ТЕМА НОМЕРА: Плоды конверсии

ТЕМА НОМЕРА: Плоды конверсии

Авторы: Константин Курбатов, Андрей Васильков

Социальная значимость любого софта зависит не только от целей его создания, но и от целей применения. Так, кухонный нож не только инструмент семейных разборок, но и удобное орудие для нарезки овощей…

Появление троянов, обладающих огромными «административными» возможностями вместе с удобным графическим интерфейсом на стороне клиента (откуда, собственно, и направляются их действия), привело к тому, что этими «вредными» возможностями стали пользоваться не только злоумышленники.

Как-то довелось общаться с системным администратором, который использовал Back Orifice для управления компьютерами в корпоративной сети, чьи пользователи часто требовали внимания. «Чтобы через весь коридор не бегать к ним из-за очередного пустяка», — улыбаясь, пояснял он за рюмкой чая.

Другой приятель возлюбил утилиту Hidden Camera, которая позволяла видеть в режиме реального времени все, что происходит на «рабочем столе» удаленного компьютера. Очень удобно, знаете ли, позвонить сотруднику с другого этажа и подсказать, как побыстрее разложить пасьянс, — надо же помочь ему поскорее взяться за дело, которое вы и поручили…

KGBSpy — хакерская утилита. Такие приложения, часто являющиеся полезными при корректном применении, могут быть использованы и для причинения вреда. Утилита записывает все нажатия на клавиши, однако сохраняет в памяти только знаки. Которые затем могут быть отправлены по e-mail или FTP. От относительно «честных» программ она отличается тем, что может быть запущена в скрытом режиме, поэтому KGBSpy быстро попала на карандаш ведущим антивирусным компаниям.

Впрочем, KGBSpy — банальный кейлоггер (keylogger). Ничего впечатляющего. GhostSpy, написанный талантливым украинским парнем Валентином Валерьевичем Состиным, — куда круче. Проект временно приостановлен, но задумки у автора были — мама не горюй! Как-то раз Андрей Васильков предупредил его, что программа может быть легко классифицирована как троян. Валентин не поверил: мол, как так, я же ее бесплатно с сайта распространяю и в мануале четко цели указал! И верно, на его страничке написано: «Запрещено использовать GS с целью овладения приватной информацией, взлома паролей, нанесения физическому лицу любого вида ущерба»…

Конечно, это предупреждение никого не останавливает, особенно системных администраторов, просматривающих личную переписку Светки с третьего этажа; не прошло и полутора месяцев, как AVP стал определять GhostSpy как троян. Валя обиделся (причем на все антивирусные компании скопом, поскольку базами AVP дело не ограничилось) и стал совершенствовать свой продукт. К 2003 году ничего лучше, наверное, уже и не было, однако он не собирался останавливаться. Но к тому моменту Валентин поступил в институт, стал учиться на системного программиста и забросил сайт проекта ghostspy.coolfreepage.com. Тем не менее написать более мощный кейлоггер, насколько мне известно, никто так и не сумел.

Еще одна утилита — Processor. Это интерпретатор командной строки, который после установки на компьютер жертвы может быть активирован удаленно. С его помощью удобно собирать информацию о запущенных на компьютере процессах, а также запускать новые или завершать их.

Другая известная утилитка, чаще применяемая для скрытого запуска троянских программ, — Cmbow — изменяет (в частности, скрывает) свойства окон. Она запускается из командной строки (может стартовать автоматически). Сокрытие окна может понадобиться для того, чтобы пользователь не разглядел запуск какого-то приложения (того же трояна). Скажем, так удобно «троянить» ПК на работе. Пришел с флэшкой и при помощи Cmbow запустил по очереди все программы из набора «юный хакер». А потом идешь в отдел кадров писать заявление об увольнении…

Бывает, что вас вынуждают добровольно снять криптозащиту со своих приватных данных. В России для этого обычно используется метод «исчерпывающего пересчета» — то есть знающему пароль человеку пересчитывают острым предметом ногти, зубы, ребра и т. п. Обычно затраты времени тут минимальны. Как противостоять такому вторжению? Чтобы и данные не раскрыть, и самому здоровым остаться? На помощь придет троянская программа Red Button (или один из ее аналогов). Когда вас вынуждают ввести заветное слово, вы его вводите… но при загрузке жмете еще и некую клавиатурную комбинацию. В зависимости от настроек программа после имитации удачной загрузки ОС либо заблокирует ее (с выводом невинного сообщения о какой-нибудь привычной взору пользователей Windows ошибке), либо уничтожит все данные, к которым так рьяно пытались получить доступ.

В общем, трояны это не только вредно или полезно, но еще и весело.