IRC ОПАСНОСТИТЕ

Вируси... Троянци.... задколисни... червеи... няколко думи, за които Вие вероятно сте чували, дори да сте нови в IRC. Тези 4 думи не значат едно и също нещо, но общото между тях, е че те са лош и злобен код. Едни от първите вируси се появяват през 1978 и стават известни с проникването им в отбранителната система на САЩ, както и в някои американски университети, наречени ARPANET. От тогава започна истинския бум в разработването и развиването на антивирусен софтуер, а новите вируси започват да се създават и разпространяват главно чрез Интернет - всеки ден.

Не изненадващо, че вирусите станаха толкова голямо и важно нещо. IRC вирусите са оставени да се разпространяват по много заобиколни начини, защото IRC е идеална среда за тях - начини, които неопитен потребител на IRC не може да очаква и да разбере за тях. IRC вирусите се разпространяват главно чрез новаците във виртуалното пространство, които си нямат идея какво става около тях и се "влюбват" в триковете на вирусите (шарени реклами на сайтове, снимки в Интернет и т.н.). Преди да узнаете как можете да се заразите с такъв вирус е най-добре да се информирате точно за какво става въпрос. Ето и кратко обяснение какво е вирус, троянец, задкулисен...

Вирус - вирусът по принцип е определение за файл, който се копира отново и отново. Тези файлове могат да причинят огромна повреда по вашият компютър и да го изкарат от строя. Едни от елементарните вируси са направени на също толкова елементарен принцип - копират се, копират се и така заемат цялата памет на вашият компютър. Но повечето вируси са сложни и се разстилат по основния системен софтуер на машината ви и я съсипват. Червеите обикновенно са като вирусите, но те не могат да се прикрепят към файл.

Троянец - името му идва от на всички известният исторически момент за троянският кон завладяващ Троя. Това е разрушителна програма, която се маскира като меко приложение. За разлика от вирусите, троянците не се самокопират, но могат да създадат също толкова поражения по компютъра ви - дори повече. Едни от най-коварните троянци е програма, която уж маха вирусите от машината ви, а прави точно обратното - пълни я с вируси.

Задкулисен (Backdoor) - недокументиран начин даващ достъп до програма, услуга онлайн или цяла компютърна система от мрежи. Пише се от програмисти, които създават кода му. Най-често само авторът знае за Backdoor и само той може да го разпознае. Backdoor най-често се разработват и удрят програми за сигурност.

Но не се безпокойте твърде много за всичко това - просто помнете, че те всичките са злобен код и Вие НЕ искате нито един от тях. Нека сега Ви запознаем по какъв начин да се предпазвате от IRC вирусите и по какъв начин евентуално можете да се заразите.

Един от най-лесните начини да се заразите и най-често използваният в IRC е чрез щракването на web адреси Web адресите са адреси на web сайт (примерно WWW.UNIBG.ORG е уеб-адрес). От URL - Uniform Resource Locator, но не се притеснявайте за това! mIRC има отличителна черта, с която Вие можете с две щраквания на адреса да го отворите в нов прозорец чрез Вашият браузер (браузер е програмата, чрез която Вие влизате в Интернет. Пример - Internet Explorer). По такъв начин можете да се заразите от сайтовете - предават се различни битове код - така, когато Вие гледате някой сайт може да се заразите с троянец без да докосвате нищо в него. Страшно а? Друг начин - може да получите реклама на адрес на сайт, завършващ на "нещо.ехе", където нещо е актуална дума, но в случая важното е разширението .ехе - файлов вид имащ в предвид изпълним файл, така че той изпълнява нещо на вашият компютър. Това е един от най-общите шрифтове за вирус и за това трябва да сте внимателни. За това ако получите реклама на адрес завършващ на .ехе, най-добре не я отваряйте, ако не сте сигурни в съдържанието й. Добър начин да се защитите от щракване на опасни уеб адреси, дори по случайност е да настроите mIRC-ата си да ви изкарва предупреждение преди отварянето на такъв. За да направите това - ALT+O > IRC > Catcher и маркирайте кутийката в която пише "Показва предупреждение при отваряне на уеб-адрес". Убедете се, че Вие имате всички обновявания на Windows-а си от HTTP://WWW.WINDOWSUPDATE.COM/

