Найти и уничтожить!

Крис Касперски aka мыщъх

Спецвыпуск: Хакер, номер #048, стр. 048-084-4

Для просмотра перечня открытых портов и установленных соединений можно воспользоваться утилитой netstat из штатного комплекта поставки Windows, запустив ее с ключом –a. К сожалению, она не выдает имени процесса, установившего данное соединение (а для поиска троянов это актуально), вынуждая искать более совершенный инструментарий. Большой популярностью пользуется утилита TCPView Марка Руссиновича (www.sysinternals.com), не только выводящая развернутую статистику, но и позволяющая одним движением мыши закрыть любое сетевое соединение.

Еще лучше оградить свой компьютер персональным брандмауэром. Многие из брандмауэров, кстати говоря, содержат системы обнаружения вторжений и антивирусные модули. Брандмауэр не только сообщает о подозрительных сетевых соединениях – он позволяет их блокировать, предотвращая утечку данных с твоего компьютера и выдавая предупредительные сообщения на ранних стадиях вторжения. Впрочем, брандмауэр – это еще не панацея, и он не может защитить от атак, которые совершаются не через него. Вирусы – не его специализация, и в борьбе с ними он малоэффективен.

Рассматривая способы обнаружения заразы, я ничего не говорил о технике ее удаления, поскольку это тема другого разговора. Если же кратко, то, загрузившись с системного диска, удали папки WINNT и Program Files (предварительно скопировав все ценные документы) и переустанови систему заново :). Форматировать жесткий диск совсем не обязательно.

Перечень активных процессов, который отображается утилитой tlist, входящей в состав пакета Support Tools (бесплатно распространяется Microsoft)

System Process (0)

System (8)

SMSS.EXE (316)

CSRSS.EXE (344)

WINLOGON.EXE (364) NetDDE Agent

SERVICES.EXE (392)

svchost.exe (548)

svchost.exe (580)

spoolsv.exe (624)

Smc.exe (672) Sygate Personal Firewall

ups.exe (696)

vmware-authd.exe (712)

vmnat.exe (748)

vmnetdhcp.exe (760)

LSASS.EXE (404)

explorer.exe (972) Program Manager

pdesk.exe (1052)

daemon.exe (1092) Virtual DAEMON Manager V3.41

internat.exe (1100)

CMD.EXE (1152) Обработчик команд Windows NT

taskmgr.exe (1168) Диспетчер задач Windows

msimn.exe (1108) Входящие - Outlook Express

Far.exe (1196) tlist -t -s -p > 11 - Far

CMD.EXE (1268)

tlist.exe (1280)

sndvol32.exe (1252) Общий

emule.exe (820) (U:0.9 D:1.6) eMule v0.30c

WINWORD.EXE (1272) remove.doc - Microsoft Word

Anti-Cracker Shield

Самая большая проблема безопасности сегодня - атаки на переполнение буферов. Они позволяют удаленно получить полный контроль над атакуемой системой. От этой атаки не застрахована ни одна программа, имеющая контакты с внешней агрессивной сетевой средой (в том числе и фаерволы). Для Linux существует проект PaX, который защищает системы на основе Linux от исполнения на них эксплоитов. Для платформы Windows NT/2000/XP/2003 до недавнего времени подобной защиты не существовало. Затем появились защиты, с недостаточно высокими качеством исполнения и уровнем защиты. Многие нещадно глючат, тормозят систему и приложения, имеют слабую защиту и легко обходятся. Бывает, что программа защищает не все приложения, а только те, которые захотел защитить ее автор :).