Читаем Компьютерные советы (сборник статей) полностью

После того как троянец закрепляется в системе, он начинает слушать 31337 UDP-порт, оставаясь в памяти Windows как скрытое приложение (т. е. без активного окна и ссылки в списке приложений). После того, как сервер получил команды от клиента, на машине жертвы возможно развитие следующего сценария:

— Сервер высылает своему истинному хозяину различную информацию о системе: тип процессора, размер памяти, версия системы, установленные устройства и т. п.;

— Сервер расшаривает диски, делая их видимыми из сети.

Таким образом, удаленный пользователь получает полный доступ к зараженной системе: операции удаления, копирования и т. п. вплоть до форматирования становятся настолько же реальными, как если бы вы работали за своим собственным ПК;). Помимо перечисленного, удаленный пользователь имеет возможность отключать текущего пользователя от сети, подвешивать систему, убивать процессы, получать и отправлять кэшированные пароли, выводить текстовые сообщения, проигрывать звуковые файлы и т. д., и т. п. Вышеперечисленные возможности отнюдь не являются верхом того, на что способен BO: для того, чтобы расширить список функций, достаточно скачать пару новых плагинов (plug-in) — и все;).

Скальпель!..

Если ваш антивирус упорно молчит, а возможность присутствия трояна высока, то самое время прибегнуть к следующим инструментам:

SUPERAntiSpyware — бесплатная для частного пользования программа, которая позволяет удалять с компьютера всевозможные виды вредоносного ПО (spyware, adware, malware, trojans, dialers, worms, keyLoggers, HiJackers и другие), восстанавливать нарушенные записи в сетевых соединениях, на рабочем столе, в системном реестре, повышать общую безопасность ПК, закрывая обнаруженные во время запуска бреши в системе безопасности Windows (сайт).

XoftSpy — это одна из лучших программ для удаления шпионских модулей. Одним из преимуществ XoftSpy является высокая скорость сканирования. Другой плюс — регулярные обновления, что особенно важно для утилиты, основное предназначение которой заключается в обеспечении безопасности пользователя (сайт).

SpywareGuard — после инсталляции программа автоматически помещается в автозагрузку и постоянно находится в оперативной памяти компьютера. Программа не требовательна к системным ресурсам. Настроек в ней практически нет — настраиваются всего несколько функций с возможностью задания пароля на смену настроек в этих функциях. Программа послужит отличным помощником антивирусному монитору и серьезной программе для поиска и устранения шпионских модулей (сайт).

Ad-Aware — это продукт, созданный для обеспечения надежной защиты компьютера от известных угроз: кражи личных данных, агрессивной рекламы, сайтов-паразитов, мошеннических программ, некоторых традиционных троянов, номеронабирателей, вредоносных программ (Malware), браузерных «перехватчиков» (Browser hijackers) и шпионских компонентов. Программа использует технологию идентификации последовательности кодов (Code Sequence Identification — CSI), которая обеспечивает не только защиту от известных троянов, но и превентивную защиту от ранее неизвестных угроз. Для большей защиты Ad-Aware SE Personal Edition также может сканировать дополнительные потоки данных (Alternate Data Streams — ADS) в томах файловой системы Windows NT (NTFS).

Для ритуала нам понадобятся:

1) виртуальная DOS-машина (по-нашему просто cmd);

2) редактор реестра regedit.

Поехали!

Запускаем regedit, открываем ветвь

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

(наиболее излюбленное место троянов; NB: данная ветвь — не единственная, где могут сидеть трояны, поэтому не помешает заглянуть еще и сюда:

HKEY_CURENT_USER\Software\Microsoft\Windows\CurrentVersion\Run;

HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Run;

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce)

HKEY_CURENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce;

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices