Трояны

Трояны

Сообщение Mister X 27 июл 2010, 00:23

«Троянские кони»


Замаскированные вредоносные программы.

Какие бы меры для защиты ни принимались, никакую сеть невозможно оградить от одной серьезной опасности — человеческой доверчивости. Этим пользуются вредоносные программы, называемые «троянскими конями», зловредные коды которых прячутся внутри чего-нибудь совершенно безобидного. А ведь если программа была установлена по доброй воле, она может преодолеть любые брандмауэры, системы аутентификации и сканеры вирусов.
«Троянские кони» отличаются друг от друга тем, какие вредные действия они выполняют, оказавшись в компьютере. Это может быть как безобидная проделка, связанная с выводом на экран какой-нибудь непристойности или политического лозунга, так и настоящая информационная катастрофа, приводящая к уничтожению данных на диске и порче оборудования. Некоторые из «троянских коней», объединившись с вирусами, распространяются между системами по электронной почте.
Самые же изощренные действуют очень вероломно и не ограничиваются нанесением ущерба системе. Помимо хакерства «троянские кони» могут использоваться для шпионажа за людьми и действовать как настоящие преступники, хотя и виртуальные. Никто не может чувствовать себя в безопасности. Осенью 2000 г. корпорация Microsoft пострадала от получившего широкую огласку нападения хакеров, когда был украден и, возможно, видоизменен исходный код будущей операционной системы. Это стало результатом внедрения «троянского коня», скрывавшего в себе «червя» — программу, «ползающую» по сети и копирующую себя на другие компьютеры. Будучи установленной на одном из компьютеров Microsoft, программа начала распространяться по сети и делала это до тех пор, пока она не попала на компьютер, где содержалась важная секретная информация. После этого «троянский конь» подал хакеру сигнал о своем присутствии и открыл в сети «потайную дверь». Итак, что же можно сделать, чтобы избежать участи Microsoft? Конечно, изгнать всех пользователей из сети вы не можете. Однако есть несколько способов минимизировать риск, и начать надо с бдительности и обучения. Регулярное резервное копирование является необходимой процедурой для восстановления информации после воздействия тех «троянских коней», вмешательство которых ограничивается уничтожением данных. Использование полного набора программных средств защиты, таких, как брандмауэры и сканеры вирусов, может помочь поймать некоторых наиболее известных нарушителей. Но важнее всего усвоить самому и объяснить пользователям сети, что такое «троянские кони», как они действуют и какого типа программы могут в себе скрывать. Кроме того, надо уяснить, как отличить «троянского» от настоящего «дареного коня», прежде чем он попадет в вашу сеть.

