...
...

Win-eXpose-Registry. Послесловие

Win-eXpose-Registry. Послесловие После выхода в свет моей статьи "Под пристальным взором" в КГ N№35 (276) 2000 в моем почтовом ящике появилось весьма интересное письмо, с содержимым которого, а также моими к нему комментариями, будет небезынтересно ознакомиться нашим читателям, во всяком случае, хочется в это верить.

Здравствуйте, Максим,

Прочитал вашу статью в КГ относительно упомянутой в заголовке программы (Win-eXpose-Registry), после чего скачал ее из Интернет. Моему удивлению не было предела, когда после инсталляции вышеупомянутое киберчудо кроме своих основных функций стало выполнять недокументированные, а именно: совать свой длинный нос в файлы паролей и свойств пользователя на моем ПК, а также вносить изменения в системные файлы Windows. Причем данные процессы происходят только при подключении к Интернет, в остальное время все ОК. Потом данная информация собирается в файлики в специальной папке программы в корневом каталоге (а также в файлах index.dat, которых на моем компе я нашел штук 7 одинаковых) и преспокойно отправляется в эту фирму. Чтобы пресечь деятельность, просто деинсталляции программы и переустановки Винды поверх старой мало - придется, видимо, удалить и установить Windows заново.

Вот так.

Прошу сделать 3 вещи:

1. Проверить свой ПК/

2. Написать в газету, чтобы люди не страдали/

3. Желательно рассказать мне, как с такой тварью бороться.

Спасибо, Юра


Ну что же, первые два пункта выполнены успешно, приступаем к третьему... Во-первых, к счастью (а может, к сожалению), все тестируемые мною программы изучаются на компьютере, который доступа к Internet не имеет, поэтому ничего определенно подозрительного я не заметил. Увы, редкий троян активизируется, не находя доступ во всемирную сеть. Что поделать, естественный отбор никто не отменял:(. На моем винчестере действительно оказалось 6 файлов index.dat, из которых 3 созданы под управлением Windows 98, а еще 3 под управлением Windows 2000. При этом ничего подозрительного в файлах обнаружено не было, а за отсутствие там своих паролей я просто могу ручаться, разве что все пароли были зашифрованы по алгоритму "and 00h":)). Файлы находятся в директориях Cookies и Temporary Internet Files, но для появления этих файлов в указанных папках вовсе не обязательно ставить Win-eXpose-Registry.

Но не подумайте ни в коем случае, что под сомнение ставится информация, полученная от Юрия! В современной сети может быть все, поэтому я выскажу несколько моих мыслей, касающихся риторического вопроса "что делать?".

Вообще говоря, возможность получить трояна, скачивая программу, - это уже давно не редкость. Кстати, чаще всего "подарки от добрых самаритян" можно подцепить, качая либо антивирусные программы от малоизвестных производителей, либо "крякеры Интернета". На хакерских и околохакерских сайтах все чаще и чаще встречаются замечания о том, что в содержимом программы нельзя быть уверенным, даже выкачав ее с официальной страницы производителя. И дело даже не в том, что разработчик окажется нечистым на руку (возможен и такой вариант, но предположим, что с ним все в порядке), а, скорее, потому, что изначальный файл вполне мог быть подменен прямо на сервере. Если у кого-то создаются иллюзии, что троянца можно "прилепить" только к своей программе, вынужден их разочаровать. Уже достаточно давно широкое распространение в сети получила почти безобидная программка Joiner, которой можно было подсунуть 2 exe-файла, а на выходе получить один, но, чуть побольше:). Недавно коллеги из журнала "Xakep"(№8, 2000, с 88) сообщили о выходе новой утилитки под названием One EXE Maker 2000, которая делает, по сути, то же, что и Joiner, но гораздо лучше. Лепить троянцев при помощи этой программы - одно удовольствие.

