Микрофишки

CTO Cisco Systems Боб Гляйхауф (Bob Gleichauf) поделился с прессой мыслями о безопасности грядущей операционной системы Windows Vista. Авторитетный специалист опасается изобилия дыр (код ОС был изрядно обновлен, что всегда чревато ошибками), да и новые инструменты обеспечения безопасности, встроенные в систему, не вызывают у него энтузиазма. «Большинство компаний, которые захотят перейти на Vista, уже имеют собственные инструменты защиты, — говорит Гляйхауф, — и как бы ни были хороши новые средства, миграция на них не обязательно будет гладкой». ВШ

Samsung Electronics продемонстрировала 32-гигабитную микросхему флэш-памяти типа NAND, изготовленную на основе рекордной 40-нанометровой технологии. Использование подобных чипов позволяет создавать карты формата CompactFlash емкостью 32-64 Гбайт. Любопытно, что несколько лет назад руководитель полупроводникового подразделения компании Чан Гю Хван (Chang Gyu Hwang) предсказал, что емкость флэш-микросхем будет удваиваться каждый год. Эту тенденцию часто называют законом Хвана, по аналогии с известным законом Мура. Если говорить об изделиях самого Samsung, то прогноз соблюдается с исключительной точностью с 1999 года, когда эта корпорация представила флэш-чипы емкостью 256 мегабит. АЛ

В Институте вычислительных технологий Академии наук КНР разработана очередная модификация центрального процессора серии Godson. Новая 64-разрядная модель Godson-2E содержит 47 млн. транзисторов, изготавливается по 90-нанометровой технологии и работает на тактовой частоте 1 ГГц. Сообщения о новом процессоре появились еще в апреле, однако тогда его тестирование не было завершено. По заявлению разработчиков, производительность Godson-2E превосходит ранние версии Pentium 4, но китайский чип в массовом производстве будет гораздо дешевле. Чипы семейства Godson используют модифицированный набор инструкций MIPS (то есть могут работать, например, под Linux) и выпускаются с 2002 года. По крайней мере, одна компания — Yellow Sheep River — уже объявила о намерении выпускать на их основе ПК в компактном корпусе по цене около 150 долларов. АЛ

За первую неделю работы видеоотдела онлайнового магазина iTunes Store компания Apple продала 125 тысяч копий диснеевских фильмов. ТБ

Real Networks и Sandisk подписали договор о сотрудничестве. Теперь в новые плейеры от Sandisk будет включена поддержка онлайновых музыкальных сервисов Rhapsody. ТБ

Motorola покупает за 3,9 млрд. долларов Symbol Technologies, известного производителя RFID-решений, штрихкодового оборудования, беспроводных систем и корпоративных мобильных устройств (в частности, промышленных PDA). Нынешняя покупка у Motorola уже восьмая за текущий год. Компания активно расширяет сферу деятельности, пытаясь закрепиться в нишах более прибыльных, нежели сотовый бизнес. ТБ

По слухам, кинокомпания Universal Studios Home Entertainment намерена отказаться от использования формата Blu-ray в пользу HD DVD. ТБ

Персональные компьютеры членов коллегии одного из окружных судов китайской провинции Шаньдун оснастили экспериментальной программой, которая должна помогать в вынесении юридически обоснованных решений по уголовным делам. По завершении процесса судья вводит в компьютер всю относящуюся к делу информацию, включая и сведения о смягчающих или отягчающих вину обстоятельствах, после чего программа выдает приговор, полностью отвечающий нормам уголовного кодекса. Однако электронный юрист имеет пока лишь совещательный голос, а окончательный вердикт выносит все-таки судья. Писатели-фантасты уже давно предсказали, что со временем компьютеры станут полновластными вершителями судеб, но до этого в Китае дело, слава богу, еще не дошло. АЛ

