Мир компьютеров    compics.net

 Мир компьютеров

 

 

 Поиск неисправностей компьютеров

 

 

 Новости

Железо

Интернет

Коммуникации

Программы

Обзоры

Поиск неисправностей

Трояны, Trojan

Из греческого придания известно, что после долгой осады Трои ахейцы, отступая, оставили в подарок жителям города огромного деревянного коня. Получив такой дар, жители Трои ввезли его в город. Ночью воины, прятавшиеся в деревянном коне, убили охрану, открыли ворота и впустили в город войска. С тех самых пор словосочетание «Троянский конь» стало нарицательным (дар врагу, для того чтобы убить его).

Давайте поговорим о том, что такое Трояны, что они собой представляют, какими они бывают, как можно их подцепить и как от них уберечься.

Трояны существа довольно миролюбивые. Их задача – воровство всевозможных паролей и конфиденциальной информации с заражённого компьютера для передачи её своему «хозяину». В основном Троян состоит из двух частей «Клиента» и «Сервера». «Сервер» располагается на зараженном компьютере, «Клиент» на компьютере «Хозяина», т.е. у того кто его непосредственно создал и запустил в сеть. Связываются «Сервер» и «Клиент» через любой открытый порт, протокол передачи данных в основном в формате TCP/IP, однако встречаются Трояны использующие другие протоколы связи, такие как ICMP или UDP. Трояны хорошо маскируются обычно, под какую-нибудь полезную программу, или это может быть файл с дружественным расширением, к примеру, GIF. При запуске такой программы или файла сначала активируется код Трояна, который и запускает основную программу.

Рассмотрим классификацию Троянов:

1. Программы-шпионы (типа Mail sender)

Эта группа самая распространенная, так как большая часть Троянов, а может даже и все, пересылают пароли от электронной почты, Интернета, ICQ, чатов и т.п. в зависимости от того какое задание они получили от «Хозяина».

Примеры: Banker.XP (собирает конфиденциальные данные, пароли, счета и т.д., отправляя их на определенный адрес), Trojan-PSW.Win32.QQPass.du (китайский троян, ворующий Windows-пароли), Bancos.LU (сохраняет пароли во временных файлах, а затем пытается отослать их хозяину), Bandra.BOK (скачивается на компьютер жертвы при посещении определенного сайта и пытается украсть пароли от определенных банковских сайтов),

2. Утилиты удаленного администрирования — BackDoor.

В дословном переводе «потайная дверь». Такие Трояны имеют функции Mail Sender'а и функции удаленного управления компьютером. Обосновавшись на вашем компьютере, они находятся в ожидании соединения со стороны клиента через какой-либо порт, после установления соединения посылают команды на «Сервер».

Примеры: Backdoor.Win32.Whisper.a — троянская программа со встроенной функцией удаленного управления компьютером.

3. Программы-дозвонщики — Dialer.

Такие виды Троянов устанавливают соединение с зарубежными Интернет-провайдерами, чем наносят жертве не малые финансовые траты. С телефонного номера жертвы осуществляется «незаконное» соединение например, с Лос-Анджелесом или островом Шри-Ланка, в зависимости от изощренной фантазии создателя Трояна. C развитием технологии ADSL этих троянов становится всё меньше и меньше.

Примеры: not-a-virus: PornWare.Dialer.RTSMini; Trojan-PSW.Win32.DUT; not-a-virus: PSWTool.Win32.DialUpPaper; Trojan-PSW.Win32.Delf.gj.

4. Кейлоггеры — KeyLogger.

В Троянах-кейлоггерах имеются функции кейлоггера и Send-Mailer'а. В задачи такого Трояна входит отслеживание нажатия клавиш клавиатуры и передача этих данных своему хозяину. Осуществляется такая передача с помощью почты либо передается прямо на сервер, который находится в сети.

Примеры: Backdoor.Win32.Assasin.20.; Backdoor.Win32.Bancodor.d (keylogger.trojan); Backdoor.Win32.Assasin.20.n; Backdoor.Win32.BadBoy;.

