Почему некоторые программы удаленного администрирования называются Backdoor?
Как известно, одной из наиболее распространенных форм вредоносных программ являются «Троянские кони». Подобно своему античному аналогу они проникают на компьютеры пользователей под видом безобидных программ, привлекающих пользователей своей уникальной функциональностью. Совсем недавно мало кто мог удержаться, чтобы не запустить файл, обещавший многократно увеличить производительность процессора без каких-либо затрат на модернизацию аппаратного обеспечения. Вряд ли стоит говорить, что чаще всего за такими программами прятались обыкновенные «троянцы», которые вместо обещанных «золотых гор» производили враждебные действия. Однако, сейчас ситуация коренным способом изменилась: теперь так просто не провести даже начинающего пользователя, наслышанного о феномене «троянских коней».
Спектр действия троянских программ чрезвычайно широк, а их классификация может показаться сложнее таблицы химических элементов Менделеева. Одной из наиболее распространенных и опасных разновидностей этого типа программ являются утилиты несанкционированного управления, т.н. Backdoor. По описанному выше сценарию Backdoor внедряется на компьютер пользователя и незаметно открывает доступ для его удаленного управления. Таким образом, злоумышленник получает возможность полностью контролировать зараженный компьютер: создавать, копировать, просматривать, удалять файлы и директории; следить за работой пользователя; совершать противоправные действия от его имени; управлять банковскими счетами и многое другое. Спектр подобных действий ограничивает только фантазия разработчика «троянца».
Обнаружить установленный Backdoor можно при помощи обычного антивирусного сканера или посредством установки межсетевого экрана и контроля за использованием портов компьютера.
Основная проблема заключается в определении: является ли та или иная программа удаленного администрирования Backdoor или нет? Чем отличается, например, всемирно известная pcAnywhere от нашумевшего Back Orifice (BO)? На первый взгляд, обе программы обладают одним и тем же арсеналом программных средств для обеспечения удаленного управления. Почему же одна определяется антивирусными продуктами как троянская программа, а другая нет? Ответ прост: определяющим фактором является не функциональность, а порядок инсталляции и видимость в системе.
Давайте посмотрим на проблему с этой точки зрения. Установка полноценной утилиты удаленного администрирования проходит «под аккомпанемент» многочисленных диалоговых окон, лицензионного соглашения, графического отражения процесса. Backdoor это делает тихо и незаметно: после запуска инсталляционного файла на экране не появляется никаких сообщений, прямо свидетельствующих о происходящей установке. Наоборот, зачастую выдаются дезориентирующие сигналы, отвлекающие пользователя от проблемы.
В процессе работы Backdoor никак не проявляет свое присутствие. Его невозможно увидеть ни на панели задач, ни в system tray, и довольно часто — даже в списке активных процессов. Таким образом, удаленный доступ к компьютеру происходит абсолютно незаметно для пользователя. Что касается честных «администраторов», то они всегда сигнализируют каким либо образом о своей работе: либо в system tray, либо в taskbar, и практически всегда их можно видеть в списке активных процессов
или среди сервисов.
Наконец, любой полноценный продукт имеет функцию деинсталляции, представленную в дереве программ, которой пользователь может воспользоваться в любой удобный ему момент. Backdoor можно удалить только с помощью антивирусной программы или «хирургическим» путем, который в просторечье называют «ручками».
В силу описанных выше причин в категорию Backdoor попадают и некоторые утилиты, претендующие быть полноценными коммерческими продуктами. Позиция «Лаборатории Касперского» заключается в следующем: пользователь должен знать, что на его компьютере присутствует утилита такого сорта. «Мы допускаем, что эти программы действительно могут использоваться для санкционированного удаленного администрирования. Если пользователь знает о ее присутствии, то сообщение о ее обнаружении вряд ли его смутит. Однако, если Backdoor установлен нелегально, то его игнорирование со стороны антивирусной программы может трактоваться не иначе как пренебрежение безопасностью ее покупателя».
Backdoor или не Backdoor?