01 декабря 2020 года    
Вторник | 12:59    
Главная
 Новости
Базы данных
Безопасность PC
Всё о компьютерах
Графика и дизайн
Интернет-технологии
Мобильные устройства
Операционные системы
Программирование
Программы
Связь
Сети
 Документация
Статьи
Самоучители
 Общение
Форум







Разделы / Всё о компьютерах / Другие

Троянцы" и борьба с ними

Троянцы" и борьба с ними

В последнее время в Сети идет много разговоров о троянских программах. Поскольку не все пользователи kuban.ru имеют представление о таких программах, их возможностях и последствиях, мне приходится тоже говорить на эту тему.

"Троянец", в общем случае - это программа, которая помимо заявленных автором полезных функций, несет в себе код, срабатывающий при определенных условиях и выполняющий действия на машине, о которых пользователь не подозревает. Список деструктивных воздействий троянцев весьма обширен. Достаточно сказать, что многие из них могут отформатировать ваш диск. Некоторые троянцы несут код, посылающий на определенный адрес ваш файл паролей.

Однако, для пользователей Интернет наиболее опасны программы, позволяющие получить доступ к вашей машине со стороны. Наиболее известны Back Orifice и NetBus. Структурно эти программы состоят из двух частей: сервера и клиента. Сервер тем или иным путем внедряется на вашу машину. Внешне его присутствие никак не обнаруживается. Клиентская часть запускается на машине злоумышленника, который, связавшись с серверной частью, может выполнять на вашей машине практически любые действия.

Опасность этих троянцев состоит в том, что их можно "приклеить" к любой полезной программе. После первого запуска такой программы серверная часть "прописывается" на вашей машине и скрытно стартует как процесс Windows при каждой перезагрузке.

Заразить машину можете вы сами, приняв и запустив зараженную программу. Обычно это происходит, если программы скачиваются не с серверов серьезных организаций, а с личных страничек. Внедрить троянца могут и ваши "друзья", либо подсунув "крутую тулзу", либо, при наличии доступа к вашей машине, просто запустив троянца с дискеты.
Все!!! Теперь только ленивый не вытащит с вашей машины пароли доступа в Интернет. Оплачивать "халявщиков", ессесно, придется вам. То же относится к любой приватной информации, хранящейся на вашей машине.

Как обнаружить таких троянцев?

Не хочу повторяться, потому просто дам ссылки. Самые подробные рекомендации по обнаружению и удалению Back Orifice мне попались на http://www.nwi.net/~pchelp/bo/bo.html Посмотрите разделы Detecting..., More on Finding... и Removing.... Там же есть раздел, посвященный аналогичной программе NetBus. Если напряженка с английским, хотя бы разберитесь со скриншотами для поиска в реестре и поищите на своей машине файлы .exe, sysedit.exe (размер около 450 К), patch.exe, windll.dll, keyhook.dll
Посмотрите информацию об этих программах на страничке KarDinal

Привожу список известных троянских программ-серверов, выполняющих на зараженной машине различные действия (от посылки вашего пароля по почте до создания возможности удаленного администрирования через Интернет).
Обнаружить эти файлы можно ручным поиском. Но лучше это сделает специальная программа P_CLEAR, разработанная Олегом Шашиным
Впрочем, здесь можно найти ссылки и на другие программы.
Весьма полезен AVP-монитор

Имя программы размер (байт) Порт подключения
ACiDShivers.exe 186368 Выбирает сама
boserve.exe 124928 31337
icqnuke.exe 10240 1999
readme.exe 73728 1999
readme.exe 77824 1999
readme.exe 98304 1999
readme.exe 102400 1999
SystemPatch.exe 491008 2140, 3150
ICQFlood.exe 24576 65000
FixIT.exe 23087 23456
exec.exe 249344 80
exec.exe 231424 80
foresvr.exe 309248 50766, 21
FTP99cmp.exe 369185 1492
port.exe 40960 6969
bug.exe 57344 6999, 6970
windll.exe 331264 21544
windll.exe 344064 21544
server.exe 210432 456
server.exe 296448 5742, 3024, 4092, 21
ICKiLLeR.exe 534016  
icqtrogen.exe 39424 4950
ftp.exe 402944 21
icqcrk.exe 50688  
vagent.exe 282624 40421
Agent.exe 293376 40421, 40422
Agent.exe 327680 40421, 40422 40423 40426
Agent.exe 325632 40421, 40422 40423 40426
spy.exe 48128 20001
SysEdit.exe 473088 12345, 12346
Path.exe 472576 12345, 12346
Patch.exe 494592 12345, 12346
NBSvr.exe 612864 20034
spyserver.exe 30720 7300, 7301, 7306, 7307, 7308
netspy.exe 411312 7300, 7301, 7306, 7307, 7308
phase.exe 301568 555
Phineas.com 93250 2801
RipServer.exe 211968 2023
faxmgr.exe 27648 25
hs.exe 276264 1600
lame.exe 335872 5000, 5001
tapiras.exe 77824 25
TeLeCoMMaNDo Server.exe 211456 61466

Более подробно вам все разьяснит КОТ.

