Петр Ташков - Работа в Интернете. Энциклопедия

«Троянский конь» – это не вирус. Область их «компетенции» – воровство конфиденциальной информации, в том числе и паролей, с последующей передачей их хозяину. «Троянский конь» состоит из клиента и сервера. Серверная часть, как правило, находится на компьютере пользователя-жертвы, а клиентская – у того человека, который создал троянскую программу или просто модифицировал ее, заставив работать на себя. Связь этих составляющих «троянского коня» осуществляется через какой-либо открытый порт. Создатели «троянских коней» ловко маскируют их под часто используемые программы. При их запуске происходит выполнение кода, который затем передает управление основной программе. Помните, что «троянский конь» может быть с легкостью замаскирован под файл с абсолютно любым расширением.

Классификация «троянских коней»

Эти «вредители» классифицируются следующим образом.

• Mail Sender – наиболее распространенный тип «троянов». Они отсылают своему хозяину пароли доступа в Интернет, к электронной почте, к ICQ, к чатам и все то, что пожелает их хозяин.

• Backdoor – программы удаленного администрирования. Они, как правило, обладают возможностями Mail Sender и функциями удаленного манипулирования компьютером. Такой «троян» ожидает соединения со стороны клиента обычно через какой-либо порт, а затем отсылает команды на сервер.

• Программы-дозвонщики отличаются тем, что наносят значительный финансовый урон. Они соединяются с зарубежным провайдером, и с телефонного номера пользователя происходит установка международного соединения, например, с островами Кука, Диего-Гарсиа, Сьерра-Леоне и т. д.

• «Трояны»-кейлоггеры контролируют нажатия кнопок клавиатуры, чтобы потом отослать эту информацию своему создателю по почте или прямо на удаленный сервер.

• Эмуляторы DDoS-атак (Distributed Denial of Service) – уникальная и довольно интересная группа «троянов». Серверная часть такой программы отслеживает конкретный порт и при получении команды извне начинает функционировать как нюкер, то есть приложение, отсылающее на заданный IP-адрес шквал некорректно сформированных пакетов. В результате этого происходит отказ в обслуживании.

• Downloader, или загрузчики, скачивают из Интернета файлы без уведомления пользователя. Это может быть все, что угодно: от интернет-страниц нецензурного содержания до откровенно вредоносных программ.

• Dropper (дропперы) занимаются скрытой установкой в систему других троянских программ.

• Прокси-серверы при «удачном» стечении обстоятельств устанавливают в вашу систему один из нескольких прокси-серверов (SOCKS, HTTP и т. п.). Это позволяет хозяину прокси-сервера совершать интернет-серфинг через этот прокси, не боясь, что его IP будет вычислен.

Деструктивные троянские программы, помимо своих непосредственных функций по сбору и отсылке конфиденциальной информации, могут форматировать диски, удалять системные файлы и причинять еще много другого вреда пользователям.

Программное обеспечение против троянских программ

Для обнаружения и удаления «троянских коней» существует целый арсенал специальных программ. Ниже представлена лишь их малая часть, которая реально поможет защитить ваш компьютер от всяких «вредителей».

• Advanced Spyware Remover. Это утилита, цель которой – защита вашей системы от вредоносных программ и шпионских модулей. С ее помощью можно избавиться от рекламных программ, дозвонщиков, программ-шпионов, кейлоггеров и т. д. От подобных программ ее отличает высокая скорость работы сканера, а также обновляемая база сегментов вредоносного кода F-Secure BlackLight.

• SpyDefense – программа для обнаружения шпионских модулей. Позволяет как найти, так и обезвредить большинство компьютерных шпионов.

• Arovax Shield – утилита, защищающая компьютер от программ-шпионов. В режиме реального времени она осуществляет мониторинг системы на предмет безопасности и предупреждает пользователя о любом проникновении «троянов» в систему.

• Anti-Spyware – система для борьбы с вредоносными программами и шпионскими модулями, разработанная компанией Microsoft. Разработчик утверждает, что утилита контролирует все возможные так называемые spyware-пути, по которым шпионские модули проникают в компьютер.

• Trend Micro CWShredder – программа для нахождения и удаления программ со шпионскими наклонностями. Позволяет обнаружить следы присутствия так называемых CoolWeb Search-программ, которые также относят к «троянским коням».

• SpyRemover – достаточно неплохая программа для поиска шпионских модулей. Она может распознать немало видов вредоносных программ, в том числе и со шпионским контекстом. Эту программу удобно обновлять в автоматическом режиме.

• XSpy Shield Gold – это мощная утилита, которая сможет защитить вас от spyware-модулей, присутствующих в некоторых программных продуктах и других шпионских модулях, что, естественно, представляет угрозу безопасности вашей операционной системы.

• CounterSpy отлично удаляет шпионские модули с компьютера.

• Spy Sweeper – неплохая программа для защиты от шпионских модулей, «троянов» и кейлоггеров.

• HookMonitor – программа, служащая для администрирования процессов, приводящих к установке глобальных ловушек на клавиатуру. Выявляет и блокирует модули spyware, ведущие наблюдение за набором паролей, и т. п.

• Browser Sentinel постоянно наблюдает за уязвимыми областями вашей системы. При обнаружении вредоносного компонента программа сразу же уведомит вас и поможет удалить вредоносное ПО, в том числе программы-шпионы, рекламу, клавиатурных шпионов, программы автодозвона и прочих непрошеных гостей.

Ищем «вредителя» самостоятельно

Как поступить, если установленный антивирус не выдает никаких сообщений, а присутствие «троянского коня» просто налицо, например слишком большой трафик, непонятные процессы в оперативной памяти, частые зависания и неустойчивая работа приложений? Для обнаружения шпиона используйте специальные утилиты, например Trojan Remover. Как показывает практика, это способен сделать даже начинающий пользователь. Плюс ко всему, в Интернете предостаточно соответствующего программного обеспечения.

Конечно же, удалить «троянского коня» можно и вручную. Вредоносные программы обычно запускаются автоматически и прописываются в соответствующих областях в следующих разделах реестра:

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run (наиболее часто встречаемые примеры);

• HKEY_CURENT_USER\Software\Microsoft\Windows\CurrentVersion\Run;

• HKEY_CURENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce;

• HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Run;

• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce.

Если вы обнаружили неизвестные записи, то есть не принадлежащие обычным приложениям, то можете смело удалять их. Однако стоит напомнить, что при работе с реестром вам следует вести себя очень внимательно и аккуратно. Нелишним также будет просмотреть все, что прописано в автозагрузке. Для этого нужно пройти по ссылке Пуск ► Выполнить и ввести в открывшемся окне команду msconfig, а затем перейти на вкладку Автозагрузка. Чтобы разрешить или запретить автозагрузку конкретной программы, следует установить соответствующий флажок. Надо также внимательно следить за драйверами и программами, прописанными в автозагрузку. Это поможет быстрее обнаружить «троянского коня». Если, несмотря на вашу бдительность, «троян» все же запустился, для начала надо распознать его и завершить выполняемый им процесс, воспользовавшись сочетанием клавиш CtrL+ALt+DeLete. Чтобы получить полную информацию о запущенных в Windows программах, можно запустить утилиту XRun или аналогичную ей – CTask.