Дареному коню - в зубы!

«Вот мчится тройка удалая троянских бешеных коней», или как совладать с данайцами, троян приносящими...

"Кто стучится в дверь ко мне с толстой сумкой на ремне…" - наверное, большинство помнит из детства это стихотворение, описывающее суровые будни работы советской почты. Впрочем, почта - действительно одно из величайших изобретений человечества. Правда, сегодня многие предпочитают пользоваться не традиционной бумажной, а электронной. Действительно, электронная почта - средство коммуникации, которое отличают такие свойства, как надежность, оперативность, удобство использования. Все это сделало e-mail самым популярным способом общения в компьютерном мире. Но не все знают, что электронный почтовый ящик и приходящие на него письма могут стать и источником достаточно серьезных неприятностей для вашего компьютера и хранящихся в нем данных. Это показали массовые эпидемии почтовых вирусов-червей наподобие ILOVEYOU, успехи доморощенных российских хакеров, обожающих подсовывать неискушенным пользователям троянских коней в письмах от слушпы падержки правайдера и т.д. Итак, давайте рассмотрим, какие проблемы могут возникнуть у пользователя и у его компьютера, если он не будет уделять достаточно внимания защите почтового канала связи, как это дело именуют в книгах про шпионов.

Сначала попытаемся определить основные группы угроз, исходящих от поступающих на ваш электронный почтовый адрес электронных опять-таки писем. Здесь не слишком опытного в вопросах Интернет-противостояния пользователя могут подстерегать следующие опасности:

• содержащиеся в прикрепленных к письмам файлах троянские кони, вирусы и другие программы зловредного характера;
• почтовые вирусы-черви (Melissa, ILOVEYOU, Stages и т.д.);
• cпамовые письма, почтовые бомбы и т.д.

Теперь обо всем - по порядку.

Кони в польтах

Года 2-3 назад по Рунету прокатилась целая эпидемия писем с прикрепленными к ним самораспаковывающимися архивами. Содержание писем было самым разнообразным - программный ускоритель, позволяющий превратить вашу S3 Trio64V+ в TNT2Ultra, акселератор буферного обмена, на 200% ускоряющий копирование информации с винчестера, универсальный антивирус, самый надежный генератор кредитных карт и, конечно же, взломщик Интернета. Содержание прикрепленных архивов всегда было однообразным: серверная часть какой-нибудь из утилит удаленного администрирования (BO, NetBus, DonaldDick и т.д.). Получатели писем, запустившие вложенную в письмо программу, платили за свое любопытство паролями на dial-up-соединение, почту, ICQ и прочими крайне важными для всякого пользователя вещами. С тех пор прошло достаточно времени, и люди стали гораздо более осторожны. Призыву "Люди! Будьте бдительны! Не запускайте программы, прикрепленные к подозрительным письмам, пришедшим от незнакомых вам людей!" вняли даже самые невнимательные. Тем не менее настоятельно советую установить антивирусную программу, причем имеющую в своем составе резидентный модуль, постоянно сидящий в памяти компьютера и отлавливающий все подозрительные телодвижения. Выбор здесь достаточно большой, но я рекомендую Антивирус Касперского (AVP). Программа надежная, обеспечивающая защиту от всех видов компьютерных вирусов и троянских коней, имеет много полезных функций, среди которых - постоянно висящий в памяти антивирусный монитор, сканер дисков, проверка по расписанию, антивирусный модуль для DOS-режима. Скачать демонстрационные версии AVP для Windows (отсутствует возможность проверки архивных файлов, лечения зараженных объектов и эвристический анализ) вы можете прямо отсюда:

• AVP Platinum (8,55 мегабайт);
• AVP Gold (8,55 мегабайт);
• AVP Lite (7,62 мегабайта).

Ознакомиться же с другими версиями Антивируса Касперского, коих очень много (практически для любых применений, включая компьютеры под управлением DOS, Unix, Linux, OS/2, рабочее станции, сервера и mail-сервера, специальные версии антивируса для MS Office и многое другое), вы можете на сервере компании. К AVP регулярно выпускаются обновления антивирусных баз данных. Кроме того, фирма крайне оперативно реагирует на все случаи появления новых вирусов. Если вы установите себе AVP и будете держать постоянно включенным AVPMonitor, то обеспечите себе заблаговременное предупреждение возможной опасности вирусного заражения.

Кроме AVP, следует упомянуть и другие средства защиты от почтового беспредела, которые помогут, если троянскому коню все-таки удалось каким-то образом пробраться на ваш компьютер. Вашу систему помогут защитить программы Jammer и Tauscan. Первая представляет собой нечто вроде файрволла и самым аккуратным образом отслеживает попытки записи в реестр и попытки установления соединения между серверной и клиентской частями трояна, а вторая является сканером троянских коней. Они прекрасно работают в паре, а на сайте разработчика можно скачать полнофункциональные тридцатидневные триалы.

От самого распространенного и известного троянского коня BackOrifice защитит BoDetect (966 килобайт, сайт разработчика). Полезными для борьбы с троянскими конями будут также:

• Trojan Remover (1,5 мегабайта, сайт разработчика);
• BlackICE Basic (2,7 мегабайта, сайт разработчика);
• The Cleaner (1,4 мегабайта).

Вообще, подобных утилит в сети достаточно много, но перечислены наиболее известные и собственноручно проверенные. С помощью всего вышеперечисленного удавалось спокойно вылечить компьютер, намеренно зараженный BackOrifice 2000.

Кроме запускаемых, к подозрительным письмам могут быть прикреплены и файлы-документы с расширением doc или xls. Они также могут быть опасны, поскольку способны содержать макровирусы. Здесь наиболее простой способ защититься - всегда держать включенным проверку на макросы в Office 97 (2000) (Сервис/Параметры/Общие/Защита от вирусов в макросах). Это позволит отключить запуск макрокоманд, содержащихся в документе, при его открытии, и избежать заражения макровирусом. Необходимо также вовремя устанавливать все выпускаемые производителем патчи и сервис-паки. Скажем, владельцам Office 2000 рекомендуется установить обновление Microsoft Office 2000 Update SR-1a, включающее в себя, помимо всего прочего, защиту от новых макровирусов. Пользователям Office 7.0, где подобной функции не предусмотрено, придется защищаться с помощью того же AVP. Также можно воспользоваться утилитами ChekOf (2,1 мегабайта, сайт разработчика), осуществляющей проверку документа на макросы и позволяющей в случае необходимости их отключить, или A1: Virus Alert for Word 97 (1,1 мегабайта, сайт разработчика), реализующей проверку документов на наиболее распространенные макровирусы "на лету".

Стоит надеяться, что теперь вы легко сумеете защититься от почтовых коней. В следующей статье мы рассмотрим два оставшихся источника угрозы, а именно "червей" и спаммеров, и расскажем, как надавать по зубам и им :)