Бойтесь данайцев, дары приносящих

Shen (_shen_@mail.ru)

Спецвыпуск Xakep, номер #035, стр. 035-032-4

Как не встрять?

Вирус, расплодившийся на твоем компьютере - это проблема, вирус, уничтоживший твою информацию - это беда, но осознание того, что кто-то смотрит твои картинки, читает твои письма, и сидит в интернете за твой счет, злит гораздо больше. Во всяком случае, меня. Как же не встрять? Прежде всего, почитай статью "Правила поведения в Сети" в этом номере нашего журнала. Там более чем подробно все описано. Отыскивая в Сети интересные трояны для этой статьи, я с трудом нашел незараженные различными подарками, типа вирей и других троянов. Знаешь, как весело выглядит клиент бэкдора А, на самом деле являющийся еще и сервером трояна B? :) Кстати, вот еще информация для размышления: пишется троян, в его коде делается специальный "черный ход", и троян выкладывается в Сеть, на какой-нибудь хацкерский сайт - "Новый крутой троян! Скачай быстрее!" Народ кидается пробовать: захватывают чужие системы, бесплатно сидят в инете и т.д. А тем временем человек, написавший трояна, наслаждается властью над всеми затрояненными компьютерами. Чем-то финансовую пирамиду напоминает. Но так как пользователь нынче пуганый пошел, часто делается так: вместе с трояном публикуются его исходники, мол, все по-честному. Юзер видит файл *.cpp, успокаивается и вляпывается в большие неприятности, так как что стоит выкинуть из исходника реализацию того самого "черного хода"? Правда, товарищи со стажем в подобных делах, в таких случаях не пользуются готовым экзешником, а компилируют свой из предоставленного исходника. Но и для этого метода есть контрмеры: случается так, что те пятнадцать строк, что отвечают за потайной ход, днем с огнем не найти в тысячах строк кода трояна.

Но что делать человеку, который все-таки запустил "патч для Аутлука"? Или тому, кто раскусил подставу и хочет добраться до хозяина? Читать дальше.

Вскрытие

Что мы имеем: у тебя есть сильные подозрения, что твоя машина затроянена, и тебе нужно, как минимум, убить коня, а если повезет, то и добраться до хозяина. Итак, алгоритм охоты на троянов!

1. Для начала необходимо найти файл трояна. Самый простой и быстрый способ сделать это - антивирус. Если он найдет трояна, самое большее, что он сможет сделать - удалить его. Если тебя это устраивает, действуй. Меня же интересует тот гад, который подослал ко мне заразу. Если троян найден, вырубаем антивирус и goto 4.

2. Если антивирь ничего не нашел, будем искать вручную. Запускаем regedit и изучаем ключи автозагрузки (см. выше), а также просматриваем system.ini, win.ini, если мы живем под убогой Windows 9x. Ищем все подозрительные названия: если видишь программу с названием, типа "trojan" или "msfucker", поиск окончен; также нужно обращать внимание на названия, в которых есть слова "server", "srv" или "ras" (Remote Access Service). Если троян найден, goto 4.