Илиада-2, или Снова троянцы...
Илиада-2, или Снова троянцы...
По наблюдениям историков, первыми хакерами были троянцы со своим конем. Старая шутка
Живет себе человек... Никого не трогает, в Сети не лазит много, программ оттуда никаких не запускает, никогда не снимает винчестер и пользуется своим компьютером исключительно в одиночестве. Если вы подошли по всем пунктам описания, можете смело дальше не(!) читать. А вот если у вас постоянно творятся странные вещи, ваша личная переписка в чате особой секретности (про девушку соседа:)) становится известной всем, лампочки на клавиатуре периодически отплясывают веселыми огоньками что-то латиноамериканское и родной CD-ROM выдвигается и задвигается в ритм музыки, под которую мигают лампочки... В общем, пора бы и поискать на своей машине веселый подарочек, именуемый в простонародье троян. Большинство этих милых существ прикрепляет свой код к исполняемым файлам и/или висит в памяти, передавая на чужой компьютер "непонятные файлы с расширением *.pwl":). В этом случае вам поможет любой антивирус (AVP, DrWeb, Norton Antivirus, McAffee Antivirus и т.д.). Он очистит программы от наглеца. Но, увы, антивирусы так и не научились одному: пресекать автозапуск трояна вместе с ОС. Этим и придется заняться нам, бедным пользователям, всячески оберегающим свое электронное чадо от грязных посягательств на его достоинство. Вот список мест, из которых стартует большинство троянцев:
Автозагрузка
Ну и как? Давно туда последний раз заглядывали? Что, со времени последней переустановки must… извиняюсь, Windows, ни разу? Оно и правильно, наверное. Редко там что встретишь заразного происхождения, а лазить лень, конечно же, лишний раз. Именно поэтому многие трояны снова начали записывать себя туда. Заглянем в папку (Пуск-Программы-Автозагрузка). Если она девственно чиста и невинна, то все пока нормально. А вот если там висит что-нибудь типа "Adobe Gamma Loader" или, что чаще бывает, "Быстрая загрузка MSOffice", то стоит проверить, на что ссылаются эти ярлыки. Не думаю, что "Поиск файлов MSOffice" будет ссылаться на программу "c:\windows\system\hanatebe.exe", хотя от Microsoft можно ждать чего угодно:).
Win.ini
Редко какие подарки здесь можно найти, так как проверить файлы "win.ini" и "system.ini" — минутное дело. Правда, многие забывают и о такой мелочи. Ищите троян в строках "run=" и "load=". Обычно это выглядит так: "run=путь_к_трояну\имя_трояна".
System.ini
Все то же, что касается "win. ini". Правда, пути прописки чуть отличаются. Смотрите в разделе "load=" или "shell= Explorer путь_к_трояну\имя_трояна".
Autorun.inf
Прием, старый как мир. При обращении к диску Windows, в случае нахождения на нем файла "autorun.inf", выполняет из него строки типа "open=путь_к_трояну\имя_трояна".
А кто помешает вам создать такой файл? А вирусописателю? Вот так-то. Ищите их в корневых папках на локальных дисках. По умолчанию быть не должно!
РЕЕСТР
Да, именно РЕЕСТР, а не Реестр. Потому, что 99% троянчиков оставляют свой мерзкий след в этой прекрасной и не засоренной ненужным хламом (я надеюсь, это про вас) книге вашей ОС. Итак, поехали...
HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run-
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices-
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce
Вероятнее всего, вирус будет прятаться в этих ключах, хотя современные вирусописатели находят все более и более извращенные формы проникновения в систему. Я не буду рассматривать здесь попытку загрузки трояна как драйвера VxD или вызывание его в качестве DLL. Такие попадаются редко, да и отличить их сложно, так как всех названий вышеупомянутых драйверов не упомнишь. Поди разбери, который там не свой или подменен.
Config.sys и Autoexec.bat (для win9x)
Да, это тот самый "черный", "страшный", " мастдайный(!)" DOS. Слово, которое звучит в моем сердце настоящей музыкой. Вы, конечно, знаете, что при загрузке компьютера сперва выполняются программы из этих файлов, а уж затем загружается сама Windows. Так вот, мною был как-то замечен один любопытный троян, который прописывался в "Autoexec.bat", записывал себя под Досом в реестр, а затем при загрузке Windows убирал в реестре все следы, оставаясь в памяти машины. Смотришь в реестр, а там нет ничего подозрительного.
Планировщик задач (только не надо ехидных смешков)
Вы не ослышались: троян действительно может просто висеть как задание в Планировщике. Я сам минут 30 смеялся от такой гениальной простоты, когда чисто случайно (я просто отключал Планировщик на одном компьютере), заметил странную запись в назначенных заданиях. Windows сама любезно заботится о времени запуска вируса:).
Ну вот вроде и все места, где подлые вредители могут попасть к вам в систему. Они, конечно, способны подменить файл, приклеиться к нему, но, как я уже говорил, предоставьте эту проблему антивирусу. Кстати, пользуйтесь антивирусными мониторами! Ваши шансы на спокойную жизнь с чувством защищенности резко возрастут. Если вам известны еще места для загрузки вируса или просто есть ко мне вопросы или замечания, пишите. Буду рад ответить на них.
