Пошук троянів вручну
У цій статті ви знайдете відповіді на наступні питання:
- Що робити, якщо ви припускаєте, що на вашому комп'ютері з Windows встановлена програма-шпигун або троян?
- Як знайти троянську програму або spyware, якщо ваш антивірус або AdWare її не знаходить?
Якщо коротко описати процес пошуку програми, яка виконує небажані дії, то алгоритм зазвичай такий:
Перший пункт досить зрозумілий і допомагає в 80% випадків. За третій пункт потрібно братися в самому запущеному випадку і ще краще з фахівцем з комп'ютерної безпеки (далі КБ). Давайте спробуємо виконати дії, описані в другому пункті. Тим більше що при уважному виконанні всіх операцій можна знайти і вбити будь-яку гидоту, яка засіла в вашому комп'ютері.
Виникає питання, чи потрібно відключатися від Інтернету, якщо ми шукаємо вірус або троян? Вам знадобляться різні утиліти для пошуку трояна (які конкретно буде описано далі). Якщо ці утиліти вже є або на жорсткому диску, або на компакт-диску, або у вас є можливість сходити за потрібними дисками, або завантажити і записати на компакт-диск потрібні програми на іншому незараженном комп'ютері, то необхідно відключитися від Мережі. Це потрібно зробити, щоб запобігти подальшому витоку інформації з комп'ютера. Відключатися потрібно навіть від локальної мережі, наприклад, мережі офісу або домашньої мережі, щоб не заражати сусідні комп'ютери.
Однак іноді зустрічаються особливо запущені випадки, в яких доводиться викачувати потрібні програми через Інтернет. Наприклад, я одного разу приїхав в гості до родичів в Сибір, зрадів наявності комп'ютера з модемним доступом до Інтернету, сів за нього і, натиснувши за звичкою. відразу виявив трояна в списку процесів. Оскільки потрібних програм під рукою не було, довелося лікувати вручну. Єдиною «захистом» цього комп'ютера з Windows XP був гордо стоїть антивірус з базами вірусів дворічної давності. У Windows навіть не був включений ICF.
На жаль, переважна більшість користувачів недосвідчені і необізнані у питаннях комп'ютерної безпеки. Комп'ютери на платформі Intel і операційна система Windows є високотехнологічними продуктами. Адже навіть серед тих, хто користується загальновідомою програмою Microsoft Word, не так багато людей, хто вивчав його на курсах або хоча б читав до нього документацію. Що тут говорити про освіченість в області комп'ютерної безпеки.
До кожному користувачеві фахівця з комп'ютерної безпеки не приставиш. Тому на таких комп'ютерах всі підготовчі заходи їх власники будуть робити самі при працюючому трояни і підключеному Інтернеті, оскільки Інтернет - єдине місце, де вони можуть знайти допомогу і програмне забезпечення для пошуку троянів. Тим більше чого їм боятися - все важливе троян вже напевно вкрав і відіслав своєму власникові. Але навіть в цьому випадку, після того як ви завантажили всі необхідні утиліти на локальний диск, потрібно відключитися від Мережі.
Отже, бойова задача полягає в тому, щоб успішно пройти три етапи: знайти трояна, вбити його і поміняти свої вкрадені паролі. Саме в такій послідовності.
Зауваження: програма в операційній системі Windows представлена у вигляді процесу, в якому може працювати кілька ниток, і всі ці нитки завантажені в пам'ять з файлів, що зберігаються на диску. Як правило, це файли з розширенням EXE і DLL. Розширення можуть бути і іншими. Зловмисники часто використовують інші розширення, щоб ніхто не здогадався.
Деякими проявами троянських програм є:
- несанкціоновані з'єднання c різними хостами в Інтернеті;
- відкриті програмами з'єднання, які очікують підключення ззовні;
- спроба відкрити непотрібні для нормальної діяльності файли на локальному диску;
- додавання себе в списки автозапуску;
- маскування під стандартні системні процеси і розміщення в системній папці Windows.
Знаходимо троянську програму, яка чекає вхідного з'єднання
Такі програми відкривають TCP-порт на комп'ютері жертви, встановлюють його в стан LISTENING і чекають, коли хакер підключиться на цей порт. Таким чином, нам потрібно виявити всі процеси, які відкрили TCP-порти і які знаходяться в стані LISTENING, і вирішити, схвалюєте ви це з'єднання чи ні. Те ж саме можна сказати про UDP-порти - за ними теж треба дивитися, з єдиною відмінністю, що у них немає станів - з цих портів може як прийматися інформація, так і надсилатися. З ходу можна сказати, що якщо у вас звичайний комп'ютер, підключений до виділеної лінії або через модем в Інтернет, то в ідеалі у вас не дожно бути слухають портів. Навіть якщо додатки або сервіси Windows відкрили ці порти, то вони повинні бути закриті персональним firewall.
C: Documents and SettingsUser> netstat -ano
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 856