5. Эмуляторы DDos-атак.

Своеобразная группа Троянов. Сервер такого Трояна, получив команду от определенного порта, начинает функционировать как нюкер, т.е. отсылает на определенный IP-адрес множество некорректно сформированных пакетов. Это приводит к отказу в обслуживании.

6. Загрузчики — Downloader.

Эти программы, загружают из Интернета без ведома пользователя различные файлы. Это может быть как вредоносное ПО, так и интернет-страницы нецензурного содержания.

Примеры: Trojan-Downloader.Win32.Agent.fk

7. Дропперы — Dropper.

Программы, предназначенные для скрытой установки на ваш компьютер других троянских программ.

Пример: Trojan-Dropper.Win32.Agent.vw. Proxy-серверы — троян устанавливает в вашу систему один из нескольких proxy-серверов (socks, HTTP и т.п.), а затем кто угодно, заплатив хозяину трояна, либо сам хозяин совершает соединения через этот proxy, не боясь, что его IP вычислят, т.к. это уже не его IP, а ваш…

8. Прокси-серверы.

9. Деструктивные троянские программы (напр. FlashKiller).

Этот вид Троянов помимо того, что собирает и пересылает конфиденциальную информацию, еще и форматирует жёсткие диски и повреждает операционную систему Windows.

Теперь рассмотрим, каким образом можно подцепить Трояна.

1. Самый распространенный вариант – при скачивании различных файлов и программ из Интернета. Часто он маскируется под ускорителем скачивания.

2. Другой способ заражения, не менее распространенный, с помощью электронной почты. Любой прикрепленный файл может быть хорошо замаскированным Трояном. После открытия такого файла Троян с легкостью проникает на ваш компьютер.

3. Также заражение может осуществляться с помощью CD-дисков, флешек и дискет. Пользователи чаще проверяют флешки и дискеты, что касается CD-дисков, то их не проверяют вообще. И очень даже зря! Большинство пиратских дисков является распространителем деструктивных программ.

К примеру, когда Троян WIN95.CIH распространился в Европе и Азии, оказалось, что заражено около миллиона машин, в то время как в США — всего 10 тысяч машин. Оказалось, что распространялся этот вирус через нелегальное ПО, записанное на CD-диски.

4. Еще существует способ заражения через автозапуск. Осуществляется такое заражение при вставке диска в дисковод.

Писатели вирусов чрезвычайно изобретательный народ, существует «Trojan horse.Bat.Format C», который сидит в программном коде Trojan Remover'а(!). В таких случаях найти его бывает очень сложно. Только дизассемблировав такую программу можно сделать правильный вывод.

Как их обезвредить?

Если антивирус не видит опасности, а вы не исключаете возможности присутствия вируса на вашем компьютере можно попробовать обнаружить его с помощью утилиты Trojan Remover и др. или может потребоваться компьютерная помощь для определения чистоты вашей системы.

Этот способ поиска враждебно настроенных программ будет по плечу даже пользователю, не имеющему опыта, да и соответствующего софта в Интернете предостаточно. К этому мы вернемся позже, а сейчас попробуем рассмотреть ситуации, когда можно удалить Троян вручную.

Для того чтобы активироваться, Троян обычно прописывается на автозапуске в следующих реестрах:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run (чаще всего здесь)

Но не помешает заглянуть и сюда:
HKEY_CURENT_USER\Software\Microsoft\Windows\CurrentVersion\Run;
HKEY_CURENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce;
HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Run;
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce;

Если при просмотре реестра вы обнаружите неизвестную запись, удаляйте её без колебания. Чтобы с лёгкостью обнаружить «лазутчика», можно, для начала, изучить соответствующие ветви реестра на чистом компьютере или же найти соответствие запись/приложение. Не лишним будет напомнить, что работать с реестром нужно предельно осторожно. Также необходимо просмотреть, что прописано в автозагрузке - в консоли «выполнить» набираем msconfig, переходим в закладку «автозагрузка». На автозагрузке разрешение/запрет конкретных программ осуществляется довольно просто, убираем галочку с сомнительной программы и при последующей загрузке Windows её блокирует. Если вы внимательно следите за тем, какие программы и драйвера прописаны у вас в автозагрузке, то вам не составит труда вычислить Троян.

