воскресенье, 25 декабря 2011 г.

"Троянские кони в пальто" - как от них отбиться?

По греческому преданию, после длительных лет осады ахейцы, отступая от Трои, оставили в подарок ее жителям огромного деревянного жеребца. Троянцы как дар ввезли его в город. Ночью спрятавшиеся в коне бойцы убили часовых и открыли ворота в город, чтоб впустить главное отряды. С того момента выражение "троянский жеребец" стало нарицательным (дар врагу, чтоб погубить его). Сейчас мы поговорим с вами о троянах. Что это такое, какими они бывают, как возможно подхватить эту заразу и как уберечься от нее. И, наконец, самое основное: что делать, если вы все-таки стали жертвой троянского жеребца.





Тут же нужно сделать небольшое, однако значительное уточнение. Троян - не одно и то же, что вирус. В отличие от вирусов, которые в основном сносят Винды и форматируют диски, трояны по собственной сути создания мирные. Сидят себе тихонько и делают свое черное дело... Область их компетенции - воровство конфиденциальной информации, паролей с последующей передачей в общей сложности этого добра хозяину. В классическом варианте троян состоит из клиента и сервера. Серверная часть как правило на компе у жертвы, клиентская - у хозяина, т.е. у того, кто сделал троян или просто модифицировал его, заставив вести работу на себя. Связь клиента и сервера производится ч/з какой-нибудь открытый порт. Протокол передачи данных - как правило TCP/IP, однако известны трояны, которые применяют и иные протоколы связи - в том числе, ICMP и даже UDP. Тот, кто создает трояны, умело маскирует их. 1 из вариантов - замаскировать троянского жеребца под какую-или полезную программу. При ее запуске сначала случается исполнение кода трояна, который после передает управление основной программе. Троян тоже может оказаться просто, однако эффективно замаскирован под файл с любым дружественным расширением - к примеру, GIF.

Какими они бывают...


Современная классификация троянов смотрится так:
Утилиты-шпионы типа Mail sender.
Программы удаленного администрирования - BACKDOOR.
Утилиты-дозвонщики - Dialer.
Кейлоггеры - KEYLOGGER.
Эмуляторы DDOS-атак.
Загрузчики - Downloader.
Дропперы - Dropper.
Прокси-серверы.
Деструктивные троянские утилиты (есть и подобные - напр., FLASHKILLER).
I-я группа - Mail Sender - максимально распространена, т.к. большинство троянов, если не все, отсылают хозяину пароли от Интернета, вашей электронной почты, ICQ, чатов, ну, и т.д. в зависимости от изобретательности троянмейкера. Примеры: Trojan-PSW.Win32.QQPASS.du (китайский троян, ворующий Windows-пароли), Bandra.BOK (скачивается на компьютер жертвы при посещении определенного сайта и пробует похитить пароли от конкретных банковских сайтов), Bancos.LU (сохраняет пароли во временных файлах, а после пробует отправить их хозяину), Banker.XP (собирает конфиденциальные данные, пароли, счета и т.д., отправляя их на некоторый адрес)...

Программы удаленного администрирования - backdoor (дословно "потайная дверь") - как правило обладают возможностями Mail Sender'а плюс функциями удаленного управления компьютером. Подобный троян ожидает соединения с позиции клиента (соединение производится ч/з какой-нибудь порт), при помощи которого посылаются команды на сервер. Примеры: Backdoor.Win32.Whisper.a - троянская утилита со встроенной функцией удаленного управления компьютером, знаменитый Back Orifice, дающий возможность постороннему контролировать ваш PC, как собственный. Созданный группой хакеров Cult of Dead Cow, он, невзирая на аскетичный интерфейс, дает возможность постороннему по локальной сети или Internet получить возможность полного контроля над вашим компьютером, полного доступа к вашим дискам, наблюдения за содержимым дисплея в реальном времени, записи с подключенного к системе микрофона или видеокамеры и т.п. Наиболее любопытный пример из этого списка - пожалуй, RADMIN, который определяется Symantec Antivirus как наиболее реальный троян;).

Утилиты-дозвонщики отличаются тем, что могут нанести жертве существенный финансовый урон, устанавливая соединение с зарубежным интернет-провайдером. Т.о., с телефонного номера абонента случается установление "незаказанного" международного соединения, к примеру, с островами Кука, Сьерра-Леоне, Диего-Гарсиа или иным диковинным регионом в зависимости от чувства юмора создавшего программу. Примеры: Trojan- PSW.Win32.DUT или trojan.dialuppasswordmailer.a;Trojan-PSW.Win32.Delf.gj;not-a-virus:PSWTOOL.Win32.DIALUPPAPER; not-a-virus:PORNWARE.Dialer.RTSMINI.

