Моя каждодневная интернет-жизнь (точнее, смерть - прим. редактора) постоянно пересекается с программами, которые были именованы народом, а точнее антивирусными магнатами, как "Трояны", Конечно, ты-то знаешь, что такое "Троян", но, поверь мне, на свете осталась еще куча народа которая даже не подозревает, что это такое и как это лечить. Поэтому я постараюсь тебе рассказать, как успешно обнаружить Троян и как от него избавиться. Но в начале - немного о самих Троянах, Многие ушастые юзверя понимают под словом "Троян" нечто вроде вируса, но, на самом деле, Троян - это вовсе не вирус. Троян позволяет манипулировать удаленным компом, получать чужие интернет-аккаунты по почте, вести логи на удаленном компьютере и многое другое, но, вообще-то, в нем изначально нет деструктивных функций, Реально это проста программы для удаленного управления чужими компами. Трояны делятся на несколько типов (Mail Senders, BackDoor, 1дд Writers и др.), о них я расскажу попозже, "Конь" остается невидимым для пользователя до той поры, пока владелец клиент части (BackDoor) ни соизволит показать хозяину компьютера, что он не один. Но, вообще-то, все зависит от типа Троя-
Трояны бывают трех основных типов:
Май Sender - тип Троянов, работающих на основе отправки информации "хозяину". На данный момент это очень распространенный вид Троянов. С помощью такого типа "коней" люди, настроившие их (ну, и автор, конечно же), могут получать по почте аккаунты Интернета, пароли ICQ, почтовые пароли, пароли к ЧАТам, Короче, запустив такую вот 'лапочку" у себя на компе, можно лишиться всего, что так мило и дорого сердцу юзверя:), И это в лучшем случае. В худшем же ты даже не будешь знать о том, что некто (вот гнида!) читает твою почту, входит в Инет через твой ак-каунт (черт! Почему у меня счет ушел в даун?), пользуется твоим UIN'ом ICQ для распространения таких же Троянов пользователям твоего же контакт листа (Маша! Нет! Я не присылал тебе ЭТО!). MailSender никак не зависит от "хозяина", он живет своей жизнью в твоем компе, так как в него все закладывается в момент настройки - Троян все выполняет по плану (послать - поспать, еще послать и т.д.).
BackDoor (если переводить дословно - задняя дверь) - тип Трояна, функции которого включают в себя все, на что способен Троян типа Mail Sender, плюс еще десяток-другой функций удаленного администрирования (управления твоего компа с другой машины, например, через Инет). Раньше такси Троян можно было отловить по размеру файла, но сейчас уже нет. Такой Троян ждет соединения со стороны клиента (неотъемлемая часть Всякого трояна, с помощью которой посылаются команды на сервер). Трояны такого типа дают кому угодно полный доступ к твоему компьютеру.Log Writer - это последний тип Тронное (из основных), копирующий всю информацию, вводимую с клавы, и записывающий ее в файл, который впоследствии будет либо отправлен на определенный E-Mail адрес, либо просмотрен через FTP (File Transfer Protocol). В общем-то, есть что-то схожее с Mail Sender'ом.
Любому новичку достаточно трудно обнаружить и обезвредить Троян по той простой причине, что "товарищи", настраивавшие троянцев, могут легко ввести в заблуждение кого угодно, назвав файл, под которым инсталлируется Троян, как-то вроде winrun32dll.exe или win32.ехе, или msdll64.exe. В общем, фантазия человека безгранична. Конечно же, файл win32.exe располагает к себе доверием, и никакой новичок удалять такой файл не станет.,. А вдруг Wndows "загнется" (гы-гы-гы!)?
Найти и уничтожить!
