Техника - молодёжи 1999-08, страница 28системного реестра. При установке ВО на компьютере пользователя в реестре, в разделе Н KEYLOCALM ACHIN Е\ SOFTWARE\Microsoft\Windows\Current Version\RunServicesOnce, появляется параметр под названием «(По умолчанию)» / «(Default)» (иногда другое), значение которого задает имя файла ВО, как правило « .ехе» (пробел точка ехе), но имя может быть и другим. В системном каталоге (обычно c:\windows\sys-tem\) появляется копия программы ВО с именем, указанным в реестре. Размер файла должен быть не менее 124928 байт (в Проводнике показывается как 122 Кбайт). Если это так, то на вашем компьютере установлена ВО. (Приведенная информация относится к Back Orifice V1.2.) Иногда могут встретиться и более сложные случаи ее установки (файл находится в другом каталоге, параметр системного реестра располагается в другом разделе и т.п.), и тогда для ее обнаружения потребуются дополнительные исследования. Удалить установленную на компьютере ВО проще всего с помощью специальной программы, например, все той же BODetect. Чтобы уничтожить ВО самостоятельно, выполните следующие действия: в системном реестре удалите параметр ВО, перезагрузите Windows, затем в системном каталоге (как правило, c:\windows\system\) удалите файл программы ВО (обычно « .ехе») и его вспомогательную библиотеку windll.dll. Теперь ВО можно считать удаленной из системы — до тех пор, пока эта зловредная программа не будет запущена на выполнение вновь. Профилактика от заражения ВО аналогична мерам, принимаемым в отношении других вирусов и «троянских» программ. (Уже после сдачи этой статьи в набор появилось сообщение о новейшей разновидности ВО—во2к, гораздо более опасной и живучей.) КАК ПРИМЕР ИНОГО СПОСОБА АТАКИ можно привести деятельность некоего сервера (вероятно, он не один такой), чьи владельцы завлекают случайно забредшего посетителя перспективой предоставления бесплатного доступа в Интернет — якобы для тестирования модемных номеров вновь открывшегося провайдера. Посетителю этого мошеннического сайта предлагается загрузить файл, в котором-де содержится информация, необходимая для участия в тестировании. При запуске такого файла компьютер жертвы заражается вирусом, который собирает с инфицированной машины доступные пароли и прочую ценную информацию. Далее эти данные передаются по сети на компьютер злоумышленника. Научитесь различать подобного рода мошеннические акции. Во-первых, насторожитесь, если вам что-то предлагают бесплатно. Альтруизм, конечно, вещь замечательная, но в наши дни встречается редко. Во-вторых, всегда имейте в виду, что файлы, которые вам навязывают под тем или иным предлогом, могут быть заражены различными вирусами. Если вы все-таки скачали такой файл из сети, проверьте его перед запуском антивирусной программой (по возможности, последней версии), чтобы быть уверенным в том, что ваше приобретение опасности не представляет. Сегодня только сам пользователь Интернета может защитить себя от посягательств извне. Абонент сети должен осознать, что ему не стоит запускать различного рода программы, присланные тем или иным «доброжелателем», не следует скачивать сомнительные файлы с непроверенных серверов. Помните, что программ, с помощью которых можно осуществлять вышеописанные злокозненные действия, в последнее время появилось довольно много, и участившиеся кражи пользовательских паролей связаны именно с этим фактом. (Сетевые мошенники занимаются своим гнусным ремеслом отнюдь не ради развлечения. Наворованные таким образом пароли и логины затем продаются ими на «блошиных рынках» доверчивым — или беспринципным — согражданам за «смешные», по сравнению с честным доступом в сеть, деньги, и те с удовольствием пользуются «дешевым» Интернетом, порой даже не подозревая, что стали вульгарными покупателями краденого.) ЕЩЕ ОДИН СПОСОБ ПОЛУЧИТЬ ЛОГИН И ПАРОЛЬ пользователя рассчитан на самых наивных и неопытных абонентов сети. Злоумышленники рассылают письма пользователям сетевых услуг, предоставляемых тем или иным провайдером, от имени технических служб этого самого провайдера. В письмах содержится просьба или даже требование прислать на указанный адрес свой логин и пароль. Делается это под разными предлогами: под видом перерегистрации, для сверки данных и т.