 |
Трояны Windows, что это такое и с чем их едят
|
|
|
|
Большинство троянов состоят из двух частей. Клиента и Сервера. Правда, есть исключения. Трояны, способные совершить запланированные действия (обычна кража информации), без какого-то либо вмешательства атакующего. Клиент серверные трояны нуждаются в помощи атакуемого. То есть, вы неосознанно помогаете злоумышленнику. Обычно, на компьютере жертве посылается серверная часть трояна, которая открывает для атакуемого любой порт, и ждет поступления команды от своей клиентской части. Для установления связи обычно используется протокол tcp/ip, но известны трояны, которые используют и другие протоколы связи, такие как icmp, и даже udp.
Для уменьшения вероятности своего обнаружения, трояны используют разные возможности. Маскируются под другие процессы. Используют для связи с атакующим уже порты, открытые другими приложениями. При обнаружении доступа в Интернет серверная часть трояна сообщает клиентской части ip адрес пораженного компьютера и порт для прослушивания.
Для подачи сообщения используются различные механизмы. Обычно это smtp протокол, но есть Трояны, использующие icq или irc. Прямой отправки сообщения атакующему не применяется, так как злоумышленник должен оставаться анонимным. Большинство троянов для запуска серверной части на компьютере жертвы используют различные методы, позволяющие им запускаться автоматически при каждом включении компьютера. Список различных мест, позволяющих троянам автоматически запустить свое серверное приложение на компьютере жертвы.
Папка startup Любое помещенное в нее приложение будет выполнятся автоматически как только произойдет полная загрузка windows.
2. Файл win.ini Для запуска используется конструкции типа load=trojan.exe или run=trojan.exe
|
|
|
3. Файл system.ini Конструкция shell=explorer.exe trojan.exe выполнит trojan.exe каждый раз, как только запуститься explorer.exe.
Файл wininit.ini Этот файл используется в основном программами установки, для выполнения некоторого кода при установке приложений. Обычно удаляется. Но может использоваться троянами для автоматического запуска.
5. Файл winstart.bat Обычный bat файл, используемый windows для запуска приложений. Настраивается пользователем. Трояны используют строку для запуска @trojan.exe, что бы скрыть свой запуск от глаз пользователя.
Файл autoexec.bat Кто помнит dos, тот поймет)))
Файл config.sys Аналогично.
Explorer startup Данный метод используется windows 95, 98, me для запуска explorer. И если будет существовать файл c:explorer.exe, то он выполнится вместо обычного c:windowsexplorer.exe.
9. Ключи автозапуска windows, используемые для запуска различных приложений и сервисов. Вот, к примеру, некоторые из них:
hkey_current_user softwaremicrosoftwindowscurrentversionrun hkey_current_usersoftwaremicrosoftwindowscurrentversionrunonce hkey_local_machinesoftwaremicrosoftwindowscurrentversionrun hkey_local_machinesoftwaremicrosoftwindowscurrentversionrunonce hkey_local_machinesoftwaremicrosoftwindowscurrentversionrunonceex 10. registry shell open hkey_classes_rootexefileshellopencommand hkey_local_machinesoftwareclassesexefileshellopencommand По умолчанию значение данных ключей”%1? %*. Туда можно поместить имя любого выполняемого файла для запуска его при открытии бинарным файлом. К примеру, вот так: trojan.exe “%1? %*.
Метод запуска приложений при обнаружении icq соединения с Интернет Эти ключи включают в себя все файлы, которые будут выполнены при обнаружении icq соединения с Интернетом. Это удобно для запуска некоторых приложений. Но и злоумышленники могут им воспользоваться. hkey_current_usersoftwaremirabilisicqagentapps hkey_local_machinesoftwaremirabilisicqagentapps
Компоненты activex. hkey_local_machinesoftwaremicrosoftactive setupinstalled components Установленные в системе компоненты activex.
Троян, маскируясь под компонент, добивается своего запуска при каждой инициализации windows. Все эти методы в принципе уже хорошо изучены и, успешно применяются для борьбы с троянами. Но время не стоит. И вам тоже не стоит расслабляться, поскольку в любой момент может появиться новый метод. Удачи вам в борьбе с троянами)
|
|
|
С Уважением ваш покорный слуга, iunknown.
Источник: http://www.pcnews.biz/
Удаление троянов
Привет всем читателям этой статьи!
В ней я решил поведать вам краткое описание действия троянов и систем удалённого управления и их удаление с вашего компьютера.
Так как действие троянов и систем удалённого управления очень похожи друг на друга, то я решил написать эту статью на примере anti-lamer backdoor v. 1.4 (далее просто alb). Сама по себе эта процедура выглядит проще, когда пользуешься каким-нибудь антивирусом или антитрояном, но вот беда, многие уже научились делать свои трояны и даже системы удалённого управления, которые ни один антивирус не разглядит среди всей кучи ваших драгоценнейших
документов. Написал я эту статью предельно просто, так что не вините меня в том, что вы и без моих усилий знаете. Ну так, если тебе интересно, то слушай, я расскажу полное действие этой программы:
Чтобы предоставить тебе доступ к удалённому компьютеру, она должна открыть какой-нибудь новый порт (по умолчанию это 47891 порт). Для этого ты конфигурируешь сервер удалённого управления, который кидаешь своему “другу”.
Теперь действие сервера удалённого управления:
Попав на комп ламера и запустившись там (при нажатии на него левой кнопкой мыши ламером), он записывается в те файлы, которые ты указал при конфигурации и в system.ini (находится там же), system.ini, это и есть системный реестр, и загружает файл (*.exe его имя ты тоже указывал при конфигурации как “имя файла сервера” (по умолчанию msconfig.exe)) в папку с виндовсом или во вложеную в виндовс папку system (куда загружать файл сервера ты тоже указываешь в пункте “в какую папку устанавливаться” так, как я тебе сказал, то это папка system). Теперь разберём, как этот файл запускается (он ведь должен запускаться при каждом старте windows, чтобы всегда открывать нам порт).
Файл win.ini - это параметры загрузки операционной системы windows. Здесь он записывается, если ты поставишь галочку при конфигурации сервера удалённого
|
|
|
Управления на “win.ini”.
Удаление трояна:
Чтобы удалить оттуда alb, надо найти (alb размещает вначале этого файла свою информацию) там файл, который должен запускаться при загрузке системы (по умолчанию windows не прописывает там никаких файлов). Команда загрузки файла при запуске windows задаётся командой run= после этой команды идёт имя файла (в нашем случае это и есть наш враг, теперь мы знаем, какой у него файл сервера (если ты его забыл), его следует найти в папке виндовса или во вложеной в виндовс папку system, затем можно либо оставить причинять вред, либо удалить, чем мы и займёмся в ближайшее время)
Теперь кратенько про файл system.ini или системный реестр. Системный реестр - это как параметры загрузки операционной системы, так и её настройка и план всей работы. Здесь находятся вообще вся конфигурация твоей операционной системы. Для того, чтобы просмотреть или отредактировать свой реестр, нужно нажать ПУСК=>ВЫПОЛНИТЬ, написать в командную строку “regedit” (естественно БЕЗ ковычек) и, самое трудное - обязательно нажать на “ok”)
|
|
|
