Изображение
Пятница, 22.09.2017, 11:52
Изображение
Приветствую Вас Залётный | RSS
Главная | Троян хитёр, но мы хитрее. - Форум | Регистрация | Вход
[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]
Страница 1 из 11
Модератор форума: AlexKov1, alexey1x 
Форум » Ликбез » Полезная информация » Троян хитёр, но мы хитрее. (Обзор)
Троян хитёр, но мы хитрее.
AlexKov1Дата: Воскресенье, 03.03.2013, 17:54 | Сообщение # 1
NNM-Club
Группа: Администраторы
Сообщений: 383
Статус: Offline
Троян хитёр, но мы хитрее.




По сей день слово троян вызывает ужас у рядового пользователя. При появлении таблички «Обнаружен троян» даже самые подкованные юзеры теряются и начинают паниковать, звонят друзьям компьютерщикам и в тех. поддержку, моля искоренить заразу на их домашнем любимце.

Сразу следует сделать маленькое, но существенное уточнение. Троян — это не одно и то же, что вирус. Если вирусы часто создаются высококлассными программистами (нужно знать как минимум формат PE и т. п.), то трояны часто представляют собой низкокачественные поделки на Delphi или даже VB. В отличие от вирусов, которые в основном сносят Винды и форматируют диски, трояны по своей сути существа мирные. Сидят себе тихонько и делают свое черное дело… Область их компетенции — воровство конфиденциальной информации, паролей с последующей передачей всего этого добра хозяину.

Какими они бывают…


Классификация троянов выглядит следующим образом:

1. Программы-шпионы типа Mail sender.
2. Утилиты удаленного администрирования — BackDoor.
3. Программы-дозвонщики — Dialer.
4. Кейлоггеры — KeyLogger.
5. Эмуляторы DDos-атак.
6. Загрузчики — Downloader.
7. Дропперы — Dropper.
8. Прокси-серверы.
9. Деструктивные троянские программы (есть и такие — напр., FlashKiller).

Первая группа — Mail Sender — наиболее распространена, т.к. подавляющее большинство троянов, если не все, отсылают хозяину пароли от Интернета, вашей электронной почты, ICQ, чатов, ну, и т.д. в зависимости от изобретательности троянмейкера. Примеры: Trojan-PSW.Win32.QQPass.du (китайский троян, ворующий Windows-пароли), Bandra.BOK (скачивается на компьютер жертвы при посещении определенного сайта и пытается украсть пароли от определенных банковских сайтов), Bancos.LU (сохраняет пароли во временных файлах, а затем пытается отослать их хозяину), Banker.XP (собирает конфиденциальные данные, пароли, счета и т.д., отправляя их на определенный адрес)…

Утилиты удаленного администрирования — backdoor (дословно "потайная дверь") — обычно обладают возможностями Mail Sender'а плюс функциями удаленного управления компьютером. Превращает компьютер в «зомби-машину», зачастую входящую в состав ботнета. Такой троян ждет соединения со стороны клиента (соединение осуществляется через какой-либо порт), с помощью которого посылаются команды на сервер. Примеры: Backdoor.Win32.Whisper.a — троянская программа со встроенной функцией удаленного управления компьютером, знаменитый Back Orifice, позволяющий постороннему контролировать ваш ПК, как свой. Cult of Dead Cow, он, позволяет постороннему по локальной сети или Internet получить возможность полного контроля над вашим компьютером, полного доступа к вашим дискам, наблюдения за содержимым экрана в реальном времени, записи с подключенного к системе микрофона или видеокамеры и т.п. Самый интересный пример из этого списка — пожалуй, RADMIN, который определяется Symantec Antivirus как самый настоящий троян biggrin .