Компания Lexus намерена использовать очередной парижский автосалон, открывающийся 30 сентября, для продвижения в Европе первого в мире автомобиля представительского класса с гибридной силовой установкой. Мощность пятилитрового бензинового мотора LS 600h, который впервые был показан в апреле на нью-йоркском автошоу, составляет 444 лошадиные силы. При этом, согласно проспектам компании, машина потребляет лишь около 8 литров горючего на 100 км пути и выбрасывает в воздух на 70% меньше углекислого газа, чем самые «чистые» машины аналогичного класса. А ведь начиналось все в 1997 году с неуклюжего Toyota Prius… АЛ

Плутон, некогда девятая планета Солнечной системы, стал полноправным членом в каталоге семейства малых тел под номером 134340. Международный астрономический союз также принял решение присвоить астероиду 2003 UB313 наименование Эрис. Ранее он имел неофициальное название Зена и рассматривался в качестве кандидата на звание десятой планеты. После нашумевшего решения астрономов о пересмотре классификации Эрис, как и Плутон, перешла в разряд «карликовых планет». АБ

ОКНО ДИАЛОГА: Мышиный король

Автор: Сергей Вильянов

Девятнадцатого сентября Россию впервые посетил Даниэль Борель, основатель и председатель совета директоров компании Logitech. Нам удалось побеседовать с человеком, продукты компании которого ежедневно вертят в руках миллионы людей на планете Земля.

Почему вы решили создать свой бизнес? Откуда взялась сама идея Logitech?

— Можно быть очень умным, однако не менее важным элементом успеха остается везение. И нам очень повезло. Компания Logitech была создана в 1981 году, в том же году, что в IBM создали первый персональный компьютер. И для нас это была реальная возможность обосноваться в новом мире.

Мы с партнером Пьером Луиджи одними из первых разработали графический пользовательский интерфейс для ПК и заключили контракт с Ricoh. Эта компания разрабатывала сканеры и другую технику, и нас привлекли к созданию издательских систем для нее. Нам было на руку, что в то время японцы, скажем так, сдержанно относились к американцам, и то, что мы с Пьером были европейцами, помогло быстрее достигнуть соглашения.

Первостепенной задачей было создание интерфейса для взаимодействия между компьютером, японскими пользователями и нами, двумя европейцами, которые не знают японского. Но так как мы были выпускниками Стэнфорда и Государственного Института технологий в Лозанне, то быстро сообразили, что оптимальным методом взаимодействия является мышка. Я могу не знать языка, но я могу двигать курсором и совершать простые операции. Таким образом, благодаря нашему договору с Ricoh, мы смогли выйти на только формирующийся рынок компьютерных манипуляторов.

Мы имели доступ в Интернет, который тогда назывался Арпанет и обслуживал в основном нужды военных. Через него мы узнали, что такие компании, как Bell Laboratories, ищут мышки. Но последних, как законченного продукта, на рынке не существовало, поэтому мы усовершенствовали наш прототип и предложили его нескольким компаниям с целью совместного развития. Нашим преимуществом было то, что мышка тесно взаимосвязана с управляющим софтом, работать без которого не может, и прежде всего ее необходимо программировать. Это сейчас кажется: воткнул мышь в компьютер — она и заработала, словно сама по себе. А в то время не было ни Windows, ни какой-либо графической операционной системы, и главной проблемой было написание программного обеспечения, заставляющего мышь работать в популярных приложениях. И мы, пожалуй, единственные смогли предложить рынку комплексное решение, включающее как аппаратную часть, так и программную.

Постепенно мы стали получать предложения от Hewlett-Packard и других компаний разработать для них мышиное ПО. А потом партнеры из HP убедили нас, что стоит не только заниматься дизайном и программированием мышей, но и самим производить их.

Представьте ситуацию: вы еще очень молоды, а перед вами появляется возможность попасть в индустрию, которая развивается бешеными темпами, где революции происходят чуть ли не каждый месяц. Конечно же, вы изо всех сил цепляетесь за эту возможность.

