Захисти свій пк від троянів!

Відразу слід зробити маленьке, але суттєве уточнення. Троян - це не одне і те ж, що вірус. На відміну від вірусів, які в основному зносять Вінди і форматують диски, трояни за своєю суттю істоти мирні. Сидять собі тихенько і роблять свою чорну справу ... Область їх компетенції - злодійство конфіденційної інформації, паролів з подальшою передачею всього цього добра господареві. У класичному варіанті троян складається з клієнта і сервера. Серверна частина зазвичай на компі у жертви, клієнтська - у господаря, тобто у того, хто створив троян або просто модифікував його, змусивши працювати на себе. Зв`язок клієнта і сервера здійснюється через будь-який відкритий порт. Протокол передачі даних - зазвичай TCP / IP, але відомі трояни, які використовують і інші протоколи зв`язку - зокрема, ICMP і навіть UDP. Той, хто створює трояни, вміло маскує їх. Один з варіантів - замаскувати троянського коня під будь-яку корисну програму. При її запуску спочатку відбувається виконання коду трояна, який потім передає управління основній програмі. Троян також може бути просто, але ефективно замаскований під файл з будь-яким дружнім розширенням - наприклад, GIF.

Відео: ВІРУС SATANA

Якими вони бувають ...

Сучасна класифікація троянів виглядає наступним чином:

1. Програми-шпигуни типу Mail sender.
2. Утиліти віддаленого адміністрування - BackDoor.
3. Програми-дозвонщики - Dialer.
4. кейлогери - KeyLogger.
5. емулятори DDos-атак.
6. Завантажники - Downloader.
7. дроппер - Dropper.
8. Проксі-сервери.
9. Деструктивні троянські програми (є і такі - напр., FlashKiller).

Перша група - Mail Sender - найбільш поширена, тому що переважна більшість троянів, якщо не все, відсилають господареві паролі від Інтернету, Вашу електронну поштову скриньку, ICQ, чатів, ну, і так далі в залежності від винахідливості троянмейкера. Приклади: Trojan-PSW.Win32.QQPass.du (китайський троян, який краде Windows-паролі), Bandra.BOK (скачується на комп`ютер жертви при відвідуванні певного сайту і намагається вкрасти паролі від певних банківських сайтів), Bancos.LU (зберігає паролі у тимчасових файлах, а потім намагається відіслати їх господареві), Banker.XP (збирає конфіденційні дані, паролі, рахунки і т.д., відправляючи їх на певну адресу)…

Утиліти віддаленого адміністрування - backdoor (Дослівно "потаємні двері") - зазвичай володіють можливостями Mail Sender`а плюс функціями віддаленого управління комп`ютером. Такий троян чекає з`єднання з боку клієнта (з`єднання здійснюється через якийсь порт), за допомогою якого надсилаються команди на сервер. Приклади: Backdoor.Win32.Whisper.a - троянська програма з вбудованою функцією віддаленого управління комп`ютером, знаменитий Back Orifice, що дозволяє сторонньому контролювати ваш ПК, як свій. Створений групою хакерів Cult of Dead Cow, він, незважаючи на аскетичний інтерфейс, дозволяє сторонньому по локальній мережі або Internet отримати можливість повного контролю над вашим комп`ютером, повного доступу до ваших дисків, спостереження за вмістом екрана в реальному часі, записи з підключеного до системи мікрофона або відеокамери і т.п. Найцікавіший приклад з цього списку - мабуть, RADMIN, який визначається Symantec Antivirus як справжнісінький троян-).

Програми-дозвонщики відрізняються тим, що можуть завдати жертві значних фінансових втрат, встановлюючи з`єднання із закордонним інтернет-провайдером. Таким чином, з телефонного номера абонента відбувається встановлення «незамовленого» міжнародного сполучення, наприклад, з островами Кука, Сьєрра-Леоне, Дієго-Гарсіа або іншим дивовижним регіоном в залежності від почуття гумору створив програму. Приклади: Trojan- PSW.Win32.DUT або trojan.dialuppasswordmailer.a-Trojan-PSW.Win32.Delf.gj-not-a-virus: PSWTool.Win32.DialUpPaper- not-a-virus: PornWare.Dialer.RTSMini.

Трояни-кейлоггери вдало поєднують в собі функції кейлоггера і звичайного Send-Mailer`а. Вони здатні відстежувати натискання клавіш клавіатури і відсилати цю інформацію зловмисному користувачеві. Це може здійснюватися поштою або відправкою прямо на сервер, розташований де-небудь в глобальній мережі. Приклади: Backdoor.Win32.Assasin.20.- Backdoor.Win32.Assasin.20.n- Backdoor.Win32.BadBoy- Backdoor.Win32.Bancodor.d (keylogger.trojan).