В случае, когда вредоносная программа уже запустилась, в первую очередь, необходимо её распознать и завершить процесс с помощью Ctrl+Alt+Del. Если Троян не обнаруживается в диспетчере задач, то информацию о запущенных программах Windows увидеть можно, запустив утилиту Anvir Task Manager или Autoruns. Однако чтобы не запутаться в своих - чужих, необходимо ознакомиться со списком типичных процессов диспетчера задач.

Если в результате произведенных действий, указанных выше, Троян все же не обнаружен, а вы уверенны, что компьютер инфицирован (тормозит, подвисает, глючит, происходят непонятные процессы в оперативной памяти, непомерно большой трафик), переходим ко второму способу. Для этого необходимо просканировать компьютер извне на наличие открытых портов. Для проведения такой операции необходим хороший сканер портов и свой IP-адрес. Такая проверка очень эффективная, так как с ее помощью можно отыскать даже самых скрытых, хорошо замаскированных Троянов. Лучшим сканером для такой проверки является X-Spider. Ну а если у вас открыты нестандартные порты, мой совет, как можно скорей закрыть их в настройках брандмауэра.

Список подозрительных портов, на которые нужно обратить внимание, так как в основном они используются шпионскими программами:

23-Tiny Telnet Server (= TTS)
25-Ajan, Antigen, Email Password Sender, Haebi Coceda , Happy 99, Kuang2, ProMail trojan, Shtrilitz, Stealth, Tapiras, Terminator, WinPC, WinSpy
31-Master Paradise
121-BO jammerkillahV
456-HackersParadise
555-Phase Zero
666-Attack FTP
1001-Silencer
1001-Silencer
1001-WebEx,
1010-Doly Trojan 1.30 (Subm.Cronco)
1011-Doly Trojan 1.1+1.2
1015-Doly Trojan 1.5 (Subm.Cronco)
1033-Netspy
1042-Bla1.1
1170-Streaming Audio Trojan
1207-SoftWar
1243-SubSeven
1245-Vodoo
1269-Maverick's Matrix
1492-FTP99CMP
1509-PsyberStreamingServer Nikhil G.
1600-Shiva Burka,
1807-SpySender,
6669-Vampire 1.0
6670-Deep Throat
6883-DeltaSource (DarkStar)
6912-Shitheep
6939-Indoctrination
7306-NetMonitor
7789-iCkiller
9872-PortalOfDoom
9875-Portal of Doom
9989-iNi-Killer
9989-InIkiller
10607-Coma Danny
11000-SennaSpyTrojans
11223-ProgenicTrojan
12076-Gjamer
12223-Hackґ99 KeyLogge
12346-NetBus 1.x (avoiding Netbuster)
12701-Eclipse 2000
16969-Priotrity
20000-Millenium
20034-NetBus Pro
20203-Logged!
20203-Chupacabra
20331-Bla
21544-GirlFriend
21554-GirlFriend
22222-Prosiak 0.47
23456-EvilFtp
27374-Sub-7 2.1
29891-The Unexplained
30029-AOLTrojan1.1
30100-NetSphere
30303-Socket25
30999-Kuang
31787-Hack'a'tack
33911-Trojan Spirit 2001 a
34324-Tiny Telnet Server
34324-BigGluck TN
40412-TheSpy
40423-Master Paradise
50766-Fore
53001-RemoteWindowsShutdown
54320-Back Orifice 2000 (default port)
54321-Schoolbus 1.6+2.0
61466-Telecommando
65000-Devil 1.03

 

 

 

 


 
 
© compics.net