Хитрость создателей вируса проста – файл, который показался нам картинкой, имел двойное расширение! Например
AnnaCournikova.jpg.vbs
Вот именно второе расширение и является истинным типом файла, в то время как первое – просто часть его имени. А поскольку расширение vbs Windows хорошо знакомо, она, недолго думая, прячет его от глаз пользователей, оставляя на экране лишь имя
AnnaCournikova.jpg
Именно так Windows поступает со всеми зарегистрированными типами файлов: разрешение отбрасывается, а о типе файла должен свидетельствовать его значок. На который, увы, мы редко обращаем внимание.
Хороша ловушка?
Хороша. Но различить ее легче легкого: фокус с «двойным расширением» не проходит, если мы заранее активируем режим отображения типов файлов. Сделать это можно с помощью меню Свойства папки на Панели управления Windows: щелкните по этому значку, затем откройте закладку Вид и снимите галочку со строчки Скрывать расширения для зарегистрированных типов файлов.
Впрочем, совершенно необязательно, что вирусы сочтут нужным маскироваться. Иногда exe-файлы «вложены» в письмо совершенно открыто. И, казалось бы, тут уже и дураку понятно, что речь идет о вирусной атаке (особенно если письмо пришло от незнакомого вам человека). Однако и эти программы с охотой запускаются пользователями: одним из них коварные вирусо-писатели обещают продемонстрировать неизъяснимой красоты картинки (что, кстати, и делают), другим сулят программу для «взлома» Интернета, третьим представляются обновлением к популярной программе. Способов запудрить пользователю мозги немало. А ведь бывает и так, что зараженный файл со спокойной совестью посылает вам друг или знакомый... Наконец, вирусы вы можете заполучить вместе с самими программами – особенно в том случае, если вы скачиваете их с неизвестных вам серверов.
ЗАПОМНИТЕ: в качестве «вложения» в письмо допустимы лишь несколько типов файлов. Относительно безопасны (если не считать фокусов с «двойным расширением») файлы txt, jpg, gif, bmp, tif, mp3, wma «Условно-съедобными» можно признать документы Microsoft Office (doc, xls) и архивы zip и rar. Они, конечно, могут содержать вирус, но его вполне можно нейтрализовать с помощью антивирусной программы, при условии, что вы регулярно обновляете ее базы. Во всяком случае, такой файл можно открыть для просмотра.
А вот список безусловно опасных типов файлов: найдя их в присланном вам электронном письме, смело отправляйте его в мусорную корзину... которую потом стоит еще и очистить.
asx
exe
reg
bas
inf
scf
bat
ins
scr
cmd
js
shs
com
msc
vbs
cpl
msi
crt
pif
Сами по себе эти файлы – создания вполне мирные, так что не стоит лихорадочно шерстить компьютер, удаляя их направо и налево. Нет: знаком опасности является только присутствие этих файлов в письме, поскольку каждый из них почти наверняка несет в себе вирусную начинку.
Список потенциальных «вирусоносителей» включает еще не один десяток типов файлов. Но эти встречаются чаще других.
«Троянские» программы и руткиты
В последние несколько лет наряду с уже хорошо знакомой нам вирусной угрозой стали говорить об опасности, исходящей от программ другого типа – программ-«троянцев». Распространяются они через те же каналы, что и вирусы: «троянец» может нанести вам визит в виде вложения в электронное письмо, просочиться через защиту браузера или обосноваться в дистрибутивном комплекте скачанной вами программы.
Название «троян» или «троянец» пришло еще из ДОСовых времен, куда в свою очередь из известного античного романа о мытарствах деревянной лошади, которую по глупости притащили в одноименный город.
Изначально под троянами подразумевались программы, которые помимо своей основной работы решали еще какую-то скрытую от взора пользователя задачу. Классическим примером троянца можно считать неоднократно описанную в различных (полу)фантастических рассказах ситуацию, когда какая-то корпоративная программа, не обнаружив в платежной ведомости фамилию программиста, ее написавшего, начинала всячески «шалить».
В старые времена трояны писались именно как некие дополнительные функции какой-то основной программы. Например, один мой знакомый, чтобы получить привилегированный доступ в университетскую машину, в свое время написал игрушку по мотивам «Пикника» Стругацких, которая в процессе игры имитировала сбой, выводила окно для входа в систему и сохраняла введенный пароль в файл.
