Как найти все трояны на компьютере - Исправление недочетов и поиск решений вместе с Examum.ru

Обнаружить троян, который не определяется антивирусом и обошёл ваш фаервол, порой задача не из тривиальных. Но не невозможная — любое действие оставляет в системе следы. Принцип обнаружения трояна в том и состоит. Предупреждаю сразу — в статье лёгких и быстрых решений не будет. Извините, что ссылок на программы будет немного — названий немало, придётся вам искать их вручную. И пригодятся вам не все. Я покажу как троян найти. Но обнаружить троян — не значит вылечить.

Как обнаружить троян? Проверим открытые порты.

Если троян есть, он, скорее всего, нужен для отправки некой информации хакеру. Значит, ему понадобится для этого специальный канал, вход в который открывает один из портов системы. И порт этот (скорее всего) будет из числа тех, какие системой не используются, то есть из числа зарезервированных. Следовательно, задача на этом этапе проста: внимательно изучить открытые порты и проследить за процессами, которые этими портами пользуются, и на какие адреса информация отправляется.

Для операционной системы Windows вам в этом процессе на скорую руку может помочь команда netstat с флагом -an (если для выхода в интернет вы используете роутер, принцип поиска будет немного неполноценным, но читайте до конца). Наберите её прямо сейчас в консоли команд:

Внешний адрес описан по типу IP-адрес:интернет-порт

Однако более развёрнутую информацию вам предоставят сторонние программы. Лично я пользуюсь утилитами TCPView, CurrPorts и IceSword. Не всегда эта информация объективна, так как процесс может затаиться до поры до времени, и не факт, что порт откроется прямо сейчас, но проверять иногда стоит.

Как обнаружить троян? Проверьте запущенные процессы.

Троян вполне способен замаскироваться под легальный процесс или даже службу Windows. Нередко трояны себя проявляют в Диспетчере задач в виде процесса типа hgf743tgfo3yrg_и_что_то_там_ещё.exe: такой троян написать — как в магазин сходить. Троян способен инфицировать процесс, загружаясь с процессом Windows и паразитируя на нём. Здесь выход только один — нам нужны специальные программы для сканирования запущенных процессов. Одним из вариантов таких программ служит What’s Running («Уотс Ранинг» — «Что сейчас запущено«). В разное время мне приходилось использовать несколько утилит, которые зарекомендовали себя одинаково хорошо. И вот их список, приглядитесь:

Autoruns
KillProcess
HijackThis
PrcView
Winsonar
HiddenFinder
Security Task Manager
Yet Another Process Monitor

Вобщем, почаще вглядывайтесь в список процессов разными способами.

Как обнаружить троян? Проверьте реестр.

Что первым делом сделает троян? Ему нужно запускаться, а в Windows для этого существует несколько директорий и настроек. И все они находят своё отражение в настройках реестра. Windows автоматически исполняет инструкции, определяемые вот этими разделами реестра:

Run
RunServices
RunOnce
RunServicesOnes
HKEY_CLASSES_ROOTexefileshellopencommand

Таким образом, сканируя ключи и разделы реестра на подозрительные записи можно выявить инфекцию трояном: тот может вставить свои инструкции в эти разделы реестра для того, чтобы развернуть свою деятельность. И для того, чтобы обнаружить троян в реестре, также существует немало утилит, например:

SysAnalyzer
All-Seeing Eyes
Tiny Watcher
Registry Shower
Active Registry Monitor

Как обнаружить троян? Он может быть в драйверах устройств.

Трояны часто загружаются под эгидой загрузки драйверов к каким-то устройствам и используют эти самые устройства как прикрытие. Этим грешат непонятные источники «драйверов для скачивания» в сети. Ничего не напоминает? А система часто предупреждает о том, что цифровая подпись драйвера отсутствует. И не зря.

Так что не спешите устанавливать скачанное из сети и не верьте глазам своим — доверяйте только официальным источникам. Для мониторинга драйверов сеть предлагает следующие утилиты:

DriverView
Driver Detective
Unknown Device Identifier
DriverScanner
Double Driver

Как обнаружить троян? Службы и сервисы.

Трояны могут запускать некоторые системные службы Windows самостоятельно, позволяя хакеру захватить контроль над машиной. Для этого троян присваивает себе имя служебного процесса с целью избежать детектирования со стороны антивируса. Применяется техника руткита с целью манипуляции разделом реестра, в котором, к сожалению, есть где спрятаться:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservices

А значит, нам придётся запастись утилитами мониторинга запущенных сервисов. Это:

Smart Utility
Process Hacker
Netwrix Service Monitor
Service Manager Plus
Anvir Task Manager и др.

Как обнаружить троян? Нет ли его в автозагрузке?

Что мы подразумеваем под автозагрузкой? Нет, мои хорошие, это не только список записей в одноимённой папке — это было бы совсем просто. Прежде всего, это следующие разделы Windows:

полный список служб Windows, выдаваемый одноимённой консолью. Команда быстрого запуска консоли: Выполнить (WIN + R) — services.msc. Советую открыть, отсортировать по Типу запуска и внимательно изучить все запускаемые Автоматически службы.
папка с автоматически загружаемыми драйверами: знаменитая C:WindowsSystem32Drivers (были времена я проверял каждый из драйверов вручную)
бывает всякое, так что загляните и в файл bootmgr (для Windows XP это boot.ini) на предмет посторонних вкраплений. Самый простой способ это сделать — вызвать утилиту Конфигурации системы: WIN + R- msconfig — вкладка Загрузка
а раз уж вы здесь, перейдите и во вкладку загружаемых программ. Во вкладке Автозапуск мы часто ищем программы, которые тормозят запуск системы. Однако вы можете там обнаружить и трояна

msconfig в Windows XP (для других версий почти не изменился)

а вот окно Конфигурации для Windows 7

а вот теперь и папку Автозагрузки проверьте (убедитесь, что системе приказано отображать Системные файлы и папки, а также Скрытые):

Локальный диск С: - Program Data - Microsoft - Windows - Главное меню - Программы - Автозагрузка

C:Пользователиимя-записиAppDataRoamingMicrosoftWindowsГлавное менюПрограммыАвтозагрузка

Это не полный список ветвей. Если хотите узнать о программах, которые запускаются вместе с Windows, вы можете посмотреть на их список в статье «Опасные ветви реестра«. Из числа утилит, с помощью которых можно проводить мониторинг разделов загрузки можно выделить:

Starter
Security Autorun
Startup Tracker
Program Starter
Autoruns

Как обнаружить троян? Проверьте подозрительные папки.

Для трояна обычное дело изменять системные папки и файлы. Проверить это можно несколькими способами:

FCIV — командная утилита для расчёта MD5 или SHA1 файловых хешей
SIGVERIF — проверяет целостность критических файлов, имеющих цифровую подпись Microsoft
TRIPWIRE — сканирует и сообщает об изменениях в критических файлах Windows
MD5 Checksum Verifier
SysInspect
Sentinel
Verisys
WinMD5
FastSum

Как обнаружить троян? Проверьте сетевую активность приложений

В трояне нет смысла, если он не запускает сетевую активность. Чтобы проверить, какого рода информация утекает из системы, необходимо использовать сетевые сканеры и пакетные сниферы для мониторинга сетевого трафика, отправляющего данные на подозрительные адреса. Неплохим инструментом здесь является Capsa Network Analyzer — интуитивный движок представит детальную информацию, чтобы проверить, работает ли на вашем компьютере троян.

Успехов нам всем.

Источник

Как найти троян на компьютере?

На чтение 4 мин Просмотров 3.6к. Опубликовано 21.08.2022

Троянский вирус или троянское вредоносное ПО на самом деле представляет собой вредоносный код или программное обеспечение, которое выглядит законным для жертвы, но может получить полный контроль над компьютером жертвы. Он предназначен для кражи, манипулирования, разрушения, повреждения или других разрушительных действий с вашими данными, сетью и компьютерной системой. Это выглядит как законное прикладное программное обеспечение и обманом заставляет вас загружать и запускать вредоносное ПО на вашем устройстве. После установки он может начать выполнять действия, для которых он был разработан.

Признаки заражения троянами:

Устройства становятся медленнее, чем обычно. Поскольку программное обеспечение, зараженное троянами, работает в фоновом режиме, оно потребляет много драгоценной вычислительной мощности и памяти.
Интернет перестает работать. Иногда хакеры используют зараженные компьютеры в качестве злобных ботов или зомби для отключения серверов. Это будет потреблять много сетевых ресурсов, из-за чего скорость интернета замедляется, или он временно перестает работать.
Синий экран смерти или незнакомые всплывающие окна и надстройки.Если вы попытаетесь запустить программное обеспечение, внедренное с помощью трояна, вы можете столкнуться с приложением, вызывающим проблему совместимости, синий экран смерти, вероятно, произойдет в это время или каждый раз. запускаешь программу. Иногда трояны устанавливают программы, из-за которых на экране появляются всплывающие окна.
Странные значки и незнакомые приложения. Трояны устанавливают на ваш компьютер программное обеспечение, которое можно использовать для получения учетных данных или любых важных данных, или использовать ваш компьютер как злой бот для атаки на других. Эти программы не отображаются на рабочем столе, в меню «Пуск» или в папке «Приложения», но они постоянно работают в фоновом режиме.

Содержание

Безопасный режим для обнаружения троянов
Шаги для входа в безопасный режим в Windows
Удаление временных файлов в папке Temp
Проверка диспетчера задач
Использование антивирусного программного обеспечения

Безопасный режим для обнаружения троянов

Безопасный режим — это вариант устранения неполадок для Windows, который запускает компьютер в ограниченном состоянии. Запускаются только основные файлы и драйверы, необходимые для запуска Windows. Поэтому, если есть трояны, их легко обнаружить.

Шаги для входа в безопасный режим в Windows

Найдите «Конфигурация системы» или просто введите «MSCONFIG» и нажмите «Запуск от имени администратора».
В диалоговом окне «Конфигурация системы» перейдите на вкладку «Загрузка» и установите флажок «Безопасный режим» >> «Сеть».

Конфигурация системы Windows

Нажмите «Применить», а затем «ОК», чтобы перезапустить Windows в безопасном режиме.
Теперь снова откройте окно «Конфигурация системы» и перейдите на вкладку «Автозагрузка». Проверьте наличие подозрительных файлов в списке. Если вы найдете что-то необычное, удалите это.

Мы должны выбрать опцию «Безопасный режим с поддержкой сети», поскольку это позволит нам загружать и обновлять инструменты, если это необходимо, чтобы бороться с троянскими вредоносными программами.

Удаление временных файлов в папке Temp

Временные файлы создаются Windows или программами на вашем компьютере для хранения данных во время записи или обновления постоянного файла. Данные будут переданы в постоянный файл или записаны на диск по завершении задачи или при закрытии программы.

Даже после удаления троянов в безопасном режиме Windows их остатки могут оставаться в папке TEMP, что может привести к повторному заражению устройства трояном. Чтобы получить доступ к папке TEMP, введите %temp% в строке поиска и нажмите Enter. Чтобы избавиться от вредоносных файлов, немедленно удалите все временные файлы.

