1. Отличие троянских программ от вирусов

Несанкционированный доступ к ресурсам ПК с использованием утилит удаленного администрирования называют троянской атакой. Этот вид сетевого взлома использует механизм заражения подобный вирусам. Основное отличие троянов от вирусов заключается в том, что вирусы встраиваются в нормальные программы. Трояны же в последнее время создаются в виде отдельного файла, который работает сам по себе. Кроме того, вирусы самодостаточны, а трояны должны "связываться" со своим автором.

2. Описание троянских программ на примере BackOrifice

Троянские программы существуют довольно давно и отличаются большим разнообразием, но наиболее громкие события в этой области связаны с программой, называемой BackOrifice (ВО). Информация о BO впервые была опубликована 21 июля 1998 года. Группа хакеров, называющая себя "Cult of the Dead Cow", создала трояна для Windows 95/98. Установленный на машине жертвы, BO позволял любому, знающему пароль, выполнять на машине жертвы некие привилегированные операции. К таким операциям относились просмотр и скачивание любых файлов, манипуляции регистром, получение списка активных процессов, завершение произвольного процесса и незаметное порождение нового, получение полной копии клавиатурного ввода и многое другое.

Графический клиент BO был способен, кроме того, получать содержимое экрана жертвы. Попросту говоря, используя BO, можно делать с компьютером даже такие операции, о возможности которых обычный пользователь и не подозревает. ВО по сути дела является мини-сервером, который позволяет управлять зараженным компьютером на расстоянии по Internet-соединению. Популярность BO породила волну клонов, из которых наиболее известен NetBus.

Back Orifice состоит из двух частей - сервера и клиента.

Сервер - программа, которая устанавливается на атакуемый компьютер и открывает "черный вход". Изначально сервер находится в состоянии самораспаковывающегося архива, который проделывает следующие действия: распаковывает саму программу сервера; копирует ее в директорию WINDOWS/SYSTEM; прописывает эту программу в реестр для автоматического запуска при каждом старте Windows; самоудаляется, т.е. стирает сам себя и не оставляет следов. В инсталлированном виде сервер открывает доступ в компьютер с заранее сконфигурированным паролем для доступа. При входе в Internet, компьютер открывает свои ресурсы любому компьютеру, который обращается по известному сценарию. Клиент. Существуют текстовый и графические клиенты, обеспечивающие интерфейс к серверной части на пораженном компьютере.

3. Как может произойти заражение компьютера

Заражение может произойти при запуске любых исполняемых программ-носителей. Опасайтесь зараженных дискет, нелицензионных компакт-дисков и программ, загруженных со случайных сайтов или присланных по почте неизвестными лицами, под каким бы видом эти программы ни были предложены. Важно иметь в виду особенность объектного интерфейса Windows: в определенных условиях любой файл, независимо от его расширения может быть запущен как исполняемая программа, если он таковой является.

Кроме того, следует обращать внимание на рассылаемые по почте "программы обновления", а также самораспаковывающиеся архивы, являющиеся исполняемыми программами. Игнорируйте письма с неофициальных адресов с предложениями установить патчи или обновления программ. Ни одна сравнительно известная организация не рассылает файлов обновлений к своим программным продуктам по электронной почте. Максимум, что может быть в письме, - ссылка на сервер, с которого надо скачать файл. Причем, если это письмо от АВП, то в качестве сервера не будет выступать "www.geocities.com/avp/file.exe", а будет стоять ссылка на "www.avp.ru". Загружайте и устанавливайте новые версии и обновления к программам только с сайтов фирм-производителей.