емулятори DDos (Distributed Denial of Service) - досить цікава група троянів. Серверна частина слухає певний порт і, як тільки отримує команди ззовні, починає функціонувати як нюкер (Nuker - додаток, що відсилає на заданий IP шквал некоректно сформованих пакетів, що призводить до ефекту, відомого як відмова в обслуговуванні.

Завантажники - Downloader. Це троянські програми, які завантажили з Інтернету файли без відома користувача. Завантажувати може бути як інтернет-сторінками нецензурного змісту, так і просто шкідливим ПЗ. Приклади: Trojan-Downloader.Win32.Agent.fk (представляє собою Windows PE EXE файл. Розмір заражених файлів істотно варіюється. Після запуску троянець створює папку під назвою% Program Files% Archive, після чого копіює себе в неї і т.д. Троянська програма Trojan-Downloader.Win32.Small.bxp спочатку була розіслана за допомогою спам-розсилки. Являє собою Windows PE EXE файл, має розмір близько 5 КБ. Упакована FSG. Розмір розпакованого файлу - близько 33 КБ.

дроппер (Dropper) - Троянські програми, створені для прихованої установки в систему інших троянських програм. Приклад: Trojan-Dropper.Win32.Agent.vw. Proxy-сервери - троян встановлює в вашу систему один з декількох proxy-серверів (socks, HTTP і т.п.), а потім хто завгодно, заплативши господареві трояна, або сам троянмейкер робить інтернет-серфінг через цей proxy, не боячись, що його IP вирахують, тому що це вже не його IP, а ваш…

Деструктивні троянські програми, крім своїх безпосередніх функцій збору і відсилання конфіденційної інформації, можуть форматувати диски, "зносити" Вінду і т.д.

Як підхопити заразу?

Способи зараження не нові, але саме вони і є воротами для нечисті в ваш ПК ... Через Internet (самий звичайний спосіб - коли юзер качає з нету проги). Дуже часто під нешкідливим прискорювачем браузера може сидіти троян. За допомогою усіма нами улюбленого "мила" - найпоширеніший спосіб зараження. Незважаючи на численні попередження, прогресує завдяки методам соціальної інженерії. Прикріплений файл, навіть якщо він виглядає як картинка, може бути вдало замаскованою троянської програмою. Через дискету або CD-диск. Досить поширений спосіб зараження. За статистикою користувачі перевіряють дискети частіше, ніж диски, якщо не сказати більше: CD-диски зазвичай не перевіряють взагалі. А даремно ... Адже саме піратські диски (ніхто не буде заперечувати, що таких у нас більшість) - не найслабша ланка в каналі поширення деструктивних програм. Чому, коли WIN95.CIH пронісся над Європою і Азією, виявилося, що інфіковано близько мільйона машин, а в США - всього 10 тисяч? Поширювався цей вірус через нелегальне ПЗ, скопійоване на CD-диски.

Винахідливість вірусів не знає кордонів. Сам особисто зловив «на живця» наступного звіра - «Trojan horse.Bat.Format C», який сидів в програмному коді Trojan Remover`а (!). Розібратися в таких випадках буває нелегко. Правильність укладання можна перевірити, лише дезассембліровав таку програму. Досить оригінальний спосіб зараження - через autorun при вставці диска в дисковод. Як ви вже здогадалися, autorun.exe в даному випадку виступає в досить оригінальною ролі.

Знайти і знешкодити!

Якщо ваш антивірус вперто мовчить, а можливість присутності трояна висока, то спробуйте виявити шпигуна, скориставшись спеціальними утилітами типу Trojan Remover і т.п. Як показує практика, цей спосіб доступний навіть самому недосвідченому користувачу ПК, тим більше, що відповідного софта в Інтернеті більш ніж достатньо. Але про це поговоримо пізніше. А зараз спробуємо розібратися в тому, як можна видалити троян вручну.