Проверка диспетчера задач

Проверьте наличие нежелательных процессов и программ на вашем ПК и немедленно остановите их. Откройте диспетчер задач и перейдите на вкладку «Процессы». Проверьте наличие нежелательных процессов и программ без активных проверенных издателей. Нажмите на нее и завершите процесс.

Использование антивирусного программного обеспечения

Антивирусное программное обеспечение — это лучший, самый простой и надежный способ защитить ваше устройство от всех типов киберугроз. Антивирусы способны быстро обнаруживать и безопасно удалять эти угрозы с ваших устройств. Он будет сканировать все файлы на вашем компьютере, а также файлы, которые вы загружаете из Интернета. Он также будет периодически сканировать вашу файловую систему, чтобы обнаруживать и удалять любое вредоносное программное обеспечение на компьютере. Некоторыми из широко используемых и надежных антивирусных программ, доступных на рынке, являются McAfee, Norton 360, TotalAV, Bitdefender и т. д.

Источник

Содержание

Как определить, что на компьютере есть вирус?
Признаки заражения компьютера вирусами
Как обнаружить вирус на компьютере
Антивирус
Чистящие утилиты
Диспетчер задач
Как обнаружить троян? Методика и утилиты.
Как обнаружить троян? Проверим открытые порты.
Как обнаружить троян? Проверьте запущенные процессы.
Как обнаружить троян? Проверьте реестр.
Как обнаружить троян? Он может быть в драйверах устройств.
Как обнаружить троян? Службы и сервисы.
Как обнаружить троян? Нет ли его в автозагрузке?
Как обнаружить троян? Проверьте подозрительные папки.
Как обнаружить троян? Проверьте сетевую активность приложений
Что такое троян?
Что троян обычно ищет на вашем компьютере?
Самые частые проявления трояна на вашем компьютере?
Порты, используемые троянами (уже известные).
Что такое троян. Как не попасться на удочку?
Самые известные трояны для Windows.
Антивирус меня защитит?
Как узнать есть ли троян на компьютере
Немного истории
Правила безопасности
Определяем трояна
Вычисляем обидчика

Как определить, что на компьютере есть вирус?

Вирусы пишут хакеры, и содержаться они могут в любом файле, скачанном из Интернета. В одних случаях это просто вполне безобидный код, который тормозит работу браузера, а в других – специальная программа, ворующая пароли от электронных кошельков и данные банковских карт. Узнать, что компьютер заражен вирусами, найти вредоносный файл и обезвредить его самостоятельно легко. Проверка займет не больше часа, как и удаление всех вредоносных файлов.

Признаки заражения компьютера вирусами

При работе с ПК есть привычный алгоритм работы, и если в нем наблюдаются сбои, это сразу же бросается в глаза. Даже самый лучший антивирус может пропустить вредоносный файл, поэтому проверку наличия вирусов необходимо производить регулярно.

Если вы заметили при включении и работе персонального компьютера следующие признаки, это свидетельствует о заражении системы вирусом:

Самый явный и безоговорочный признак заражения ПК – это сообщение антивируса о наличие вируса.

Как обнаружить вирус на компьютере

Стандартный системный антивирус не справляется с потоком угроз, которые ежедневно атакуют ваш ПК. Поэтому вирусы могут проникать в систему и нарушать ее работу. Обычная проверка и сканирование в фоновом режиме не всегда дает результат, так как множество вирусов маскируются под обычные файлы и простой антивирус их не обнаруживает.

Антивирус

Для работы в Интернет нужно установить современный мощный антивирус и регулярно обновлять базы данных, которые обнаруживают вирусы. Без этих шаблонов невозможно очистить ПК от вредоносного программного обеспечения. Поэтому перед началом поиска вирусов на компьютере необходимо установить последнюю версию антивирусной программы и запустить сканирование в фоновом режиме.

Чистящие утилиты

После очистки антивирусом остается риск, что некоторые программы остались в системе, так как могут маскироваться под рабочие процессы и обходить проверку на вирусы. Поэтому для остаточной проверки необходимо скачать специальную чистящую утилиту Dr. Web. Это бесплатная одноразовая программа, которая эффективно очистит все вирусы и восстановит пораженные файлы. При запуске нужно выбрать файлы и папки, диски, включая флешки.

Также можно установить комплекты от антивирусных компаний Dr.Web Live CD и Kaspersky Rescue Disk. Они записаны в виде образов диска, их необходимо установить на чистый CD, после записи достаточно перезапустить ПК и произвести загрузку, после чего выбрать файлы и папки, запустить процесс и сделать очистку. Эти программы имеют достаточно сильные алгоритмы и помогут выявить вредоносные файлы даже с корневых папок дисков.

Диспетчер задач

Надежный помощник в поиске вредоносного ПО – это диспетчер задач. С его помощью можно обнаружить путем анализа файлы, которые заражены и вирусы. Для вызова необходимо набрать сочетание клавиш Ctrl + Alt + Del и внимательно изучить данные, которые откроются. Если на ПК есть вирусы, они маскироваться под рабочие процессы, обнаружить их достаточно просто: они имеют названия, отличающиеся от основных процессов на 1-2 буквы.

Если какой-либо файл показался вам подозрительным, его можно проверить на подлинность через специальные сайты:

Кроме диспетчера задач, можно проверить наличие посторонних процессов на ПК через автозагрузку. Для этого надо открыть меню Пуск – Выполнить и ввести команду msconfig. В появившемся окне в столбце команд выявить процессы программ, которые вы не запускали и не устанавливали. Их необходимо снять с загрузки и затем очистить систему антивирусом.

Способов узнать, что компьютер заражен вирусами, много. Регулярное применение поиска и профилактики системы на наличие вредоносных файлов поможет избежать заражения файлов хакерскими программами. Не забывайте раз в неделю проводить полное сканирование, чтобы система была защищена от вредоносных атак и данные находились под защитой.

Источник

Как обнаружить троян? Методика и утилиты.

Как обнаружить троян? Проверим открытые порты.

Внешний адрес описан по типу IP-адрес:интернет-порт

Как обнаружить троян? Проверьте запущенные процессы.

Вобщем, почаще вглядывайтесь в список процессов разными способами.

Как обнаружить троян? Проверьте реестр.

Как обнаружить троян? Он может быть в драйверах устройств.

Как обнаружить троян? Службы и сервисы.

А значит, нам придётся запастись утилитами мониторинга запущенных сервисов. Это:

Как обнаружить троян? Нет ли его в автозагрузке?

msconfig в Windows XP (для других версий почти не изменился)

а вот окно Конфигурации для Windows 7

Как обнаружить троян? Проверьте подозрительные папки.

Для трояна обычное дело изменять системные папки и файлы. Проверить это можно несколькими способами:

Как обнаружить троян? Проверьте сетевую активность приложений

Источник

Что такое троян?

Что такое троян? Вирус типа «троян» – он же «троянский конь» – особый тип программного обеспечения, созданный для несанкционированного удалённого проникновения на компьютер пользователя. В отличие от обычного вируса, они не имеют функции размножения и дальнейшего распространения по сети. Однако троян открывает дверь для проникновения других вирусов, которые приготовлены хакером, троян создавшего или запустившего. По своему действию он напоминает принцип троянского коня, подаренного греками несдавшимся защитникам древнего города Трои. Чем закончилась история для полиса, все знают. Та же судьба уготовлена и пользователю, который запускает на компьютере скачанное приложение. Нередко троян используется хакером для «зомбирования» компьютера и превращения его в одного из бесчисленных участников бот-нет с целью проведения DDOS атак на целевой сервер более «жирной» жертвы: веб-ресурса, работа которого кому-то очень сильно мешает. О том, что такое DDOS атака, вы можете прочитать в статьях Кто делает недоступными сайты? DDoS атаки и DDOS атака. Объяснение и пример.

Иногда заражённый трояном компьютер незаметно от пользователя передаёт из хранилищ системы сохранённые пароли, кейлоггеры с помощью открытых трояном портов передают информацию о набранных на клавиатуре сочетаниях клавиш, что отображает на экране злоумышленника всю информацию, которую печатала жертва.

Хакеры нередко прибегают и к обычной уловке, когда спустя определённое время после «закладки» трояна они сканируют сеть на наличие компьютеров, где установка трояна удалась. Об этом хакеру будет свидетельствовать определённый открытый порт операционной системы.

Действие трояна сопровождается такими последствиями:

Что троян обычно ищет на вашем компьютере?

Самые частые проявления трояна на вашем компьютере?

Порты, используемые троянами (уже известные).

Действие и характер работы трояна часто не попадает под обнаружение простыми антивирусами, потому рекомендуется использовать специальное программное обеспечение для поиска и удаления зловреда.

Что такое троян. Как не попасться на удочку?

Средства противодействия троянам традиционны. Антитроянов немало и по ссылке вы найдёте лучшие из тех, с чем я встречался. Насколько хорошо они с этим справляются, вопрос открытый. Одно из самых популярных лечений предлагается знаменитой утилитой AVZ Зайцева Олега. Исполняемый файл в архиве можно скачать у разработчика на сайте.

Небольшая инструкция по работе с утилитой по удалению трояна:

В меню Файл выберите Обновление баз

Самые известные трояны для Windows.

NetBus – утилита для удалённого контроллинга Windows. Создана в 1998 г. шведским программистом. Язык программирования – Delphi. Карл-Фредрик Найктер, создатель трояна, заявлял, что этот троян изначально задумывался как программа-шутка. Однако применение трояна ознаменовалось резонансным скандалом, связанным с создание целой базы «весёлых» картинок с участием несовершеннолетних, в результате чего некоторые высокопоставленные учёные мужи университета Лунда закончили свою карьеру.

Back Orifice — утилита для удалённого контроллинга Windows. Названием послужила игра слов от более серьёзного ПО Microsoft BackOffice Server от одноимённой корпорации. Работает по принципу клиент-сервер. Небольшая программка-сервер устанавливается на компьютер, затем сервер начинает общение с клиентской частью трояна через сетевые протоколы, работая с графическим интерфейсом или другой системой компьютера. Любимый порт, по которому сервер общается с клиентом в компьютере – 31337.

Zeus – троян – червь, предназначенный для операционных систем семейства Windows. Основное назначение – кража банковской информации у держателей карт с помощью перехвата набранных пользователем-жертвой данных в открытом сеансе браузера. На компьютеры жертв попадал через фишинговые сайты или несанкционированной загрузки и последующей установки ПО из сети. Антивирусом не определялся.

Антивирус меня защитит?

Не волнуйтесь, нет. Единственным гарантийно работающим средством не попасться в сети хакера, это думать головой. Некоторые типы троянов умело маскируются под обычные файлы, приклеиваясь к программам и используя уязвимости, которые до исх пор не прикрыты создателями ПО. Например, на смежном ресурсе я показываю как в течение нескольких минут создать троян, не определяемый встроенной защитой и многими антивирусами на основе VBScript Windows. Присутствие такого трояна ничем его не выдаёт, а действие для системы может быть фатальным — хакер сможет удалять и создавать на удалённом компьютере всё, что пожелает.

Источник

Как узнать есть ли троян на компьютере

КАК ПРОВЕРИТЬ, НЕТ ЛИ НА ВАШЕМ КОМПЬЮТЕРЕ ТРОЯНСКИХ ВИРУСОВ?