ТЕМНЫЕ ЛОШАДКИ

В большинстве «троянских коней» спрятаны вирусы или «черви». И те и другие паразиты существуют, главным образом, ради воспроизведения себе подобных, но могут и причинять серьезный ущерб (см. врезку «Виды программ-паразитов»). «Троянцы» приобрели особое значение для распространения вирусов, поскольку большинство из них сейчас посылается по электронной почте в виде вложенных файлов. Для активации вируса пользователь должен открыть такой вложенный файл, в то время как ранние вирусы, распространявшиеся на дискетах, активировались автоматически при загрузке ПК.
Не считая Bubbleboy, который встречался очень редко и проникал через уже устраненную «дыру» в системе безопасности Microsoft Outlook, вирус практически невозможно подхватить, просто читая сообщение электронной почты. Пользователя нужно обманным путем заставить запустить вложенный файл, и создатели вирусов не без оснований полагают, что сделать это не так уж сложно. Многие люди автоматически дважды щелкают мышью по любому файлу, приходящему по электронной почте, так что им нужно привить привычку поступать иначе.
Как известно, файлы Windows с расширениями *.com (command — командный), *.exe (executable — выполняемый) и *.dll (dynamic link library — динамически подключаемая библиотека) являются программами. Потенциально они способны сделать с системой практически все что угодно, поэтому с ними нужно обращаться с особой осторожностью, т. е. запускать их следует только в том случае, если источник, из которого вы их получили, заслуживает полного доверия, и вам точно известно, для чего предназначены данные программы. Тот факт, что программа была прислана по электронной почте вашим другом или коллегой, не является достаточным основанием, чтобы запускать ее. «Троянский конь» мог проникнуть в почтовую систему вашего приятеля и разослать себя по всем адресам из адресной книги.
Чтобы предотвратить заражение вирусами, многие организации вводят специальные правила, запрещающие пользователям устанавливать неразрешенное программное обеспечение. Однако соблюдение такого рода ограничений часто трудно проконтролировать, и, кроме того, это может помешать сотрудникам использовать для выполнения своей работы действительно лучшие программные средства, имеющиеся на рынке. Независимо от того, применяете вы подобные правила или нет, важно, чтобы пользователи были осведомлены о потенциальной опасности. Если сотрудникам разрешено загружать программы, то они должны знать, какие из них представляют наибольшую угрозу. Если же это им запрещено, то они больше будут обращать внимание на правила, понимая, чем они продиктованы.
Наиболее серьезную опасность представляют пиратские программы, поскольку источник, из которого они поступают, по определению не заслуживает доверия. Серьезные программисты давно точат зуб на пиратов, распространяющих «троянских коней» под видом нелегальных программ. Под эту категорию подпадает первая известная атака на платформу Palm, предпринятая с помощью программы, представленной как эмулятор популярной программы GameBoy под названием Liberty. Вместо обещанной эмуляции она удаляет все файлы и приложения.
Список расширений имен файлов, используемых программами, постоянно пополняется, что затрудняет задачу их отслеживания с помощью сканеров вирусов. Большинство антивирусных программ проверяет около 30 различных видов файлов, но они все же «споткнулись» на файлах с расширением *.vbs (Visual Basic Script), которыми в 2000 г. воспользовался вирус Love Bug. Если ваша антивирусная программа старее, чем этот вирус, то вам следует либо обновить ее, либо вручную настроить на проверку всех типов файлов. Автоматические обновления, распространяемые через Internet, обычно содержат только новые списки вирусов и исправления, а не новые типы файлов, в которых те могут скрываться.
Наиболее опасным типом файлов являются системные файлы-фрагменты, предназначение которых состоит в передаче частей документов между приложениями и рабочим столом (shell scrap object) — они как будто специально созданы для использования в качестве «троянского коня». И хотя они должны были бы иметь расширение *.shs или *.shb, они остаются скрытыми в среде Windows 98/Me, маскируясь под любой другой тип файла. Первой программой, где была использована подобная уязвимость, был появившийся в июне 1998 г. вирус Stages. Прикидываясь безобидным текстовым файлом, он на самом деле был сценарием Visual Basic и рассылал себя по электронной почте всем, кто был указан в адресной книге пользователя.
Файлы-фрагменты настолько опасны, что антивирусный исследовательский центр компании Symantec рекомендует вообще отказаться от их использования. Поскольку с этими файлами имеет дело очень мало легальных приложений, многие пользователи вполне могли бы вообще обойтись без них, удалив файл schscrap.dll из каталога Windows/system на своем ПК. В качестве менее радикальной меры можно запретить системе скрывать такие файлы, удалив элемент реестра HKEY_ CLASSES_ROOT\ShellScrap.