Често подканванията към сайтове с вируси са шарени удебелени... съобщения, които получавате на private с текстове от рода на "FREE PORN" и "TO GET OPS IN THE CHANNEL, TYPE...", както и "USE THE LATEST EXPLOIT, TYPE..." - съобщения който ви карат да пишете неща от този сорт са ЛОШИ - не им се доверявайте. Никога не пишете това, което някои Ви каже да напишете, защото защо все пак сте вие в IRC! Ако не знаете какво прави 'нещото' пред Вас - най-добре не любопитствайте. Или някой да Ви каже, че е отворил такова нещо и че нищо не му е направило. Хората които са заразени с IRC вирусът дори не знаят, че го имат. Най-често такива хора Ви се включват на private при влизане в нов канал, или при написване на произволен текст в канал. Съобщенията, които ще получите са най-често цветни от типа "//write $decode(...." и след това няколко реда призволни ГоЛемИ, мАлКи букви и числа. Ако Вие напишете това, което такъв човек Ви каже, моментално се заразявате и започвате да заразявате и другите. Тези типове са не толкова опасни колкото дразнещи. Те поразяват само mIRC-ата ви и заради такъв вирус най-често бивате изгонени от почти всички канали, а понякога и от IRC.

Опцията на mIRC DCC също е много опасна. Точно както бит информация DCC значи "Direct Client to Client" или "насочете клиент към клиент". Когато влизате в даден канал често може да срещнете съобщение (обикновено в статуса си), че някой се опитва да ви изпрати файл чрез DCC. НИКОГА не взимайте такъв файл от човек, който не познавате и на който нямате доверие. Никога не приемайте файл от човек, който Ви го изпраща веднага щом влезете в канал. Тук също обаче има начин да се предпазите. Първото нещо, което можете да направите е да настроите mIRC да ви пита (Ask) преди да приемате файл. По принцип при оригиналната mIRC тази опция е активирана. Но напишете /sreq ask за да сте сигурни, че това е включено. Може също да използвате функцията DCC Ignore - това ще игнорира определени файлове от хората (Вие посочвате вида на файловете, които да игнорирате). За да пуснете DCC Ignore: АLT+O > DCC > Ignore и го настройте така, както желаете. За да приемете файл от приятел просто напишете /DCC ignore off и го накарайте да ви го изпрати. DCC Ignore в оригиналните настройки на mIRC ще се самоизключи след 3 минути. Вие разбира се можете да промените това. Внимавайте за файлове, които са направени да изглеждат, че завършват на нещо невинно като .jpg например (файлов формат за картина), но всъщност завършващи на .ехе (an executable file или изпълним файл). Пример - някой може да се опита да Ви изпрати файл "myphoto.jpg.exe" - ВИНАГИ гледайте внимателно на какво разширение завършва файла.

Накрая - масово търгуване с файлове. IRC е среда за лафче - значи Internet Relay Chat и е създаден за това. IRC не е замислен за търгуване с XDCC ботове за реклами на скриптове и т.н. Свалянето на най-новите мр3-и, филми или версия за софтуер е нелегално - то е против законите на международно авторско право. То (свалянето) също е голям фактор в заразяването на клиенти - злонамерени хора преднамерено разстилат вируси в IRC с ботове. Това, че някой файл, който се опитват да Ви пратят се казва "ТheMatrix 3.avi", това не значи, че файла наистина е филма, а 99,9% това е вирус! Нека да не забравим също, че свалянето на файлове, специално филми, сериозно намалява качеството на продуктът. Вие най-вероятно ще прекарате 2-3 дни сваляйки 1-2 гигабайтов файл и след като го свалите се оказва, че той има лошо качество на образа или звука, или има прикачен вирус към файла. Най-добре да го вземете на DVD или отидете да го гледате с приятели в киното. Със всеки изминал ден все повече започват да се спазват законите за авторски права и да се налагат по-строги наказания за този род престъпление. Стотици хиляди хора са се сблъскали с проблеми сменили са по няколко компютъра вкъщи, цели фирми са фалирали, големи мрежи са се разпадали заради незаконно свалени файлове от Интернет съдържащи вируси.

Както споменахме преди малко, доста програми ("ANTIVIRUSES") са създадени за да Ви помагат да премахнете текущи инфекции и да се защитавате от бъдещи такива. Погледнете секция ресурси!

GT ботове

GT ботовете са вид троянци - в този документ са назовани така, заради вредата, която нанася на IRC. GT бот означава Global Threat бот - бот за глобални заплахи. Самият бот е mIRC.ехе който се стартира, когато се зареди Windows-a без вие да го пускате. Стартира се и остава скрит, така че вие не знаете, че е пуснат. След като се включи, той се свързва с някоя мрежа (за която е програмиран) и влиза в предварително настроен канал. Така стотици дори хиляди хора заразени с такъв бот стоят в такъв общ канал наречен ботнет (мрежа от ботове).