Нет такого пользователя, который не сталкивался с ситуацией, когда его компьютер начинал сильно «тормозить». Т.е. начинал слишком долго включаться, долго (по сравнению с прежними временами) обрабатывает информацию, медленно откликается на команды. Курсор перестает слушаться мышки и, вообще, общение с компьютером превращается в пытку. И что прикажете делать в таком случае?

Такие проблемы обычно возникают, если вы часто посещаете интернет, и сайты, которые вы посетили, оставляют на вашем компьютере так называемые «куки-файлы» (HTTP cookie), которые предназначены для облегчения авторизации пользователя на сайте. До сих пор идут споры о том, вредны ли «куки-файлы» или нет (вирусы ли они или нет). Я считаю, что вредны, раз они тормозят работу компьютера, но сейчас речь пойдет не о них, тем более, что очистить компьютер от этих файлов не представляет труда, применив некоторые специализированные программы типа «CCleaner». Давайте рассмотрим вариант, когда причиной торможения компьютера является наличие на вашем ПК действительно опасных вирусов, которых вы невольно пригрели, и они безмятежно пасутся в виде троянских коней или другой нечисти на бескрайних просторах вашей операционной системы.

Начнем с того, как они могли попасть на ваш компьютер. Существует множество способов подхватить эту заразу. Во-первых, наверняка вы не всегда пользуетесь лицензионными программами, а применяете платное программное обеспечение, которое вы достали где-нибудь «на халяву» (скачали из интернета или вам дал товарищ, который тоже неизвестно откуда взял ее). Возможно, вы воспользовались сомнительным активатором для какой-нибудь программы. По этому поводу я уже высказывал свое мнение в других статьях. Лучше не лениться и периодически устанавливать пробный вариант программы. Этому вопросу я посвятил целый цикл статей под названием «Как второй раз испытать пробную версию понравившейся вам программы».

Во-вторых, бывают случаи, когда, чтобы подцепить вирус достаточно посетить сомнительный сайт (слава Богу, большинство современных антивирусов вам показывает рейтинг посещаемых вами сайтов). Иногда достаточно просто открыть электронное письмо от «доброжелателя» «случайно» попавшее в ваш почтовый ящик (обычно эти письма представляют набор непонятных символов).

Сейчас я постараюсь рассказать о нескольких способах, которые целесообразно применять для поиска вирусов на своем компьютере.

Самый простой и довольно надежный способ проверить компьютер на наличие вирусов это периодическое сканирование ПК с применением нескольких антивирусов и нескольких антишпионов. Обращаю внимание на то, что антивирусы между собой не дружат (это относится ко всем антивирусам), и могут удалять файлы своих «коллег по специальности» как вредоносные, после чего ни один из антивирусов не будет работать корректно. Поэтому, если вы пользуетесь какой либо платной антивирусной программой, вам достаточно будет ее отключить на время и запустить другой антивирус с компакт-диска или флэшки. Как сделать такую флэшку или диск, вы сможете узнать, заглянув на сайт разработчика любого альтернативного вашему антивируса. Сейчас я не ставлю перед собой цель разрекламировать какого-либо производителя антивирусного продукта, поэтому оставляю за вами право самим найти и изготовить себе носитель с альтернативным вашему антивирусом. Единственное, что хочу напомнить, что антивирусы обновляются по несколько раз в день и изготовленный сегодня носитель завтра без обновления будет неактуален.

Следующим шагом в проверке наличия на компьютере вредоносных программ есть уточнение перечня пользователей, которые имеют доступ к вашему компьютеру. Некоторые программы (чаще всего вредоносные) имеют нехорошую привычку автоматически создавать новые учетные записи при их инсталляции (установке на компьютер). Чтобы проверить, не произошло ли такое с вашим ПК, нажмите кнопку «Пуск» и в поле поиска (см.1 Рис.0) введите слово «администрирование».

В появившемся окне (точнее, изменившемся окне поиска) выберите одноименную утилиту (см.2 Рис.1) и щелкните по ней левой кнопкой мыши (ЛКМ).

В новом окне (см.Рис.2) выберите «Управление компьютером» и дважды щелкните ЛКМ.

В окне Рис.3 нажмите на треугольнике слева от «Локальные пользователи» (см.2 Рис.3), так чтобы он из светлого превратился в закрашенный черный (см.1 Рис.3). После этого нажмите ЛКМ на папке «Пользователи» (см.3 Рис.3) и обратите внимание на правую часть окна Рис.3, в котором отображаются все учетные записи, которые имеются на вашем ПК. По умолчанию там должно быть только три учетные записи: «Администратор», «Гость» и Ваша учетная запись, которую вы (или для вас) создали при установке на компьютер операционной системы. Других учетных записей (если вы не давали на то согласия) нет и не должно быть. В нашем примере существует сторонняя учетная запись «UpdatusUser» (см.4 Рис.3). Ее создала какая-то программа и, возможно, это программа не безобидная. Так что целесообразно такую учетную запись удалить, как бы она ни сопротивлялась и что бы она ни писала для обоснования своей необходимости.

Нажав на лишней учетной записи правой кнопкой мыши, выберите команду «Удалить». Перед вами появится окно-предупреждение Рис.4. Пусть вас не тревожит содержание этого окна, смело жмите «Да».

Итак, вы избавились от нежелательного пользователя вашим компьютером, но, если вы читали мою статью «Изменение автозагрузки на ПК под управлением Windows», то наверняка помните, что я акцентировал внимание читателей, что некоторые программы (особенно вредоносные) имеют привычку самозагружаться при запуске компьютера. И запретить им самозагружаться можно только отредактировав реестр на вашем ПК.

Напоминаю, что прежде, чем браться за редактирование реестра, необходимо создать точку восстановления. О том, как это делать, я рассказывал в статье «Восстановление операционной системы».

После того, как вы создали точку восстановления, можно смело браться за редактирование реестра. Нажимаете кнопку «Пуск» и в появившемся окне выбираете команду «Выполнить». В новом окне набираете команду «regedit». Как запускать редактор реестра и как им пользоваться, я вкратце описывал в статье «Удаление следов Avast из реестра». И настоятельно рекомендую с ней ознакомиться.

В появившемся окне Редактора реестра (Рис.5) откройте корневой ключ HKEY_CURRENT_USER (см.1 Рис.5), нажав на светлый треугольник слева от этого ключа. При этом треугольник превратится в закрашенный черным цветом (см.4 Рис.5), а под ключом появятся вложенные в него ключи. Из появившихся вложенных ключей выберите ключ «Software» (см.5 Рис.5), который необходимо открыть точно так же, как и корневой ключ. В появившемся списке вложенных ключей в ключ «Software» найдите ключ «Microsoft», который тоже необходимо открыть и найти в нем ключ «Windows», а в том ключе найти ключ «CarrentVersion» и тоже его открыть. Все, в этом кусте вы открыли все необходимые сложные ключи. Теперь в ключе «CarrentVersion» вам необходимо найти два простых ключа «Run» и «RanOnce». В эти ключи не должно быть вложено никаких ключей, т.е. слева от них не должно быть светлого треугольника такого, как 3 на Рис.5. Если все же треугольник есть, откройте ключ и удалите все ключи, входящие в состав ключей «Run» и «RanOnce» (вы не ошибетесь, вложенные ключи визуально связаны между собой вертикальными линиями). Удаление лишних ключей производится нажатием на них правой кнопкой мыши и выбором команды «Удалить». После того, как вы преобразуете сложные ключи «Run» и «RanOnce» в простые (слева не будет треугольника), приступаем к оптимизации параметров вышеуказанных ключей. Выделив левой кнопкой мыши один из упомянутых ключей (в данном примере это ключ«Run» 1 Рис.6), перейдите в правую часть окна Редактора реестра и проанализируйте все параметры, которые имеются в ключе «Run». Все имеющиеся параметры обведены красным прямоугольником (см.2 Рис.6). После того, как операционная система была установлена на ваш ПК, там имелся только один параметр по умолчанию (см.3 Рис.6). Но как только вы начали устанавливать на компьютер новые программы, появились и другие, которые отвечают за автозагрузку соответствующих программ. Внимательно проанализируйте эти параметры. Те, которые относятся к программам, против автозагрузки которых вы не имеете ничего против, оставьте без изменения. А название тех, которые вам не знакомы, запишите и поищите в интернете, что это за программы, и насколько они опасны. Лишние параметры (в моем случае это GoogleToolbar см.4 и 5 Рис.6) удалите командой «Удалить», которую вы вызовете, нажав на параметре правой кнопкой мыши (удаление произойдет после подтверждения команды на удаление в окне-предупреждении). Обращаю внимание, что параметры автозапуска антивирусной программы, которая стоит на вашем ПК, удалять нельзя. Аналогичную проверку проведите для параметров ключа «RanOnce». Как вы видите на Рис.7, у меня этот ключ чист, как душа младенца. У вас может быть иначе, но вы не пугайтесь, главное проанализируйте параметры и не удаляйте те, что относятся к антивирусу. Если вы удалите лишний параметр, вы не испортите программу, а только запретите ее автозагрузку при запуске ПК. Но вы всегда сможете запустить программу вручную.

Аналогичные операции проведите с корневым ключом HKEY_LOKAL_MACHINE (см.2 Рис.5). Для этого ключа пройдите путь HKEY_LOKAL_MACHINE/ Software/ Microsoft/ Windows/ CarrentVersion. В последнем найдите вложенные ключи «Run» и «RanOnce» и выполните для них такие же операции, как мы только что рассматривали.

Еще раз напоминаю, если вы ошибетесь и повредите реестр, вы всегда можете восстановить его по точке восстановления.

Источник

Вы пользуетесь Интернетом? На вашем компьютере хранится важная информация, личные сведения? Вы не хотите потерять содержимое своего жесткого диска или оплачивать чужие счета за Интернет? В этой статье я расскажу вам об одном из наиболее важных условий, обеспечивающих безопасность ваших данных — о том, как определить наличие на вашем компьютере троянов, и о том, как с ними надо бороться. Если вы еще ни разу не слышали о существовании троянов и не представляете, чем они опасны, предварительно прочитайте врезку.

Немного истории

О троянцах впервые серьезно заговорили после появления программы Back Orifice, созданной хакерской группой Cult of the Dead Cow в 1998 году. Возможность полностью управлять любым компьютером, подключенным к Сети, предварительно запустив на нем нужную программу, очень сильно взволновала людей. Разработчики программы уверяли, что это всего лишь обычное средство удаленного администрирования, но многочисленные взломы, совершенные с помощью Orifice’а, убеждали в обратном. Только хотелось бы отметить, что по сравнению со своими многочисленными клонами, выходящими с тех пор с завидным постоянством, Back Orifice выглядит чуть ли не безобидным тетрисом. Дело в том, что для использования этого трояна злоумышленник должен был обладать неплохими познаниями в работе сетей и компьютеров вообще, что сильно ограничивало круг его пользователей. Кроме того, первая версия проги вообще не имела графического интерфейса, что здорово распугивало начинающих хакеров. Однако время шло, появлялись все новые и новые программы, возможности их совершенствовались, алгоритмы работы улучшались. Теперь украсть необходимые пароли или получить доступ к компьютеру излишне доверчивого человека сможет даже малолетний ребенок.

