Защита от троянов

Сегодняшняя заметка продолжает тему защиты компьютера. Сегодня мы поговорим о троянах. Вообще-то о них говорили и писали уже много, но вопросы по этому поводу всплывают и задаются постоянно.
Как и вирусы, трояны - это программы. Сами по себе они не заводятся, а, как правило, попадают на ваш компьютер вместе с какими-то другими программами. Изначально троянами назывались программы, которые, помимо своей основной работы, выполняли еще что-то, - как правило, давали возможность после ввода некоего специального кода попасть в систему (так называемые "back doors"). Теперь трояны способны, например, перехватывать введенные пользователем пароли и записывать их в файл или пересылать автору. В этом и заключается основное, на мой взгляд, отличие троянов от вирусов: вирусы самодостаточны, а трояны должны "связываться" со своим автором. То есть если бороться с вирусами можно только одним способом - вылавливать и уничтожать, - то для защиты от троянов можно перекрыть им возможность связи с автором. Разумеется, это никак не исключает необходимости вылавливать их и удалять, - просто еще одна мера защиты.
Еще одно - непринципиальное - различие между вирусами и троянами заключается в том, что вирусы встраиваются в нормальные программы ("заражают" их), после чего при запуске зараженной программы сначала выполняется код вируса, а потом вирус выполняет настоящую программу. Трояны же в последнее время создаются в виде отдельного файла, который работает сам по себе. Для выполнения своей функции (дать доступ в компьютер или переслать ваши пароли) троян должен запуститься. Таким образом, если контролировать, какие именно программы запускаются на компьютере, то можно защититься от довольно большого числа вредителей. Правда, для этого надо еще знать, какие программы должны работать, а какие являются посторонними... Посмотреть, что именно Windows запускает автоматически, можно с помощью, например, Starter'а, RunServices, OptiX или утилиты MSCONFIG.EXE, которая поставляется вместе с Windows98 и живет в директории Windows\system\
Подобная защита - запрещение запуска файлов - успешно работает против абсолютного большинства ныне действующих троянов, но я подозреваю, что не за горами то время, когда "в свободное распространение" поступят трояны, встраивающиеся в различные системные библиотеки. С ними бороться будет намного сложнее - библиотек этих огромное количество и поди разберись, какая из них что делает... Когда это произойдет, единственной защитой пользователей станут те "бойцы невидимого фронта", которые сейчас пишут антивирусные программы.
Следующий этап защиты - блокирование связи трояна с автором. Большинство современных троянов рассчитано на Интернет, поэтому здесь вам понадобится firewall. Firewall - это такая специальная программа, которая пропускает "разрешенные" данные и не пропускает "не разрешенные". Установка и настройка профессионального firewall'а - дело достаточно сложное и требующее изрядных знаний о том, как что работает, но существуют и более простые версии для начинающих пользователей. Например, ZoneAlarm. Когда вы его установите, при каждой попытке какой-либо программы связаться с Интернетом он будет спрашивать, санкционировано соединение или нет. Разумеется, вы сможете "запомнить" разрешения для каждой программы, чтобы не отвечать на вопросы каждый раз, когда пытаетесь скачать почту. Помимо этого, ZoneAlarm спрашивает, разрешаете ли вы выступать той или иной программе в качестве сервера.
В предыдущей заметке я говорил, что компьютеру угрожают всего четыре опасности: вирусы, трояны, атака извне и атака изнутри. Трояны вполне могут являться компонентом одной из двух последних, так что и защищаться стоит комплексно, в частности firewall - один из наиболее важных элементов защиты от удаленных атак. Кстати, у ZoneAlarm'а есть и еще одна полезная функция - "запирание" компьютера. В "запертом" режиме ваш компьютер невидим и недоступен по сети, что довольно часто бывает полезным... О "локальных" атаках мы еще поговорим позже, стоит только учитывать, что троян может ничего и не отправлять по сети, а, скажем, писать в файл все, что вы делаете на компьютере, включая пароли...
Немножко о том, как предотвратить появление троянов. Тут следует помнить две вещи: во-первых, усиление защиты всегда ведет к некоторым неудобствам в работе (дополнительные пароли, шифрование, проверка логов, большая загрузка компьютера и так далее), а во-вторых, замечательное правило "90/10" - "90 процентов работы требуют 10 процентов времени. Оставшиеся 10 процентов работы требуют 90 процентов времени". Действует это правило и в защите: серия элементарных мер безопасности защитит вас от 90 процентов атак.
Итак, следует принять за правило: любой файл, полученный из сети, если вы заранее не договаривались о его отправке вам, может оказаться трояном. Даже самый безобидный, скажем, картинка - она может оказаться замаскированной программой. Каждый такой файл надо либо сразу удалить, если он вам не нужен, либо сохранить на диске и проверить антивирусом, а заодно и посмотреть, что он собой представляет, например, щелкнуть по нему правой кнопкой мыши и выбрать пункт "свойства". Любую новую программу стоит запускать со включенным антивирусом и firewall'ом, а если она пытается связаться с Интернетом, то проводить более детальную проверку. До и после запуска надо сверить список автоматически запускаемых программ - троян может не запускаться сразу, а только прописать себя, скажем, в реестре и запуститься после перезагрузки. Для отслеживания подобных действий удобно использовать Jammer - он предупредит, что какая-то программа пытается что-то записать в автозагрузку. И наконец, надо запомнить, что ни одна сравнительно известная организация не рассылает файлов. Если вы получите "от АВП" письмо с обновлением антивируса или "от ListSOFT'а" письмо с прицепленной новой программой, - это троян. Максимум, что может быть в письме, - ссылка на сервер, с которого надо скачать файл. Причем, если это письмо от АВП, то в качестве сервера не будет выступать "www.geocities.com/avp/file.exe", а будет стоять ссылка на "www.avp.ru".
Ну и, разумеется, можно воспользоваться программами, специально предназначенными для борьбы с троянами - AVTrojan, BACKWORK, P_CLEAR, Tauscan, The Cleaner... Правда, качество этих программ, на мой взгляд, оставляет желать лучшего...