|
Нижеследующий текст расскажет вам все о троянах все то что
поможет вам справиться с любыми проявлениями троянской активности,
я считаю, этого достаточно для базового уровня молодого бойца
с троянами...
для начала что такое троян:
Троян - вирусоподобная программа созданная для просмотра
и воровства личной информации жертвы. Обычно троянами заражаются
после запуска сомнительных фаилов пришедших по почте. Сам троян
не размножается, сидит в системе и ждет выхода в интернет для
отправки информации жертвы. Довольно прост в написании но не
особо живуч чаще исползуется нацеленно на определенную жертву
для получения паролей.Троян не заражает фаилы (обычно) и даже
часто не несет в себе диструкцию. Наименее опасный из всех представителей
вирусного мира.
Алгоритм работы любого трояна сравнительно одинаков
различие только в последовательности выполнения одинаковых для
всех троянов команд.
ну вот мы его запустили: происходит
1. Прописывание трояна в системной автозагрузке
здесь различают три основных способа
а) прописывание в системном реестре (причем различных ключах)
здесь бы я выделил возможность прописывания вместо системных
фаилов что намного затруднит нхождение гадины
б) в пункте автозагрузка меню пуск
ну тут может быть с атрибутом - скрытый что делает его невидимым
в меню пуска
в) в фаилах system.ini и win.ini (только для windows 9x / ME
)
также может заменять системный фаил (типо explorer.exe или
svchost.exe) собой и запускать его уже после своих грязных дел,
вообще способов очень много и я постараюсь расказать о них отдельно
по возможности.
2.Копирывание трояна на новое место (дабы мы его не удалили
- сразу) обычно это папка windows или system но возможно даже
и program files что достаточно сильно поставит в тупик тех,
кто сканирует на вирусы только папку винды. После копирывания
может удалить себя с места запуска выдав левое сообщение об
ошибке, тем самым заметая следы за собой.
3. Открывет порт и ждет соединения через интернет(хотя некоторые
просто пытаются подключиться через определенный промежуток времени,
что намного проще и точнее), дождавшись соединения с нэтом посылает
письмо на указанный автором адрес почты со всеми данными которые
запрограммировались (напр пароли от аськи от чего нибудь еще
системная инфо итд) или напрямую коннетится к определенному
ip и приподключении передает все тоже что и письмом, иногда
трояны не содержат в себе кода рзмножения(тк часто изменяются
адреса или ip ибо их просто блочат-ибо нефиг) и по этому трояны
закачивают обновленную версию с функциями размножения или просто
обнавления с нета и запускают их.
4. Ну осталась деструкция и встроеные приколы и все что заблагорассудится
хозяину троя короче все остальное.
Способы нахождения:
Ну уже наверно все знают что на компьютере обязательно должен
стоять антивирус тем более если у компа есть выход в интернет
но любой антивирус даже с самыми новыми антивирусными базами
может не найти в вашей системе вируса и здесь надо поработать
самим
если вы заметили небольшое торможение при выходе в сеть или
что-то происходит не так как было раньше да еще вчера не заработала
супер пупер халявная прога по взлому нета которую тебе прислал
твой друг или ты ее скачал ее сам причем она выдала такое странное
предупреждение о ошибке или вооще ничего не говорит да и размер
у нее от 5 до 300 кб то мой тебе совет проверь реестр на появление
новой записи а точнее в ключах автозагрузки (желательно что
бы ты запомнил что там было раньше) вот в этих
(наберите в ПУСК-выполнить regedit это стандартный редактор
реестра)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
а еще лучше воспользоваться прогами типо RegCleaner там все
проще простого
если здесь вы ничего не нашли то жмите три веселых кнопки ctr+alt+del
и смотрим какие процессы у нас запущены
стандартными являются
panel.exe
taskmgr.exe
watch.exe
CTFMON.exe
EXPLORER.exe
resetservice.exe
SVCHOST.exe
taskmgr.exe
SERVICES.exe
system.exe
WINLOGON.exe
ALG.exe
хотя возможно у вас их будет намного больше все зависит от
засранности вашей системы. Ищем в списке может что новое есть.
В качестве профилактики иногда полезно посмотреть не стоит ли
там что то типо winsys.exe или freeonline.exe обычно названия
похожи на системные а иногда даже не отличишь напр EXPLОRER.exe
и EXPLORER.exe вроде все одно и тоже но у первого буква "О"
русская вот и думай кто из них кто.
Любой троян или червь если он им является то должен быть как
то связан с сетью и его действия обязательно должен увидеть
firewall - это специальная программа для слижения за всем что
творится когда ты в сети. например какие приложения используют
соединение с сетью то есть это стена (дословно - огненная стена)
между интернетом и твоим компом следящая чтобы какая то чужая
прога не вышла без твоего ведома. Если у тебя пока нет firewall'a
то обязательно обзаведись (тем более можно и с нета скачать)
а как выбрать стену мы расскажем в другой раз...
хотелось бы еще добавить что фервол это тоже не панацея от
всех болезней тк сейчас появились вирусы которые встраиваются
в системные процессы и не вызывают волнений у фаервола тем более
если это explorer или луюбой другой браузер имеющий полный доступ
в настройкк стены...
А если у вас сидит файловый троян-вирус то найти его можно
по небольшому торможению при запуске ранее так не тормозивших
программ но это не всегда так по этому можно посмотреть размер
фаила и дату его изменения или аражение можно заметить по изменением
в файловой системе (это создание странных фаилов которых раньше
не было) каких либо шутливых сообщений или странных предупреждений
иногда даже по неработоспособности работавших фаилов. Но самое
лучшеее это не учиться избавлению а научиться избегать попадания
и следить за обновлениями защитного софта и относиться всегда
с небольшим недоверием к незнакомым файлам попавшим к вам в
руки.
вот и все базовые принципы нахождения.
Удаление вирусоподобной программы из системы:
И так вы нашли что- то похожее на троян, вирус или червь или
еще лучше вы уверены в этом.Что делать? Удалять! Так для начала
вызываем диспетчер задач и завершаем процесс троя (если он есть)
иначе работа с запущенным фаилом не возможна(удаление- копирование),
после удалить все виды автозагрузок которые использует прога
в основном это реестр (ключи описаны выше) удаляем ключи которые
создала прога, и в конце находим сам ехешник и вырезаем его
куда нибудь подальше на всякий случай вдруг он вовсе не вирь
(хотя если вы уверенны что это точно гад можно и удалить) хотя
я всегда оставляю его для детального осмотра его функций (интересно
все -таки) перезагружаем систему вот и все!
|