Один из первых троянов — оцените возможности управления компьютером жертвы.

Что такое троян? Троянцев можно условно отнести к категории вирусов, от которых они, впрочем, имеют немало отличий. В отличие от большинства вирусов, троян сам по себе не способен на деструктивные действия, он не будет неконтролируемо размножаться на вашем винчестере и делать прочие гадости, — но только до тех пор, пока за дело не возьмется его “хозяин”. Большинство троянов состоит из двух частей: клиентской и серверной. Клиентская часть используется только для конфигурирования трояна и для доступа к компьютеру жертвы, а серверная — это та, которая распространяется потенциальным жертвам. Запустив у себя на компьютере серверную часть трояна, вы активируете его, и с этого момента он начинает свою деятельность. Поэтому в дальнейшем под словом “троян” будет подразумеваться именно серверная его часть. Вообще, трояны можно разделить на три основные категории, в соответствии с их основными функциями:

BackDoor (задняя дверь, черный ход) — эти трояны предоставляют своему хозяину полный доступ к компьютеру жертвы. Они работают по следующему принципу: вы запускаете файл, содержащий троян, он прописывается в автозагрузке и каждые 10-15 минут проверяет наличие соединения с Интернетом. Если соединение установлено, троян отсылает своему хозяину сигнал готовности и начинает работать по принципу приложения удаленного доступа. С этого момента злоумышленник может совершить любые действия с вашим компьютером, вплоть до форматирования диска.

MailSender (отравитель почты) — будучи однажды запущен, такой троян прописывается в системе и тихонько собирает сведения обо всех паролях, используемых вами. Наиболее продвинутые MailSender’ы способны даже перехватывать любые окна ввода пароля и сохранять все введенное там. Через определенные промежутки времени вся собранная информация отправляется по электронной почте злоумышленнику. Такой вид троянов является, по моему мнению, наиболее опасным, так как вы даже можете и не узнать о том, что кто-то пользуется вашим логином для входа в Интернет или отправляет от вашего имени сообщения по почте и Аське. К тому же, более-менее продвинутые хакеры все свои противозаконные действия совершают только под чужим именем, так что в наиболее тяжелом случае у вас могут начаться серьезные неприятности.

LogWriter (составитель протокола) — такие трояны ведут запись в файл всего, что вводится с клавиатуры. Позже вся эта информация может быть отправлена почтой либо просмотрена по ftp-протоколу.

Кроме того, наиболее опасные трояны сочетают в себе функции сразу нескольких видов, что позволяет хакеру получить действительно полный контроль над удаленной машиной.

Правила безопасности

Как на компьютер могут попасть трояны? Как это ни прискорбно, но в большинстве случаев злосчастный файл запускает сам пользователь. Поэтому главными средствами в борьбе с троянами являются вовсе даже не антивирусы и фаерволы, а самая обычная осторожность. Подумайте сами, откуда у вас на компьютере могут взяться зараженные файлы? Как показывает практика, большинство троянцев приходит к пользователям по электронной почте либо же скачивается ими с веб-сайтов, bbs’ок и из прочих файловых архивов. Начнем с наиболее вероятного случая — с письма с вложенным файлом.

Вот такое письмо я недавно получил. “Фотки” оказались заражены вирусом, да еще и содержали трояна.

В большинстве случаев такое письмо сразу выделяется среди остальных. Но чтобы быть полностью уверенным, обратите внимание на такие признаки:

1. Письмо получено от незнакомого вам человека, не имеет обратного адреса или же пришло якобы от крупной компании (например, Microsoft), к которой вы не имеете никакого отношения. Очень часто попадаются письма, подписанные вашим провайдером, но (внимание!) присланные с халявного адреса вроде provider@mail.ru.

2. Письмо адресовано паре десятков людей сразу, причем ни одного из них вы не знаете.

3. В письме содержится текст типа: “Привет, YYY! Помнишь, ты просил меня выслать тебе крутейшую прогу XXXXXX? Извини, что так долго — раньше были проблемы с сервером. С уважением, В. Пупкин”. Естественно, что никакого Пупкина вы не знаете и никаких файлов у него не просили.

5. К письму приложен файл с расширением *.exe, который, по словам отправителя, является фотографией или видеоклипом. Причем размеры файла опять же не соответствуют его описанию. Запомните — никак не может видеофильм, даже продолжительностью 1-2 минуты, занимать 20-30Kb.

Ну-ну. Качал я, значит, патч к игрухе — а там.

Практически все вышеперечисленное верно и в большинстве других случаев, когда вам пытаются подсунуть трояна. Очень многие сайты, ftp-сервера, bbs’ки, особенно хакерской тематики, просто битком набиты подобным содержимым. Не поддавайтесь соблазну — вспомните поговорку про бесплатный сыр. По той же причине рекомендуется проверять новыми антивирусами все скачанные откуда-либо файлы, даже если вы их качали с крупнейшего и популярнейшего сайта.

Определяем трояна

Итак, представим себе ситуацию, что троянец все-таки был благополучно вами запущен, и теперь ваши данные находятся под серьезной угрозой. Как тут быть? Конечно, в самом простом случае вам понадобится только запустить свежую версию AVP или Doctor Web и удалить все зараженные файлы. Но существует большая вероятность того, что эти антивирусы ничего не найдут — дело в том, что новые трояны создаются практически каждый день, и, возможно, вы “подцепили” что-то недавно появившееся. Однако и без антивирусов можно без проблем определить наличие трояна. Во-первых, есть признаки, по которым уже можно заподозрить неладное. Например, если ваш компьютер периодически пытается выйти в Интернет без ваших на то указаний, или если во время неторопливых разговоров по Аське с вашего компьютера куда-то отправляются мегабайты данных, то вам стоит призадуматься. Ну и, конечно же, если вы еще и скачали вчера файл, отказавшийся запускаться по непонятным причинам, то надо срочно браться за дело. Вообще, всегда обращайте внимание на необычное поведение файлов — если дистрибутив какой-либо программы после ее запуска вдруг изменился в размерах, поменял свой значок либо вообще исчез — будьте уверены, в этом файле был “прошит” троян.

Обратите внимание на последнюю строчку — это троян GIP.

Первым делом посмотрите, что из приложений запущено в данный момент, закрыв перед этим все выполняемые программы. Делается это так: в стартовом меню Windows выберите пункт Программы/Стандартные/Сведения о системе. Затем в появившемся окне откройте вкладку Программная среда/Выполняемые задачи, и перед вами появится список всех выполняемых в данный момент приложений.

Теперь смотрите на четвертую колонку списка — там находятся описания запущенных приложений. Нам надо найти файл, не имеющий описания либо замаскированный под что-либо, связанное с Интернетом или корпорацией Майкрософт (подобные описания присутствуют у большинства троянов). Обычно троян устанавливается в системном каталоге Windows — так что в первую очередь посмотрите на файлы из этой директории. Теперь загляните в раздел Автоматически загружаемые программы и посмотрите, присутствует ли этот подозрительный файл там. Троянец должен обязательно загружаться вместе с системой, так что он не может не отобразиться на этой страничке. Если вы найдете явно подозрительную программу, то, естественно, надо будет ее удалить. Но учтите, что удалить трояна под Windows вам не удастся, так как система не разрешает удалять уже запущенные файлы (а троянец как раз запускается при каждой загрузке системы). В этом случае перезагрузите компьютер под DOS либо используйте системную дискету и, найдя тот самый подозрительный файл, перенесите его во временный каталог. Почему его сразу не удалить? Дело в том, что мы могли ошибиться, и, возможно, этот файл — вовсе и не троянец, а что-то необходимое для работы вашей операционки. Теперь снова загрузите Windows и, если система будет работать нормально, можете смело удалять подозрительный файл. В случае каких-либо сбоев снова загрузитесь в DOS-режиме и возвращайте файл на его место.

Посмотрите на первые две строки — это же дружище NetBus!

Так и только так можно определить присутствие абсолютно любого трояна. Не пытайтесь посмотреть список задач, открываемый по нажатию Ctrl-Alt-Del или Alt-Tab — любой уважающий себя трояноклепатель сделает так, чтобы его детище не было видно оттуда. А вот от sysinfo (о которой мы только что говорили) спрятаться невозможно.

Существуют и другие способы определения троянов, но вам должно хватить и этих. Плюс, конечно, можно использовать антивирусы, умеющие бороться с троянами. Например, антивирус Касперского (AVP). И запомните одно. В любом случае, вы должны заниматься не отловом и обезвреживанием многочисленных троянов — лучше просто не запускать “плохие” файлы.

Вычисляем обидчика

Вот какой путь проделало это письмо.

Напоследок поговорим о том, что делать в случае, если троян уже был благополучно вами запущен, но с системы еще не удален. Думаю, многим захочется узнать, что за шутник попытался атаковать ваш компьютер, это поможет вам предотвратить возможные неприятности. Если троян был прислан вам по почте, то первым делом нужно глянуть на то, кто же вам его отправил. Конечно, только очень глупый человек рассылает трояны от своего имени, поэтому нам придется воспользоваться некоторой дополнительной информацией о письме. Дело в том, что по умолчанию почтовые программы не показывают так называемые кладжи (Kludges — подробная информация об отправителе), ограничиваясь только тем адресом, который ввел сам отправитель. Для просмотра этих данных включите в своем почтовом клиенте опцию Show Kludges (хотя в некоторых программах она может называться по-другому). Для выяснения, откуда пришло злосчастное письмо, посмотрите на строчку Received. Если же ваш почтовый клиент не поддерживает такой режим, просто найдите папку на винчестере, в которой лежит полученная вами корреспонденция, и откройте нужное письмо любым текстовым редактором.

Источник

Рубрика:

Безопасность /
Тестирование

Facebook

Twitter

Мой мир

Вконтакте

Одноклассники

Google+

ДЕНИС БАТРАНКОВ

Поиск троянов вручную

В этой статье вы найдете ответы на следующие вопросы:

Что делать, если вы предполагаете, что на вашем компьютере с Windows установлена программа-шпион или троян?
Как найти троянскую программу или spyware, если ваш антивирус или AdWare ее не находит?

Статья для начинающих системных администраторов и опытных пользователей Windows описывает возможные способы поиска троянских программ и также описывает, как использовать для этого поиска программы и утилиты из стандартной поставки Windows 2000, XP и 2003 и программы сторонних разработчиков: netstat, msconfig, msinfo32, tlist, Sysinternals TCPView, CurrPorts, WinTasks, Security Task Manager, Starter, Winpatrol, Sysinternals Autoruns, Sysinternals ProcessExplorer, MoveOnBoot, Microsoft PortReporter, System Safety Monitor.