И така, какво правят ботовете там? Програмистът, написал бота (бот мастера), влиза в този канал и може чрез команди да прави атаки на заразените потребители, IRC сървъри... Вероятно и Вие докато четете това може би сте заразени и не подозирате за това. Тези атаки са наречени DDoS атаки (израз, който може би сте чували). Означават Distributed Denial of Service attacks или разпространени атаки на достъп на услуга. Това е форма на DoS (Denial of Service или достъп отказан), но от редица заразени HOSTNAMES и IPS.

Ако никой в целия свят не беше заразен с GT бот, **ОГРОМНА** тежест щеше да се стовари от Интернет и той щеше да бъде много по-безопасна среда.

SPYWАRE

SpywАre е по-нов от вирусите. Spywаre не е буквално вреден към Вас или към друг, както и никой не иска да го притежава на машинката си. Идеята на Spywere е да шпионира какво правите Вие на Вашият компютър и да го предава на друг човек, или на голяма компания и така те да разберат как Вие продавате Вашият продукт например, като най-често това става чрез имейл. Наречени са KEYLOGGERS и нещото, което правят е да записват кои клавиши от клавиатурата си натискате. Признак, че сте заразени със Spywаre е почти всеки път когато отворите браузъра си да ви се отварят рекламни страници, без Вие да набирате техните уеб адреси. Или щом отворите браузъра си, той автоматично да посещава порно сайтове.

За нещастие, един от проблемите със SPYWARE е, че Вие го инсталирате обикновено на драго сърце на вашият компютър! Повечето хора се заразяват със SPYWARE, като се съгласяват целеустремено с лицензно споразумение. Програми като "KAZAA" и" IMESH" имат Spyware и Вие ги инсталирате на машината си, а те не работят. След това получавате съобщение, че трябва да платите на авторите на програмите, за да ги получите без Spywаre. Инсталирайки софтуера и почиствайки го от Spyware прави така, че той после не работи. За това не си сваляйте такива програми. Такива програми свалят хората, които искат да се сдобият с нелегални файлове. Уеб сайтовете на тези програми мамят потребителите като слагат на главната страница на сайта уж нещо "добро". Те подкрепят свалянето на нелегални файлове като "добро нещо". Съветваме Ви да не се оставяте да бъдете измамени от умната им формулировка, че го подкрепят, защото правят милиони долари от него, а не се интересуват от Вашият компютър, Вашата фирма и че може да фалирате по този начин.

От бума на Spyware до сега са създадени перфектни програми за борба с този нов тип вирус. Погледнете секция ресурси в за да бъдете в течение!

Packet Kiddies

Packet Kiddies - деца на пакет. Изразът идва от това, че едни хора "пакетират" други, изолират ги и така могат да ги разкачат от IRC или от Интернет. Думата дете е използвана заради тяхното детско, незряло и жалко поведение. Много от тях всъщност наистина са деца 12/13 годишни, деца които имат достатъчно мозък за да Ви разкачат от Интернет! Звучи невероятно? Но не си мислете, че тези хлапета са наивни компютърни зубрачи. Те искат Вие да мислите, че те са "елитни" и умни. Което и да е такова хлапе, стига да има достъп до ботнет, само с една елементарна команда може да започне атака - дори и да е на 7 години.

Нека се опитаме да разберем какво е PACKETING.

Има "пакети" летящи около Интернет всяка секунда, във всеки един момент, денонощно, целогодишно. Никога не спират. "Пакетите" са малки битове информация. Когато Вие натискате копче на вашата клавиатура основно вие изпращате пакет информация, която когато достигне до компютъра, го кара да прави всичко, което Вие искате да се появи на вашият монитор (или правейки друга произволна функция, която кара компютъра да прави друго). Така че докато си чатите в IRC, Вие изпращате пакети с информация да летят из виртуалното пространство през цялото време. Тези пакети са напълно безвредни.

