Центр исследования компьютерной преступности

home контакты

Пользователь сам устанавливает трояна на свой компьютер

Дата: 06.10.2006
Источник: Crime-research.ru


cybercrime/img17.jpg ... />
3. Специализированное ПО для поиска троянов действует схожим с AV-сканерами образом; однако оно также проверяет записи реестра (в первую очередь - все секции автозапуска), файлы настроек (boot.ini, win.ini etc.) и может быть способно определить открытые/прослушиваемые порты, что резко повышает эффективность проверки.

Мудрый пользователь имеет в своем арсенале все три вида, но вот запускать их одновременно не стоит ни в коем случае (см. врезку "много хорошо - тоже плохо").

Полное удаление найденных троянов с помощью любой из этих утилит не всегда возможно. Логика работы WinXP такова, что не допускает удаления файлов, если к ним обращается какой-то активный процесс. А завершить процесс трояна (особенно уровня ядра ОС) в автоматическом режиме не всегда просто… да и опасно в плане сохранности данных.

Здесь-то и выходят на сцену узкие специалисты, специально обученные удалять наиболее глубоко засевших коней разными (в том числе недокументированными) способами. В первую очередь, это утилита с богатейшей функциональностью производства компании Ewido; она отлавливает не только троянов, но и другое неприятное ПО вроде ad-ware и т. п.

Очень мощная утилита компании EMSI - a-squared. Бесплатная версия просканирует и укажет на наличие вредоносного ПО. К сожалению, полная функциональность - только за деньги.

Кроме того, можно посоветовать российскую разработку Agnitum Tauscan. Утилита создана специально для борьбы с троянами. Несмотря на ориентацию на неопытных пользователей, разработчики не забывают и о функциональности, база достаточно обширна и содержит около четырех тысяч записей.

Ну и напоследок, одна из самых известных утилит - Trojan Remover. Ее база на данный момент насчитывает больше десяти тысяч сигнатур.

Но новые угрозы появляются постоянно, а старые трансформируются и делают прежние средства борьбы неэффективными. Никакие сколь угодно "продвинутые" утилиты не отменяют необходимость знать устройство используемой операционной системы и уметь очищать ее от вредоносного (в том числе троянского) кода вручную. Те, кто надеется исключительно на автоматическую, "прозрачную для пользователя" защиту, ничего не смыслят ни в защите, ни в автоматике. Рано или поздно таких людей постигнет участь жителей Трои… хорошо хоть, что только в переносном смысле.

Чаще всего в различных руководствах по борьбе с вирусами советуют начинать проверку с открытых на компьютере портов. В нормальном режиме, при установленном и адекватно настроенном Zone Alarm’е (или любом другом приличном брандмауэре) все неиспользуемые порты закрыты. Поэтому попытка отправить запрос на один из "нестандартных" портов ни к чему не приведет: компьютер прикинется калькулятором и запрос проигнорирует.

А вот если чудо-софт обнаружил что-то подозрительное, тут надо глядеть во все порты! Утилита AVZ их отлично показывает. И она - мощнейшее оружие супротив троянов и прочих супостатов. Положительный результат (наличие непрошенных соединений) будет свидетельствовать о том, что вы на правильном пути. А вот отрицательный результат вовсе не означает отсутствия заразы в вашем ПК. Кстати, чем именно смотреть - не столь важно. Я пользуюсь AVZ, админы традиционно предпочитают X-Spider, можно просто набрать команду netstat -an, но в этом случае велик риск получить недостоверную инфрмацию, так как некоторые трояны готовы к этому. В любом случае, самый надежный способ проверки - извне.

Если подозрительная активность обнаружена, то прежде чем готовиться к длительному отражению осады злейших кибермонстров, неплохо бы поискать примитивных троянов [А также adware/spyware, hi-jack (подменяющих адрес стартовой страницы) и прочих наград за распутный веб-серфинг] и их следы в типичных местах для размещения "подарков".

Добавить комментарий
Всего 0 комментариев


Copyright © 2001–2019 Computer Crime Research Center

CCRC logo
Главным направлением в деятельности Центра является широкое информирование общественности об основных проблемах и способах их решения, с которыми сталкивается общество в сфере противодействия компьютерной преступности.