Если коротко описать процесс поиска программы, выполняющей нежелательные действия, то алгоритм обычно такой:

Обновить базу данных установленного на вашем компьютере антивируса и проверить им все локальные диски. (Если антивируса нет, то установить его.) Вам нужно осознавать, что если антивирус не обнаружил троянов, то это не значит, что их у вас нет. На компьютере может работать свежий троян или специально подготовленная для вас программа-шпион, которой еще нет в базах ни одной компании производителя антивируса. И, возможно, вы тот человек, который первым выявит и пошлет эту программу для исследования в антивирусную компанию.
Посмотреть, какие процессы работают на компьютере и какие соединения с Интернетом ими используются. Возможно, на диске появились новые файлы, возможно, старые файлы изменились. Возможно, в реестре появились новые ключи или параметры.
Просмотреть логи персонального firewall. Если firewall не смог заблокировать несанкционированные соединения трояна в силу своей недостаточной функциональности или неправильной настройки, то есть надежда, что он хотя бы запротоколировал, какие соединения были пропущены в Интернет. Если хорошего персонального firewall нет, то хотя бы включите встроенный в Windows XP firewall, который называется ICF (как это сделать, описано на http://www.microsoft.com/rus/windowsxp/using/howto/networking/icf.asp). Протоколы встроенного firewall можно посмотреть с помощью любого текстового редактора, открыв файл C:WINDOWSpfirewall.log. Но лучше использовать более удобные утилиты, ссылки на которые легко найти при помощи Google (например, набрав в строке поиска «XP firewall logger»).

Первый пункт достаточно понятен и помогает в 80% случаев. За третий пункт нужно браться в самом запущенном случае и еще лучше со специалистом по компьютерной безопасности (далее КБ). Давайте попробуем выполнить действия, описанные во втором пункте. Тем более что при внимательном выполнении всех операций можно найти и убить любую гадость, засевшую в вашем компьютере.

Возникает вопрос, нужно ли отключаться от Интернета, если мы ищем вирус или троян? Вам понадобятся различные утилиты для поиска трояна (какие конкретно будет описано далее). Если эти утилиты уже есть или на жестком диске, или на компакт-диске, или у вас есть возможность сходить за нужными дисками, или скачать и записать на компакт-диск нужные программы на другом незараженном компьютере, то необходимо отключиться от Сети. Это нужно сделать, чтобы предотвратить дальнейшую утечку информации с компьютера. Отключаться нужно даже от локальной сети, например, сети офиса или домашней сети, чтобы не заражать соседние компьютеры.

Однако иногда встречаются особо запущенные случаи, в которых приходится скачивать нужные программы через Интернет. Например, я однажды приехал в гости к родственникам в Сибирь, обрадовался наличию компьютера с модемным доступом к Интернету, сел за него и, нажав по привычке , сразу обнаружил трояна в списке процессов. Поскольку нужных программ под рукой не было, пришлось лечить вручную. Единственной «защитой» этого компьютера с Windows XP был гордо стоящий антивирус с базами вирусов двухгодичной давности. В Windows даже не был включен ICF.

К сожалению, подавляющее большинство пользователей неопытны и несведущи в вопросах компьютерной безопасности. Компьютеры на платформе Intel и операционная система Windows являются высокотехнологичными продуктами. Ведь даже среди тех, кто пользуется общеизвестной программой Microsoft Word, не так много людей, кто изучал его на курсах или хотя бы читал к нему документацию. Что тут говорить про образованность в области компьютерной безопасности.

К каждому пользователю специалиста по компьютерной безопасности не приставишь. Поэтому на таких компьютерах все подготовительные мероприятия их владельцы будут делать сами при работающем трояне и подключенном Интернете, поскольку Интернет – единственное место, где они могут найти помощь и программное обеспечение для поиска троянов. Тем более чего им бояться – все важное троян уже наверняка украл и отослал своему владельцу. Но даже в этом случае, после того как вы скачали все необходимые утилиты на локальный диск, нужно отключиться от Сети.

Итак, боевая задача состоит в том, чтобы успешно пройти три этапа: найти трояна, убить его и поменять свои украденные пароли. Именно в такой последовательности.

Замечание: программа в операционной системе Windows представлена в виде процесса, в котором может работать несколько нитей, и все эти нити загружены в память из файлов, хранящихся на диске. Как правило, это файлы с расширением EXE и DLL. Расширения могут быть и другими. Злоумышленники часто используют другие расширения, чтобы никто не догадался.

Некоторыми проявлениями троянских программ являются:

несанкционированные соединения c различными хостами в Интернете;
открытые программами соединения, ожидающие подключения извне;
попытка открыть ненужные для нормальной деятельности файлы на локальном диске;
добавление себя в списки автозапуска;
маскировка под стандартные системные процессы и размещение в системной папке Windows.

Находим троянскую программу, которая ждет входящего соединения

Обычно авторы таких программ называют свои программы «программами удаленного управления». Типичной иллюстрацией этого вида троянских программ является Back Orifice (см. описание http://www.viruslist.com/viruslist.html?id=3957&gloss=8227). Такие программы позволяют делать на вашем компьютере все что угодно: скачивать файлы, рассылать спам, быть прокси-сервером, участвовать в DOS-атаке, быть плацдармом для других атак, естественно, в рамках функций, предоставляемых им имеющейся операционной системой. В данном случае мы рассматриваем версии Windows: 2000 SP4, XP SP1, 2003.

Такие программы открывают TCP-порт на компьютере жертвы, устанавливают его в состояние LISTENING и ждут, когда хакер подключится на этот порт. Таким образом, нам нужно выявить все процессы, которые открыли TCP-порты и которые находятся в состоянии LISTENING, и решить, одобряете ли вы это соединение или нет. То же самое можно сказать про UDP-порты – за ними тоже надо смотреть, с единственным отличием, что у них нет состояний – с этих портов может как приниматься информация, так и отсылаться. С ходу можно сказать, что если у вас обычный компьютер, подключенный к выделенной линии или через модем в Интернет, то в идеале у вас не дожно быть слушающих портов. Даже если приложения или сервисы Windows открыли эти порты, то они должны быть закрыты персональным firewall.

Чтобы выявить программы, которые ожидают (и устанавливают) соединения в Windows XP и Windows 2003, можно, конечно, воспользоваться стандартной утилитой netstat c параметрами -ano. (Параметр -а заставляет netstat показывать все имеющиеся подключения и ожидающие порты, -n преобразует вывод адресов и портов в числовой формат, -o отображает для каждого подключения идентификатор процесса, создавшего это подключение). В Windows 2000 ключ -o еще не был изобретен. Например:

C:Documents and SettingsUser>netstat -ano

Активные подключения

Имя Локальный адрес Внешний адрес Состояние PID

TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 856

TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4

TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING 1028

TCP 0.0.0.0:4928 0.0.0.0:0 LISTENING 3660

TCP 0.0.0.0:4929 0.0.0.0:0 LISTENING 3660

TCP 0.0.0.0:4946 0.0.0.0:0 LISTENING 3660

TCP 0.0.0.0:6213 0.0.0.0:0 LISTENING 3660

TCP 0.0.0.0:6218 0.0.0.0:0 LISTENING 3660

TCP 0.0.0.0:6247 0.0.0.0:0 LISTENING 3660

TCP 0.0.0.0:6253 0.0.0.0:0 LISTENING 3660

TCP 0.0.0.0:6299 0.0.0.0:0 LISTENING 3660

TCP 0.0.0.0:6344 0.0.0.0:0 LISTENING 3660

TCP 0.0.0.0:9762 0.0.0.0:0 LISTENING 2324

TCP 0.0.0.0:10641 0.0.0.0:0 LISTENING 2884

TCP 0.0.0.0:10676 0.0.0.0:0 LISTENING 2324

TCP 0.0.0.0:10892 0.0.0.0:0 LISTENING 2324

TCP 127.0.0.1:111 0.0.0.0:0 LISTENING 2676

TCP 127.0.0.1:143 0.0.0.0:0 LISTENING 2676

TCP 127.0.0.1:3044 0.0.0.0:0 LISTENING 1608

TCP 127.0.0.1:3045 0.0.0.0:0 LISTENING 1028

TCP 127.0.0.1:3046 0.0.0.0:0 LISTENING 1028

TCP 127.0.0.1:3085 0.0.0.0:0 LISTENING 2324

TCP 127.0.0.1:5335 0.0.0.0:0 LISTENING 3232

TCP 127.0.0.1:8888 0.0.0.0:0 LISTENING 3232

Результат, как видите, аскетичен: порты, конечно, выводятся, но вместо информации о приложениях выдается только номер процесса. Хотелось бы еще узнать имя процесса и местоположение файла, из которого он был запущен. Но давайте хотя бы разберемся с тем, что уже есть.

Если вы увидели у себя много TCP-соединений в состоянии LISTENING, то не пугайтесь – это, скорее всего, не трояны, а работающие по умолчанию стандартные сервисы Windows.

Алгоритм просмотра ожидающих соединений такой:

Отметаем все соединения, у которых локальный адрес установлен 127.0.0.1 – это означает, что к этим портам может подключиться только программа, запущенная на этом же компьютере. Подключение извне к этому порту и адресу невозможно.
Адрес 0.0.0.0 означает, что любое подключение по любому IP-адресу, который есть на вашем компьютере, с любого хоста Интернета будет возможно на указанный порт. Напомню, что на одной сетевой карте может быть несколько IP-адресов. Не говоря уже о том, что у вас может быть и несколько сетевых карт.
В некоторых ожидающих соединениях вы увидите те, у которых явно указан IP-адрес одной из ваших сетевых карт. К ним также возможно подключиться из Интернета через указанный порт.

Получается, что для всех ожидающих соединений из последних двух пунктов нам нужно узнать, какое приложение создало это подключение, и нужно ли это вам.

Следующим этапом является установление имени приложения, использующего это соединение. Очевидно, результат команды netstat -ano в виде идентификатора процесса нас не устраивает, поскольку, пользуясь стандартными средствами графического интерфейса и командной строки Windows, невозможно получить по номеру процесса его имя и тем более имя исполняемого файла. Конечно, можно самому написать программу, которая выполняет такие действия, но, к счастью, в Сети уже есть приложения, которые делают то, что нам нужно.

Тем более что в статье Microsoft Knowledge Base Article – 816944 (http://support.microsoft.com/default.aspx?scid=kb;en-us;816944) сами сотрудники фирмы Microsoft советуют пользоваться такими программами, как TCPView (http://www.sysinternals.com/ntw2k/source/tcpview.shtml) и FPort (http://www.foundstone.com/knowledge/proddesc/fport.html).

Я, однако, советую другую программу, которая называется CurrPorts (http://freehost14.websamba.com/nirsoft/utils/cports.html). FPorts плох тем, что работает только в командной строке и ничего не умеет, кроме показа имени процесса и открытых им портов. TCPView – отличная программа, позволяет закрыть соединение и убить процесс, но CurrPorts более функциональна: ко всему перечисленному выводит больше информации о процессе, показывает соответствующие процессу сервисы, позволяет делать HTML-отчеты. Все эти программы бесплатны.

Замечание: на самом деле для просмотра процессов и их идентификаторов можно воспользоваться программой tlist.exe из файла support.cab, лежащего на каждом лицензионном диске Windows. К сожалению, эта программа не устанавливается по умолчанию.

Сравните TCPView и CurrPorts.

CurrPort может с промежутками в 2 секунды показывать программы, использующие открытые порты (лучше сказать, сокеты). К сожалению, соединения происходят достаточно быстро и практически невозможно отследить все соединения в реальном времени. Для выявления несанкционированных подключений нужно протоколировать все соединения и потом просматривать полученные записи.

