Обнаружение троянца
Итак, троянец уже на вашей машине. Как правило, данная программа сначала инициализирует сетевые каналы Windows. Иногда создаётся своя DLL. После этого программа обычно записывает себя в системный каталог, а потом регистрирует себя в реестре как автозапускаемый процесс, т.е. прописывает себя, например, в ключе
HKEY_LOCAL_MASHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\RunServices.
Так что если при очередном просмотре реестра вы заметили под-ключ с названием программы, которую вы вроде бы не устанавливали, то имеется повод задуматься и проверить, что это такое. В конце установки конь захватывает один или несколько сетевых каналов. Вот он и готов к действию.
У вас есть подозрения, будто что-то с вашей машиной не так. На¬пример, она стала «тормозить» при загрузке сайтов (в 90% в этом виноват троян, приступивший к активной работе). Очень бы хотелось прове-рить, нет ли чего-нибудь лишнего. Как это сделать? Способов много. Приведем некоторые из них.
Способ 1. Можно установить антивирусную программу. Почти все из них отслеживают и вирусы, и коней. Желательно, чтобы антивирусная программа была резидентной (активной во время всей работы компью-тера), так как в этом случае можно будет отследить момент попытки установки, а иногда узнать адрес «дарителя». Судя по откликам администраторов сетей (данные из сети), наиболее подходящим на эту роль является AVP лаборатории Касперского.
Способ 2. Внимательно присмотритесь к названиям программ, загру¬жающихся при запуске системы (прежде всего относится к Windows). Некоторые кони помещают себя в раздел автозагрузки, поэтому их можно заметить на данном этапе (при загрузке). Посмотрите “Пуск\ Программы\ Автозагрузка” и win.ini и systemini (ключи run и load).
Способ 3. Реестр. Об этом уже кое-что говорилось. Если просмотреть ключи:
HKEY_LOCAL_MACHINE\SOFTWARES\Microsoft Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft Windows\CurrentVersion\Runservices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft Windows\CurrentVersion\RunservicesOnce
HKEY_USERS\.Default\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run
HKEY_USERS\.Default\SOFTWARE\Microsoft\ Windows\CurrentVersion\RunOnce
HKEY_USERS\.Default\SOFTWARE\Microsoft\ Windows\CurrentVersion\Runservices
HKEY_USERS\.Default\SOFTWARE\Microsoft Windows\CurrentVersion\RunservicesOnce,
то можно узнать очень много полезного. Например, если обнаружите строчку
Параметр: PATCH,
Значение: С:\ WINDOWS\ PATCH.EXE /nomsg,
то у вас прописался троян из серии BackDoor.
Способ 4. Просматривайте панель работающих процессов. Для этого существует множество программ, например, в пакет Visual Studio вхо¬дит программа Process Viewer Application. Вдруг вы заметите подозри-тельное приложение, имеющее приоритет выше, чем у Kernel32, или приложение имеет название, приведённое в приложениях 1,3. Может быть, стоит его проверить?
Способ 5. Проверяйте журнал удалённых подключений к вашей маши¬не. Зачастую злоумышленник не удосуживается скрыть следы своего присутствия. Поэтому в журналах остаются адреса, с которых производилось подключение, а также login.
Способ 6. Используйте программы, которые ведут слежение за сетевым трафиком. Данные приложения не пытаются предотвратить вторжение, но дают довольно много информации о том, с каких узлов производилось вторжение, о номерах используемых портов, а также информацию о пересылаемых пакетах. Минус тут один. Как уже говорилось, программа не препятствует взлому, а только ведёт журнал, поэтому приходится самостоятельно следить за трафиком и заботиться о своей безопасности. Но, согласитесь, дополнительная информация никогда не будет лишней.
Есть ещё несколько проблем, связанных с обнаружением вредоносных троянов. Во-первых, существует такая разновидность коней, которую очень трудно, а порой невозможно обнаружить антивирусными программами. Это так называемые дропперы. В чём причина их неуязвимости? Она до банальности проста. Любая антивирусная программа работает по принципу сравнения любой программы с программой-вредителем по имеющимся в базе данных признакам. Например, номер используемого порта. Но стоит только немного подкорректировать код вредителя, как он сразу станет невидимым. При этом не стоит принципиально менять действие программы. Достаточно самых минимальных изменений.
Авторы проверили это следующим образом. Взяли программу Alps6 и поменяли только номер используемого порта. Результатом стало то, что антивирусник Касперского молчал, когда программа работала, и не выказывал никаких признаков того, что она ему подозрительна, хотя начальную версию распознавал моментально. А портов, как известно, на машине очень много.
Существуют и другие варианты скрыть программу от антивирусных приложений. Это использование редких архиваторов. Многие авторы, пишущие по этому поводу статьи в сети Internet, утверждают, что ре-зультат будет тот же. Так как с архиваторами такого рода работать не приходилось, подтвердить этого нет возможности, как нет возможности и опровергнуть.
Источник: книга “Троянские кони. Принципы работы и методы защиты [Белоусов С.А.]”
В настоящие время цены на перевод документов с одного языка на другой не такие уж и большие.