Необходимо отметить, что серьезным фирмам как минимум невыгодно заниматься воровством паролей у пользователей. Тому есть несколько причин, и даже если оставить в стороне профессиональную корректность, честность и прочие необязательные элементы бизнеса:), все равно их наберется приличное количество. Во-первых, как только программа приобретает какую-то популярность, в ее коде сразу начинает копаться множество энтузиастов. Новости о любых попытках отослать какие-то пакеты через Internet немедленно будут опубликованы в сети. Естественно, что после этого программа, да и фирма ее производящая, безнадежно теряют репутацию. Таким образом, если ребята планировали зарабатывать на произведенном ими программном обеспечении, то это у них вряд ли получится. К тому же программа имеет все шансы попасть в базы к AVP и другим ведущим антивирусным программам, после чего распространение троянского коня станет практически невозможным. Во-вторых, если это фирма, то она имеет и все атрибуты фирмы, в частности адрес, на который восторженные пользователи будут присылать деньги за программу:). А т.к. распространение вредоносных программ является уголовно-наказуемым деянием не только у нас в стране, то у ребят, продающих такое ПО, есть все шансы оказаться на скамье подсудимых.

А что касается методов борьбы с подозрительными программами, то, боюсь, ничего нового я не придумаю. В первую очередь, нужно найти (и установить:)) антивирусные программы. Из программ-полифагов (сканеров) я бы рекомендовал AVP или DrWeb, кому как больше нравится. Обе эти программы поставляются с антивирусными сторожами (мониторами), которые постоянно находятся в памяти компьютера. Если этой самой памяти не жалко, сторож способен существенно повысить уровень безопасности системы. Хотя, справедливости ради замечу, что некоторые вирусы умеют обходить сторожей. И, естественно, все это имеет хоть какой-то смысл лишь в том случае, когда антивирусные базы обновляются, по крайней мере, раз в месяц. Второй существенный класс антивирусных программ - это ревизоры. Принцип их работы построен на проверке всех изменений, произошедших в файловой системе и загрузочных секторах. Если какие-то изменения похожи на известные ревизору методы заражения, он немедленно оповестит об этом пользователя. Самой известной программой-ревизором является ADinf, но в Лаборатории Касперского существует ее аналог под названием AVP Inspector. Также не стоит забывать и о firewall-программах. В том случае, когда какое-либо приложение запрашивает соединение с удаленным сервером через какой-то определенный порт, firewall доложит об этом пользователю и осведомится, разрешать доступ или нет. Самой известной программой такого рода, пожалуй, является @Guard. Ну, а если действия какой-то программы вызывают серьезные подозрения, а антивирусные средства с самыми новейшими базами скромно молчат, то кто мешает отослать подозреваемого разработчикам антивирусного ПО, например, в Лабораторию Касперского или в Антивирусную лабораторию Данилова? Говорят, что это единственные люди, которые любят, когда им присылают вирусы:).

А что касается Windows, то, конечно, полностью "убить" программу можно и без полной переустановки операционной системы. Здесь все основано на том, что когда-то троян должен загружаться в память компьютера. Но проблема заключается в том, что далеко не все авторы троянских коней используют стандартные методы для загрузки своих творений вместе с операционной системой. В частности, я не перестаю удивляться изобретательности ребят, придумавших одну из лучших систем удаленного администрирования Donald Dick. Например, для Windows 9x и для Windows NT были разработаны два совершенно разных (и, мягко говоря, неординарных) способа загрузки. Я даже не сомневаюсь в том, что ее авторы получают сотни писем с вопросами, как обнаружить и убрать программу. Так вот, зачастую получается так, что потратить 3-4 часа на переустановку всей операционной системы и программного обеспечения гораздо проще, чем день (неделю?) копаться в недрах Windows в поисках трояна. Хотя, все, разумеется, зависит от ваших знаний и вашей любознательности. Но если есть время, то, как мне кажется, лучше будет найти эту заразу самому. Объясняется это тем, что хотя дядя Билли и приучил нас каждые полгода сносить/переустанавливать операционную систему, это не есть правильно. И, глядя с этих позиций, найти ошибку самому это рациональнее, что ли...

В заключение этой статьи хочется отметить вот что: если вам действительно позарез нужна программа вроде Win-eXpose-Registry или Win-eXpose-I/O, а лимит доверия к продукции компании Shetef Solutions Ltd уже исчерпан, то буду рад сообщить, что на рынке программного обеспечения эти программы далеко не единственные. В частности, в КГ №22, 2000 (263) была опубликована статья Евгения Сечко "Отслеживаем действия компьютера", где можно найти описание и ссылки на программы RegMon, FileMon и PortMon, практически полностью аналогичные программам, упомянутым мною выше. Максим А.Самусенко masm.bgu@usa.net (c) компьютерная газета


© Компьютерная газета

полезные ссылки
Оффшорные банковские счета