Понемногу софтверный консалтинг отошел в нашем бизнесе на второй план, и появилась мышка, ставшая своеобразным символом взаимодействия между человеком и технологией, а также символом Logitech в последние четверть века. Сейчас мы выпускаем и другие продукты, но все они служат интерфейсом между высокими технологиями и людьми. Моей маме восемьдесят, однако она водит машину, не имея ни малейшего понятия об устройстве двигателя и трансмиссии — зато она точно знает, что автомобиль поможет ей быстрее добраться к подругам или в магазин. С мышками история похожая: большинству людей не столь интересна сама технология — им интересно, как можно эту технологию применить для решения стоящих перед ними задач, и все наши продукты призваны помочь им.

Logitech повезло еще и в том, что конкуренция в нашей нише не так велика. На протяжении всего существования фирмы мне часто казалось, что добиться действительно большого успеха нам не удастся. Но сейчас, оглядываясь назад, я уверенно могу сказать, что наш успех огромен, просто он складывался из маленьких-маленьких шажков.

С мышкой мы разобрались. Что было дальше?

— С восемьдесят первого года по девяностый манипуляторы этого типа были для нас основным продуктом. В 1983 году Microsoft выпустила первую версию текстового редактора Word, поддерживающую работу с мышью. Было большое шоу в Лос-Анджелесе во время Национальной компьютерной конференции, и мой бывший профессор из Стэнфорда представил меня Биллу Гейтсу. Сама Microsoft тогда не выпускала мышей, и я сказал Биллу: «Если вы все равно покупаете их у японцев, почему не купить у нас?» Он написал на моей визитке имя одного человека из штаб-квартиры в Редмонде, и я летал туда много-много раз. Переговоры продолжались два года, но так ничем и не закончились.

Вторым нашим продуктом после мышей стали ручные сканеры, а потом мы выпустили PhotoMan — первую цифровую камеру Logitech, которая стоила тысячу долларов. В начале девяностых мы запустили линейку аудиопродуктов, однако столкнулись с большой неприятностью. Это была абсолютно новая категория, но успешные продажи мышей вселили в нас уверенность, что на каждые сто манипуляторов мы будем продавать одного Man’а. Но хотя на продвижение упомянутых выше продуктов мы потратили немалые средства, один проданный PhotoMan приходился на десять тысяч мышей, и это было не слишком прибыльно. Признаюсь, мы потеряли тогда солидные деньги, но научились работать с розницей.

Важным этапом для нашей компании стало широкое распространение Интернета, вызвавшее к жизни новые интерфейсы между людьми и компьютерами, а последние стали проникать из офисов в квартиры. Ведь года до девяносто седьмого IT-рынок был небольшим, и наши продукты применялись в основном для рабочих нужд. А вот дома сразу понадобились продвинутые клавиатуры, игровые манипуляторы, разнообразные веб-камеры, затем — Skype-фоны.

В 2001 году, когда лопнул интернет-пузырь, многие IT-компании потеряли огромные деньги и перестали покупать новые компьютеры. Однако миллионы домашних машин работали, и люди продолжали покупать к ним разнообразные аксессуары. Если посмотреть на финансовые отчеты того времени, мы увидим, что большинство компаний оказались в существенном минусе, Logitech же продолжала расти. Люди не могли позволить себе дорогостоящую поездку, однако они путешествовали виртуально и покупали новые мыши, веб-камеры и другие устройства. Вообще, по мере того как люди стали использовать компьютеры не только ради дела, возможностей для нашего бизнеса становится все больше и больше. Даже привычные устройства вроде телевизора и аудиосистем становятся полностью цифровыми, и мы теперь предлагаем «интерфейсы» для них — универсальные пульты Harmony, позволяющие из одной точки управлять практически всем «цифровым домом».

Разумеется, прошедшие годы были нелегкими — нам приходилось терять деньги, немало сил было потрачено на перенос производства из Европы в Китай. Но мне кажется, что сейчас мир больше готов для принятия решений Logitech, чем 25 лет назад.

Важно понимать, что мы не выпускаем и не будем выпускать ничего, что относится к платформам. Наша работа — создавать удобные интерфейсы между пользователем и компьютером, игровой приставкой, mp3-плейером, мобильным телефоном, телевизором. Наши коллеги по бизнесу, например Creative Labs, выпустили свои mp3-плейеры, но столкнулись с жесточайшей конкуренцией на этом рынке. Мы же стараемся быть на шаг ближе к пользователю, заполняя сантиметры между человеком и технологией.

