Страница 24 из 34
Мы помним, что переносчиками вирусов в большинстве случаев являются сообщения электронной почты, содержащие вложенные файлы. Помним и то, что зараза может проникнуть в компьютер либо через программы (то есть исполняемые файлы с расширением *.exe или *.com), либо через документы Microsoft Office, которые могут содержать вредоносные участки кода. Нам также известно, что со стороны картинок или звуковых файлов никакая неприятность грозить вроде бы не может. А потому, раскопав нежданно-негаданно в почтовом ящике письмо с прикрепленной к нему (судя по имени файла и расширению) картинкой, тут же радостно ее запускаем... И обнаруживаем, что под личиной картинки скрывался вредоносный вирусный «скрипт». Хорошо еще, если обнаруживаем сразу, а не после того, как вирус успел полностью уничтожить все ваши данные.
Хитрость создателей вируса проста – файл, который показался нам картинкой, имел двойное расширение! Например
A
Вот именно второе расширение и является истинным типом файла, в то время как первое – просто часть его имени. А поскольку расширение vbs Windows хорошо знакомо, она, недолго думая, прячет его от глаз пользователей, оставляя на экране лишь имя
A
Именно так Windows поступает со всеми зарегистрированными типами файлов: разрешение отбрасывается, а о типе файла должен свидетельствовать его значок. На который, увы, мы редко обращаем внимание.
Хороша ловушка?
Хороша. Но различить ее легче легкого: фокус с «двойным расширением» не проходит, если мы заранее активируем режим отображения типов файлов. Сделать это можно с помощью меню Свойства папки на Панели управления Windows: щелкните по этому значку, затем откройте закладку Вид и снимите галочку со строчки Скрывать расширения для зарегистрированных типов файлов.
Впрочем, совершенно необязательно, что вирусы сочтут нужным маскироваться. Иногда exe-файлы «вложены» в письмо совершенно открыто. И, казалось бы, тут уже и дураку понятно, что речь идет о вирусной атаке (особенно если письмо пришло от незнакомого вам человека). Однако и эти программы с охотой запускаются пользователями: одним из них коварные вирусо-писатели обещают продемонстрировать неизъяснимой красоты картинки (что, кстати, и делают), другим сулят программу для «взлома» Интернета, третьим представляются обновлением к популярной программе. Способов запудрить пользователю мозги немало. А ведь бывает и так, что зараженный файл со спокойной совестью посылает вам друг или знакомый... Наконец, вирусы вы можете заполучить вместе с самими программами – особенно в том случае, если вы скачиваете их с неизвестных вам серверов.
ЗАПОМНИТЕ: в качестве «вложения» в письмо допустимы лишь несколько типов файлов. Относительно безопасны (если не считать фокусов с «двойным расширением») файлы txt, jpg, gif, bmp, tif, mp3, wma «Условно-съедобными» можно признать документы Microsoft Office (doc, xls) и архивы zip и rar. Они, конечно, могут содержать вирус, но его вполне можно нейтрализовать с помощью антивирусной программы, при условии, что вы регулярно обновляете ее базы. Во всяком случае, такой файл можно открыть для просмотра.
А вот список безусловно опасных типов файлов: найдя их в присланном вам электронном письме, смело отправляйте его в мусорную корзину... которую потом стоит еще и очистить.
asx
exe
reg
bas
inf
scf
bat
ins
scr
cmd
js
shs
com
msc
vbs
cpl
msi
crt
pif
Сами по себе эти файлы – создания вполне мирные, так что не стоит лихорадочно шерстить компьютер, удаляя их направо и налево. Нет: знаком опасности является только присутствие этих файлов в письме, поскольку каждый из них почти наверняка несет в себе вирусную начинку.
Список потенциальных «вирусоносителей» включает еще не один десяток типов файлов. Но эти встречаются чаще других.
«Троянские» программы и руткиты
В последние несколько лет наряду с уже хорошо знакомой нам вирусной угрозой стали говорить об опасности, исходящей от программ другого типа – программ-«троянцев». Распространяются они через те же каналы, что и вирусы: «троянец» может нанести вам визит в виде вложения в электронное письмо, просочиться через защиту браузера или обосноваться в дистрибутивном комплекте скачанной вами программы.
Название «троян» или «троянец» пришло еще из ДОСовых времен, куда в свою очередь из известного античного романа о мытарствах деревянной лошади, которую по глупости притащили в одноименный город.
Изначально под троянами подразумевались программы, которые помимо своей основной работы решали еще какую-то скрытую от взора пользователя задачу. Классическим примером троянца можно считать неоднократно описанную в различных (полу)фантастических рассказах ситуацию, когда какая-то корпоративная программа, не обнаружив в платежной ведомости фамилию программиста, ее написавшего, начинала всячески «шалить».
В старые времена трояны писались именно как некие дополнительные функции какой-то основной программы. Например, один мой знакомый, чтобы получить привилегированный доступ в университетскую машину, в свое время написал игрушку по мотивам «Пикника» Стругацких, которая в процессе игры имитировала сбой, выводила окно для входа в систему и сохраняла введенный пароль в файл.
Сегодняшние «троянцы» чаще всего занимаются тем, что воруют пароли для доступа в Интернет и другую «секретную» информацию (например, номера кредитных карточек) и пересылают ее «хозяину». (А как вы думаете, откуда на «хакерских» сайтах берутся пароли для бесплатного подключения и номера кредиток?) Такими же темными делами занимаются и «кей-логгеры» – программки, которые втихаря отсылают своему автору информацию о том, по каким именно клавишам вы щелкали в течение всего дня. Нетрудно догадаться, что из этой текстовой мешанины можно легко выудить и номера кредиток, и пароли к сайтам или почтовому ящику.
Другой распространенный вариант – это установка различных серверов для удаленного управления и открытие «черных ходов» для доступа к вашей системе. Этим занимаются самые опасные разновидности вредительских программ – «руткиты», «трояны-невидимки», которые умеют так хитро маскироваться в системе, что обнаружить их присутствие фактически невозможно. Если подобный «зверь» оказался у вас в системе, то его хозяин сможет работать на вашем компьютере почти как на своем собственном.
Существуют и другие виды руткитов, которые могут, к примеру, заблокировать на вашем компьютере запуск определенных программ. В распространении подобной заразы была уличена даже компания Sony: в 2005 году в музыкальном мире разразился грандиозный скандал после того, как на выпущенных этой компанией «защищенных от копирования» CD была найдена программа-руткит. Мелкая тварь незаметно устанавливалась на компьютер в момент загрузки диска и препятствовала его копированию – а заодно и нарушала работу всей системы. Вал исков заставил Sony признать свою вину и изъять из продажи все зараженные CD... Но кто знает, не последовал ли кто-то ее примеру? Ведь руткиты тем и опасны, что их практически невозможно обнаружить.
Как трояны и руткиты попадают на компьютер? К сожалению, однозначно тут сказать ничего нельзя... Чаще всего заражение происходит, когда пользователь запускает какую-то программу, полученную из «сомнительного источника».
Стандартным способом распространения троянов является рассылка писем от имени известных серверов, причем в письме указывается, что прицепленный файл – это новая программа/заплатка и т. п.
Другой способ – письмо, якобы по ошибке попавшее не туда. Основная задача таких писем – заинтересовать вас и заставить запустить прицепленный файл. Учтите, что даже прицепленная картинка может оказаться троянцем: можно, например, назвать его «1.gif много пробелов. exe» и прицепить соответствующую иконку – и вы в своей почтовой программе увидите только кусок названия: «1.gif».