НАТЯГИВАЯ ПОВОДЬЯ

Какую бы серьезную угрозу ни несли в себе вирусы и «черви», они все же являются не самой опасной начинкой, которая может быть спрятана в «троянских конях». Многие из них предназначены для получения доступа к вашей сети и прячут небольшие серверные программы, работающие практически незаметно. С помощью этих программ хакер может выведать ваши секреты или даже получить контроль над вашим ПК.
Самым бессовестным хакерским инструментом считается Back Orifice 2000, часто называемый просто BO2K, созданный командой хакеров «Культ дохлой коровы». Авторы определяют свою программу как «средство дистанционного администрирования», позволяющее управлять компьютером без ведома и согласия пользователя. Она может практически незаметно работать под любой версией Windows, обеспечивая постороннему пользователю практически полный доступ к системе. Кроме копирования и изменения содержимого файлов хакеры, имеющие на вооружении BO2K, могут записывать каждое действие пользователя и даже в реальном времени получать поток видеоинформации с его экрана.
По иронии судьбы, команда «Культ дохлой коровы» сама стала жертвой «троянского коня». Первые компакт-диски с Back Orifice 2000, предназначавшиеся для распространения, были заражены страшным вирусом Chernobyl («Чернобыль»), способным нанести необратимый ущерб оборудованию. Честолюбивые хакеры, участвовавшие в 1999 г. в конференции DefCon, обнаружили, что вместо того, чтобы получить контроль на компьютерами других людей, они потеряли контроль над своими собственными, так как их жесткие диски оказались перезаписаны, а микросхемы BIOS стерты.
В нападении на Microsoft осенью 2000 г. использовался «троянский конь» под названием QAZ, который маскировался под утилиту Notepad, размещаясь в файле notepdad.exe. Исходная программа Notepad была по-прежнему доступна, но переименована в note.exe, так что пользователи не замечали изменений. Администратор, зная, что этот файл не входит в стандартную установку Windows, мог удалить его, в результате чего программа Notepad переставала работать, а «троянский конь» оставался нетронутым.
Даже если злоумышленники не заинтересованы в вашей информации, получение ими контроля над компьютерами по-прежнему представляет серьезную опасность. Атаки по типу распределенный отказ в обслуживании (Distributed Denial of Service, DDoS), в результате которых в начале 2000 г. оказались недоступны некоторые популярные Web-сайты, были произведены с помощью «троянских коней». Принцип действия подобных программ основывается на использовании тысяч компьютеров, работающих вместе, и поэтому они не могут быть просто запущены на каком-то одном из них. Однако атака становится возможной, когда один из компьютеров получает контроль над тысячами других.
Последствия вашего участия в атаках наподобие DdoS не исчерпывается тем, что вы получаете неодобрение как член сетевого сообщества, а ваша организация подвергается риску судебного разбирательства. К примеру, в результате атак на Yahoo! и eBay пострадали не только эти серверы, но и тысячи домашних и офисных пользователей, чьи компьютеры были задействованы в данных атаках. Если ваш почтовый сервер занят в атаке, то он не сможет выполнять своего основного назначения.
Любой ПК, подключенный к телефонной линии, является потенциальной мишенью для нападения по финансовым мотивам, поскольку его модем может быть перепрограммирован на звонки по дорогостоящим телефонным номерам. Известны «троянские кони», заменяющие в параметрах настройки коммутируемого доступа пользователя обычный телефонный номер на международный, звонки по которому могут стоить несколько долларов в минуту. И если этот номер действительно подключен к провайдеру Internet, жертва может ничего не заметить до тех пор, пока не получит счета за телефонные разговоры.
Этот вид «троянских коней» впервые появился в 1998 г., когда тысячи пользователей в Европе, загружавшие порнографическое слайд-шоу, обнаружили, что их модемы звонят по очень дорогому номеру в Республике Гана. Данная атака была занесена под №3 в список наиболее опасных случаев мошенничества в Internet, составленный Федеральной торговой комиссией (Federal Trade Commission), и считается более опасным явлением, чем телефонное пиратство и финансовые пирамиды.