Для свого запуску троянська програма зазвичай прописуються на автозапуск в наступних гілках реєстру:

HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Run (найчастіше сюди)
Крім цієї гілки, ще слід заглянути:
HKEY_CURENT_USER Software Microsoft Windows CurrentVersion Run;
HKEY_CURENT_USER Software Microsoft Windows CurrentVersion Runonce;
HKEY_USERS .Default Software Microsoft Windows CurrentVersion Run;
HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Runonce-

При виявленні невідомої записи, тобто тієї, яка не належить нормальним додатків (для того, щоб з легкістю виявляти «засильного», раджу вам вивчити дані гілки реєстру в чистій системі і знайти відповідності запис / додаток), сміливо видаляйте її. Думаю, не гріх зайвий раз нагадати, що при роботі з реєстром слід дотримуватися особливої ​​акуратності. Слід також переглянути все, що прописано в автозавантаженні. Для цього в консолі "виконати" набираємо msconfig, далі переходимо на закладку "автозавантаження". Операції дозвіл / заборона на автозагрузку конкретної програми інтуїтивно прості. Просто прибираємо галочку з програми, що викликає у вас сумнів, і її запуск при наступному завантаженні Вінди блокується. Раджу вам уважно стежити за своїми драйверами і програмами, прописаними в автозавантаження - тоді у вас буде набагато більше шансів моментально визначити трояна. Якщо троян все ж запустився, для початку слід розпізнати його і завершити процес, йому належить, скориставшись Ctrl + Alt + Del. Однак, навіть якщо ви не виявили його в процесах диспетчера задач, засмучуватися не варто. Повну інформацію про запущені в Windows програмах можна побачити, запустивши утиліту XRun або їй подібну - CTask. Для того щоб не переплутати своїх / чужих, раджу вивчити список типових процесів диспетчера задач.

Якщо вищевикладені способи нічого не дали, а ознаки троянізаціі наявності (занадто великий трафік, незрозумілі процеси в оперативній пам`яті, гальма і глюки), то прийшло, як кажуть, час для плану Б. Необхідно просканувати ваш ПК ззовні на наявність відкритих портів. Все, що вам знадобиться для такої операції - це хороший сканер портів і ваш IP. Дана процедура високоефективна, і з її допомогою виявляються навіть самі потайливі і хитрі трояни. З сканерів можу порадити X-Spider, який є кращим сканером для подібних справ. Якщо у вас відкриті нестандартні порти, то є над чим замислитися ... і прикрити цю справу в налаштуваннях вашого брандмауера.

Нижче наведено список підозрілих портів:

port 23 - Tiny Telnet Server (= TTS)
port 25 - Ajan, Antigen, Email Password Sender, Haebi Coceda, Happy 99, Kuang2, ProMail trojan, Shtrilitz, Stealth, Tapiras, Terminator, WinPC, WinSpy
31-Master Paradise
121-BO jammerkillahV
456-HackersParadise
555-Phase Zero
666-Attack FTP
1001-Silencer
1001-Silencer
1001-WebEx,
1010-Doly Trojan 1.30 (Subm.Cronco)
1011-Doly Trojan 1.1 + 1.2
1015-Doly Trojan 1.5 (Subm.Cronco)
1033-Netspy
1042-Bla1.1
1170-Streaming Audio Trojan
1207-SoftWar
1243-SubSeven
Тисячу двісті сорок п`ять-Vodoo
1 269-Maverick`s Matrix
Тисячу чотиреста дев`яносто дві-FTP99CMP
1509-PsyberStreamingServer Nikhil G.
1600-Shiva Burka,
1807-SpySender,
6669-Vampire 1.0
6670-Deep Throat
6883-DeltaSource (DarkStar)
6912-Shitheep
6939-Indoctrination
7306-NetMonitor
7789-iCkiller
9872-PortalOfDoom
9875-Portal of Doom
9989-iNi-Killer
9989-InIkiller
10607-Coma Danny
11000-SennaSpyTrojans
11223-ProgenicTrojan
12076-Gjamer
12223-Hackґ99 KeyLogge
12346-NetBus 1.x (avoiding Netbuster)
12701-Eclipse 2000
16969-Priotrity
20000-Millenium
20034-NetBus Pro
20203-Logged!
20203-Chupacabra
20331-Bla
21544-GirlFriend
21554-GirlFriend
22222-Prosiak 0.47
23456-EvilFtp
27374-Sub-7 2.1
29891-The Unexplained
30029-AOLTrojan1.1
30100-NetSphere
30303-Socket25
30999-Kuang
31787-Hack`a`tack
33911-Trojan Spirit 2001 a
34324-Tiny Telnet Server
34324-BigGluck TN
40412-TheSpy
40423-Master Paradise
50766-Fore
53001-RemoteWindowsShutdown
54320-Back Orifice 2000 (default port)
54321-Schoolbus 1.6 + 2.0
61466-Telecommando
65000-Devil 1.03

Як ви вже здогадалися, в даному списку портів в основному ті, які використовуються шпигунськими програмами.

Software проти троянів

Для виявлення і видалення троянів існує цілий арсенал відповідного софта. Ось лише та мала частина, яка, як я сподіваюся, допоможе захистити ваш ПК від всілякого роду шпигунів.

