|
КАК ПОЙМАТЬ ТРОЯН? |
Хочу сразу сказать, что
если вы считаете себя крутым хакером, то эта статья не для
вас.
Если вы, прочитав, скажете, что написали бы
лучше, то сделайте это и пришлите свои труды на mrx6@urai.ru.
Поймать троян Если кто-то из
знакомых вам принес что-то полезное на дискете, то он ради шутки или
корыстных целей может вам заодно установить какой-нибудь шпион или,
не дай Бог, бомбу с часовым механизмом. Это один из вариантов
появления трояна на вашем компьютере, а их очень много. Будьте
бдительны.
Банальный поиск троянов - с помощью
антивирусов, очень часто не эффективен, т.к. антивирусы находят
только ранее известные трояны, а эвристические анализаторы крайне
плохо делаются и только в очень редких случаях действительно могут
помочь. Чтобы обнаруживать трояны самому не надо специального
программного обеспечения, т.к. Windows содержит в себе несколько
полезных утилит для обнаружения троянов. Хочу заметить, что
пользоваться ими очень просто и даже последнему чайнику это по
силам.
Допустим, какой-то нехороший человек
установил шпион (программа, которая сохраняет все ваши действия и
все что вы набирали на клавиатуре в файл) на ваш компьютер или на
компьютер в вашей конторе. Допустим, этим шпионом является широко
известный троян HOOKDUMP. Для обнаружения
его используем программу DRWATSON.EXE,
которая находится в каталоге WINDOWS. Запускаем ее. Рядом с часами
появляется чья то рожа (наверно, DrWatson'а), нажимаем на "Доктор
Ватсон", далее в "Вид" выбираем "Расширенный вид".
Заходим в "Ловушка", тут находятся модули, которые
перехватывают работу системы. Так, смотрим. Видим несколько модулей,
причем модуль HOOKDMP.DLL не имеет "Приложения",
скорее всего это троян. Посмотрите "Путь к DLL", вы узнаете
где он находится. Дальше заходим в "16-разрядные модули", что
же мы видим? HOOKDMP не содержит никаких сведений о себе,
значит по любому троян. Еще некоторые троянские модули имеют
соответствующие названия, например FUCK, KILLER или
VIRUS.
ДОСовские трояны чаще всего
записываются куда-нибудь на винте и для загрузки используют CONFIG.SYS. Изучите его на предмет странных
строк. Но троян может использовать стелс-фокусы, поэтому в
DRWATSON'е зайдите в "Драйверы MS-DOS".
Некоторые ДОС-трояны дописывают себя к каким-нибудь файлам. Часто
атакуется файл COMMAND.COM. В этом случае
нужно сравнить файл COMMAND.COM, который
находится в корневом каталоге C: c файлом COMMAND.COM, который находится в каталоге
WINDOWS, т.к. троян - это не вирус, и если он атаковал один
COMMAND.COM, то второй не трогает. Еще
ДОС-троянами атакуется файл WINSTART.BAT,
который находится в каталоге WINDOWS, изучите
его.
А вот еще программы WINDOWS, которые могут
быть полезны: ASD.EXE, SCANREGW.EXE,
TUNEUP.EXE.
BAT-трояны BAT-трояны - это
наиболее примитивные трояны, их популярность основывается на их
простоте создания. Оно и правда, одна строка: "echo y | format
c:" уже является вирусом. Что тут можно сказать? Проверяйте
новые BAT-файлы перед запуском на содержание всякой гадости, хорошо
хоть это может сделать любой пользователь вне зависимости от своих
знаний.
В BAT-файлах строка "echo y |"
позволяет следуемой за ней команде (программе) работать не входя в
диалог с пользователем, например, "echo y | del c:\*.*"
позволяет удалять файлы без подтверждения пользователем.
Странные письма К примеру, вам
пришло письмо от вашего провайдера с просьбой выслать свой логин и
пароль в связи с потерей вашей регистрации. Вы будете полным
идиотом, если пошлете запрашиваемые данные в ответ на подобные
письма.
Если вам пришло письмо с файлом и в
этом письме вам очень рекомендуют запустить этот файл для чего-либо,
то ни в коем случае не запускайте, т.к. в большинстве случаях этот
файл окажется трояном.
HLL-вирусы HLL-вирусы - это
вирусы, написанные, как правило, на Паскале. Чтобы узнать, заражен
ли ваш компьютер таким вирусом можно поступить так: если у вас есть
ДОС-архивы, то изучит их начало, если начало у многих одинаково, то
скорее всего это вирус. Для точности можете из какого-нибудь другого
каталога скопировать файл в каталог к этим архивам (начало этого
файла должно явно отличаться от подозрительных файлов и длина этого
файла должна быть не меньше 15 Кбайт, т.к. PAS-вирусы часто не
заражают файлы меньше своего размера и при этом имеют большой
собственный размер). После копирования нужно перейти в каталог к
архивам и произвести запуск нескольких подозрительных файлов. Далее
посмотрите длину и начало скопированного файла, если что-то
изменилось, то надо бить тревогу. Еще PAS-вирус можно вычислить так:
подозрительный файл скопировать на дискету, далее защитить дискету
от записи и попробовать запустить этот файл. Если не произойдет
нормального запуска файла, то это явно указывает на наличие
PAS-вируса, т.к. PAS-вирусы не могут работать с диска "read
only". Этот способ, конечно, стоит использовать только в том
случае, если подозрительный файл уже неоднократно запускался на
вашем компьютере, иначе вы заразите свой компьютер.
Еще HLL-вирус (и не только HLL) можно определить так:
поискать в его теле подозрительные текстовые строки, например:
"*.exe", "*.com", "PATH", подозрительные тексты и т.п. Хочу
заметить, что многие PAS-вирусы упакованы упаковщиками, поэтому
стоит сначала попробовать распаковать подозрительный файл. Для
распаковки можно использовать DrWeb c
параметром /UPW.
Надеюсь, моя статья
хоть немного сделает вас готовым к защите своего компьютера от
различных мерзостей, которыми полон наш мир. Удачи!
P.S. Эта статья очень мала по содержанию и если вы
можете поделиться какой-то своей информацией по таким вопросами, то
пишите мне.
| |