ПЛОТНО ЗАКРЫВАЙТЕ ДВЕРЬ

Большинство «троянских коней» посылает хакеру сигнал о своем присутствии через заданный порт TCP, поэтому правильно настроенный брандмауэр может обнаружить и заблокировать их. Списки портов, используемых популярными «троянскими конями», публикуются на специальных Web-сайтах (см. врезку «Ресурсы Internet»), некоторые из них могут даже выполнять сканирование. Однако последние версии многих вредительских программ могут менять заданный порт, усложняя их обнаружение. Антивирусное ПО также может обнаруживать «троянских коней», хотя это и связано с определенным риском. Поскольку такое ПО необходимо регулярно обновлять, компания, производящая антивирусные программы, получает доступ к вашей сети. В ноябре 2000 г. обновление ПО McAfee VirusScan компании Network Associates привело к сбою некоторых систем и потере несохраненных данных. Это произошло из- за ошибки в ПО, а не в результате умышленных действий, однако для уже скомпрометированных компаний, таких, как Microsoft, выходящих на рынок антивирусного ПО, существует риск, что отдельные «троянские кони» могут использовать данный метод нападения.
Правительство Германии считает, что Windows 2000 возможно уже является убежищем для «троянского коня». Оно дошло до того, что грозится наложить запрет на распространение данного ПО, пока Microsoft не удалит из него утилиту Disk Defragmenter (программу дефрагментации диска), в которой якобы скрывается этот опасный код. Microsoft отказалась это делать, но опубликовала на своем немецком сайте технической поддержки подробные инструкции, объясняющие пользователям, как удалить утилиту самостоятельно. Те менеджеры, которых беспокоит этот факт, должны иметь в виду, что до сих пор нет доказательств того, что упомянутый «троянский конь» вообще существует. Действительно, правительство США настолько уверено в безопасности Windows 2000, что использует это ПО во многих своих организациях, включая военные.

Виды программ-паразитов

Хотя пресса и некоторые пользователи часто называют любую вредную программу вирусом, специалисты по безопасности знают, что это не так. Вот краткое описание трех наиболее распространенных видов зловредных программ, каждая из которых может скрываться внутри «троянского коня».
Вирус (virus)представляет собой самовоспроизводящийся код, присоединяющийся к другому файлу точно так же, как настоящие вирусы прикрепляются к живым клеткам. Изначально вирусы поражали программные файлы, имеющие расширения *.com или *.exe, однако распространение языков сценариев позволило им заражать офисные документы и даже сообщения электронной почты.
«Червь» (worm)— это автономная программа, обычно воспроизводящаяся путем копирования себя на другие компьютеры в сети. Иногда их называют бактериями, поскольку они не зависят от других программ. Наибольшее распространение получила программа happy99.exe, парализовавшая множество компьютеров два года назад и все еще изредка появляющаяся — особенно под Новый год.
«Логическая бомба» (logic bomb)не воспроизводится, но может принести серьезный ущерб. Обычно это простые программы, выполняющие вредные функции, такие, как удаление пользовательских файлов при выполнении определенного условия.
Админ не тот, кто об этом кричит, а тот, кто может молча помочь другому... Изображение
Аватара пользователя
Mister X
Администратор
 
Сообщений: 138
Зарегистрирован: 21 июл 2010, 21:42
Пол: Мужской

Re: Трояны

Сообщение Mister X 27 июл 2010, 00:27

Поиск троянов вручную


В этой статье вы найдете ответы на следующие вопросы:

n Что делать, если вы предполагаете, что на вашем компьютере с Windows установлена программа-шпион или троян?

n Как найти троянскую программу или spyware, если ваш антивирус или AdWare ее не находит?

Статья для начинающих системных администраторов и опытных пользователей Windows описывает возможные способы поиска троянских программ и также описывает, как использовать для этого поиска программы и утилиты из стандартной поставки Windows 2000, XP и 2003 и программы сторонних разработчиков: netstat, msconfig, msinfo32, tlist, Sysinternals TCPView, CurrPorts, WinTasks, Security Task Manager, Starter, Winpatrol, Sysinternals Autoruns, Sysinternals ProcessExplorer, MoveOnBoot, Microsoft PortReporter, System Safety Monitor.

