Компьютерные советы (сборник статей)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

После того как троянец закрепляется в системе, он начинает слушать 31337 UDP-порт, оставаясь в памяти Windows как скрытое приложение (т. е. без активного окна и ссылки в списке приложений). После того, как сервер получил команды от клиента, на машине жертвы возможно развитие следующего сценария:

— Сервер высылает своему истинному хозяину различную информацию о системе: тип процессора, размер памяти, версия системы, установленные устройства и т. п.;

— Сервер расшаривает диски, делая их видимыми из сети.

Таким образом, удаленный пользователь получает полный доступ к зараженной системе: операции удаления, копирования и т. п. вплоть до форматирования становятся настолько же реальными, как если бы вы работали за своим собственным ПК;). Помимо перечисленного, удаленный пользователь имеет возможность отключать текущего пользователя от сети, подвешивать систему, убивать процессы, получать и отправлять кэшированные пароли, выводить текстовые сообщения, проигрывать звуковые файлы и т. д., и т. п. Вышеперечисленные возможности отнюдь не являются верхом того, на что способен BO: для того, чтобы расширить список функций, достаточно скачать пару новых плагинов (plug-in) — и все;).

Скальпель!..

Если ваш антивирус упорно молчит, а возможность присутствия трояна высока, то самое время прибегнуть к следующим инструментам:

SUPERAntiSpyware— бесплатная для частного пользования программа, которая позволяет удалять с компьютера всевозможные виды вредоносного ПО (spyware, adware, malware, trojans, dialers, worms, keyLoggers, HiJackers и другие), восстанавливать нарушенные записи в сетевых соединениях, на рабочем столе, в системном реестре, повышать общую безопасность ПК, закрывая обнаруженные во время запуска бреши в системе безопасности Windows (сайт).

XoftSpy— это одна из лучших программ для удаления шпионских модулей. Одним из преимуществ XoftSpy является высокая скорость сканирования. Другой плюс — регулярные обновления, что особенно важно для утилиты, основное предназначение которой заключается в обеспечении безопасности пользователя (сайт).

SpywareGuard— после инсталляции программа автоматически помещается в автозагрузку и постоянно находится в оперативной памяти компьютера. Программа не требовательна к системным ресурсам. Настроек в ней практически нет — настраиваются всего несколько функций с возможностью задания пароля на смену настроек в этих функциях. Программа послужит отличным помощником антивирусному монитору и серьезной программе для поиска и устранения шпионских модулей (сайт).

Ad-Aware— это продукт, созданный для обеспечения надежной защиты компьютера от известных угроз: кражи личных данных, агрессивной рекламы, сайтов-паразитов, мошеннических программ, некоторых традиционных троянов, номеронабирателей, вредоносных программ (Malware), браузерных «перехватчиков» (Browser hijackers) и шпионских компонентов. Программа использует технологию идентификации последовательности кодов (Code Sequence Identification — CSI), которая обеспечивает не только защиту от известных троянов, но и превентивную защиту от ранее неизвестных угроз. Для большей защиты Ad-Aware SE Personal Edition также может сканировать дополнительные потоки данных (Alternate Data Streams — ADS) в томах файловой системы Windows NT (NTFS).

Теперь внимание!Проверено автором. Если в процессе работы антивирусов, чистильщиков, сканеров и прочих вы все-таки почувствовали, что экзарцист — это вы, а порции адреналина получает кто-то другой, то непременно, даже не задумываясь, вам обязательно следует «убить тварь» собственными руками…

Для ритуала нам понадобятся:

1) виртуальная DOS-машина (по-нашему просто cmd);

2) редактор реестра regedit.

Поехали!

Запускаем regedit, открываем ветвь

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

(наиболее излюбленное место троянов; NB: данная ветвь — не единственная, где могут сидеть трояны, поэтому не помешает заглянуть еще и сюда:

HKEY_CURENT_USER\Software\Microsoft\Windows\CurrentVersion\Run;

HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Run;

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce)

HKEY_CURENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce;

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

При обнаружении записи непрошенного гостя удаляем эту запись. Далее необходимо убить процесс, принадлежащий «чужому», для чего очень полезно «знать своих в лицо»: Explorer, Lsass, Services, System, Winlogon, Alg, Vsmon, Ctfmon, Svchost, Csrss, Smss. Естественно, что помимо перечисленных, в диспетчере задач можно обнаружить и другие, «мирные», процессы — те, которые принадлежат запущенным и резидентно выполняющимся приложениям. Это, например, kavsvc, принадлежащий антивирусу Касперского, zonealarm, принадлежащий брандмауэру, и т. д. Особое внимание следует обратить на так называемые процессы-маскировщики, имитирующие истинные: explore, sys, svshost, winlogin, systrey и т. д. При невозможности остановки «злопроцесса» средствами диспетчера задач можно воспользоваться утилитой Process Explorer и ей подобными. Кстати, вышеприведенная утилита окажется весьма и весьма полезной и «в мирное время», т. к. с ее помощью можно завершить даже те процессы, которые штатными средствами не завершишь;).

«Контрольный выстрел»— именно так можно назвать заключительную часть нашего ритуала: необходимо найти и уничтожить тело. А вот тут-то и самое время вспомнить про старый добрый ревизор, который, в отличие от полифагов, в свежих базах не нуждается. В качестве примера более чем уместно привести программу-ревизор Adinf. Принцип работы Adinf основан на сохранении в специальной базе основных данных о каждом логическом диске в системе. При первом запуске в таблицах запоминаются объем оперативной памяти, образы главного загрузочного сектора, загрузочных секторов, список сбойных кластеров, структура дерева каталогов, длины и контрольные суммы файлов. Когда вирус/троян заражает компьютер, он изменяет объект, в который внедряется исполняемый файл, главный загрузочный сектор, FAT-таблицу. Если ревизор обнаруживает на диске изменения, характерные для действия вируса/трояна, он предупреждает об этом пользователя. Важным отличием ADinf от других существующих программ-ревизоров является доступ к дискам без использования функций операционной системы. Такой метод доступа к дискам позволяет успешно обнаруживать стелс- вирусы (вирусы-невидимки). При условии, что был сделан снимок чистой системы, найти и стереть «лишний» файл не составит особого труда.

Не исключено, что при проведении «ритуала» могут возникнуть нештатные ситуации: файл может активно использоваться системой, и все попытки его удалить успехом не увенчаются. Есть ли выход? Конечно же, есть! Все, что нам надо — это удалить тело из-под другой системы — например, загрузившись из-под Linux LiveCD.