Электронная библиотека
Хакер
Наследники Трои
Xakep Online -> Журнал, номер #011, стр. 011-046-2
Любому новичку достаточно трудно обнаружить и обезвредить Троян по той простой причине, что "товарищи", настраивавшие троянцев, могут легко ввести в заблуждение кого угодно, назвав файл, под которым инсталлируется Троян, как-то вроде winrun32dll.exe или win32.exe, или msdll64.exe. В общем, фантазия человека безгранична. Конечно же, файл win32.exe располагает к себе доверием, и
никакой новичок удалять такой файл не станет... А вдруг Windows "загнется" (гы-гы-гы!)?
Найти и уничтожить!
В Windows есть такая отвратительная (потому что сложная для новичков) или рулезная (по той же причине :)) штука, как РЕЕСТР. Ты про него уже по-любому слышал. Реестр состоит из РАЗДЕЛОВ и СТРОК (все строчки с текстовой информацией разбиты по своим разделам). Строка типа "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" - типичное название раздела реестра. В этом разделе содержится часть программ, которые автоматически запускаются при старте твоего Маздая. Есть еще папка "Пуск-Программы-Автозапуск" и файл autoexec.bat (config.sys), но, скорее всего, там ты никаких ЛЕВЫХ программ (в дальнейшем ТРОЯНОВ) не обнаружишь, так как туда записываются только особо изощренные Трояны, коих, по крайней мере, я еще не обнаруживал :). Для просмотра папки АВТОЗАГРУЗКА достаточно нажать кнопку ПУСК и зайти в ПРОГРАММЫ, для просмотра файлов config.sys и
autoexec.bat достаточно запустить notepad. А вот для просмотра РЕЕСТРА нужна программа c:\windows\RegEdit.exe, которая может показывать эти разделы и строчки.
Как я уже сказал, большинство Троянов записывает себя в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, но, помимо этого, существует еще масса мест в реестре, куда следовало бы заглянуть. Например:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunservicesOnce
HKEY_USERS\.Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_USERS\.Default\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_USERS\.Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices
HKEY_USERS\.Default\SOFTWARE\Microsoft\Windows\CurrentVersion\RunservicesOnce
Для того чтобы не метаться в диких муках по всему вышеперечисленному вручную, достаточно запустить regedit /e tmp1.txt ИМЯ РАЗДЕЛА, в результате чего после каждого запуска заново будет создан файл tmp1.txt с содержимым
раздела реестра... Посмотрев туда, нужно удалить все "Строковые параметры", запускающие неизвестные программы из соответствующего раздела реестра! Например, довольно популярный Троян "Naebi Soseda" записывает себя как с:\windows\mswinrun.exe, c:\windows\temp\mswinrun.exe.
Другой Троян - GF - записывает себя как c:\windows\windll.exe, c:\windows\system\windll.exe.
Разберем Троян Stealth наших друганов - KurT'a и Doc'a. Вот что они сами говорят про него: "Как и большинство подобных программ, наша после первого запуска копирует себя в директорию, где живут Винды, под каким-нибудь неприметным именем. В то же время она добавляет себя в один из разделов регистра, который обеспечивает ей загрузку при каждом старте Виндов. Для обеспечения прикрытия свой легенды (т.е. чем ее представили жертве), она может выдать какое-нибудь сообщение, типа "Required DLL MFC50.DLL not found. The program will now terminate", что в переводе с буржуйского значит: "Требуемая библиотечка MFC50.DLL не найдена. Программа завершит свою