В Windows есть такая отвратительная (потому что сложная для новичков) или рулезная (по той же причине :)) штука, как РЕЕСТР. Ты про него уже по-любому слышал. Реестр состоит из РАЗДЕЛОВ и СТРОК (все строчки с текстовой информацией разбиты по своим разделам). Строка типа "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run" - типичное название раздела реестра. В этом разделе содержится часть программ, которые автоматически запускаются при старте твоего Маздая. Есть еще папка "Пуск-Программы-Автозапуск" и файл autoexec.bat (config.sys), но, скорее всего, там ты никаких ЛЕВЫХ программ (в дальнейшем ТРОЯ-НОВ) не обнаружишь, так как туда записываются только особо изощренные Трояны, коих, по крайней мере, я еще не обнаруживал:), Для просмотра папки АВТОЗАГРУЗКА достаточно нажать кнопку ПУСК и зайти в ПРОГРАММЫ, для просмотра файлов config.sys и autoexec.bat достаточно запустить notepad. А вот для просмотра РЕЕСТРА нужна программа c:\windows\RegEdit.exe, которая может показывать зги разделы и строчки, Как я уже сказал, большинство Троянов записывает себя в HKEY_LOCAL_MACHINE\SOFT WARE\Microsoft\Windows\CurrentVersion\Run,но, помимо этого, существует еще масса мест в реестре, куда следовало бы заглянуть, Например:
HKEY_LOCAL_MACHINE\SOfTWARE\Microsoft\Windtiws\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\windows\CurrentVersion \RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\windows\CurrentVersion\Runservices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\windows\Curren tVersion\RunservicesOnce
HKEY_USERS\.Default\SOFTWARE\Microsoft\windows\CurrentVersion\Run
HKEY_USERS\.Default\SOFTWARE\Microsoft\wind ows\CurrentVersion\RunOnce
HKEY_USERS\.Default\SOFTWARE\Microsoft\windows\CurrentVersion\Runservices
HKEY_USERS\.Default\SOFTWARE\Micr osoft\windows\CurrentVersion\RunservicesOnce
Для того чтобы не метаться в диких муках по всему вышеперечисленному вручную, достаточно запустить regedit /e tmp1.txt ИМЯ РАЗДЕЛА, в результате чего после каждого запуска заново будет создан файл tmp1.txt с содержимым раздела реестра... Посмотрев туда, нужно удалить все "Строковые параметры", запускающие неизвестные программы из соответствующего раздела реестра! Например, довольно популярный Троян "Naebi Soseda" записывает себя как C:\windows\temp\mswinrun.exe. Другой Троян - GF - записывает себя как C:\windows\system\windll.exe
Разберем Троян Stealth наших друганов - Kurt'а и Doc'a. Вот что они сами говорят про него: "Как и большинство подобных программ, наша после первого запуска копирует себя в директорию, где живут Винды, под каким-нибудь неприметным именем. В то же время она добавляет себя в один из разделов регистра, который обеспечивает ей запрузку при каждом старте Виндов. Для обеспечения прикрытия свой легенды (т.е. чем ее представили жертве), она может выдать какое-нибудь сообщение, типа "Required DLL MFC50.DLL not found. The program will now terminate", что в переводе с буржуйского значит; "Требуемая библиотечка MFC50.D11 не найдена. Программа завершит свою работу." (XS2, статья "Как стать рабовладельцем в Сети"}
Все лишние программы из реестра, особенно те, которые не устанавливались специально, нужно удалить. Тут будь осторожен, так как со временем на компьютер устанавливается большое количество программ, и многие из них записывают себя по мере надобности в реестр, т.е. удаление надо производить только с особой тщательностью и аккуратностью. Боишься удалять? Тогда на фиг закрой реестр и больше туда не лезь. Да не, это я шутю, это юмор такой - на самом деле просто переименуй имя программы, например "c:\program files\icq\icq.exe" в "c:\program files\icq\null" (чтобы проверить, изменилось ли что-то от того. что эта программа не запускается). Подраздел \SOFTWARE\MicrosoftWindows\CurrentVersion есть не только в разделе HKEY LOCAL MACHINE, а еще и в HKEY USERS. Поэтому также не забудь поискать разделы типа "Run" ("RunOnce","Run...") - еще в 2 главных разделах. Если Троян все же запустился, то ты явным образом можешь его увидеть и выключить, нажав Ctrl+Alt+Oel. Однако, даже если нажав Ctrl+Alt+Oel ты ничего не обнаружил, радоваться еще рано. Полную информацию о запущенных программах в Windows можно увидеть, запустив утилиту XRun. Также подойдет утилита CTask, выполняющая аналогичные действия. Вот список типичных приложений, которые ты там можешь увидеть:
KERNEL32.DLL, MSGSRV32.EXE, MPREXE.EXE, MMTASK.TSK, VSHWIN32.EXE, EXPLORER.EXE, SYSTRAY.EXE, SINTERNAT.EXE, LOADWC.EXE, RUNDLL.EXE, STARTPG.EXE, NAAPP.EXE, TAPIEXE.EXE, SPOOL32.EXE, WSASRV.EXE.