Трояны-кейлоггеры удачно сочетают в себе функции кейлоггера и обычного Send-Mailer'а. Они способны отслеживать нажатия клавиш клавиатуры и отправлять эту информацию злонамеренному пользователю. Это может реализовываться по почте или отправкой прямо на сервер, расположенный где-или в сети. Примеры: Backdoor.Win32.Assasin.20.; Backdoor.Win32.Assasin.20.n; Backdoor.Win32.BADBOY; Backdoor.Win32.Bancodor.d (keylogger.trojan).

Эмуляторы DDOS (Distributed Denial of Service) - достаточно любопытная группа троянов. Серверная часть слушает некоторый порт и, как только получает команды извне, начинает функционировать как нюкер (Nuker - приложение, отсылающее на заданный IP шквал некорректно сформированных пакетов, что приводит к эффекту, известному как отказ в обслуживании.




Загрузчики - Downloader. Это троянские утилиты, загружающие из Интернета файлы без ведома пользователя. Загружаемое может оказаться как интернет-страницами нецензурного содержания, так и просто вредоносным ПО. Примеры: Trojan-Downloader.Win32.Agent.fk (представляет собою Windows PE EXE файл. Размер инфицированных файлов значительно варьирует. После запуска троянец создает папку под названием %Program Files%\Archive, затем копирует себя в нее и т.д. Троянская утилита Trojan-Downloader.Win32.Small.bxp изначально была разослана с помощью спам-рассылки. Представляет собою Windows PE EXE файл, имеет размер возле 5 Кб. Упакована FSG. Размер распакованного файла - возле 33 Кб.

Дропперы (Dropper) - Троянские утилиты, созданные для скрытной установки в систему иных троянских программ. Пример: Trojan-Dropper.Win32.Agent.vw. Proxy-серверы - троян устанавливает в вашу систему 1 из некоторого количества proxy-серверов (socks, HTTP и т.п.), а после кто угодно, расплатившись хозяину трояна, или сам троянмейкер совершает интернет-серфинг ч/з этот proxy, не боясь, что его IP вычислят, т.к. это уже не его IP, а ваш...

Деструктивные троянские утилиты, кроме своих непосредственных функций сбора и отсылки конфиденциальной информации, могут форматировать диски, "сносить" Винду и т.д.

Как подхватить заразу?

Способы заражения не новы, однако именно они и являются воротами для нечисти в ваш PC... Ч/з Internet (наиболее обыкновенный метод - когда юзер качает из нета проги). Часто под безобидным ускорителем браузера может сидеть троян. При помощи всеми нами любимого "мыла"- наиболее распространенный метод заражения. Невзирая на многочисленные предупреждения, прогрессирует благодаря методам общественной инженерии. Прикрепленный файл, даже если он смотрится как картинка, может оказаться удачно замаскированной троянской программой. Ч/з дискету или CD-диск. Достаточно распространенный метод заражения. Сгласно данным статистики юзеры проверяют дискеты чаще, чем диски, если не заявить более: CD-диски как правило не проверяют вообще. А зря... Ведь именно пиратские диски (никто не будет отрицать, что подобных у нас больше всего) - не самое слабое звено в канале распространения деструктивных программ. По какой причине, когда WIN95.CIH пронесся над Европой и Азией, выяснилось, что инфицировано возле млн. машин, а в США - в общей сложности 10 тыс.? Распространялся этот вирус ч/з нелегальное ПО, скопированное на CD-диски.

Изобретательность вирусописателей не знает границ. Сам лично поймал "на живца" следующего зверя - "Trojan horse.Bat.Format C", который сидел в программном коде Trojan Remover'а(!). Разобраться в подобных ситуациях бывает нелегко. Правильность заключения возможно проверить, только дезассемблировав такую программу. Достаточно оригинальный метод заражения - ч/з autorun при вставке диска в дисковод. Как вы уже догадались, autorun.exe в этой ситуации выступает в достаточно оригинальной роли.

Отыскать и обезвредить!