Сегодняшние «троянцы» чаще всего занимаются тем, что воруют пароли для доступа в Интернет и другую «секретную» информацию (например, номера кредитных карточек) и пересылают ее «хозяину». (А как вы думаете, откуда на «хакерских» сайтах берутся пароли для бесплатного подключения и номера кредиток?) Такими же темными делами занимаются и «кей-логгеры» – программки, которые втихаря отсылают своему автору информацию о том, по каким именно клавишам вы щелкали в течение всего дня. Нетрудно догадаться, что из этой текстовой мешанины можно легко выудить и номера кредиток, и пароли к сайтам или почтовому ящику.
Другой распространенный вариант – это установка различных серверов для удаленного управления и открытие «черных ходов» для доступа к вашей системе. Этим занимаются самые опасные разновидности вредительских программ – «руткиты», «трояны-невидимки», которые умеют так хитро маскироваться в системе, что обнаружить их присутствие фактически невозможно. Если подобный «зверь» оказался у вас в системе, то его хозяин сможет работать на вашем компьютере почти как на своем собственном.
Существуют и другие виды руткитов, которые могут, к примеру, заблокировать на вашем компьютере запуск определенных программ. В распространении подобной заразы была уличена даже компания Sony: в 2005 году в музыкальном мире разразился грандиозный скандал после того, как на выпущенных этой компанией «защищенных от копирования» CD была найдена программа-руткит. Мелкая тварь незаметно устанавливалась на компьютер в момент загрузки диска и препятствовала его копированию – а заодно и нарушала работу всей системы. Вал исков заставил Sony признать свою вину и изъять из продажи все зараженные CD... Но кто знает, не последовал ли кто-то ее примеру? Ведь руткиты тем и опасны, что их практически невозможно обнаружить.
Как трояны и руткиты попадают на компьютер? К сожалению, однозначно тут сказать ничего нельзя... Чаще всего заражение происходит, когда пользователь запускает какую-то программу, полученную из «сомнительного источника».
Стандартным способом распространения троянов является рассылка писем от имени известных серверов, причем в письме указывается, что прицепленный файл – это новая программа/заплатка и т. п.
Другой способ – письмо, якобы по ошибке попавшее не туда. Основная задача таких писем – заинтересовать вас и заставить запустить прицепленный файл. Учтите, что даже прицепленная картинка может оказаться троянцем: можно, например, назвать его «1.gif много пробелов. exe» и прицепить соответствующую иконку – и вы в своей почтовой программе увидите только кусок названия: «1.gif».
Не менее распространенной является маскировка троянцев под новые версии известных программ (в том числе антивирусов) и под... троянцев. Так что, если вы решите поразвлечься и подсунуть трояна своему знакомому, то не исключено, что и сами окажетесь жертвой злоумышленника.
Бывает и по-другому – к примеру, заходите вы на «хакерский» сайт с ломалками-«крэка-ми» для популярных программ. И тут вам ненавязчиво предлагают загрузить какой-то навороченный download-менеджер – мол, ничем другим программки с сайта утянуть нельзя. Вы покупаетесь – и получаете вместо «качалки» (или вместе с ней) распрекраснейший экземпляр троянской программы!
Общее правило: всегда с подозрением относитесь к файлам, полученным из незнакомого источника. Да и из знакомого – тоже. Любой файл, полученный вами по почте, если вы заранее не договаривались о его отправке вам, скорее всего, окажется трояном. Большинство так называемых «ха-керских» программ, предназначенных для взлома сети и т. п., – тоже окажутся тро-янами. Здесь очень хорошо срабатывает правило: «То, что у вас паранойя, еще не значит, что за вами не следят».
Кстати, довольно часто троянца можно определить и по стилю письма. Если вы получаете письмо или видите на страничке что-то вроде «эй, чувак, здесь самая крутая нюка», то процентов 90, что это именно троян.
Для того чтобы троян мог творить свое «черное дело», он должен быть запущен у вас на компьютере. В первый раз вы запускаете его сами, но надеяться на то, что вы будете делать это каждый раз – нельзя. Соответственно, троянец должен позаботиться о том, чтобы не умереть после перезагрузки компьютера. В Windows есть три места, откуда программа может автоматически запуститься при загрузке системы: папка Автозагрузка, win.ini и реестр (разумеется, есть еще различные драйверы, но такие сложные трояны встречаются очень редко). Так что, если вы будете периодически проверять эти места, скажем, с помощью PC Security Guard или RunServices, на предмет «неопознанных» программ, то с большой долей уверенности сможете обезвредить троянов. Другое дело, что надо еще разобраться, что это именно троян... Дело в том, что в Windows живет огромное количество файлов, и определить, должен ли этот файл здесь «жить» или это «пришелец», довольно сложно. Тем более что многие трояны имеют достаточно правдоподобные названия, например browser.exe или spoolsrv.exe...