Если коротко описать процесс поиска программы, выполняющей нежелательные действия, то алгоритм обычно такой:

n Обновить базу данных установленного на вашем компьютере антивируса и проверить им все локальные диски. (Если антивируса нет, то установить его.) Вам нужно осознавать, что если антивирус не обнаружил троянов, то это не значит, что их у вас нет. На компьютере может работать свежий троян или специально подготовленная для вас программа-шпион, которой еще нет в базах ни одной компании производителя антивируса. И, возможно, вы тот человек, который первым выявит и пошлет эту программу для исследования в антивирусную компанию.

n Посмотреть, какие процессы работают на компьютере и какие соединения с Интернетом ими используются. Возможно, на диске появились новые файлы, возможно, старые файлы изменились. Возможно, в реестре появились новые ключи или параметры.

n Просмотреть логи персонального firewall. Если firewall не смог заблокировать несанкционированные соединения трояна в силу своей недостаточной функциональности или неправильной настройки, то есть надежда, что он хотя бы запротоколировал, какие соединения были пропущены в Интернет. Если хорошего персонального firewall нет, то хотя бы включите встроенный в Windows XP firewall, который называется ICF (как это сделать, можно найти тут Протоколы встроенного firewall можно посмотреть с помощью любого текстового редактора, открыв файл C:\WINDOWS\pfirewall.log. Но лучше использовать более удобные утилиты, ссылки на которые легко найти при помощи Google (например, набрав в строке поиска «XP firewall logger»).

Первый пункт достаточно понятен и помогает в 80% случаев. За третий пункт нужно браться в самом запущенном случае и еще лучше со специалистом по компьютерной безопасности (далее КБ). Давайте попробуем выполнить действия, описанные во втором пункте. Тем более что при внимательном выполнении всех операций можно найти и убить любую гадость, засевшую в вашем компьютере.

Возникает вопрос, нужно ли отключаться от Интернета, если мы ищем вирус или троян? Вам понадобятся различные утилиты для поиска трояна (какие конкретно будет описано далее). Если эти утилиты уже есть или на жестком диске, или на компакт-диске, или у вас есть возможность сходить за нужными дисками, или скачать и записать на компакт-диск нужные программы на другом незараженном компьютере, то необходимо отключиться от Сети. Это нужно сделать, чтобы предотвратить дальнейшую утечку информации с компьютера. Отключаться нужно даже от локальной сети, например, сети офиса или домашней сети, чтобы не заражать соседние компьютеры.

Однако иногда встречаются особо запущенные случаи, в которых приходится скачивать нужные программы через Интернет. Например, я однажды приехал в гости к родственникам в Сибирь, обрадовался наличию компьютера с модемным доступом к Интернету, сел за него и, нажав по привычке <Ctrl-Alt-Del>, сразу обнаружил трояна в списке процессов. Поскольку нужных программ под рукой не было, пришлось лечить вручную. Единственной «защитой» этого компьютера с Windows XP был гордо стоящий антивирус с базами вирусов двухгодичной давности. В Windows даже не был включен ICF.

К сожалению, подавляющее большинство пользователей неопытны и несведущи в вопросах компьютерной безопасности. Компьютеры на платформе Intel и операционная система Windows являются высокотехнологичными продуктами. Ведь даже среди тех, кто пользуется общеизвестной программой Microsoft Word, не так много людей, кто изучал его на курсах или хотя бы читал к нему документацию. Что тут говорить про образованность в области компьютерной безопасности.

К каждому пользователю специалиста по компьютерной безопасности не приставишь. Поэтому на таких компьютерах все подготовительные мероприятия их владельцы будут делать сами при работающем трояне и подключенном Интернете, поскольку Интернет – единственное место, где они могут найти помощь и программное обеспечение для поиска троянов. Тем более чего им бояться – все важное троян уже наверняка украл и отослал своему владельцу. Но даже в этом случае, после того как вы скачали все необходимые утилиты на локальный диск, нужно отключиться от Сети.