Программы-дозвонщики отличаются тем, что могут нанести жертве значительный финансовый урон, устанавливая соединение с зарубежным интернет-провайдером. Таким образом, с телефонного номера абонента происходит установление «незаказанного» международного соединения, например, с островами Кука, Сьерра-Леоне, Диего-Гарсиа или другим диковинным регионом в зависимости от чувства юмора создавшего программу. Примеры: Trojan- PSW.Win32.DUT или trojan.dialuppasswordmailer.a;Trojan-PSW.Win32.Delf.gj;not-a-virus:PSWTool.Win32.DialUpPaper; not-a-virus:PornWare.Dialer.RTSMini.

Трояны-кейлоггеры удачно сочетают в себе функции кейлоггера и обычного Send-Mailer'а. Они способны отслеживать нажатия клавиш клавиатуры и отсылать эту информацию злодею. Это может осуществляться по почте или отправкой прямо на сервер, расположенный где-либо в глобальной сети. Примеры: Backdoor.Win32.Assasin.20.; Backdoor.Win32.Assasin.20.n; Backdoor.Win32.BadBoy; Backdoor.Win32.Bancodor.d (keylogger.trojan).

Эмуляторы DDos (Distributed Denial of Service) — довольно интересная группа троянов. Серверная часть слушает определенный порт и, как только получает команды извне, начинает функционировать как нюкер (Nuker — приложение, отсылающее на заданный IP шквал некорректно сформированных пакетов, что приводит к эффекту, известному как отказ в обслуживании.

Загрузчики — Downloader. Это троянские программы, загружающие из Интернета файлы без ведома пользователя. Загружаемое может быть как интернет-страницами пакосного содержания, так и просто вредоносным ПО. Примеры: Trojan-Downloader.Win32.Agent.fk (представляет собой Windows PE EXE файл. Размер зараженных файлов существенно варьируется. После запуска троянец создает папку под названием %Program Files%\Archive, после чего копирует себя в нее и т.д. Троянская программа Trojan-Downloader.Win32.Small.bxp первоначально была разослана при помощи спам-рассылки. Представляет собой Windows PE EXE файл, имеет размер около 5 Кб. Упакована FSG. Размер распакованного файла — около 33 Кб.

Дропперы (Dropper) — Троянские программы, созданные для скрытной установки в систему других троянских программ. Пример: Trojan-Dropper.Win32.Agent.vw. Proxy-серверы — троян устанавливает в вашу систему один из нескольких proxy-серверов (socks, HTTP и т.п.), а затем кто угодно, заплатив хозяину трояна, либо сам злодей совершает интернет-серфинг через этот proxy, не боясь, что его IP вычислят, т.к. это уже не его IP, а ваш…

Ну ладно, закончим с теорией и постараемся разобраться в том, как можно удалить троян вручную.

Если ваш антивирус упорно молчит или Вы им (тормозом антивирусом) не пользуетесь как я biggrin , а возможность присутствия трояна высока, то попробуйте обнаружить и удалить шпиона Сами.

Для своего запуска троянская программа обычно прописываются на автозапуск в следующих ветвях реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run (чаще всего сюда)
Кроме этой ветви, еще следует заглянуть:
HKEY_CURENT_USER\Software\Microsoft\Windows\CurrentVersion\Run;
HKEY_CURENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce;
HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Run;
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce;


При обнаружении неизвестной записи, т.е. той, которая не принадлежит нормальным приложениям (совет: для того, чтобы с легкостью обнаруживать «засыльного», изучите данные ветви реестра в чистой системе и найти соответствия запись/приложение), смело удаляйте ее. Думаю, не грех лишний раз напомнить, что при работе с реестром следует придерживаться особой аккуратности. Следует также просмотреть все, что прописано в автозагрузке. Для этого в консоли "выполнить" набираем msconfig, далее переходим на закладку "автозагрузка".



исполняемый файл находится по адресу
C:\Windows\AppPatch\matadd.exe.



