В последнее время в Сети идет много разговоров о троянских программах. Поскольку не все пользователи kuban.ru имеют представление о таких программах, их возможностях и последствиях, мне приходится тоже говорить на эту тему.

"Троянец", в общем случае - это программа, которая помимо заявленных автором полезных функций, несет в себе код, срабатывающий при определенных условиях и выполняющий действия на машине, о которых пользователь не подозревает. Список деструктивных воздействий троянцев весьма обширен. Достаточно сказать, что многие из них могут отформатировать ваш диск. Некоторые троянцы несут код, посылающий на определенный адрес ваш файл паролей.

Однако, для пользователей Интернет наиболее опасны программы, позволяющие получить доступ к вашей машине со стороны. Наиболее известны Back Orifice и NetBus. Структурно эти программы состоят из двух частей: сервера и клиента. Сервер тем или иным путем внедряется на вашу машину. Внешне его присутствие никак не обнаруживается. Клиентская часть запускается на машине злоумышленника, который, связавшись с серверной частью, может выполнять на вашей машине практически любые действия.

Опасность этих троянцев состоит в том, что их можно "приклеить" к любой полезной программе. После первого запуска такой программы серверная часть "прописывается" на вашей машине и скрытно стартует как процесс Windows при каждой перезагрузке.

Заразить машину можете вы сами, приняв и запустив зараженную программу. Обычно это происходит, если программы скачиваются не с серверов серьезных организаций, а с личных страничек. Внедрить троянца могут и ваши "друзья", либо подсунув "крутую тулзу", либо, при наличии доступа к вашей машине, просто запустив троянца с дискеты.
Все!!! Теперь только ленивый не вытащит с вашей машины пароли доступа в Интернет. Оплачивать "халявщиков", ессесно, придется вам. То же относится к любой приватной информации, хранящейся на вашей машине.

Как обнаружить таких троянцев?

Не хочу повторяться, потому просто дам ссылки. Самые подробные рекомендации по обнаружению и удалению Back Orifice мне попались на http://www.nwi.net/~pchelp/bo/bo.html Посмотрите разделы Detecting..., More on Finding... и Removing.... Там же есть раздел, посвященный аналогичной программе NetBus. Если напряженка с английским, хотя бы разберитесь со скриншотами для поиска в реестре и поищите на своей машине файлы .exe, sysedit.exe (размер около 450 К), patch.exe, windll.dll, keyhook.dll
Посмотрите информацию об этих программах на страничке KarDinal

Привожу список известных троянских программ-серверов, выполняющих на зараженной машине различные действия (от посылки вашего пароля по почте до создания возможности удаленного администрирования через Интернет).
Обнаружить эти файлы можно ручным поиском. Но лучше это сделает специальная программа P_CLEAR, разработанная Олегом Шашиным
Впрочем, здесь можно найти ссылки и на другие программы.
Весьма полезен AVP-монитор

Более подробно вам все разьяснит КОТ.

Для Краснодара наиболее характерным является способ заражения через "Аську". При знакомстве, например в чате, у вас первым делом спрашивают номер ICQ. Затем, связавшись по Аське, однозначно определяют ваш адрес в интернете и сканируют открытые порты, проверяя, нет ли еще у вас трояна. Если еще нет, то ждите "подарок" под видом полезной программы, пересылаемой по той же Аське или по почте. Даже если у вас хватит осторожности не "щелкать" сразу на полученном файле, а записать его сначала на диск и проверить антивирусом, то не обольщайтесь. На страничке Проциона вы можете убедиться, далеко не все трояны определяются антивирусами.
Помните также, что при включенной Аське ваш адрес в сети является всеобщим достоянием, и по вам могут бить "прямой наводкой" всякими нюкерами. Кстати, если еще не поставили заплатки на систему от наиболее рапространенных нюков, сходите на Puppet's Place и, следуя пошаговой инстукции, сделайте это. Не забывайте перегружать машину после каждого шага. В одном случае (для Win95) потребуется даже двойная перезагрузка для продолжения процесса установки патча.

Одним из способов распространения троянов является посылка замаскированного под картинку файла *.exe. Его имя выглядит так, например:
Картинка.jpg________________________________.exe
(вместо подчеркивания пробелы).
Те, кто привык просматривать картинки просто щелкнув по ним мышкой, запускают исполнимый файл *.exe (троян, как правило).
Рассылают и некие анкеты (Анкета.exe, например), якобы от лица провайдера. В этом случае в поле From:(Откуда:) стоит адрес типа provider@kuban.ru. Чтобы не попадаться на подобную "удочку", возьмите за правило просматривать служебный заголовок письма, где будет действительный адрес отправителя. Рекомендации можно посмотреть в статье E-mail: in&out
Если коротко, то истинный отправитель (его адрес почтовый и IP) будет указан в самой нижней записи "Received:from........." Эту запись делает почтовая программа сервера. Подменить её трудно, в отличии от адреса в поле "From:" письма, где можно проставить что угодно.
Более подробно узнать хитрости, используемые при посылке трояна, можно на страничке предупреждений хакзоны и в её архиве

Значительно обезопасить свою машину вы можете применяя при запуске новых программ мониторы изменений в системе. К таким программам относится inctrl3.exe. Запустив этот трассировщик, а затем отвечая на вопросы, вы устанавливаете новую программу. По окончании у вас будет полный список изменений в системе, произведенных при инсталляции. Естественно, с этим списком нужно подробно разбираться.
Аналогичный контроль изменений в реестре делает RegMonEx.exe.
Еще один простейший "дедовский" способ - это сразу после инсталляции из меню "Пуск - поиск - файлы" просмотреть список измененных и модифицированных файлов за последние сутки. Таким образом можно легко отследить появление в системном каталоге неизвестных файлов и модификацию win.ini и system.ini

Посмотреть список работающих на машине процессов вам поможет маленькая программулька xrun.exe, запущенная с ключом /l.
Более подробный отчет можно получить, выполнив openlist.exe.
Если вдобавок хотите увидеть, какие динамические библиотеки связаны с каждым из процессов, то запустите dllview.exe
Увидеть открытые порты и связанные с ними адреса можно выполнив в окне DOS команду netstat -an (для помощи netstat ?).

Вообще говоря, троянцы могут запускаться многими способами. Как процесс Windows из Run... в реестре (в трех цепочках) Из win.ini или system.ini (строка: run=filename) Из области "Автозагрузка" Из файла autoexec.bat

Поэтому, взявшись за основательную чистку своей машины, не поленитесь проверить все перечисленные места. Более подробно о поиске в реестре можно почитать на этой страничке.

Если вас заинтересовали вопросы безопасности, воспользуйтесь любой поисковой системой. Сейчас в Инете подобной информации навалом. Поскольку троянцы могут ощутимо ударить вас по карману или надолго испортить настроение, отслеживайте ситуацию с новинками, просматривая хотя бы изредка архив hackzone.

Созданы программы, отслеживающие доступ к портам, на которых по умолчанию закрепляются серверные части троянцев. Однако, если вы серьезно отнеслись к изложенному выше и убедились в отсутствии нежелательных программ на вашей машине, то можете спокойно на них наплевать. Иначе вас будут постоянно раздражать попытки начинающих "хакеров" найти на вашей машине то, чего там нет.
Тем более не рекомендую посылать по засветившемуся адресу ответный пакет "нюков", смотрите на такие попытки, как на тявкание Моськи.

Если же у вас установлена сеть и включен совместный доступ к файлам, то отключите привязку сетевых ресурсов от удаленного доступа. Иначе вам не помогут никакие заплатки.

http://www.kuban.ru/