Advanced Spyware Remover -Утиліта, призначена для захисту персонального комп`ютера від шкідливих програм і шпигунських модулів. Вона дозволяє позбутися від рекламних програм, дозвонщиков, програм-шпигунів, кілоггерів, троянів і т.д. Advanced Spyware Remover перевіряє системний реєстр на наявність в ньому ключів, що належать вищепереліченим типам шкідливих програм. Її головною відмітною особливістю перед аналогами є висока швидкість роботи сканера і оновлювана антишпигунська база сегментів шкідливого коду F-Secure BlackLight.

SpyDefense 0.9.5.118 Beta - Програма для виявлення шпигунських модулів. Дозволяє знайти і знешкодити велику кількість комп`ютерних шпигунів.

Advanced Spyware Remover 1.73.20134 - Утиліта, призначена для захисту персонального комп`ютера від шкідливих програм і шпигунських модулів. Дозволяє позбутися від рекламних програм, дозвонщиков, програм-шпигунів, кілоггерів, троянів і т.д.

WinPatrol 9.8.1.0 - Програма, призначена для підвищення безпеки ОС Windows. Відстежує і знищує різні шпигунські модулі і шкідливі програми типу Adware і Spyware.

Arovax Shield 1.2.314 - Утиліта, призначена для захисту від програм-шпигунів. Arovax Shield дозволяє в режимі реального часу стежити за безпекою системи, попереджаючи користувача про проникнення в неї всіляких паразитів за допомогою мережі Інтернет.

Відео: Як вилікувати комп`ютер від вірусів. / Вилікувати від троянів

Arovax AntiSpyware 1.0.353 - Утиліта для видалення програм-шпигунів. На сьогоднішній день в її антишпигунською базі міститься понад 33 тисяч сегментів шкідливого коду. Microsoft

AntiSpyware 1.0.701 - Система для боротьби з шкідливими програмами і шпигунськими модулями розробки Microsoft. Як стверджує розробник, утиліта тримає під контролем більше 50 так званих spyware-шляхів, за якими в комп`ютер можуть потрапити шпигунські модулі.

Trend Micro CWShredder 2.19 - Утиліта для знаходження і видалення шпигунських програм. Дозволяє виявити сліди присутності на ПК так званих Cool Web Search програм (їх відносять до вірусів-троянів).

a-squared HiJackFree 1.0.0.19 - Утиліта, призначена для детального аналізу системи за різними параметрами, що стосуються безпеки. Програма може бути корисна для визначення і видалення з комп`ютера практично всіх типів HiJackers, Spyware, Adware, Trojans і Worms.

SpyRemover - непогана програма для пошуку шпигунських модулів. SpyRemover розпізнає більш 27.500 типів шкідливих програм (spyware, adware, hijackers, keyloggers, Trojans і т.д.). У ній є можливість автооновлення.

XSpy Shield Gold - це потужна програма, яка допоможе вам захиститися від spyware-модулів, які присутні в деяких програмних продуктах і інших шпигунських модулях і можуть становити загрозу безпеці вашої операційної системи.

Anti-keylogger - утиліта для операційних систем сімейства Windows 2k / XP, що захищає від програмних кейлоггеров (програм, які фіксують всі натискання клавіш на клавіатурі, а значить, можуть дозволити зловмиснику дізнатися все ви набираєте паролі).

CounterSpy - аналог програми Ad-aware. Дозволяє видалити шпигунські модулі з вашого комп`ютера.

Spy Sweeper - непогана програма для захисту ПК від spyware (шпигунських) модулів, а також від троянів і кейлогерів.

HookMonitor призначена для адміністрування процесу установки глобальних пасток на клавіатуру. Виявляє і блокує модулі різного spyware, що ведуть спостереження за набором паролів і т.п.

Browser Sentinel постійно спостерігає за уразливими зонами системи на предмет виявлення шкідливих компонентів. Вона повідомить вас і допоможе видалити програми-шпигуни, рекламне ПО, клавіатурних шпигунів, програми автодозвону та інших непроханих гостей.

Microsoft Windows AntiSpyware 1.0.614 beta - це програма для виявлення і видалення з системи різноманітних небажаних модулів: відстежують інтернет-переваги, що додають спливаючі рекламні вікна, що вносять несанкціоновані зміни в інтернет-настройки. На закінчення хотілося б відзначити, що широке поширення троянських коней було, є і буде. І тому є багато причин. Троянські програми є потужним інструментом отримання конфіденційної інформації, крадіжки особистих даних, наживи за чужий рахунок. Для того щоб зупинити трояна, в одних випадках буває досить Spy Remover`а і йому подібних програм, в інших - вашого антивіруса. Але тільки комплексне застосування методів захисту забезпечить безпеку вашої системи