Вы до сих пор принимаете участие в разработке продуктов и принятии решений о выпуске тех или иных моделей на рынок?

— Конечно, когда компания становится такой большой, как наша, трудно уследить за всеми продуктами. Я могу лишь сказать, что стараюсь использовать в жизни как можно больше изделий с логотипом Logitech. Во-первых, потому, что мне это нравится. Во-вторых, я прекрасно понимаю, что интерфейс должен быть удобным, и если мы в чем-то ошибемся, наши продукты перестанут покупать и в Logitech настанут трудные времена. Компания состоит из подразделений, и менеджеры каждого из них представляют новые решения высшему руководству компании, в том числе и мне.

Кто-то из тех людей, с кем вы создавали Logitech, работает в компании?

— Ответ будет печальным — нет. В 1996—97 годах они решили начать новую жизнь. Мы дружим, как и раньше, но вместе не работаем. Ведь когда компания маленькая, ты сам все делаешь — и дизайн мышей разрабатываешь, и софт пишешь, и отвечаешь на звонки, и пыль со стола стираешь… Но со временем взаимодополняемость между партнерами исчезает. Вспомним Билла Гейтса и Пола Аллена — Пол в итоге покинул Microsoft. В Apple из двух Стивов — Джобса и Возняка — остался один. Братья и сестры тоже растут вместе и ощущают себя единым целым, однако дети вырастают, и у каждого появляются собственные интересы, начинается собственная жизнь. Увы, рано или поздно обнаруживаешь, что компания нуждается в одном руководителе. Мои партнеры сейчас занимаются совсем другими делами, а я по-прежнему люблю то, чем мы начали заниматься четверть века назад.

ТЕМА НОМЕРА:

Бойтесь данайцев, дары приносящих: ЧТО ДЕЛАТЬ, ЕСЛИ ВАМ «ПОДАРИЛИ» ТРОЯНА

Автор: Андрей Васильков

Нелегкой оказалась судьба троянцев, понадеявшихся на единственное средство защиты — неприступные стены. В течение десяти лет греческие войска под предводительством Агамемнона и Менелая осаждали Трою. Все попытки штурмовать оказались тщетными, и тогда Одиссей предложил проникнуть в город хитростью…

Согласно преданию, греки изготовили большую деревянную статую коня, внутрь которой забрался отряд самых лучших бойцов. Далее греческое войско имитировало отступление. А единственный из оставшихся данайцев, родственник коварного Одиссея Синон, сдался в плен, возвестив о «даре в знак уважения» геройскому сопротивлению троянцев, и проследовал вместе с огромной статуей в город, где уже начиналась подготовка к празднику… Ночью Синон выпустил из деревянного коня «спецназовцев», которые перебили стражу и открыли ворота, впустив основные силы греков. Город был мгновенно разграблен и сожжен вместе со всеми оборонявшимися троянцами [Лишь небольшой группе жителей во главе с Энеем удалось сбежать в Италию], излишне понадеявшимися на мощь крепостных стен и покровительство Аполлона. Греческий (позже его стали называть троянским) конь навеки стал символом скрытого вторжения, которому помогают сами жертвы.

Удивительно, что за прошедшие с тех пор века люди так ничему и не научились. Истории с «подарками», использовавшимися против своих владельцев, повторялись вновь и вновь. Взять хотя бы деревянного орла (выполненного в виде герба США), подаренного американскому послу в 1946 году. Этот презент провисел в его рабочем кабинете шесть лет, и лишь случайно выяснилось, что внутри резного дара спрятан жучок, а КГБ слышит все, что говорится в комнате.

Сегодня аналогичным способом злоумышленники получают контроль над компьютерами своих жертв. Под видом утилиты или любопытного медиафайла пользователь получает трояна, которого сам же (не ведая того) и устанавливает на свой компьютер.

В последние годы пишется все больше троянских коней и отдельных специализированных троянских компонентов. Пик их роста пришелся на второй-третий квартал 2004 года. Тогда было зарегистрировано аномальное (пятикратное) увеличение числа троянов. Сейчас темп снизился, но продолжает оставаться впечатляющим.