Както и да е, когато някой Ви "пакетира" той обикновено Ви държи под контрол в ботнета (както по-рано беше обяснено за GT ботовете). Тези ботове ви изшращат стотици малки пакети с информация и така затлачват Вашата Интернет връзка до толкова, че тя не може да смогне и обикновено до няколко минути Интернетът Ви изчезва. И когато сте в IRC обикновено преди да ви изхвърли хлапето управляващо пакетите с информация ви казва "Чао ))!".. и след малко, като че ли всички в каналите престават да говорят и всичко спира. Вие се опитвате да излезете и влезете пак в канала (/hop), но нищо не се получава. Накрая се примирявате с ***Disconnected***. Toва може да Ви се случи и ако просто Интернет връзката не ви е добра, но има и голяма вероятност да сте "ПАКЕТИРАН!" Добър, лесен и бърз начин да проверите е да се опитате да отворите произволен сайт в браузера си. Ако той не Ви отвори нищо, значи е от самия Интернет, но ако си отваря страниците, както обикновено, а mIRC-aта ви е "умряла" значи някой ви я е пакетирал. Ако пък имате MSN Messenger, опитайте се да влезнете там. Има случаи, в които и самият браузер е пакетиран, но това няма да бъде обект на разискване тук.

Ако тези атаки Ви изглеждат лесно предотвратими - лъжете се? За жалост все още не са измислени идеални програми за защита!

Колкото и да е трагично, не е възможно да се предпазите от чуждо пакетиране, но все пак можете да направите всичко възможно да избегнете вниманието на някой такъв хакер. Един от най-добрите начини е просто да стоите далеч от тях. Да не влизате в хакерски канали и да любопитствате. Да не правите "мръсно" на хората в другите канали и да правите всичко възможно да не привличате негативно внимание върху себе си. Но пак си има риск - повечето от хлапетата просто нямат какво да правят обикалят из каналите и от скука си намират жертви, които да пакетират.

Друг начин да избегнете "пакетиране" е да си скривате реалното IP, или hostname докато сте онлайн. Това става ако използвате psyBNC с виртуални хостове, а в някои мрежи има и usermode който маскира адресът ви.

Накрая, Вие можете да ги откривате използвайки файъруол (Firewall, вижте секцията с ресурсите). Така можете да записвате всички входящи връзки с вашият компютър и да видите от какъв адрес идват хакерите. После в mIRC да използвате команда /dns adresa и да откриете ISP-то.

Заключение

Тази документация за някои може да бъде малко несвързана с IRC (в частност с клиента mIRC), но не е така бъдете сигурни. IRC е пълен с какви ли не заплахи, за които трябва да внимавате. Огромни IRC мрежи бяха принудени да бъдат затворени временно, или постоянно заради заразени потребители. Undernet беше нападана няколко пъти и за малко не "умря". Много от сайтовете за информация свързана с IRC пострадаха дори и официалният сайт на mIRC - http://www.mirc.com . Много е важно да сте наясно с опасността от вируси и да правите всичко възможно да сте максимално предпазени.

Помнете, продължавайте да си чатите, забавлявайте се и се ПАЗЕТЕ!

За повече инфо unibg.org

Лично аз не ползвам и не смятам да ползвам IRC. С тази тема отговарям на въпроса Защо?

Поздрави

Доста поучителна статия.

Но ако забраниш получаването на файлове по DCC, не отваряш съмнителни линкове, имаш добра антивирусна програма може да си чатиш без проблем.

Можете да ползвате mIRC (http://mirc.com(последната версия 2.0)) тя има доста джаджи, едно от "най-защитните" е от Options > +Other > Lock можете да забраните използването на някой команди, аз лично съм забранил Decode-то и Run, за мен по-важно е Run-a понеже, ако имате някоя от онези гадинки чрез които с CTCP може да оправляват компютъра ви (силно казано), но могат да направят доста белички.

Та и ако използвате мирк забрането го и вие и ако някой се опита да напише /ctcp вашияник /действие ще ви избише в Статуса, че командата е забранена от програмата, можете да я премахнете като махнете тикчето на Options > Other > Lock > Run.

Също така не е много полезно да използвате скриптове както каза @MDMA гледайте сайта на най-голямата българска мрежа там има черен списък с заразените mIRC скриптове.

Желателно е да не ги използвате.

Но сега никой не може да се предпази всеки ден хората крадат (мъчат се да правят) собствени скриптове и трудно се намират скриптовете с злонамерени кодчета в тях.

Така, че използвайте обикновенна mIRC-a от http://mirc.com или си изтеглете X-Chat за Windows (в kaldata.com) го има.

И двата ги използвам в момента забранил съм примането от дц и проблеми нямам.

Също така, ако вие случайно попаднете на заразен скрипт можете да съобщите за него в #vh @ UniBg, там ще ви дадът опътване как да премахнете гадинката (ако сте лепнали).

Човека написал тази статия до колкото знам е ongeboren той доста често помага на хората в #vh, така че влизате и питате без да се безспокоите.

Успех!