Назва Backdoor використається й для позначення схованого програмного інтерфейсу, призначеного для одержання несанкціонованого доступу до комп'ютерної системи.

Для зменшення ймовірності одержання несанкціонованого доступу до комп'ютерної системи, підключеної до Інтернету необхідно виконати повний комплекс захисних мір.

Потрібно правильно настроїти права доступу до системи й установити всі відновлення операційної системи, установити антивірусну програму й стежити за своєчасним відновленням антивірусної бази даних.

Варто встановити й правильно настроїти брандмауер для захисту від атак по мережі, а також інтелектуальні засоби захисту від атак, що аналізують уміст мережевого трафіку.

Однак щоб гарантовно виключити можливість викрадення даних з комп'ютера через Інтернет або локальну мережу, потрібно фізично не підключати комп'ютер до Інтернету або до локального мережі.

На жаль, комп'ютерні програми й ОС настільки складні, що в них завжди присутні програмні помилки. Деякі із цих помилок можуть привести до виникнення проломів у захисті систем від несанкціонованого доступу.

Коли такі проломи стають відомі зловмисникам (а це відбувається із завидною регулярністю), те одержання несанкціонованого доступу й викрадення інформації стають лише справою часу.

Зберігання критичних даних у зашифрованому виді трохи зменшує ймовірність їхнього використання у випадку викрадення, однак повністю виключити таку можливість не можна. Сучасні методи дозволяють розшифровувати дані за невеликий період часу.

Шкідлива програма може викрасти дані по локальній мережі, навіть не звертаючись до ресурсів вузла, що містить такі дані. Для цього вона може працювати на іншому вузлі цієї ж мережі й «прослуховувати» весь мережевий трафік, витягаючи з нього парольну й іншу критичну інформацію.

Комп'ютерний вірус, троянська або інша шкідлива програма може перехоплювати коди клавіш, що натискаються користувачем, і довідатися таким способом паролі доступу до захищених ресурсів комп'ютерної системи.

Шкідливі програми, що перехоплюють коди натиснутих клавіш і відправляють ці коди зловмисникові, часто називаються «клавіатурними шпигунами».

З метою одержання несанкціонованого доступу до ресурсів комп'ютера шкідлива програма може викрасти зашифрований файл паролів, а потім розшифрувати його (або відправити зловмисникові у вихідному виді для розшифровки).

1.4.8 Компрометація користувача

Зараження комп'ютера вірусом або шкідливою програмою може привести не тільки до ушкодження, зміні або знищенню даних, що зберігаються на цьому комп'ютері, але й до компрометації, а також провокуванню користувача.

Потрапивши на комп'ютер користувача, шкідлива програма може скористатися персональною інформацією, що зберігається на комп'ютері, для виконання від імені користувача яких-небудь дій.

Наприклад, шкідлива програма може підписати користувача на поштові розсилання, зробити покупку в Інтернет-магазині й зробити будь-які інші аналогічні дії.

Адресна книга користувача або деякі записи з неї можуть бути викрадені комп'ютерним вірусом або іншою шкідливою програмою. Надалі вірус або інша шкідлива програма може скористатися викраденою інформацією для свого поширення.

При цьому шкідлива програма для свого поширення буде відправляти від імені користувача поштові повідомлення з вірусом. Це, безсумнівно, викличе невдоволення партнерів користувача по переписці.

1.4.10 Соціальний інжиніринг

Дія вірусів і шкідливих програм часто спрямована на провокування користувача. Користувач провокується на здійснення таких дій, які можуть привести до проникнення на його комп'ютер шкідливих програм, а також до поширення вже наявних там шкідливих програм.

Поштові віруси й троянські програми найчастіше провокують користувача на відвідування троянського Web-сайту. Це може привести до установки на комп'ютері користувача троянської програми, хробака або іншого шкідливого програмного об'єкта.

Шкідлива програма може спровокувати користувача на запуск програми або програмного сценарію. Це характерно для поштових вірусів, троянських програм і троянських Web-сайтів.

Одержавши троянське поштове повідомлення, користувач відкриває вкладений у нього файл програми, і той запускається, виконуючи свою шкідливу дію.

Для провокування користувача на відвідування троянського Web-сайту або запуск програми використаються різні спеціальні прийоми.

Як правило, це маскування щирого призначення програми або Web-сайту зміною імені відповідної адреси URL або імені файлу, публікація опису ресурсу, що не відповідає дійсності, приховування дійсного імені файлу з використанням особливостей інтерфейсу операційної системи.

ОПИС МЕТОДІВ ВИЯВЛЕННЯ Й БОРОТЬБИ З КОМП’ЮТЕРНИМИ ВІРУСАМИ

2.1 Методи виявлення комп'ютерних вірусів

Розглянемо методи виявлення вірусів і інших шкідливих програм:

сканування;

евристичний аналіз;

виявлення змін;

аналіз мережевого трафіку;

аналіз баз даних поштових програм;

виявлення вірусів у системі автоматизації документообігу;

вакцинування.

2.1.1 Сканування

Історично перші антивірусні програми використовували для виявлення комп'ютерних вірусів метод сканування.

При скануванні антивірусна програма переглядає вміст файлів, розташованих на дисках комп'ютера, а також зміст оперативної пам'яті комп'ютера з метою пошуку вірусів.

При цьому класичне сканування припускає пошук шкідливих програм по їхніх сигнатурах, тобто по послідовностях байтів даних, характерних для даних вірусів.

Метод сканування дозволяє виявити такі шкідливі програми, які не використають для протидії антивірусним програмам шифрування свого програмного коду, а також поліморфізм.

Помітимо, що антивірусні програми не в змозі сканувати зашифровані архіви й документи, якщо їй не відомий пароль або ключ для розшифровки даних. Перед пошуком шкідливих програм у таких архівах або документах користувач повинен їх розшифрувати.

Аналогічно, сканер антивірусної програми не зможе одержати доступ до файлів, що зберігається на шифрованих віртуальних дисках PGPDisk і аналогічних, якщо їй не відомий пароль або ключ для розшифровки даних.

Перед скануванням таких дисків користувач повинен сам увести всю необхідну парольну інформацію.

2.1.2 Евристичний аналіз

Як ми відзначили вище, звичайне сканування не дозволяє виявляти поліморфні віруси й віруси що шифруються. Крім того, цей метод не є ефективним проти шкідливих програм, сигнатури яких відсутні в базі даних антивірусу, тобто з новими вірусами.

Для усунення цього недоліку розроблювачі антивірусів створили новий метод виявлення шкідливих програм, який називається назвою евристичний аналіз.

При використанні цього методу антивірус контролює всі дії, які може виконати програма. При цьому відслідковуються потенційно небезпечні дії, характерні для вірусів.

Контролюючи дії програм, що перевіряються, евристичний аналізатор сучасних антивірусів здатний виявити