Отлично, берем CurrPorts, получаем список процессов, которые что-то слушают во внешнем мире или даже соединяются с внешним миром.

http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=100277). Просто хакер скрыл под именем системного файла свою программу и положил ее в системную папку.

Итак, что делать, если вы нашли незнакомый процесс? Есть такая услуга: идентификация процесса по имени. Существуют сайты, на которых выложен список процессов, чаще всего встречающихся в операционной системе Windows. Таким образом, по имени процесса вы можете понять, для чего он нужен на вашем компьютере, какие порты он обычно использует, и сравнить с данными CurrPorts. Например, http://www.liutilities.com/products/wintaskspro/processlibrary. Для примера попробуйте посмотреть описание svchost.exe: http://www.neuber.com/taskmanager/process/svchost.exe.html. Кроме того, можно набрать в поисковой машине имя процесса и номер порта – вероятнее всего, вы найдете место, где описывается этот процесс или где описывается этот вирус или троян. Но лучше всего купить соответствующие продукты, которые помогут вам идентифицировать процессы без подключения к Интернету: например, WinTasks Pro (http://www.liutilities.com/products/wintaskspro) или Security Task Manager (http://www.neuber.com/task manager/index.html).

Таким образом, вы, пользуясь маленькой утилитой, нашли процессы, которые зачем-то слушают порты, и при помощи Интернета поняли, что это за процессы и нужно ли их удалять с диска. Если вы не уверены точно, что за процесс работает на вашем компьютере, обращайтесь к специалистам. Их можно найти в форумах, например, на http://www.securitylab.ru/forum.

Необходимо понимать, что многие трояны прячутся под именами системных процессов, чтобы их невозможно было убить из менеджера задач. Но CurrPorts благополучно убивает и системные процессы. Будьте осторожнее – умирание системного процесса может привести к зависанию или перезагрузке компьютера.

Другим вариантом такого ручного поиска процесса является просмотр всех процессов с помощью последней версии программы Sysinternals Process Explorer (http://www.sysinternals.com/ntw2k/freeware/procexp.shtml).

Одной из полезных функций данной программы является просмотр свойств каждого процесса, где показаны используемые этим процессом порты. Например, операционная система использует:

Открытый слушающий порт 445 означает, что система может предоставлять доступ к дискам посредством протокола SMB (Server Message Broadcast), также известного под названием CIFS (Common Internet File System) через Интернет. Неправильное конфигурирование этого сервиса может привести к возможности чтения системных и других файлов третьими лицами и захвату контроля над системой. Значительное количество пользователей открывают локальные диски для чтения и записи по сети для упрощения обмена информацией, давая также возможность и третьим лицам работать с их системами. Если вы не хотите, чтобы кто-то изучал ваши диски или даже вносил изменения в данные, хранящиеся на них, то лучше отключить этот сервис совсем. За 445 порт отвечает драйвер netbt.sys, поэтому есть два способа избавиться от него:

отключить драйвер netbt.sys через «Диспетчер устройств», но тогда не будет работать DHCP-клиент Windows, что часто необходимо абонентам Интернета, использующим выделенные линии;
переименовать в ветке реестра HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetBTParameters параметр TransportBindName (например, на OldTransportBindName), и после перезагрузки UDP- и TCP-порты будут отключены.

Если у вас внешний IP-адрес, то это нелишне сделать, поскольку по статистике 445 и 135 порты чаще всего сканируют в Интернете (см. статистику http://isc.sans.org/top10.php). Без преувеличения можно сказать, что каждый компьютер во внешней сети подвергается постоянным попыткам соединения с TCP-портами 445 и 135, рассчитывая на то, что пользователи оставили открытым анонимный доступ (null-сессию). 135 порт (NETBIOS) отключается в свойствах протокола TCP/IP в свойствах сетевой карты. Открытый порт 1026 говорит о том, что включена «Служба сообщений» (Messenger). Если вы ей не пользуетесь, то отключите этот сервис. Для этого запустите консоль управления сервисами Windows (services.msc), кликните правой кнопкой на «Службе сообщений», выберите «Свойства» и в поле «Тип запуска» выберите «Отключено» и нажмите «OK».

И так далее по шагам для каждой программы нужно изучить, что за порты она использует, зачем они ей нужны и желаете ли вы, чтобы она передавала куда-то данные.

Находим программу, производящую несанкционированные соединения с Интернетом

В этой части нам нужно распознать программу, которая, попав на компьютер, считывает нужные ей данные (например, ваши пароли) и отсылает их куда-то в Интернет. Поскольку ваши важные данные достаточно небольшого объема: учетные записи, пароли, адреса почтовых ящиков, телефоны dial-up, то передать все это можно очень быстро, особенно если упаковать. Естественно, что все это хранится на диске и все это можно прочитать и посмотреть. Посмотрите хотя бы утилиты MessenPass (http://www.nirsoft.net/utils/mspass.html) или Protected Storage PassView (http://www.nirsoft.net/utils/pspv.html). Первая утилита покажет пароли из любого мессенджера (ICQ, MSN, Trillian и т. д), вторая – из Explorer и Outlook.

Очевидно, что некоторые процессы соединяются с Интернетом на короткое время и нам очень сложно сидеть весь день за программой CurrPorts и следить, кто именно соединяется с Интернетом. Вдобавок, это может быть бесполезным, поскольку некоторые троянские программы соединяются с Интернетом не сами, а «просят» это сделать другую легальную программу, например, Explorer. Это позволяет им скрыться от слежения и вдобавок обмануть ваш персональный firewall. Например, я уверен, что у вас он пропускает все исходящие соединения Explorer.exe на любой адрес по 80 порту. (Если firewall вообще у вас стоит.) Поскольку Internet Explorer экспортирует функции, которыми может пользоваться любое стороннее приложение, то троян может от имени Internet Explorer зайти на сайт, созданный специально для него (например, недавно ставший известным maybeyes.biz), и как параметры строки передаст ваши логины и пароли или скачает свои дополнительные модули. Если хорошо поискать, то можно даже найти исходный текст подобной программы: tooleaky.zensoft.com/tooleaky.zip. Эта программа использует WinExec() для запуска Explorer.

Замечание: сайт maybeyes.biz создан специально для того, чтобы троян Ducky загрузил с этого сайта свою основную часть. Этот троян использует последнюю уязвимость в Windows XP SP1 и Windows 2003, которая позволяет ему загрузиться на ваш компьютер, пока вы просматриваете JPEG(JPG)-картинку. Подробное описание этой уязвимости на сайте Microsoft: MS04-028 (http://www.microsoft.com/technet/security/bulletin/MS04-028.mspx). Обновление, исправляющее эту уязвимость, доступно на сайте Microsoft.

Бороться с таким видом троянов трудно. Персональные firewall не всегда помогают. А точнее, вообще не помогают. В этом можно убедиться, посмотрев список персональных firewall, прошедших leaktests (http://www.firewallleaktester.com/tests.htm). Leaktest – класс программ, реализующий один из видов утечки информации в обход персонального firewall. Как видно, пока нет идеального firewall, блокирующего все leaktests. Пока в лидерах Look’n’stop, но он тоже ловит не все. К сожалению, чтобы грамотно настроить персональный firewall, нужно обладать как минимум знаниями стека протоколов TCP/IP, представлять, как работает операционная система Windows, и быть знакомым с функциональными возможностями конкретного firewall. Но это тоже не всегда помогает, потому как злоумышленники постоянно ищут (и находят) новые методы обхода firewall. Профессионалы на основе накопленного опыта могут закрыть лазейки в операционной системе, которые уже известны. Но что хакеры придумают завтра – никому неизвестно. Поэтому выбора нет и придется повышать свою грамотность в отношении безопасности. Конечно, с ходу профессионалом в этой области стать сложно, но существенно затруднить нехорошим людям выполнение их замыслов вполне возможно.

Существует бесчисленное количество способов попадания трояна на ваш компьютер. Вы можете сами скачать его из Интернета, как «очень интересную программу, которую вы обязательно должны посмотреть», эта программа может прийти вам по электронной почте как «обновление безопасности от Microsoft». Кроме того, вам может послать специально или не специально зараженную программу ваш знакомый по ICQ или MSN, вы можете принести троян или вирус на дискете или компакт-диске. Не стоит думать, что на компакт-дисках не бывает вирусов и троянов. Я видел, как люди параноидально проверяют чистые дискеты из коробки на вирусы, но очень редко встречался с тем, что люди проверяют антивирусом свежекупленные компакт-диски с программным обеспечением или играми. Я видел однажды подобный компакт-диск. На нем была записана компьютерная игра и в довесок вирус.

Кроме того, существовало и существует огромное количество дырок в Windows и приложениях под Windows, которые распространяются без участия пользователя. Как правило, они пользуются отсутствием в исполняемом коде различных компонентов Windows проверок на длину входящих данных или параметров или, короче говоря, переполнением буфера. Например, известный компьютерный червь Blaster (http://support.microsoft.com/kb/826955/RU) использует переполнение буфера в сервисе RPC. А вот троян Ducky уже использует ошибку в обработке JPEG-картинок (переполнение буфера) для своего запуска на вашем компьютере. Как это ни ужасно, но, просто просмотрев картинку с удаленного сайта через Explorer, вы рискуете заразиться новым трояном. И неизвестно, что нас ждет завтра.

Понятно, что очень сложно предусмотреть все варианты заражения компьютера, и, более того, неизвестно, какие уязвимости Windows вирусы и трояны будут использовать в будущем, поэтому надо выполнять хотя бы два простых правила:

не скачивать и не запускать неизвестные программы из Интернета;
включить «автоматическое обновление Windows», чтобы вовремя устранять уязвимости.

Но если троян (или вирус) попал на ваш компьютер, то его задача: закрепиться и остаться на компьютере как можно дольше, а при возможности распространиться дальше. Тут и проявляется ахиллесова пята этих троянов (впрочем, как и любого другого вируса) – им нужно, чтобы их кто-то запускал при следущей загрузке Windows. Если они не могут запуститься, то не могут ничего сделать. Для своего последующего запуска они используют стандартные механизмы Windows: запись в папку автозагрузки и в список программ для автозапуска в реестре, запуск по расписанию, установка как сервис, запись в system.ini и win.ini. Как правило, такие трояны не используют вирусную технологию внедрения непосредственно в сам исполняемый файл, а идут отдельным модулем в виде exe- или dll-файла.

Наша задача свелась к тому, чтобы «поскрести по сусекам» и выявить все процессы, что у нас есть в автозапуске, и опять посмотреть, нужны ли они нам там. Программы, которые помогают это делать, уже написаны. Windows нам предлагает утилиту msconfig.exe, с помощью которой можно посмотреть INI-файлы, сервисы и автозагрузку.

Однако лучшим стандартным средством Windows для просмотра автоматически загружаемых программ является msinfo32.exe (можно запустить через меню «Пуск –> Программы –> Служебные –> Сведения о системе»).

Здесь вы увидите более полный список, поскольку получен он из гораздо большего количества укромных мест Windows. Но, к сожалению, отредактировать его эта программа не позволяет.