Ниже приведен список подозрительных портов:
port 23 — Tiny Telnet Server (= TTS)
port 25 — Ajan, Antigen, Email Password Sender, Haebi Coceda , Happy 99, Kuang2, ProMail trojan, Shtrilitz, Stealth, Tapiras, Terminator, WinPC, WinSpy
31-Master Paradise
121-BO jammerkillahV
456-HackersParadise
555-Phase Zero
666-Attack FTP
1001-Silencer
1001-Silencer
1001-WebEx,
1010-Doly Trojan 1.30 (Subm.Cronco)
1011-Doly Trojan 1.1+1.2
1015-Doly Trojan 1.5 (Subm.Cronco)
1033-Netspy
1042-Bla1.1
1170-Streaming Audio Trojan
1207-SoftWar
1243-SubSeven
1245-Vodoo
1269-Maverick's Matrix
1492-FTP99CMP
1509-PsyberStreamingServer Nikhil G.
1600-Shiva Burka,
1807-SpySender,
6669-Vampire 1.0
6670-Deep Throat
6883-DeltaSource (DarkStar)
6912-Shitheep
6939-Indoctrination
7306-NetMonitor
7789-iCkiller
9872-PortalOfDoom
9875-Portal of Doom
9989-iNi-Killer
9989-InIkiller
10607-Coma Danny
11000-SennaSpyTrojans
11223-ProgenicTrojan
12076-Gjamer
12223-Hackґ99 KeyLogge
12346-NetBus 1.x (avoiding Netbuster)
12701-Eclipse 2000
16969-Priotrity
20000-Millenium
20034-NetBus Pro
20203-Logged!
20203-Chupacabra
20331-Bla
21544-GirlFriend
21554-GirlFriend
22222-Prosiak 0.47
23456-EvilFtp
27374-Sub-7 2.1
29891-The Unexplained
30029-AOLTrojan1.1
30100-NetSphere
30303-Socket25
30999-Kuang
31787-Hack'a'tack
33911-Trojan Spirit 2001 a
34324-Tiny Telnet Server
34324-BigGluck TN
40412-TheSpy
40423-Master Paradise
50766-Fore
53001-RemoteWindowsShutdown
54320-Back Orifice 2000 (default port)
54321-Schoolbus 1.6+2.0
61466-Telecommando
65000-Devil 1.03




Если ваш антивирус упорно молчит, а возможность присутствия трояна высока, то попробуйте обнаружить шпиона, воспользовавшись специальными утилитами типа Trojan Remover и т.п. Как показывает практика, этот метод доступен даже самому неопытному пользователю PC, тем паче, что соответствующего софта в Интернете достаточно. Однако об этом поговорим потом. А теперь постараемся разобраться в том, как возможно удалить троян руками.
Для собственного запуска троянская утилита как правило прописываются на автозапуск в последующих ветвях реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Майкрософт\Windows\CURRENTVERSION\Run (чаще в общей сложности сюда)
За исключением этой ветви, еще нужно заглянуть:
HKEY_CURENT_USER\Software\Майкрософт\Windows\CURRENTVERSION\Run;
HKEY_CURENT_USER\Software\Майкрософт\Windows\CURRENTVERSION\Runonce;
HKEY_USERS\.Default\Software\Майкрософт\Windows\CURRENTVERSION\Run;
HKEY_LOCAL_MACHINE\Software\Майкрософт\Windows\CURRENTVERSION\Runonce;

При обнаружении неизвестной записи, т.е. той, которая не принадлежит нормальным приложениям (для того, чтоб легко выявлять "засыльного", советую вам изучить эти ветви реестра в чистой системе и отыскать соответствия запись/приложение), смело удаляйте ее. Думаю, не грех еще раз напомнить, что при работе с реестром нужно придерживаться специальной аккуратности. Нужно тоже просмотреть все, что прописано в автозагрузке. Для этого в консоли "выполнить" набираем msconfig, дальше переходим на закладку "автозагрузка". Операции разрешение/запрет на автозагрузку конкретной утилиты интуитивно просты. Просто убираем галочку с утилиты, вызывающей у вас сомненье, и ее запуск при следующей загрузке Винды блокируется. Советую вам внимательно следить за собственными драйверами и программами, прописанными в автозагрузку - тогда у вас будет гораздо более шансов мгновенно определить трояна. Если троян все-таки запустился, сперва нужно распознать его и завершить процесс, ему принадлежащий, воспользовавшись Ctrl+Alt+Del. Хотя, даже если вы не нашли его в процессах диспетчера задач, огорчаться не стоит. Полную информацию о запущенных в Windows программах возможно увидеть, запустив утилиту XRUN или ей подобную - CTASK. Для того чтоб не перепутать своих/чужих, советую изучить перечень типичных процессов диспетчера задач.

Если вышеизложенные способы ничего не дали, а признаки троянизации налицо (чересчур огромной трафик, непонятные процессы в оперативной памяти, тормоза и глюки), то пришло, как говорят, время для плана Б. Требуется просканировать ваш PC извне на наличие открытых портов. Все, что вам потребуется для подобной операции - неплохой сканер портов и ваш IP. Эта процедура высокоэффективна, и с ее помощью выявляются даже наиболее хитрые и скрытные трояны. Из сканеров могу порекомендовать X-Spider, который является лучшим сканером для таких дел. Если у вас открыты нестандартные порты, то есть о чем призадуматься... и прикрыть это дело в настройках вашего брандмауэра.

Как вы уже догадались, в данном списке портов в основном те, которые применяются шпионскими программами.

Software против троянов

Для обнаружения и удаления троянов есть целый арсенал соответствующего софта. Вот только та малая толика, которая, как я надеюсь, поможет защитить ваш PC от всевозможного рода шпионов.

