Все новости от 1 октября 1998 г.

Компьютер с привидениями

Новая грозная программа-“троянский конь” гораздо опаснее печально известной Back Orifice — она способна еще больше подмять под себя ваш компьютер.

Спустя месяц после появления Back Orifice, инструмента дистанционного администрирования, разработанного хакерской группой Cult of the Dead Cow из Сан-Франциско, специалисты по защите информации предупреждают о новой напасти — NetBus. Эта программа мощнее предшествующей и обладает более широкими функциональными возможностями — она способна вести себя как привидение, поселившееся в вашем компьютере.

Проблема тайного дистанционного доступа к компьютерам под Windows впервые привлекла широкое внимание в августе, с появлением Back Orifice. Эта программа, способная работать под Windows 95 и 98 позволяет удаленному пользователю почти полностью взять на себя управление системой-жертвой. Однажды инсталлировав ее, пользователь может копировать изображения с ее экрана, сохранять в файлах последовательность нажатых клавиш и выполнять ряд других подобных действий.

Теперь, когда острота угрозы Back Orifice начала спадать, появляется новая — NetBus. Эту программу, созданную шведским программистом Карлом Фредериком Нейктером (Carl Fredrik Neikter) в марте 1998 года и позднее переведенную на английский язык, можно бесплатно загрузить с веб-сайта Official NetBus Homepage. В сентябрьской информации компания Internet Security Systems (ISS), специализирующаяся на вопросах компьютерной защиты и являющаяся консультантом таких фирм, как Microsoft и Sun Microsystems, предупреждает о том, что программа NetBus “в некоторых отношениях более совершенна, чем Back Orifice”. В отличие от программы парней из Dead Cow, NetBus работает не только под Windows 95/98, но и под NT, и обеспечивает больше функциональных возможностей. Кроме копирования экранов, последовательностей нажатых клавиш и манипуляции файлами, она позволяет открывать и закрывать дисковод CD-ROM, увеличивать и уменьшать громкость динамиков и даже менять назначение кнопок мыши, создавая впечатление, что в вашей машине поселился полтергейст.

Как и Back Orifice, NetBus относится к типу программ “заднее крыльцо” или “троянский конь”. Сначала на целевой системе необходимо инсталлировать ее исполняемую серверную часть. Если у удаленного пользователя есть физический доступ к целевому терминалу, он может сделать это вручную, но в большинстве случаев жертву приходится как-нибудь обманывать, — например, прислать безобидное на вид почтовое сообщение с вложением или загрузить файл.

В описании на сайте Official NetBus Homepage автор сообщает о дополнительных возможностях. “Опытный программист” для установки программы может воспользоваться “ошибкой переполнения буфера” при открытии или чтении электронных сообщений. Поправки для подобных ошибок обычно доступны и часто их можно взять на веб-сайте производителей программ.

Но, несмотря на эти технические возможности, степень реальной угрозы NetBus еще предстоит оценить. В своей сентябрьской информации ISS предупреждает, что в последнее время программа “широко распространилась в качестве хакерского инструмента”. В интервью по телефону директор справочной службы ISS X-Force Крис Роуланд (Chris Rouland) сказал, что компания получила от 20 до 30 писем от жертв NetBus. Это дало ему основание предположить, что существуют тысячи других жертв.

Как защититься

Ресурсы для защиты от NetBus

Опытные пользователи, желающие обнаружить и удалить NetBus из своего ПК, найдут подробные инструкции на веб-сайте ISS. Symantec сообщает, что последнее обновление для ее антивирусных пакетов будет обнаруживать и удалять NetBus. Тем, кто не желает устанавливать специальное ПО, компания House Call предлагает удалить NetBus дистанционно. Еще один вариант — бесплатное средство компании Panda Software, предназначенное для борьбы как с NetBus, так и с Back Orifice.

Конечно, существуют и другие компании, предлагающие средства против NetBus. Однако следует остерегаться незнакомых источников. По словам Криса Роуланда из ISS, некоторые такие источники под видом лекарства распространяют копии NetBus.

 В продолжение темы: