"А
помнишь как все
начиналось ?" :
Было время, когда машины
просто сканировали на
предмет "расшариваемых"
по сети ресурсов, а вирусы
и троянские кони не были
столь актуальны как
сейчас. "Первой
ласточкой" в плане
удаленного контроля чужой
машины без ведома хозяина
стала разработка группы the
Cult of the Dead Cow. Именно эти
ребята "подарили"
общественности Back Orifice.
Эта программа (сейчас это
уже Back Orifice 2000)
представляет из себя
клиент-сервер приложение,
реализующее элементарную
по сути идею удаленного
управления. Вы получаете
некую программу, несущую в
себе серверную часть BO, и,
в случае запуска этой
программы, сервер BO
размещен. Теперь можно
контролировать Вашу
файловую систему, сетевой
траффик, перехватывать
пароли, делать "снимки"
экрана и много чего еще.
Несколько позже Carl-Fredrik
Neikter создал NetBus. Программа
которая также умеет
делать практически все,
даже shut down. На сегодня
подобных программ стало
еще больше ...
Как работает троянский
конь ? :
Когда Вы запускаете
программу с троянским
конем первый раз,
серверная часть
прописывается таким
образом, что начинает
запускаться при загрузке
машины либо при наличии
сетевой активности.
Удаленное клиентское
место может обратиться к
этой части, работающей как
фоновый процесс Вашей
машины. Для этого нужно
лишь знать номер порта и
пароль. Затем начинается
обмен команда-ответ,
иногда с применением не
слишком сложного
шифрования.Такие
клиентские запросы можно
перехватить и
расшифровать, получив
возможность подбора
пароля для серверной
части.
Как избежать проблем ?
:
Скачаивая что-либо из
интернет, либо купив какой-нибудь
компакт, обязательно
проверьте то что скачали/купили
антивирусными
программами.
Пользуйтесь программами,
которые могут справиться
с этой заразой (см. список
ниже) и не забывайте
производить обновление
таких программ.
Не забывайте
просматривать
HLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
и прочие Run-ключи в
регистри на предмет
подозрительных программ,
стартующих на загрузке.
Периодически проверяйте
свой компьютер
антивирусными
программами.
Не запускайте присылаемых
Вам посторонними людьми
программ и не открывайте
любые присланные файлы,
предварительно не
проверив их антивирусом.
Периодически
просматривайте записи run=
и load= в файле win.ini и фолдер
Автозагрузки.
Если Вы предполагаете, что
на Вашей машине запущен
троянский сервер, не
поленитесь выдать команду
netstat -a и посмотрите на
список открытых на Вашей
машине портов.
Поставьте какой-либо
персональный firewall (например
AtGuard или PC Firewall) и
резидентный антивирусный
монитор (например из
комплекта поставки AVP).
Программы :
MultiTrojan
Cleaner от автора NukeNabber'а.
Триал на 30 дней, т.к.
продукт стал коммерческим.
Понимает много всего.
NOBO
- программа, постоянно
висящая на BackOrifice-сервер
порту и ожидающая запроса
на соединение. При
коннекте пишет данные в
лог и говорит клиенту что
Вы о нем думаете.
NetBuster
- похожая вещица, но
эмулирующая NetBus-сервер.
Чистилка от Panda Software PandaBO.
(кстати там же можно
поглядеть шароварные антивирусы
под windows и os/2).
Bored
- еще одна чистилка (подробности
о ней).
AVP
для разных платформ. Все
великолепно, за одним (на
мой взгляд) исключением -
кричит Virus! даже на те
программы, которые
вирусами не являются, но
занесены в malware.avc как "вредоносные"
(например crack ICQ и т.п.,
которые никаких
деструкативных функций
либо функций размножения
не имеют). Поддерживается
обновление по интернет.
DrWeb
для 95/NT. Ну если даже он не
справится с троянами, то
очень поможет справиться
с вирусами. Скачав,
выполните функцию
обновления по интернет -
он обновит базы. Если
будет требовать
дополнительные
библиотеки, то они здесь.
Adinf
для 95/NT - будет отслеживать
изменения, что никогда не
вредно.
Источник:
http://www.leader.ru/
|
.gif){kind=small}