Архив спецвыпуска журнала Хакер на www.wisesoft.ru, номер #048, стр. 048-074-8, Найди врага в своем доме!

Издательский дом ООО "Гейм Лэнд"

СПЕЦВЫПУСК ЖУРНАЛА ХАКЕР #48, НОЯБРЬ 2004 г.

Найди врага в своем доме!

Deeoni$

Спецвыпуск: Хакер, номер #048, стр. 048-074-8

connect – собственно коннект

closesocket – закрытие сокета

send – отсылка данных на сконектившийся сокет

recv – получение данных из сокета

Brouser Helper Object

Brouser Helper Object (BHO) является серьезной проблемой на сегодняшний день, и программы, основанные на данной технологии, называются также троянцами (например, лошадка под названием CWS_NS3). Симптомом является постоянное появление одной и той же странички при клике по ссылке.

Вот способ избавиться от этого беспредела. Список идентификаторов, установленных BHO, находится в разделе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\BrowserHelper Objects. Подозрительные BHO можно удалить из списка, но там присутствуют только ничего не говорящие номера. Для того чтобы понять, кто скрывается за этим ID, надо просканить реестр на наличие этой записи и выяснить, троян это или нет. Пусть у нас есть по вышеуказанному адресу такой идентификатор: {A5366673-E8CA-11D3-9CD9-0090271D075B}. Произведя поиск, обнаружим его упоминание также и в разделе HKEY_CLASSES_ROOT\CLSID\ {A5366673-E8CA-11D3-9CD9-0090271D075B}. Просмотрим все содержимое найденного раздела, чтобы определить, к какой программе относится этот BHO. Мы обнаружим такую запись: HKEY_CLASSES_ ROOT\CLSID\{A5366673-E8CA-11D3-9CD9-0090271D075B}\InprocServer32 @="C:\Program Files\Flashget\jccatch.dll". Понятно, что BHO принадлежит FlashGet, но если это будет DLL непонятного происхождения, то смело рубим все упоминания о данном идентификаторе в реестре. Можно воспользоваться и специализированным софтом BHODemon (www.definitivesolutions.com).

Интересная прога для борьбы с BHO и автозапускающимся софтом - BHOCaptor (www.xcaptor.org).

HLLP-вирусы могут заражать методом сдвига и методом переноса и использовать шифрование.

Не сиди под Администратором и рутом!

Хорошая программа для выявления подозрительных процессов – TaskInfo.

Некоторые вирусы не имеют тела, поэтому и искать в файлах нечего. В этом случае не надо забывать про патчи и фаервол.

Зло-программы могут регистрировать себя как службы, что приводит к отсутствию их в списке процессов.

Назад на стр. 048-074-7 Содержание