Advanced Spyware Remover
Программа, предназначенная для защиты персонального компьютера от вредоносных программ и шпионских модулей. Она дает возможность избавиться от рекламных программ, дозвонщиков, программ-шпионов, кейлоггеров, троянов и т.д. Advanced Spyware Remover проверяет системный реестр на наличие в нем ключей, принадлежащих вышеперечисленным типам вредоносных программ. Ее главной отличительной особенностью перед аналогами является быстра работа сканера и обновляемая антишпионская база сегментов вредоносного кода F-Secure BLACKLIGHT.

SPYDEFENSE 0.9.5.118 Beta
Утилита для обнаружения шпионских модулей. Дает возможность отыскать и обезвредить большое число компьютерных шпионов.

Advanced Spyware Remover 1.73.20134
Программа, предназначенная для защиты персонального компьютера от вредоносных программ и шпионских модулей. Дает возможность избавиться от рекламных программ, дозвонщиков, программ-шпионов, кейлоггеров, троянов и т.д.

WINPATROL 9.8.1.0
Утилита, предназначенная для повышения безопасности ОС Windows. Отслеживает и уничтожает разные шпионские модули и вредоносные утилиты типа Adware и Spyware.

Arovax Shield 1.2.314
Программа, предназначенная для защиты от программ-шпионов. Arovax Shield дает возможность в режиме реального времени следить за безопасностью системы, предупреждая пользователя о проникновении в нее всевозможных паразитов при помощи сети Интернет.

Arovax ANTISPYWARE 1.0.353
Программа для удаления программ-шпионов. На сегодня в ее антишпионской базе содержится свыше 33 тыс. сегментов вредоносного кода. Майкрософт

ANTISPYWARE 1.0.701
Система для борьбы с вредоносными программами и шпионскими модулями разработки Майкрософт. Как утверждает разработчик, программа удерживает под контролем более 50 так называемых spyware-дорог, по которым в компьютер могут попасть шпионские модули.

Trend Micro CWSHREDDER 2.19
Программа для нахождения и удаления шпионских программ. Дает возможность обнаружить следы присутствия на PC так называемых Cool Web Search программ (их относят к вирусам-троянам).

a-squared HIJACKFREE 1.0.0.19
Программа, предназначенная для детального анализа системы по различным параметрам, касающимся безопасности. Утилита может оказаться полезна для определения и удаления из компьютера почти всех типов HIJACKERS, Spyware, Adware, Trojans и Worms.




SPYREMOVER - хорошая утилита для поиска шпионских модулей. SPYREMOVER распознает более 27.500 типов вредоносных программ (spyware, adware, hijackers, keyloggers, Trojans и т.д.). В ней есть возможность автообновлений.

XSPY Shield Gold - мощная утилита, которая поможет вам защититься от spyware-модулей, которые присутствуют в некоторых программных продуктах и иных шпионских модулях и могут представлять угрозу безопасности вашей операционной системы.

Anti-keylogger - программа для операционных систем семейства Windows 2k/XP, защищающая от программных кейлоггеров(программ, которые фиксируют все нажатия клавиш на клавиатуре, а значит, могут позволить злоумышленнику выяснить все набираемые вами пароли).

COUNTERSPY - аналог утилиты Ad-aware. Дает возможность удалить шпионские модули с вашего компьютера.

Spy Sweeper - хорошая утилита для защиты PC от spyware (шпионских) модулей, и от троянов и кейлоггеров.

HOOKMONITOR предназначена для администрирования процесса установки обширных ловушек на клавиатуру. Выявляет и блокирует модули различного spyware, ведущие наблюдение за набором паролей и т.п.

Browser Sentinel всегда наблюдает за уязвимыми зонами системы на предмет обнаружения вредоносных компонентов. Она уведомит вас и поможет удалить утилиты-шпионы, рекламное ПО, клавиатурных шпионов, утилиты автодозвона и остальных непрошеных гостей.

Майкрософт Windows ANTISPYWARE 1.0.614 beta - утилита для обнаружения и удаления из системы разных нежелательных модулей: отслеживающих интернет-предпочтения, добавляющих всплывающие рекламные окна, вносящих несанкционированные перемены в интернет-настройки. В заключение очень хочется подчеркнуть, что широкое распространение троянских коней было, есть и будет. И тому есть немало причин. Троянские утилиты являются мощным инструментом приобретения конфиденциальной информации, кражи индивидуальных данных, наживы за чужой счет. Для того чтоб остановить трояна, в одних ситуациях бывает довольно Spy Remover'а и ему таких программ, в иных - вашего антивируса. Однако лишь комплексное использование методов защиты обеспечит безопасность вашей системы.



Комментариев нет:

Отправить комментарий