Для Краснодара наиболее характерным является способ заражения через "Аську". При знакомстве, например в чате, у вас первым делом спрашивают номер ICQ. Затем, связавшись по Аське, однозначно определяют ваш адрес в интернете и сканируют открытые порты, проверяя, нет ли еще у вас трояна. Если еще нет, то ждите "подарок" под видом полезной программы, пересылаемой по той же Аське или по почте. Даже если у вас хватит осторожности не "щелкать" сразу на полученном файле, а записать его сначала на диск и проверить антивирусом, то не обольщайтесь. На страничке Проциона вы можете убедиться, далеко не все трояны определяются антивирусами.
Помните также, что при включенной Аське ваш адрес в сети является всеобщим достоянием, и по вам могут бить "прямой наводкой" всякими нюкерами. Кстати, если еще не поставили заплатки на систему от наиболее рапространенных нюков, сходите на Puppet's Place и, следуя пошаговой инстукции, сделайте это. Не забывайте перегружать машину после каждого шага. В одном случае (для Win95) потребуется даже двойная перезагрузка для продолжения процесса установки патча.

Одним из способов распространения троянов является посылка замаскированного под картинку файла *.exe. Его имя выглядит так, например:
Картинка.jpg________________________________.exe
(вместо подчеркивания пробелы).
Те, кто привык просматривать картинки просто щелкнув по ним мышкой, запускают исполнимый файл *.exe (троян, как правило).
Рассылают и некие анкеты (Анкета.exe, например), якобы от лица провайдера. В этом случае в поле From:(Откуда:) стоит адрес типа provider@kuban.ru. Чтобы не попадаться на подобную "удочку", возьмите за правило просматривать служебный заголовок письма, где будет действительный адрес отправителя. Рекомендации можно посмотреть в статье E-mail: in&out
Если коротко, то истинный отправитель (его адрес почтовый и IP) будет указан в самой нижней записи "Received:from........." Эту запись делает почтовая программа сервера. Подменить её трудно, в отличии от адреса в поле "From:" письма, где можно проставить что угодно.
Более подробно узнать хитрости, используемые при посылке трояна, можно на страничке предупреждений хакзоны и в её архиве

Значительно обезопасить свою машину вы можете применяя при запуске новых программ мониторы изменений в системе. К таким программам относится inctrl3.exe. Запустив этот трассировщик, а затем отвечая на вопросы, вы устанавливаете новую программу. По окончании у вас будет полный список изменений в системе, произведенных при инсталляции. Естественно, с этим списком нужно подробно разбираться.
Аналогичный контроль изменений в реестре делает RegMonEx.exe.
Еще один простейший "дедовский" способ - это сразу после инсталляции из меню "Пуск - поиск - файлы" просмотреть список измененных и модифицированных файлов за последние сутки. Таким образом можно легко отследить появление в системном каталоге неизвестных файлов и модификацию win.ini и system.ini

Посмотреть список работающих на машине процессов вам поможет маленькая программулька xrun.exe, запущенная с ключом /l.
Более подробный отчет можно получить, выполнив openlist.exe.
Если вдобавок хотите увидеть, какие динамические библиотеки связаны с каждым из процессов, то запустите dllview.exe
Увидеть открытые порты и связанные с ними адреса можно выполнив в окне DOS команду netstat -an (для помощи netstat ?).

Вообще говоря, троянцы могут запускаться многими способами.

  1. Как процесс Windows из Run... в реестре (в трех цепочках)
  2. Из win.ini или system.ini (строка: run=filename)
  3. Из области "Автозагрузка"
  4. Из файла autoexec.bat

Поэтому, взявшись за основательную чистку своей машины, не поленитесь проверить все перечисленные места. Более подробно о поиске в реестре можно почитать на этой страничке.

Если вас заинтересовали вопросы безопасности, воспользуйтесь любой поисковой системой. Сейчас в Инете подобной информации навалом. Поскольку троянцы могут ощутимо ударить вас по карману или надолго испортить настроение, отслеживайте ситуацию с новинками, просматривая хотя бы изредка архив hackzone.

Созданы программы, отслеживающие доступ к портам, на которых по умолчанию закрепляются серверные части троянцев. Однако, если вы серьезно отнеслись к изложенному выше и убедились в отсутствии нежелательных программ на вашей машине, то можете спокойно на них наплевать. Иначе вас будут постоянно раздражать попытки начинающих "хакеров" найти на вашей машине то, чего там нет.
Тем более не рекомендую посылать по засветившемуся адресу ответный пакет "нюков", смотрите на такие попытки, как на тявкание Моськи.

Если же у вас установлена сеть и включен совместный доступ к файлам, то отключите привязку сетевых ресурсов от удаленного доступа. Иначе вам не помогут никакие заплатки.

http://www.kuban.ru/

 Троянцы" и борьба с ними
Лента новостей


2006 (c) Copyright Hardline.ru