Запоминать их все, конечно, не нужно (хотя можешь, тебе это не помешает), и если ты чего-нибудь из этого списка не увидишь - то это не значит что твой Маздай установился не полностью. Здесь просто собрано большинство системных программ, используемых Маздаями, А вот если увидишь что-то новое в реестре, не надо сразу бросаться удалять все подряд и форматировать винт, а следует спокойно разобраться с этой программой - откуда она у тебя и что делает. Помнишь такую старую поговорку - семь раз отмерь, один раз отрежь? Вот тут все так же: семь раз прикинь, один потри.
Если же в реестре ничего нет, то следет пробежаться по конфигурационным файлам Vrindows, таким как win.ini и system.ini. Win.ini и system.ini находятся в каталоге c:\windows, самый простой способ запустить программу оттуда - это написать “run=путь\троян.ехе" или "load=программа". Хотя запись сюда производится довольно редко, т.к. здесь довольно просто обнаружить что-то подозрительное, нежели, например, в реестре, Если вышеизложенные способы ничего не дали, а у тебя все-таки осталась навязчивая мысль о том, что ты подвергся заражению - то тогда возьми любой сканер портов, зайди в Инет и проскань свой IP (127.0.0.1 - одно из обозначений твоего компьютера в сети) на предмет "подозрительных" портов... Если у тебя открыты нестандартные порты - то есть повод для разбирательств. Ниже приводится список "стандартных" портов:
port 23 - Tiny Telnet Server (= TTS)
port 25 - Ajan, Antigen, Email Password Sender, Haebu Coceda (= Naebi), Happy 99, Kuang2, ProMail trojan, Shtrilitz, Stealth, Tapiras, Terminator, WinPC, WinSpy
port 31 - Agent 31, Hackers Paradise, Masters Paradise
port 41 - DeepThroat
port 59 - DMSetup
port 79 - Firehotcker
port 80 - Executor, RingZero
port 99 - Hidden Port
port 110 - ProMail trojan
port 113 - Kazimas
port 119 - Happy 99
port 121 - JammerKillah
port 421 - TCP Wrappers
port 456 - Hackers Paradise
port 531 - Rasmin
port 555 - Ini-Killer, NeTAdmin, Phase Zero, Stealth Spy
port 666 - Attack FTP, Back Construction, Cain & Abel, Satanz Backdoor, ServeU, Shadow Phyre
port 911 - Dark Shadow
port 999 - DeepThroat, WinSatan
port 1001 - Silencer, WebEx
port 1024 - NetSpy
port 1042 - Bla
port 1045 - Rasmin
port 1090 - Xtreme
port 1170 - Psyber Stream Server, Streaming Audio trojan, Voice
port 1234 - Ultors Trojan
port 1243 - BackDoor-G, SubSeven, SubSeven Apocalypse
port 1245 - VooDoo Doll
port 1269 - Mavericks Matrix
port 1349 (UDP) - BO DLL
port 1492 - FTP99CMP
port 1509 - Psyber Streaming Server
port 1600 - Shivka-Burka
port 1807 - SpySender
port 1981 - Shockrave
port 1999 - BackDoor
port 1999 - TransScout
port 2000 - TransScout
port 2001 - TransScout
port 2001 - Trojan Cow
port 2002 - TransScout
port 2003 - TransScout
port 2004 - TransScout
port 2005 - TransScout
port 2023 - Ripper
port 2115 - Bugs
port 2140 - Deep Throat, The Invasor
port 2155 - Illusion Mailer
port 2283 - HVL Rat5
port 2565 - Striker
Список не полный.!!!
©http://stopinfection.narod.ru/