Найдем и обезвредим!

Докучаев Дмитрий aka Forb

Спецвыпуск Xakep, номер #035, стр. 035-094-2

Таким образом, чтобы узнать, существует ли зараза в твоей системе, достаточно зайти в меню "Пуск", нажать мышкой на пункт "Выполнить" и написать "msconfig". Нас интересует вкладка "Автозапуск", в которой ровной таблицей выписаны все приложения, стартуемые при запуске системы.

Стоит заметить, что трояны и вирусы редко когда называются "некрасивым" именем. Как правило, электронная зараза переименовывается в безобидного вида программу со звучным названием и лишь затем прописывает себя в автозапуск. Поэтому для того, чтобы быстро сориентироваться в этом списке и обнаружить трояна, ты должен точно знать, какие приложения в твоей системе заслуживают доверия.

Как я уже говорил, программа msconfig присутствует не во всех дистрибутивах. Если ты счастливый обладатель Windows 2000, то ты не сможешь воспользоваться услугами этого приложения. В этом случае у тебя есть два варианта: либо качать подобный софт, который проверяет ветки реестра на предмет автозапуска программ (такого ПО очень много), либо обратиться к системному реестру редактором regedit. Во втором случае, тебя интересуют ветки HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run RunOnce, RunOnceEx, а также HKEY_CURRENT_USER\..\Run, HKEY_USERS\..\Run и HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ (туда трой может прописаться в значение параметра User Shell Folders Common Startup). Именно там хранятся названия приложений, запускаемые во время старта твоей операционки.

Но помни, что вирусы могут заразить системные утилиты, в том числе msconfig и regedit. На личном примере скажу, что однажды я подхватил заразу, которая просто удалила эти жизненно важные приложения из системы. Поэтому всегда имей резервные копии программ, типа msconfig, чтобы можно было в любой момент проверить свою ОС.

Тема автозапуска очень обширна и может обсуждаться довольно долго. Дело в том, что электронная зараза способна представить себя сервисом и прописаться уже в другом системном списке. В этом случае обнаружить ее становится сложнее. Существует метод запуска, согласно которому программа выдает себя за скринсейвер. В этом случае он не появится в диспетчере задач и скроется от глаз любопытного пользователя. Как ты, наверное, понял, вирусы и трояны редко когда светятся в списке процессов, обойти который довольно просто (во всяком случае, в win9x).

Кто стучится в порт ко мне?

Поговорим о троянах. Если с их обнаружением придется попотеть, то пресечь их деятельность можно без проблем. Как правило, любой троян либо отсылает данные о системе в глобал (чаще всего на e-mail), либо открывает порт, после чего злоумышленник может подсоединиться к операционке и сделать все, что его интересует. Сейчас мы попробуем обнаружить присутствие трояна.

Открой командный интерпретатор (cmd.exe или command.com) и напиши в нем команду netstat -an. Программа выдаст в ответ список портов, которые листаются в системе, а также адреса, подключившиеся к твоему компьютеру. Это очень удобно, а учитывая, что троян не заражает служебные утилиты, обнаружить его присутствие может любой желающий (хотя это и не всегда так - бывает и комбинированная зараза, которая модифицирует бинарники и затем открывает порт).