Данное название трояна matadd.exe случайно сгенерированное системой, можете не заострять на нём внимание, в вашем случае оно будет обязательно другим, но знайте, называется троян на самом деле Win32/Spy.Shiz.NCF(хитрый поганец-очистка невозможна). Пройдём в данную папку и попытаемся его удалить, но к сожалению пока троян активен у нас ничего не получится или троянский файл вам удалить удастся, но он через пару секунд воссоздаст себя вновь.
В окне утилиты msconfig снимем галочку с данного элемента userinit, исключим его из Автозагрузки. К сожалению в большинстве случаев это не будет обозначать то, что троян при следующей загрузке операционной системы не загрузит свои файлы вновь, так как файл из папки C:\Windows\AppPatch нам удалить не удалось.
Для успешной борьбы с этим злодеем нам нужен помощник, который:

✔ Во-первых сможет нам показать файл трояна находящийся в автозагрузке
✔ Во-вторых покажет нам изменения внесённые поганцем в реестр

Для того что бы увидеть всё что у вас творится в Автозагрузке нужна специальная программа AnVir Task Manager или другая, например AutoRuns, обе они бесплатны, предлагаю воспользоваться утилитой AnVir Task Manager, начинающим пользователям она нравится больше. Скачиваем её здесь AnVir и устанавливаем.

Так же можно всё сделать проще, удалить троян из папки C:\Windows\AppPatch загрузившись с любого Live CD, а затем почистить реестр. biggrin

Если вышеизложенные способы ничего не дали, а признаки троянизации налицо (слишком большой трафик, непонятные процессы в оперативной памяти, тормоза и глюки), то пришло, как говорят, время для плана Б. Необходимо просканировать ваш ПК извне на наличие открытых портов. Все, что вам понадобится для такой операции — это хороший сканер портов и ваш IP. Данная процедура высокоэффективна, и с ее помощью выявляются даже самые скрытные и хитрые трояны. Из сканеров могу посоветовать X-Spider (скачать можно с nnm-club), который является одним из лучших сканером для подобных дел. Если у вас открыты нестандартные порты, то есть о чем задуматься… и прикрыть это дело в настройках вашего брандмауэра.

Список подозрительных портов
 
Лёшка_КДата: Воскресенье, 03.03.2013, 21:28 | Сообщение # 2
Dark-os.com
Группа: Друзья
Сообщений: 30
Статус: Offline
AlexKov1,
Браво! hands
Спасибо за статью!!! respect
 
AlexmakienkoДата: Понедельник, 04.03.2013, 02:39 | Сообщение # 3
Абитуриент
Группа: Друзья
Сообщений: 61
Статус: Offline
AlexKov1, Шикарно! Большое спасибо respect
 
papochka63Дата: Понедельник, 04.03.2013, 05:58 | Сообщение # 4
Настоящий полковник
Группа: Друзья
Статус: Offline
Цитата (AlexKov1)
Из сканеров могу посоветовать X-Spider (скачать можно с nnm-club), который является лучшим сканером для подобных дел.

Что-то не запустился этот лучший сканер у половины отписавшихся... cool
Для этих целей подходит и Cports c большим функционалом...

 
AlexKov1Дата: Понедельник, 04.03.2013, 12:38 | Сообщение # 5
NNM-Club
Группа: Администраторы
Сообщений: 383
Статус: Offline
papochka63,
Каждый выбирает, то что ему подойдет. Nmap (Man Page), XSpider или CurrPorts v2.06.
cports- хорош, но тоже есть свои закидоны. biggrin
 
papochka63Дата: Вторник, 05.03.2013, 18:25 | Сообщение # 6
Настоящий полковник
Группа: Друзья
Статус: Offline
Цитата (AlexKov1)
или CurrPorts v2.06. cports- хорош, но тоже есть свои закидоны.

Вообще-то это одно и то же... и взято оттуда же... biggrin
 
TauriДата: Суббота, 18.05.2013, 22:43 | Сообщение # 7
Ученик
Группа: Реальные
Сообщений: 2
Статус: Offline
Моё почтение! Благодарю...рад пополнить свои познания в этом вопросе!
 
Форум » Ликбез » Полезная информация » Троян хитёр, но мы хитрее. (Обзор)
Страница 1 из 11
Поиск:

Copyright WinDoZa © 2017