Выявление шпионского ПО, "троянских" программ и сетевых "червей"
Активные web-серферы нередко подцепляют на web-сайтах небольшие программы, которые пытаются отслеживать их поведение или выдавать на их компьютеры специальную всплывающую рекламу. Эти программы называются шпионским ПО, потому что нередко они пытаются следить за активностью пользователя и могут передавать собранные данные обратно на центральный сервер. Эти программы обычно не опасны, но их чрезмерное количество может существенно снизить производительность труда пользователя. Кроме того, написаны они зачастую неаккуратно и могут мешать работе других программ или даже вызывать их аварийное завершение. Они могут также помогать хакерам в поиске уязвимостей.
Другим классом сетевого программного обеспечения, которое вы определенно не хотели бы иметь в своей сети, являются "троянские" программы. Эти программы специально созданы для взлома сетей. Подобно троянскому коню из греческой мифологии, эти программы открывают хакерам и взломщикам заднюю дверь в вашу сеть. Обычно их присутствие можно обнаружить только по открытому сетевому порту, а с помощью антивирусных средств выявить их крайне сложно. Оказавшись внутри компьютера, большинство "троянских" программ пытаются вступить во внешние коммуникации, чтобы дать своему создателю или отправителю знать, что они заразили машину на этих портах. В табл. 4.2 перечислены наиболее распространенные "троянские" программы и их номера портов. Многие номера портов легко распознаваемы по определенному набору цифр (например, для NetBus это 54321, а для Back Orifice - 31337, что в хакерской кодировке читается как "элита"). В целом же троянские программы стремятся использовать порты с большими, необычными, нераспознаваемыми номерами, хотя некоторые действительно хитроумные троянцы пытаются задействовать младшие зарезервированные порты, чтобы замаскироваться под обычные сервисы.
Сетевые "черви" - особо мерзкий тип вирусов. Зачастую они снабжены сетевыми средствами и открывают порты на компьютере-"хозяине".
Сетевые "черви" используют сеть для распространения и поэтому иногда выявляются при сканировании портов. Сканирование портов может стать ценным подспорьем в защите от этого вида вирусов.
12456 и 54321 | TCP | NetBus |
23274 и 27573 | TCP | Sub7 |
31335 | TCP | Trin00 |
31337 | TCP | Back Orifice |
31785-31791 | TCP | Hack 'a'Tack |
33270 | TCP | Trinity |
54321 | UDP | Back Orifice 2000 |
60000 | TCP | Deep Throat |
65000 | TCP | Stacheldraht |