В качестве примера неожиданных проблем, поджидающих пользователя инфицированного ПК, можно привести заражение системы старыми вирусами Ment 1258 и 13172. Они занимались тем, что постоянно названивали через модем на телефонный номер «02». Через какое-то время дежурному надоедало слышать в трубке модемное шипение, и он отправлял наряд милиции на предмет установления личности шалуна и его вразумления. Это сейчас про вирусы и трояны говорят на каждом шагу. Тогда же не каждое отделение милиции имело компьютеры…

По меткому замечанию одного из членов группы сDс [Cult of Dead Cow — авторы самого известного трояна/бэкдора BackOrifice (и его последующей модификации Back Orifice 2000)], «Back Orifice дает атакующему больше возможностей, чем если бы он непосредственно сидел за компьютером жертвы». Учитывая ничем не ограниченную функциональность BO (он поддерживает плагины), это заявление скорее истина, нежели бравада.

Классификация троянских коней — дело неблагодарное. Особенно в свете наметившихся тенденций к слиянию, гибридизации различных методик ведения информационных войн и конкурентной борьбы. Трояны, бэкдоры, сетевые черви, почтовые спам-роботы и сборщики данных запросто могут быть слиты воедино, породив жутких кибермонстров — была бы цель и конкретная жертва. И все же рабочая классификация необходима. Попробуем создать ее прямо сейчас, исходя из известных данных и здравого смысла.

По способу существования выделяют троянов, представляющих собой самостоятельные файлы, и тех, которые внедряют свои тела (инфицируют) в уже имеющиеся, чаще всего системные файлы. Первые не подлежат лечению, так как лечить нечего — надо удалять файл целиком.

В зависимости от целей вторжения различают:

1. Бэкдоры (утилиты скрытого удаленного администрирования, remote access tool — RAT).

2. Деструктивные (Trojan Flash-Killer и т. п.).

3. Похищающие приватную информацию (data miners/data collectors). Здесь можно выделить подклассы троянов, которые:

крадут всевозможные пароли (PWD Steal);

отсылают своему хозяину данные банковских счетов жертвы (аккаунтов Web Money, кредитных карт и т. п.) [Юрий Машевский называет их «banker» в своей статье «Перелом в развитии вредоносных программ»];

похищают документы (особенно актуально для ЛВС предприятий);

протоколируют и отсылают лог всех клавиатурных нажатий и (опционально) скриншоты с атакуемого ПК (keyloggers).

4. Созданные для формирования сетей «зомбированных компьютеров» и использования их для проведения распределенных атак по типу «отказ в обслуживании» (DDoS).

5. Написанные для сбора адресов e-mail и рассылки спама (SPAM). Они частично пересекаются с представителями третьего класса, так как почтовые адреса ваших знакомых тоже являются приватной информацией.

6. Вымогающие деньги у жертвы посредством зашифровывания данных на диске пользователя и последующего «предложения» расшифровать их за плату (Crypto trojans and viruses — отдельное направление, получившее мощный толчок к развитию после распространения ассиметричной криптографии [Если вирусописатель использует обычный симметричный алгоритм, то написать дешифратор разработчикам антивирусов будет довольно просто: пароль (ключ) будет либо одинаковый на всех файлах, либо предсказуемо модифицирующийся. А вот ассиметричные алгоритмы с открытым и секретным ключом (RSA, Эль-Гамаля, Мак-Элиса, PGP) поднимают крипто-вирусологию на качественно иной уровень]).

7. Прокси-трояны, позволяющие действовать атакующему от имени жертвы (точнее, от IP-адреса его компьютера). Здесь же можно выделить подкласс так называемых Trojan-Clicker’ов. Они целенаправленно занимаются тем, что накручивают счетчики посещаемости различных сайтов и имитируют клики на баннеры (тоже с IP-адреса инфицированного ПК). То есть приносят атакующему очевидную выгоду.