Ну и последний вариант – это просмотреть реестр Windows, используя утилиту regedit.exe. Например, в HKLMSoftwareMicrosoftWindowsCurrentVersionRun очень много интересного.

Посмотрим, какие варианты есть у сторонних разработчиков. Начну с программы Starter (http://codestuff.tripod.com/features.shtml), которая сама читает данные из реестра и INI-файлов и затем показывает содержимое в удобном виде.

Она просматривает и показывает имена программ, которые будут автоматически выполнены. Чтобы увидеть полную картину, нужно в «Настройках» во вкладке «Разное» поставить галочку на параметре «Элементы» только для экспертов, и тогда имена программ она будет брать из следующих ключей реестра, папок автозагрузки и INI-файлов:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun;
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce;
HKEY_CURRENT_USERSoftwarePoliciesMicrosoftWindowsSystemScripts;
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun;
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun;
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce;
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnceEx;
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon;
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad;
HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftWindowsSystemScripts;
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionpoliciesExplorerRun;
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon;
HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun;
HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRunOnce;
папка Current UserГлавное менюПрограммыАвтозагрузка;
папка All UsersГлавное менюПрограммыАвтозагрузка;
папка Default UserГлавное менюПрограммыАвтозагрузка;
файл Win.ini: разделы [Windows].Run, [Windows].Load.

Еще одной ценной особенностью этой программы является то, что она показывает список процессов и подгруженные этими процессами DLL, что позволяет бороться с атаками DLL Injection. Я не буду заставлять вас разбираться еще и в этом. Оставьте работу специалистам по безопасности.

Но эта программа показывает не все места, где может прятаться троян. Еще нужно смотреть на встраиваемые модули (plugins) Explorer, WinAmp, Photoshop, смотреть, какие зарегистрированы ShellExtension (то, что запускается при нажатии правой кнопки на объекте), «Назначенные задания» и наконец сервисы. Давайте попробуем другую программу WinPatrol PLUS (http://www.winpatrol.com).

Программа платная, но даже в незарегистрированном варианте она позволяет узнать много про ваш Windows. Думаю, что самое полезное окошко в программе – это IE Helpers, где показаны дополнительные модули, которые подгружаются при запуске Explorer.

Чаще всего я использую программу Sysinternals Autoruns (http://www.sysinternals.com/ntw2k/freeware/autoruns.shtml) – только она показывает ShellExtensions и другие хитрые компоненты Windows .

Итак, мы посмотрели, что находится в автозапуске, удалили ненужные программы и заодно удалили трояны, которые периодически запускаются для выполнения «нехороших» задач. Самое главное, что одновременно мы навели порядок в Windows.

И напоследок скажу, что если троянская программа при своем запуске удаляет себя из реестра и при завершении Windows добавляет себя снова в реестр, то в этом случае то, что вы читали выше, не работает. Но зато помогает кнопка Reset.

Убить трояна

Что самое интересное, периодически это становится трудной задачей. Что делать, если, пытаясь удалить файл, вы сталкиваетесь с сообщениями: «Доступ к файлу запрещен», «Файл используется»? Удалить такие файлы можно только специальным образом. Очевидно, удалять их нужно до того момента, как они начали использоваться, либо убивать процесс, заблокировавший файл, что не всегда возможно.

Я предлагаю скачать программу MoveOnBoot (http://www.softwarepatch.com/software/moveonboot.html), которая удалит по вашей просьбе файл в самом начале загрузки Windows, когда файл еще никем не используется. После установки программы просто кликаете правой кнопкой на этом файле, в открывшемся контекстном меню выбираете «Свойства» и в новой вкладке нажимаете кнопку Execute. После перезагрузки этот файл будет удален.

Как посмотреть, что «ушло» с вашего компьютера

Несмотря на все наши усилия (и не только наши), все равно нужно констатировать факт, что если мы нашли и обезвредили трояна, то неизвестно, что было украдено с компьютера. Поэтому, после того как мы провели «дезинфекцию», нужно обязательно поменять все пароли.

Чтобы в следующий раз не производить все перечисленные выше действия, давайте поставим какой-нибудь продукт, который бы протоколировал все успешные соединения с внешним миром, чтобы потом, уже после инцидента, можно было понять, откуда произошла утечка.

Во-первых, приходит на ум поставить галочку «записывать успешные соединения» во встроенном в Windows firewall и периодически просматривать эти записи. Ссылки на программы для удобного просмотра этих объемных протоколов легко найти с помощью любого поискового сервера, например Google.

Во-вторых, неплохим бесплатным решением является написанная Microsoft утилита, которая называется Port Reporter (http://support.microsoft.com/?id=837243). Советую внимательно посмотреть на нее. Эта утилита не только протоколирует соединения, но и расписывает все DLL, которыми пользовался процесс. Ну и, наконец, можно поставить любой сторонний firewall, который имеет функции протоколирования соединений. Например, Agnitum Outpost (http://www.agnitum.com/products/outpost). Но это платный способ.

Как все это автоматизировать

Здесь я хочу рассказать о программе System Safety Monitor (http://maxcomputing.narod.ru/ssm.html?lang=ru).

Все эти операции были бы необходимы, если бы мы своевременно узнавали о добавлении программ в реестр, в автозапуск, о запуске одних программ другими программами и т. д. Опять же нашелся человек, который это автоматизировал.

Краткие характеристики:

Позволяет контролировать, какие приложения могут, а какие не могут быть запущены на вашем компьютере.
Может запретить одному приложению запускать другое.
Предотвращает процесс внедрения стороннего кода в чужое приложение («Dll Injection»).
Может предотвратить установку клавиатурных шпионов.
Дает возможность контролировать загрузку драйверов.
Позволяет контролировать доступ к таким объектам ядра, как «DevicePhysicalMemory».
Предупреждает об изменении «охраняемого» ключа реестра Windows.
Позволяет легко редактировать список запускаемых при загрузке компьютера приложений.
Автоматически закрывает окна в зависимости от их заголовка.
Подобно меню может принудительно завершать работу запущенных процессов (даже тех, которые в Windows 9x не видны).
Имеет легкоредактируемые списки разрешенных и запрещенных приложений. «Запрещенные» приложения автоматически закрываются при запуске.
Уведомляет об установке новых сервисов Windows NT
Уведомляет об изменениях в заданных INI-файлах и меню автозапуска Windows. По умолчанию контролируется win.ini и system.ini, но можно расширить этот список.
Контролирует вызовы API, используемые для внедрения в чужое адресное пространство и для сокрытия процессов.
Протоколирует события, происходящие в системе.

Эта программа опережает многие программы по функциональности. Она дает пользователю возможность быстро реагировать на событие, предоставляя подробную информацию о том, что произошло, легко настраивается под нужды пользователя и позволяет следить за безопасностью сразу нескольких уязвимых компонентов Windows.

Описанные в статье программы должны быть у вас всегда под рукой. Особенно полезными я считаю продукты Sysinternals. Было бы разумно скачать все необходимое программное обеспечение до появления трояна на вашем компьютере и записать на компакт-диск.

Facebook

Twitter

Мой мир

Вконтакте

Одноклассники

Google+

Источник

Лучшие бесплатные сканеры троянских программ (антитроян)

Категория:
Безопасность

– Автор:
Игорь (Администратор)

Назначение сканеров троянских программ
Обзор бесплатных сканеров троянов
Бесплатный сканер троянов Emsisoft Anti-Malware
Бесплатный сканер троянов PC Tools ThreadFire
Бесплатный сканер троянов Malwarebyes Anti-Malware
Бесплатный сканер троянов SUPERAntiSpyware
Еще программы
Руководство по быстрому выбору (ссылки на скачивание сканеров троянов)

Назначение сканеров троянских программ

Вредоносные программы, трояны и угрозы

Большинство компьютеров подключены к сети (интернет, локальная сеть), что упрощает распространение вредоносных программ (по российским стандартам такие программы называются «разрушающие программные средства», но, потому что данное понятие мало распространено, в обзоре будет использоваться понятие «вредоносные программы»; на английском языке они называются Malware). К таким программам относятся трояны (также известные как троянские кони), вирусы, черви, шпионское ПО, рекламное ПО, руткиты и различные другие виды.

Как шпионское и рекламное ПО, трояны могут проникнуть на Ваш компьютер множеством способов, в том числе через веб-браузер, по электронной почте, или в связке с другим программным обеспечением, загруженным из Интернета. Вы также можете непреднамеренно помочь распространению вредоносных программ через флешку или через другие портативные носители данных. Вполне возможно, что Вам придется переформатировать Вашу флешку для устранения вредоносных программ, чтобы избежать переноса его на другие машины (мы очень надеемся, что Вы не хотите стать теми людьми, кто инфицировал сети на работе, только потому, что захотелось послушать любимую музыку).

В отличие от вирусов или червей, трояны не копируют себя, но они могут быть столь же разрушительны. Обычно на компьютере троянские программы появляются как доброкачественные и безвредные, но однажды зараженный код выполняется. И на компьютере исполняются вредоносные функции без ведома пользователя.

Например, waterfalls.scr представляет собой заставку в виде водопада, как это первоначально утверждает автор. Но на самом деле она запускает скрытые процессы и дает возможность несанкционированного доступа к компьютеру.

Примеры типичных угроз троянов:

Стереть, переписать или повредить данные на компьютере
Способствовать распространению других вредоносных программ, таких как вирусы
Отключить или вмешиваться в работу антивирусных программ и брандмауэров
Предоставить удаленный доступ к компьютеру
Загружать и скачивать файлы без Вашего ведома
Собирать адреса электронной почты, и впоследствии использовать их для рассылки спама
Отслеживать нажатие клавиш клавиатуры для кражи информации, такой как пароли и номера кредитных карт
Прописывать поддельные ссылки на фальшивые веб-сайты, отображать на экране порно-сайты, воспроизводить звуки/видео, отображать изображения
Замедлять работу, осуществлять перезагрузку или выключение компьютера
Переустанавливать себя после удаления
Отключить диспетчера задач
Отключить панель управления

Программы для обнаружения и удаления вредоносных программ и сканеры троянских программ

Поскольку все больше разработчиков в сфере компьютерной безопасности расширяют возможности своих продуктов для нахождения более чем одного типа вредоносного ПО, границы между различными типами программ становятся размытыми и не ясными.

Например, антивирусные программы, такие как AVG AntiVirus. Он охватывает не только вирусы, но и обеспечивает защиту от шпионского ПО, рекламного ПО и других. Антишпионские программы, такие как SuperAntiSpyware позволяют не только обнаруживать шпионское ПО, но так же и удалять троянов, руткитов и других. Также сканеры троянов могут иметь в своем арсенале средства для удаления вирусов, шпионского ПО и других вредоносных программ.

В такой ситуации более уместно, эти продукты классифицировать как антивирусные программы, а не группировать их по имени одного из типов вредоносного ПО.

В этой связи, в данном обзоре будут рассмотрены программы для защиты от вредоносного ПО, которые более эффективно борются с троянами.

Какое количество программ защиты от вредоносного ПО мне нужно установить?

Так что получается Вам необходимо установить целый пакет программ «антивирус + анти-шпионские программы + сканеры троянов»?