д. Запомните, ни один провайдер никогда не станет посылать своим абонентам писем подобного содержания! Если вы получили послание, в котором вас просят прислать куда-то свой пароль, немедленно перешлите это письмо с полными заголовками на e-mail вашего провайдера или позвоните в его службу технической поддержки. Возможен вариант, что кто-то просто решил помешать вам работать в сети. ОС Windows содержит ошибки в реализации протокола TCP/IP, которые позволяют или попросту прервать соединение пользовательского компьютера с Интернетом, или даже «подвесить» машину жертвы. Такой эффект достигается с помощью программ, называемых 'nuke'. Они используют ошибки в реализации тех или иных сетевых протоколов, применяемых в Windows. Пользователь может защититься от таких атак с помощью программы NukeNabber, которую легко найти в сети. НЕСКОЛЬКО ПРАКТИЧЕСКИХ СОВЕТОВ. Установите у себя антивирусную программу, которая, помимо прочего, способна проверять запускаемые вами файлы на предмет наличия в них вирусов и «троянских» программ. Это умеет делать, например, Antiviral Toolkit Pro. Также можно воспользоваться програм мами Doctor Web, Aidstest, Adinf. Антивирусные программы, конечно, не обеспечат полной защиты вашего компьютера, но наверняка помогут избавиться от части возникающих проблем. Кроме того, базы антивирусных программ постоянно обновляются, и вам следует периодически загружать из сети (или получать от разработчиков другим способом) описания новых вирусов, чтобы ваши антивирусные программы были всегда во всеоружии. Стоит также удалить неиспользуемые сетевые протоколы. Если ваш компьютер соединяется с Интернетом посредством модема и вы не подключены ни к какой локальной сети, то имеет смысл оставить в разделе 'Панель управления/Сеть' только протокол TCP/IP, удалив имеющиеся там прочие протоколы. Должны остаться только 'Адаптер удаленного доступа' и 'TCP/IP'. Также рекомендуется отключить совместное использование дисков и принтеров на вашем компьютере, убрав соответствующие галочки в разделе 'Доступ к файлам и принтерам'. Не сохраняйте пароль на жестком диске, не ленитесь вводить его вручную при каждом новом соединении с сетью Потеряв пару секунд, вы обретете уверенность, что значительно уменьшили риск кражи своего пароля. Если ваш провайдер ведет статистику пользовательских сессий, очень эффективным способом контроля за состоянием вашего счета являются периодические посещения сервера статистики. Имеет смысл заходить на него почаще и сравнивать время, фактически наработанное вами в сети, с тем временем, которое учтено на сервере статистики. Коль скоро некий злоумышленник украл ваш пароль и пользуется Интернетом под вашим логином, вы сможете быстро узнать об этом, заметив разницу в протоколах. Например, если вы пользуетесь сетью только на службе и только в рабочее время, а на сервере статистики замечаете соединение под вашим логином в три часа ночи, то нетрудно сделать вывод: кто-то завладел вашим паролем. При малейшем подозрении, что кто-то пользуется Интернетом за ваш счет под вашими учетными данными, немедленно смените пароль. После этого злоумышленник более не сможет работать в сети «за вас». Правда, перед сменой пароля удостоверьтесь, что на вашем компьютере не установлена «троянская» программа, в противном случае новый пароль довольно быстро станет известен посторонним. Существуют специальные утилиты, позволяющие проверить компьютер на наличие «троянских» вирусов Одна из них — The Cleaner И напоследок — замечание общего порядка. Интернет — слепок общества, в котором мы все живем. Если вы не запрете свою бронированную дверь или оброните ключи от нее — вас наверняка обворуют. Так держите ухо востро и в сети. ■ Использованы материалы http://www.zenon.ru/support/0231.html) и http://www.nwi.net/~pchelp/ bo/bo. html ТЕХНИКА-МОЛОДЕЖИ 8 9 9 26 |