации паролей между системами NT и NetWare, удалите файл FPNWCLNT.DLL из каталога %systemroot*\system32. Следует проверить также поддерево системного реестра HKEY_LOCAL_MACKINE\SYSTEM\CurrentControlSet\ Control\Lsa\Notificaion Packages (REG_MULTI_SZ) и удалить из него строку FPNWCLNT. Если эта динамически подключаемая библиотека все же необходима для работы в смешанной среде, сравните атрибуты используемого файла с атрибутами его проверенной копии (например, содержащейся на установочном компакт-диске) и убедитесь, что это исходная версия компании Microsoft. Если возникли какие-то сомнения, лучше восстановить данный файл с проверенного носителя. |
|||||
|
|
|||
|