Для большинства рядовых пользователей, нет, конечно. Не стоит ставить фанатизм «безупречной защиты» впереди реальных задач. Тем более, что эффект безупречной защиты может как раз навредить тем, что привлечет интерес к Вашему компьютеру опытного хакера, ищущего сложной задачи. Все зависит от множества факторов: секретность информации (реальная, а не надуманная, как, например, «о Боже, кто-то удалит мои фотографии со свадьбы, а я ведь столько времени потратил на создание шедевров в редакторе!»), насколько широк спектр посещаемых Вами сайтов, насколько сайты могут быть вредоносными, доступен ли компьютер из интернета (например, является небольшим файловым сервером), часто ли Вы устанавливаете новое ПО на свой компьютер и так далее.

Предупреждение

Несмотря на то, как наша команда описывает программы, из этого нельзя делать 100% вывод, что какое-либо средство будет лучшим во всех сферах. Имеется слишком много факторов в каждом конкретном случае. Проще говоря, нет ни одного антивируса или программы для удаления вредоностного ПО, которое работало лучше всех везде и всегда.

Обзор бесплатных сканеров троянов

Бесплатный сканер троянов Emsisoft Anti-Malware

Emsisoft Anti-Malware (ранее известный как a-squared Free) является хорошим выбором для обнаружения и удаления вредоносных программ, особенно троянов. Программа надежно удаляет троянов, содержащих бэкдоры, клавиатурных шпионов, дозвонщиков и других вредителей, нарушающих покой Вашего «Web-серфинга».

Так же программа хорошо справляется со шпионском ПО, рекламном ПО, перехватчиками Cookies, червями, вирусами и руткитами.

Программа сочетает в себе Emsisoft Anti-Malware и Ikarus AntiVirus engine последней версии, что позволяет сократить ненужные повторяющиеся процедуры обнаружения одного и того же вредоносного ПО, за счет объединения различных алгоритмов поиска.

Любой подозрительный файл Вы можете загрузить на Emsisoft для анализа: www.emsisoft.com/ru/support/submit/. Также, Вы можете получить поддержку на их форуме: support.emsisoft.com

Программа включает в себя работу с карантином, функцию онлайн-обновления и эвристический анализ неизвестных вредоносных программ.

С сайта Emsisoft, «при загрузке, вы получите полную версию, включая все функции защиты сроком на 33 дня бесплатно. После окончания срока программное обеспечение будет работать в режиме сканера, который позволяет сканировать и чистить компьютер, но больше не будет включать в себя функции защиты от новых инфекций «.

Другими словами, бесплатная версия по окончании демонстрационного срока не будет предоставлять такие функции, как охрана файловой системы, поведенческий блокиратор (анализ и блокировка опасных действий в реальном времени).

Бесплатный сканер троянов PC Tools ThreadFire

Если Вы предпочитаете готовое решение, требующего минимальных действий от пользователя, то PC Tools ThreatFire является отличным вариантом для Вас. Он предлагает активную защиту от известных и неизвестных угроз, таких как трояны, вирусы, черви, шпионское ПО, руткиты и другие вредоносные программы.

ThreatFire предоставляет собой защиту в реальном времени на основе поведенческого анализа системы. Это достигается путем работы программы в фоновом режиме, что позволяет обходиться без проверки «по требованию».

Любые обнаруженные вредоносные программы автоматически помещаются в карантин для обеспечения защиты вашего компьютера. Вы можете загрузить файлы на анализ по адресу: www.threatexpert.com/filescan.aspx. После того как вы убедились, что файлы действительно относится к разряду вредоносных программ (а не скомпрометированных), Вам необходимо их удалить.

Интерфейс программы показывает карту мира, на которой отображается расположение распространенных угроз, так сказать, «в дикой природе». Для обычных пользователей это не более чем способ заявить о своем существовании. Для пользователей, работающих с распределенными сетями по всему миру — это способ понять «к чему готовиться».

Еще одной полезной особенностью является ThreatExpert отчет, который дает подробную информацию о последних 200 угроз. Из этого отчета видно, что более чем 30% угроз связаны с троянами.

ThreatFire предполагает обратную связь с сообществом, что обеспечивает хорошую базу для выявления новых угроз. Если Вы откажетесь предоставлять информацию, то автоматическое обновление для Вас будет закрыто.

Бесплатный сканер троянов Malwarebyes Anti-Malware

Malwarebytes ‘Anti-Malware — сканер «по-требованию», который ищет и удаляет трояны, а также другие вредоносные программы, такие как вирусы, черви, руткиты, дозвонщики и различное шпионского ПО.

Хотя программа никогда не выиграет приз «за лучший пользовательский интерфейс», ее интерфейс интуитивно понятен и прост в использовании.

Malwarebytes выпускает ежедневные обновления, поэтому до начала сканирования компьютера всегда проверяйте обновления. Для забывчивых людей, программа позволяет включить напоминание, чтобы предупредить Вас о том, что базы данных устарели.

MalwareNET — это он-лайновая база данных. Отчет по ней показала, что почти 20% от общего числа угроз, обнаруженных MBAM, были связаны с троянами.

Программа позволяет проводить быстрое сканирование системы, имеет свой черный список, предполагает работу с карантином (по сути предоставляет возможность не бесследно удалять файлы). Имеет различные настройки для повышения производительности программы. А так же включает программу FileASSASSIN (для удаления заблокированных файлов).

Еще одним плюсом является то, что MBAM редко вызывает какие-либо конфликты с другими утилитами защиты от вредоносного ПО.

Бесплатный сканер троянов SUPERAntiSpyware

SUPERAntiSpyware. Кроме шпионского ПО, эта программа сканирует и удаляет другие виды угроз, такие как: дозвонщики, клавиатурные шпионы, черви, руткиты и т.д.

Программа имеет три вида сканирования: быстрое, полное или выборочное сканирование системы. Перед сканированием программа предлагает проверить обновления, чтобы сразу же защитить Вас от новейших угроз. SAS имеет свой черный список. Это список из 100 примеров различных DLL и EXE-файлов, которых не должно быть на компьютере. При нажатии на любой из пунктов в списке, Вы получите полное описание угрозы.

Одна из важных особенностей программы — это наличие Hi-Jack защиты, которая не позволяет другим приложениям завершить работу программы (за исключением Task Manager).

К сожалению, бесплатная версия этой программы не поддерживает защиту в реальном времени, запуска сканирования по расписанию и ряд других функций.

Еще программы

Другие бесплатные сканеры троянов, не вошедшие в обзор:

Rising PC Doctor (более недоступен, в интернете, возможно, еще можно найти старые версии) — сканер троянов и шпионского ПО. Предлагает возможность автоматической защиты от ряда троянов. Так же предлагает следующие инструменты: управление автозагрузкой, менеджер процессов, менеджер сервисов, File Shredder (программа удаления файлов, без возможности их восстановления) и другие.
FreeFixer — просканирует вашу систему и поможет удалить трояны и другие вредоносные программы. Но, от пользователя требуется правильно интерпретировать результаты работы программы. Особую осторожность необходимо проявлять при принятии решения удаления важных файлов системы, так как это может повредить вашей системе. Однако есть форумы, на которых Вы можете проконсультироваться, если сомневаетесь в решении (ссылки на форумы есть на сайте).
Ashampoo Anti-Malware (К сожалению, стала триальной. Возможно, ранние версии еще можно найти в интернете) — изначально этот продукт был только коммерческим. Бесплатная версия обеспечивает защиту в режиме реального времени, а также предлагает различные инструменты оптимизации.

Руководство по быстрому выбору (ссылки на скачивание сканеров троянов)

Emsisoft Anti-Malware

PC Tools ThreatFire

Перейти на страницу загрузки PC Tools ThreatFire

Malwarebytes Anti-Malware

Перейти на страницу загрузки Malwarebytes Anti-Malware

SUPERAntiSpyware

Перейти на страницу загрузки SUPERAntiSpyware

☕ Понравился обзор? Поделитесь с друзьями!

Лучшие бесплатные файрволы, брандмауэры и межсетевые экраны для Windows
Безопасность
Immunet Protect — Защита на облачных технологиях
Безопасность
Лучшие бесплатные антивирусы
Безопасность
Лучшие бесплатные утилиты безопасного удаления данных
Безопасность
Лучшие бесплатные программы для шифрования файлов и папок
Безопасность
Лучшие бесплатные программы для шифрования виртуальных дисков
Безопасность

Добавить комментарий / отзыв

Источник

Как обнаружить троян? Проверим открытые порты.

Как обнаружить троян? Проверьте запущенные процессы.

Как обнаружить троян? Проверьте реестр.

Как обнаружить троян? Он может быть в драйверах устройств.

Как обнаружить троян? Службы и сервисы.

Как обнаружить троян? Нет ли его в автозагрузке?

Как обнаружить троян? Проверьте подозрительные папки.

Как обнаружить троян? Проверьте сетевую активность приложений

Как найти троян на компьютере?

Безопасный режим для обнаружения троянов

Шаги для входа в безопасный режим в Windows

Удаление временных файлов в папке Temp

Проверка диспетчера задач

Использование антивирусного программного обеспечения

Как определить, что на компьютере есть вирус?

Признаки заражения компьютера вирусами

Как обнаружить вирус на компьютере

Антивирус

Чистящие утилиты

Диспетчер задач

Как обнаружить троян? Методика и утилиты.

Как обнаружить троян? Проверим открытые порты.

Как обнаружить троян? Проверьте запущенные процессы.

Как обнаружить троян? Проверьте реестр.

Как обнаружить троян? Он может быть в драйверах устройств.

Как обнаружить троян? Службы и сервисы.

Как обнаружить троян? Нет ли его в автозагрузке?

Как обнаружить троян? Проверьте подозрительные папки.

Как обнаружить троян? Проверьте сетевую активность приложений

Что такое троян?

Что троян обычно ищет на вашем компьютере?

Самые частые проявления трояна на вашем компьютере?

Порты, используемые троянами (уже известные).

Что такое троян. Как не попасться на удочку?

Самые известные трояны для Windows.

Антивирус меня защитит?

Как узнать есть ли троян на компьютере

Немного истории

Правила безопасности

Определяем трояна

Вычисляем обидчика

Лучшие бесплатные сканеры троянских программ (антитроян)

Назначение сканеров троянских программ

Обзор бесплатных сканеров троянов

Бесплатный сканер троянов Emsisoft Anti-Malware

Бесплатный сканер троянов PC Tools ThreadFire

Бесплатный сканер троянов Malwarebyes Anti-Malware

Бесплатный сканер троянов SUPERAntiSpyware

Еще программы

Руководство по быстрому выбору (ссылки на скачивание сканеров троянов)

Emsisoft Anti-Malware<img loading="lazy" decoding="async" onError="javascript: wp_broken_images = window.wp_broken_images || function(){}; wp_broken_images(this);" alt="bset-pick-very-small" src="https://ida-freewares.ru/images/stories/bset-pick-very-small.png" height="63" width="90" />

PC Tools ThreatFire

Malwarebytes Anti-Malware

SUPERAntiSpyware

Добавить комментарий / отзыв

Emsisoft Anti-Malware