8. Отдельные троянские компоненты, сами по себе ни на что не способные, но в сочетании с другим (уязвимым легитимным или дополнительным зловредным) ПО способные действовать по любому из рассмотренных выше сценариев. В случае использования таких троянов для доставки «боевой нагрузки» (скажем, вируса) они именуются «Droppers».

Руткиты (RootKITs) иногда также пытаются представить как отдельный класс троянов. На мой взгляд, такой подход некорректен. За подробной информацией о руткитах отсылаю к своей недавней статье «Корень зол» [offline.computerra.ru/2006/647/279486].

По способу установки в систему можно выделить еще два типа троянов:

1. Те, которым для инфицирования ОС требуются активные действия пользователя (user-interacted, они составляют основную массу).

2. Использующие уязвимость легитимного ПО (user-independed), например MS Outlook или Internet Explorer… это приближает их к exploit-червям.

Если рассматривать механизм активации троянских коней (это справедливо для принципов программирования вообще), выделяют три способа: [Он хоть и не является трояном, но наглядно показывает простейший механизм «подставы» хозяина инфицированного компьютера]

1. Срабатывание по времени (таймеру). Например, Trojan.TimeBomb эпохи MS-DOS, уничтожающий все данные на жестком диске в определенный день. Подобные штуковины являются излюбленным орудием мести уволенных админов.

2. Срабатывание по событию (запуск приложения, установка сетевого соединения и т. п.). Может использоваться для противодействия антивирусным программам (препятствовать их загрузке и нормальной работе).

3. Срабатывание по запросу (например, команде, отправленной по сети) — это уже шаг навстречу удаленному администрированию.

Говоря об уровне инфицирования системы, различают троянцев уровня приложений (большая часть) и уровня ядра ОС (сравнительно молодая и набирающая силы когорта).

При анализе путей распространения выделяют:

IM (Instant Messaging) троянов, инфицирующих ПК пользователей сетей мгновенного обмена сообщениями (MSN, AIM, ICQ, IRC etc).

Mail (почтовых) троянских коней — этот табун до сих пор является самым многочисленным и скандально известным.

FTP-троянцы сравнительно редки. Первый из них — троянец-червь Homer — был написан в апреле 1997 года.

Web-трояны поджидают неосторожных пользователей на сайтах сомнительного содержания (или даже взломанных порталах солидных организаций). Часть из них просто предлагает загрузить инфицированный контент (доустановить модуль, скачать вьюер и т. п.). Другие действуют скрыто через уязвимости браузера и ActiveX-компоненты.

Наверняка история создания знаменитого Back Orifice была бы неполной без упоминания ее создателей — известнейшей хакерской группы Cult of the Dead Cow(cDc). Основанная в середине 80-х, команда прошла огонь, воду и медные трубы и до сих пор здравствует и процветает.

1 августа 1998 г. на конференции Defcon один из членов группы Sir Dystic представил Back Orifice широкой публике. Как заявил автор, его детище лишь подтверждает, насколько может быть уязвима MS Windows.

Back Orifice работал (и работает) по принципу клиент/сервер и позволяет удаленно администрировать ПК, на котором предварительно установлена серверная часть. Графический, интуитивно понятный интерфейс программы и ее внушительные возможности произвели настоящий фурор, после чего в известных кругах установка BO на чужой ПК превратилась во что-то вроде увлекательного соревнования.

С выходом в свет версии Back Orifice 2000, которая помимо Win95 и Win98 поддерживала Windows NT и имела открытый код, популярность «народного любимца» достигла апогея.

Распространяется BO как пакет, включающий в себя серверную часть (BOSERVE.EXE или bo2k.exe, возможны варианты), клиентскую часть (bo2kgui.exe) и файл конфигурации сервера (bo2kcfg.exe). В дополнение к трем перечисленным компонентам пакет может содержать плагины и документацию. Несмотря на заблуждение, что «настоящие хакеры пишут только на assembler-е», все три компоненты написаны на языке С++, имеют формат Portable Executable и могут выполнятся только в среде Windows.