Итак, боевая задача состоит в том, чтобы успешно пройти три этапа: найти трояна, убить его и поменять свои украденные пароли. Именно в такой последовательности.

Замечание: программа в операционной системе Windows представлена в виде процесса, в котором может работать несколько нитей, и все эти нити загружены в память из файлов, хранящихся на диске. Как правило, это файлы с расширением EXE и DLL. Расширения могут быть и другими. Злоумышленники часто используют другие расширения, чтобы никто не догадался.

Некоторыми проявлениями троянских программ являются:

n несанкционированные соединения c различными хостами в Интернете;

n открытые программами соединения, ожидающие подключения извне;

n попытка открыть ненужные для нормальной деятельности файлы на локальном диске;

n добавление себя в списки автозапуска;

n маскировка под стандартные системные процессы и размещение в системной папке Windows.


Находим троянскую программу, которая ждет входящего соединения

Обычно авторы таких программ называют свои программы «программами удаленного управления». Типичной иллюстрацией этого вида троянских программ является Back Orifice. Такие программы позволяют делать на вашем компьютере все что угодно: скачивать файлы, рассылать спам, быть прокси-сервером, участвовать в DOS-атаке, быть плацдармом для других атак, естественно, в рамках функций, предоставляемых им имеющейся операционной системой. В данном случае мы рассматриваем версии Windows: 2000 SP4, XP SP1, 2003.

Такие программы открывают TCP-порт на компьютере жертвы, устанавливают его в состояние LISTENING и ждут, когда хакер подключится на этот порт. Таким образом, нам нужно выявить все процессы, которые открыли TCP-порты и которые находятся в состоянии LISTENING, и решить, одобряете ли вы это соединение или нет. То же самое можно сказать про UDP-порты – за ними тоже надо смотреть, с единственным отличием, что у них нет состояний – с этих портов может как приниматься информация, так и отсылаться. С ходу можно сказать, что если у вас обычный компьютер, подключенный к выделенной линии или через модем в Интернет, то в идеале у вас не должно быть слушающих портов. Даже если приложения или сервисы Windows открыли эти порты, то они должны быть закрыты персональным firewall.

Чтобы выявить программы, которые ожидают (и устанавливают) соединения в Windows XP и Windows 2003, можно, конечно, воспользоваться стандартной утилитой netstat c параметрами -ano. (Параметр -а заставляет netstat показывать все имеющиеся подключения и ожидающие порты, -n преобразует вывод адресов и портов в числовой формат, -o отображает для каждого подключения идентификатор процесса, создавшего это подключение). В Windows 2000 ключ -o еще не был изобретен. Например:
Изображение

Результат, как видите, аскетичен: порты, конечно, выводятся, но вместо информации о приложениях выдается только номер процесса. Хотелось бы еще узнать имя процесса и местоположение файла, из которого он был запущен. Но давайте хотя бы разберемся с тем, что уже есть.

Если вы увидели у себя много TCP-соединений в состоянии LISTENING, то не пугайтесь – это, скорее всего, не трояны, а работающие по умолчанию стандартные сервисы Windows.

Алгоритм просмотра ожидающих соединений такой:

n Отметаем все соединения, у которых локальный адрес установлен 127.0.0.1 – это означает, что к этим портам может подключиться только программа, запущенная на этом же компьютере. Подключение извне к этому порту и адресу невозможно.

n Адрес 0.0.0.0 означает, что любое подключение по любому IP-адресу, который есть на вашем компьютере, с любого хоста Интернета будет возможно на указанный порт. Напомню, что на одной сетевой карте может быть несколько IP-адресов. Не говоря уже о том, что у вас может быть и несколько сетевых карт.

n В некоторых ожидающих соединениях вы увидите те, у которых явно указан IP-адрес одной из ваших сетевых карт. К ним также возможно подключиться из Интернета через указанный порт.

