Взято из журнала "Хакер" #11/99

Моя каждодневная интернет-жизнь (точнее, смерть - прим. редактора) постоянно пересекается с программами, которые были именованы народом, а точнее антивирусными магнатами, как "Трояны", Конечно, ты-то знаешь, что такое "Троян", но, поверь мне, на свете осталась еще куча народа которая даже не подозревает, что это такое и как это лечить. Поэтому я постараюсь тебе рассказать, как успешно обнаружить Троян и как от него избавиться. Но в начале - немного о самих Троянах, Многие ушастые юзверя понимают под словом "Троян" нечто вроде вируса, но, на самом деле, Троян - это вовсе не вирус. Троян позволяет манипулировать удаленным компом, получать чужие интернет-аккаунты по почте, вести логи на удаленном компьютере и многое другое, но, вообще-то, в нем изначально нет деструктивных функций, Реально это проста программы для удаленного управления чужими компами. Трояны делятся на несколько типов (Mail Senders, BackDoor, 1дд Writers и др.), о них я расскажу попозже, "Конь" остается невидимым для пользователя до той поры, пока владелец клиент части (BackDoor) ни соизволит показать хозяину компьютера, что он не один. Но, вообще-то, все зависит от типа Троя-

Трояны бывают трех основных типов:

Май Sender - тип Троянов, работающих на основе отправки информации "хозяину". На данный момент это очень распространенный вид Троянов. С помощью такого типа "коней" люди, настроившие их (ну, и автор, конечно же), могут получать по почте аккаунты Интернета, пароли ICQ, почтовые пароли, пароли к ЧАТам, Короче, запустив такую вот 'лапочку" у себя на компе, можно лишиться всего, что так мило и дорого сердцу юзверя:), И это в лучшем случае. В худшем же ты даже не будешь знать о том, что некто (вот гнида!) читает твою почту, входит в Инет через твой ак-каунт (черт! Почему у меня счет ушел в даун?), пользуется твоим UIN'ом ICQ для распространения таких же Троянов пользователям твоего же контакт листа (Маша! Нет! Я не присылал тебе ЭТО!). MailSender никак не зависит от "хозяина", он живет своей жизнью в твоем компе, так как в него все закладывается в момент настройки - Троян все выполняет по плану (послать - поспать, еще послать и т.д.).

BackDoor (если переводить дословно - задняя дверь) - тип Трояна, функции которого включают в себя все, на что способен Троян типа Mail Sender, плюс еще десяток-другой функций удаленного администрирования (управления твоего компа с другой машины, например, через Инет). Раньше такси Троян можно было отловить по размеру файла, но сейчас уже нет. Такой Троян ждет соединения со стороны клиента (неотъемлемая часть Всякого трояна, с помощью которой посылаются команды на сервер). Трояны такого типа дают кому угодно полный доступ к твоему компьютеру.Log Writer - это последний тип Тронное (из основных), копирующий всю информацию, вводимую с клавы, и записывающий ее в файл, который впоследствии будет либо отправлен на определенный E-Mail адрес, либо просмотрен через FTP (File Transfer Protocol). В общем-то, есть что-то схожее с Mail Sender'ом.

Любому новичку достаточно трудно обнаружить и обезвредить Троян по той простой причине, что "товарищи", настраивавшие троянцев, могут легко ввести в заблуждение кого угодно, назвав файл, под которым инсталлируется Троян, как-то вроде winrun32dll.exe или win32.ехе, или msdll64.exe. В общем, фантазия человека безгранична. Конечно же, файл win32.exe располагает к себе доверием, и никакой новичок удалять такой файл не станет.,. А вдруг Wndows "загнется" (гы-гы-гы!)?

Найти и уничтожить!

В Windows есть такая отвратительная (потому что сложная для новичков) или рулезная (по той же причине :)) штука, как РЕЕСТР. Ты про него уже по-любому слышал. Реестр состоит из РАЗДЕЛОВ и СТРОК (все строчки с текстовой информацией разбиты по своим разделам). Строка типа "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run" - типичное название раздела реестра. В этом разделе содержится часть программ, которые автоматически запускаются при старте твоего Маздая. Есть еще папка "Пуск-Программы-Автозапуск" и файл autoexec.bat (config.sys), но, скорее всего, там ты никаких ЛЕВЫХ программ (в дальнейшем ТРОЯ-НОВ) не обнаружишь, так как туда записываются только особо изощренные Трояны, коих, по крайней мере, я еще не обнаруживал:), Для просмотра папки АВТОЗАГРУЗКА достаточно нажать кнопку ПУСК и зайти в ПРОГРАММЫ, для просмотра файлов config.sys и autoexec.bat достаточно запустить notepad. А вот для просмотра РЕЕСТРА нужна программа c:\windows\RegEdit.exe, которая может показывать зги разделы и строчки, Как я уже сказал, большинство Троянов записывает себя в HKEY_LOCAL_MACHINE\SOFT WARE\Microsoft\Windows\CurrentVersion\Run,но, помимо этого, существует еще масса мест в реестре, куда следовало бы заглянуть, Например:

Лучший интернет-магазин!Найдётся всё!

HKEY_LOCAL_MACHINE\SOfTWARE\Microsoft\Windtiws\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\windows\CurrentVersion\Runservices

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\windows\CurrentVersion\RunservicesOnce

HKEY_USERS\.Default\SOFTWARE\Microsoft\windows\CurrentVersion\Run

HKEY_USERS\.Default\SOFTWARE\Microsoft\windows\CurrentVersion\RunOnce

HKEY_USERS\.Default\SOFTWARE\Microsoft\windows\CurrentVersion\Runservices

HKEY_USERS\.Default\SOFTWARE\Microsoft\windows\CurrentVersion\RunservicesOnce

Для того чтобы не метаться в диких муках по всему вышеперечисленному вручную, достаточно запустить regedit /e tmp1.txt ИМЯ РАЗДЕЛА, в результате чего после каждого запуска заново будет создан файл tmp1.txt с содержимым раздела реестра... Посмотрев туда, нужно удалить все "Строковые параметры", запускающие неизвестные программы из соответствующего раздела реестра! Например, довольно популярный Троян "Naebi Soseda" записывает себя как C:\windows\temp\mswinrun.exe. Другой Троян - GF - записывает себя как C:\windows\system\windll.exe

Следующая