При запуске серверной части происходит инициализация сокетов Windows (если очень упрощенно, сокет представляет собой серверный софт, работающий с каким-либо портом). Другими словами, сервер BO настраивает под себя нужные порты, в результате чего открытыми оказываются порт 31337 (кстати, цифра 31337 известна не только благодаря тому, что этот порт является дефолтовым портом BO. 31337 в околохацкерских кругах означает ни много ни мало — «элита», тройка напоминает E, единица — прописную L, а семерка — T «без палочки», то есть «eleet» [эли:т]), который затем используется для управления зараженным компьютером. ОБ

Если считать «брутто», учитывая как любой зловредный код с частичными признаками троянцев, так и все модификации, то на сегодня их число приблизится к 70 тысячам. И это не предел, в кузницах хакерских групп вроде cDc наверняка готовятся очередные «завоеватели мира». Меж тем известность получилают единицы. И ввиду ограниченности журнальной площади я привел лишь несколько примеров в качестве пояснения. Заинтересовавшихся же отсылаю на страницу www.viruslist.com, где описано множество самых разных и причудливых троянских коней.

Но при всем разнообразии их способов проникновения, есть ряд общих мер по предотвращению заражения, инструментов для лечения и рекомендаций по ручному удалению (доочистке) инфицированного компьютера. Об этом читайте в следующей статье.

Beast (англ. зверь, скот, грубиян) — троянский конь с функцией удаленного администрирования, работающий под всеми ОС семейства Windows и предоставляющий полный контроль над ними. Был написан в 2002 году вирмэйкером Tataye и стал одним из первых бэкдоров, использовавших механизм обратного соединения в классической системе клиент-сервер. В ней клиентом является собственно управляющая часть, а сервером — инфицирующий компонент. Его уникальность, в частности, в том, что атакующему не требовалось выяснять IP своей жертвы. Серверная часть сама устанавливала связь с определенным DNS, который сообщал трояну текущий IP-адрес клиентской «панели управления». Идеальное средство для управления ПК, использующего дайлап-соединение (и, соответственно, меняющего IP как перчатки).

Отдельно следует упомянуть о Win32.Peerat. В отличие от классических троянцев-загрузчиков, он не просто скачивает вредоносную программу из Интернета, но и пытается выложить ее в файлообменную сеть, если к таковой подключена инфицированная машина.

ТЕМА НОМЕРА: Осадное положение

Авторы: Андрей Васильков, Бойцев, Олег

Если бы участие человека в войнах можно было бы исключить, идеалы хиппи были бы воплощены в жизнь еще много столетий назад. Однако, несмотря на все ухищрения технического прогресса, победу в войне за свою независимость может одержать только сам человек. Разумеется, не без технических средств.

Одержимому паранойей/здравым смыслом пользователю компьютера давно предлагается масса всякого антивирусного вооружения — от тяжелого, сравнимого по размеру с операционной системой, до микроскопического, предназначенного для прицельного отстрела «вторженцев». Имеющееся на военных складах антивирусное ПО можно условно разбить на три класса:

1. Антивирусные (AV) сканеры в последние годы существенно расширили спектр действия, включив в него и троянов. Они являются хорошим подспорьем к основным инструментам борьбы с троянскими конями. С помощью антивирусов можно выявлять эти зловредные программы по совпадению проверяемых файлов с сигнатурами AV-баз. Прошу обратить внимание: большинство троянов, существующих в виде отдельных файлов, не определяются средствами эвристики, так как их действия не отличаются от таковых у легитимных программ: чтения с диска и записи на него, обращения к реестру, передачи данных по сети… такое поведение типично для любого софта и ни в коей мере не является специфичным для троянов. Поэтому если в базе антивируса нет подходящей сигнатуры, он будет рапортовать о чистоте системы, даже наткнувшись на авгиевы конюшни.

2. У антивирусных мониторов, осуществляющих постоянную проверку исполняемого в данный момент кода, шансов отловить троян и того меньше. Они не могут (да и не должны) вести проверку столь же тщательно, как AV-сканеры. Кроме того, антивирусный монитор (если он запускается как приложение, а не служба) трояну легко обмануть, попросту скрыв свое присутствие.