Паша Либер aka Fireangel Fireangel@tut.by
По наблюдениям историков, первыми хакерами были троянцы со своим конем. Старая шутка
Живет себе человек... Никого не трогает, в Сети не лазит много, программ оттуда никаких не запускает, никогда не снимает винчестер и пользуется своим компьютером исключительно в одиночестве. Если вы подошли по всем пунктам описания, можете смело дальше не(!) читать. А вот если у вас постоянно творятся странные вещи, ваша личная переписка в чате особой секретности (про девушку соседа:)) становится известной всем, лампочки на клавиатуре периодически отплясывают веселыми огоньками что-то латиноамериканское и родной CD-ROM выдвигается и задвигается в ритм музыки, под которую мигают лампочки... В общем, пора бы и поискать на своей машине веселый подарочек, именуемый в простонародье троян. Большинство этих милых существ прикрепляет свой код к исполняемым файлам и/или висит в памяти, передавая на чужой компьютер "непонятные файлы с расширением *.pwl":). В этом случае вам поможет любой антивирус (AVP, DrWeb, Norton Antivirus, McAffee Antivirus и т.д.). Он очистит программы от наглеца. Но, увы, антивирусы так и не научились одному: пресекать автозапуск трояна вместе с ОС. Этим и придется заняться нам, бедным пользователям, всячески оберегающим свое электронное чадо от грязных посягательств на его достоинство. Вот список мест, из которых стартует большинство троянцев:
Автозагрузка
Ну и как? Давно туда последний раз заглядывали? Что, со времени последней переустановки must… извиняюсь, Windows, ни разу? Оно и правильно, наверное. Редко там что встретишь заразного происхождения, а лазить лень, конечно же, лишний раз. Именно поэтому многие трояны снова начали записывать себя туда. Заглянем в папку (Пуск-Программы-Автозагрузка). Если она девственно чиста и невинна, то все пока нормально. А вот если там висит что-нибудь типа "Adobe Gamma Loader" или, что чаще бывает, "Быстрая загрузка MSOffice", то стоит проверить, на что ссылаются эти ярлыки. Не думаю, что "Поиск файлов MSOffice" будет ссылаться на программу "c:\windows\system\hanatebe.exe", хотя от Microsoft можно ждать чего угодно:).
Win.ini
Редко какие подарки здесь можно найти, так как проверить файлы "win.ini" и "system.ini" — минутное дело. Правда, многие забывают и о такой мелочи. Ищите троян в строках "run=" и "load=". Обычно это выглядит так: "run=путь_к_трояну\имя_трояна".
System.ini
Все то же, что касается "win. ini". Правда, пути прописки чуть отличаются. Смотрите в разделе "load=" или "shell= Explorer путь_к_трояну\имя_трояна".
Autorun.inf
Прием, старый как мир. При обращении к диску Windows, в случае нахождения на нем файла "autorun.inf", выполняет из него строки типа "open=путь_к_трояну\имя_трояна".
А кто помешает вам создать такой файл? А вирусописателю? Вот так-то. Ищите их в корневых папках на локальных дисках. По умолчанию быть не должно!
РЕЕСТР
Да, именно РЕЕСТР, а не Реестр. Потому, что 99% троянчиков оставляют свой мерзкий след в этой прекрасной и не засоренной ненужным хламом (я надеюсь, это про вас) книге вашей ОС. Итак, поехали...
HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run-
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices-
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce
Вероятнее всего, вирус будет прятаться в этих ключах, хотя современные вирусописатели находят все более и более извращенные формы проникновения в систему. Я не буду рассматривать здесь попытку загрузки трояна как драйвера VxD или вызывание его в качестве DLL. Такие попадаются редко, да и отличить их сложно, так как всех названий вышеупомянутых драйверов не упомнишь. Поди разбери, который там не свой или подменен.
Config.sys и Autoexec.bat (для win9x)
Да, это тот самый "черный", "страшный", " мастдайный(!)" DOS. Слово, которое звучит в моем сердце настоящей музыкой. Вы, конечно, знаете, что при загрузке компьютера сперва выполняются программы из этих файлов, а уж затем загружается сама Windows. Так вот, мною был как-то замечен один любопытный троян, который прописывался в "Autoexec.bat", записывал себя под Досом в реестр, а затем при загрузке Windows убирал в реестре все следы, оставаясь в памяти машины. Смотришь в реестр, а там нет ничего подозрительного.
Планировщик задач (только не надо ехидных смешков)
Вы не ослышались: троян действительно может просто висеть как задание в Планировщике. Я сам минут 30 смеялся от такой гениальной простоты, когда чисто случайно (я просто отключал Планировщик на одном компьютере), заметил странную запись в назначенных заданиях. Windows сама любезно заботится о времени запуска вируса:).
Ну вот вроде и все места, где подлые вредители могут попасть к вам в систему. Они, конечно, способны подменить файл, приклеиться к нему, но, как я уже говорил, предоставьте эту проблему антивирусу. Кстати, пользуйтесь антивирусными мониторами! Ваши шансы на спокойную жизнь с чувством защищенности резко возрастут. Если вам известны еще места для загрузки вируса или просто есть ко мне вопросы или замечания, пишите. Буду рад ответить на них.
Паша Либер aka Fireangel Fireangel@tut.by
Компьютерная газета. Статья была опубликована в номере 48 за 2002 год в рубрике безопасность :: вирусология