Получается, что для всех ожидающих соединений из последних двух пунктов нам нужно узнать, какое приложение создало это подключение, и нужно ли это вам.

Следующим этапом является установление имени приложения, использующего это соединение. Очевидно, результат команды netstat -ano в виде идентификатора процесса нас не устраивает, поскольку, пользуясь стандартными средствами графического интерфейса и командной строки Windows, невозможно получить по номеру процесса его имя и тем более имя исполняемого файла. Конечно, можно самому написать программу, которая выполняет такие действия, но, к счастью, в Сети уже есть приложения, которые делают то, что нам нужно.

Советуют пользоваться такими программами, как TCPView и FPort

Однако, лучше использовать другую программу, которая называется CurrPorts. скачать ее можно тут. FPorts плох тем, что работает только в командной строке и ничего не умеет, кроме показа имени процесса и открытых им портов. TCPView – отличная программа, позволяет закрыть соединение и убить процесс, но CurrPorts более функциональна: ко всему перечисленному выводит больше информации о процессе, показывает соответствующие процессу сервисы, позволяет делать HTML-отчеты. Все эти программы бесплатны.

Замечание: на самом деле для просмотра процессов и их идентификаторов можно воспользоваться программой tlist.exe из файла support.cab, лежащего на каждом лицензионном диске Windows. К сожалению, эта программа не устанавливается по умолчанию.

Сравните TCPView и CurrPorts.

Изображение

Изображение

CurrPort может с промежутками в 2 секунды показывать программы, использующие открытые порты (лучше сказать, сокеты). К сожалению, соединения происходят достаточно быстро и практически невозможно отследить все соединения в реальном времени. Для выявления несанкционированных подключений нужно протоколировать все соединения и потом просматривать полученные записи.

Отлично, берем CurrPorts, получаем список процессов, которые что-то слушают во внешнем мире или даже соединяются с внешним миром.

Что дальше? Ведь получается, что вам нужно хорошо знать свой компьютер, а точнее, что за программы вы установили и как они называются, да еще понимать, что программа c:\windows\system32\svchost.exe – системная программа Windows (см. описание, а например, c:\windows\svchost.exe – уже непонятно откуда взявшаяся программа под этим именем (например, это может быть вирус, см. описание, а например, c:\windows\svchost.exe – уже непонятно откуда взявшаяся программа под этим именем (например, это может быть вирус, см. описание. Возможно,просто хакер скрыл под именем системного файла свою программу и положил ее в системную папку.

Необходимо понимать, что многие трояны прячутся под именами системных процессов, чтобы их невозможно было убить из менеджера задач. Но CurrPorts благополучно убивает и системные процессы. Будьте осторожнее – умирание системного процесса может привести к зависанию или перезагрузке компьютера.

Другим вариантом такого ручного поиска процесса является просмотр всех процессов с помощью последней версии программы Sysinternals Process Explorer

Изображение
Изображение

Одной из полезных функций данной программы является просмотр свойств каждого процесса, где показаны используемые этим процессом порты. Например, операционная система использует:

Изображение

Открытый слушающий порт 445 означает, что система может предоставлять доступ к дискам посредством протокола SMB (Server Message Broadcast), также известного под названием CIFS (Common Internet File System) через Интернет. Неправильное конфигурирование этого сервиса может привести к возможности чтения системных и других файлов третьими лицами и захвату контроля над системой. Значительное количество пользователей открывают локальные диски для чтения и записи по сети для упрощения обмена информацией, давая также возможность и третьим лицам работать с их системами. Если вы не хотите, чтобы кто-то изучал ваши диски или даже вносил изменения в данные, хранящиеся на них, то лучше отключить этот сервис совсем. За 445 порт отвечает драйвер netbt.sys, поэтому есть два способа избавиться от него:

n отключить драйвер netbt.sys через «Диспетчер устройств», но тогда не будет работать DHCP-клиент Windows, что часто необходимо абонентам Интернета, использующим выделенные линии;

n переименовать в ветке реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters параметр TransportBindName (например, на OldTransportBindName), и после перезагрузки UDP- и TCP-порты будут отключены.

Если у вас внешний IP-адрес, то это нелишне сделать, поскольку по статистике 445 и 135 порты чаще всего сканируют в Интернете (см. статистику. Без преувеличения можно сказать, что каждый компьютер во внешней сети подвергается постоянным попыткам соединения с TCP-портами 445 и 135, рассчитывая на то, что пользователи оставили открытым анонимный доступ (null-сессию). 135 порт (NETBIOS) отключается в свойствах протокола TCP/IP в свойствах сетевой карты. Открытый порт 1026 говорит о том, что включена «Служба сообщений» (Messenger). Если вы ей не пользуетесь, то отключите этот сервис. Для этого запустите консоль управления сервисами Windows (services.msc), кликните правой кнопкой на «Службе сообщений», выберите «Свойства» и в поле «Тип запуска» выберите «Отключено» и нажмите «OK».

И так далее по шагам для каждой программы нужно изучить, что за порты она использует, зачем они ей нужны и желаете ли вы, чтобы она передавала куда-то данные.
Админ не тот, кто об этом кричит, а тот, кто может молча помочь другому... Изображение
Аватара пользователя
Mister X
Администратор
 
Сообщений: 138
Зарегистрирован: 21 июл 2010, 21:42
Пол: Мужской

Re: Трояны

Сообщение Mister X 27 июл 2010, 00:29

Скачать антитроян можно здесь.
Аватара пользователя
Mister X
Администратор
 
Сообщений: 138
Зарегистрирован: 21 июл 2010, 21:42
Пол: Мужской

Re: Трояны

Сообщение Mister X 27 июл 2010, 00:31

Краткое описание вирусов и программ для хакерства.

Троян (троянский конь). Этот вирус наиболее опасен для пользователей интернета пользующихся выходом в интернет по договору с провайдером (для тех кто каждый час работы в интернет покупает отдельно или заказывает по телефону виус менее опасен), так как вирус забираясь на ваш компутер может отправить кому либо на mail все пароли хранящиеся в Windows (логин и пароль на доступ в интернет, пароли на различные сеансы работы Windows и т.д.). Представьте себе такую ситуацию: вы собрались выйти в интернет для поиска какой либо важной информации(при этом вы точно знаете что у вас есть часок другой времени для работы в сети), но при попытке выхода в сеть вам ваша любимая звонилка выдаёт ошибку типа "проверьте правильность пароля и повторите попытку", так знайте может быть три причины возникновени такой ошибки: 1. ошибка на сервере провайдера ( в этом случае позвоните в службу поддержки), 2. при вашем прошлом сеансе работы в сети к вам забрался троянчик и отправил на ваше время кому нибудь пароль, логин, пользователя, телефон доступа(в этом случае лучше обновить AVP

Подробные описания некоторых троянов: Штирлиц, Sub Seven, Acid Shiver

Генерилки (генераторы кредитных карточек). Программы для генерации номеров кредитных карточек. Для чего это нужно ? Вы наверное слышали об интернет магазинах так вот оплата покупок в таких магазинах производится с помощью кредитных карточек то есть их номеров. Догадались? При помощи такой програмки возможно обмануть такой магазинчик, но не торопитесь этого делать сначала я вам рекомендую заглянуть в "уголовный кодекс Российской Федерации", хотя с определённой увереностью можно сказать, что вас не поймают.

Мыльные бомберы (mailbomber). Программы для "убийства" почтовых ящиков. Ну тут наверно и так всё ясно с этой прграммой вы сможете засыпать спамом ящик недоброжелателя так, что он больше ни когдо не сможет получать в него почту.
Аватара пользователя
Mister X
Администратор
 
Сообщений: 138
Зарегистрирован: 21 июл 2010, 21:42
Пол: Мужской


Вернуться в Сеть Интернет


Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1

cron