• По грецькому переказами, після довгих років облоги ахейці, відступаючи від Трої, залишили в подарунок її жителям величезного дерев'яного коня. Троянці як дар ввезли його в місто. Вночі сховалися в коні воїни вбили годинних і відкрили ворота в місто, щоб впустити назва війська. З тих пір вираз «троянський кінь» стало прозивним (дар ворогові, щоб його погубити). Сьогодні ми поговоримо з вами про троянах. Що це таке, якими вони бувають, як можна підхопити цю заразу і як уберегтися від неї. І, нарешті, найголовніше: що робити, якщо ви все-таки стали жертвою троянського коня.
    Відразу слід зробити маленьке, але істотне уточнення. Троян - це не одне і те ж, що вірус. На відміну від вірусів, які в основному зносять Вінди і форматують диски, трояни по своїй суті істоти мирні. Сидять собі тихенько і роблять свою чорну справу… Область їх компетенції - крадіжка конфіденційної інформації, паролів з подальшою передачею всього цього добра господареві. У класичному варіанті троян складається з клієнта і сервера. Серверна частина зазвичай на компі у жертви, клієнтська - у господаря, тобто у того, хто створив троян або просто покращив його, змусивши працювати на себе. Зв'язок клієнта і сервера здійснюється через якийсь відкритий порт. Протокол передачі даних - зазвичай TCP/IP, але відомі трояни, які використовують і інші протоколи зв'язку - зокрема, ICMP і навіть UDP. Той, хто створює трояни, вміло маскує їх. Один з варіантів - замаскувати троянського коня під хоч якусь корисну програму. При її запуску спочатку відбувається виконання коду трояна, який потім передає управління основною програмою. Троян може бути також просто, але ефективно замаскований під файл з будь-яким дружнім розширенням - наприклад, GIF.
    Якими вони бувають…
    Сучасна класифікація троянів виглядає наступним чином:1. Програми-шпигуни типу Mail sender.2. Утилиты віддаленого адміністрування - BackDoor.3. Програми-дозвонювачі - Dialer.4. Кілоггери - KeyLogger.5. Емулятори DDos-атак.6. Завантажувачі - Downloader.7. Дропперы - Dropper.8. Проксі-серверы.9. Деструктивні троянські програми (є й такі - напр., FlashKiller).
    Перша група - Mail Sender - найбільш поширена, оскільки переважна більшість троянів, якщо не всі, відсилають господареві паролі від Інтернету, електронної пошти, ICQ, чатів, ну, і т.д. в залежності від винахідливості троянмейкера. Приклади: Trojan-PSW.Win32.QQPass.du (китайський троян, що краде Windows-паролі), Bandra.BOK (завантажується на комп'ютер жертви при відвідуванні певного сайту і намагається вкрасти паролі від певних банківських сайтів), Bancos.LU (зберігає паролі у тимчасових файлах, а потім намагається надіслати їх господареві), Banker.XP (збирає конфіденційні дані, паролі, рахунки і т.д., відправляючи їх на певний адреса)…
    Утиліти віддаленого адміністрування - backdoor (дослівно “потайні двері”) - зазвичай володіють можливостями Mail Sender’а плюс функціями віддаленого керування комп'ютером. Такий троян чекає з'єднання з боку клієнта (з'єднання здійснюється через якийсь порт), за допомогою якого надсилаються команди на сервер. Приклади: Backdoor.Win32.Whisper.a - троянська програма з вбудованою функцією віддаленого керування комп'ютером, знаменитий Back Orifice, що дозволяє сторонній контролювати ваш ПК, як свій. Створений групою хакерів Cult of Dead Cow, він, незважаючи на аскетичний інтерфейс, дозволяє сторонній по локальній мережі або Internet отримати можливість повного контролю над вашим комп'ютером, повного доступу до ваших дисків, спостереження за вмістом екрану в реальному часі, записи з підключеного до системи мікрофону або відеокамери і т.п. Самий цікавий приклад з цього списку - мабуть, RADMIN, який визначається Symantec Antivirus як справжній троян;).
    Програми-дозвонювачі відрізняються тим, що можуть завдати жертві значних фінансових втрат, встановлюючи з'єднання з закордонним інтернет-провайдером. Таким чином, з телефонного номера абонента відбувається встановлення «незамовленого» міжнародного з'єднання, наприклад, з островами Кука, С'єрра-Леоне, Дієго-Гарсіа або іншим дивовижним регіоном в залежності від почуття гумору створив програму. Приклади: Trojan - PSW.Win32.DUT або trojan.dialuppasswordmailer.a; Trojan-PSW.Win32.Delf.gj; not-a-virus:PSWTool.Win32.DialUpPaper; not-a-virus:PornWare.Dialer.RTSMini.
    Трояни-кілоггери вдало поєднують в собі функції кейлоггера і звичайного Send-Mailer’а. Вони здатні відстежувати натискання клавіш клавіатури та надсилати цю інформацію злонамеренному користувачеві. Це може здійснюватися поштою або відправленням прямо на сервер, розташований десь в глобальній мережі. Приклади: Backdoor.Win32.Assasin.20.; Backdoor.Win32.Assasin.20.n; Backdoor.Win32.BadBoy; Backdoor.Win32.Bancodor.d (keylogger.trojan).
    Емулятори DDos (Distributed Denial of Service) - досить цікава група троянів. Серверна частина слухає певний порт і, як тільки отримує команди ззовні, починає функціонувати як нюкер (Nuker - додаток, таке, що відсилає на заданий IP шквал некоректно сформованих пакетів, що призводить до ефекту, відомому як відмова в обслуговуванні).
    Завантажувачі - Downloader. Це троянські програми, які завантажили з Інтернету файли без відома користувача. Завантажувати може бути як інтернет-сторінками нецензурного змісту, так і просто шкідливим пз. Приклади: Trojan-Downloader.Win32.Agent.fk (представляє собою Windows PE EXE файл. Розмір заражених файлів істотно варіюється. Після запуску троянець створює папку під назвою %Program Files%\\Archive, після чого копіює себе в неї і т.д. Троянська програма Trojan-Downloader.Win32.Small.bxp спочатку була розіслана за допомогою спам-розсилки. Являє собою Windows PE EXE файл має розмір близько 5 Кб. Упакована FSG. Розмір розпакованого файлу - близько 33 Кб.
    Дропперы (Dropper) - Троянські програми, створені для таємничої установки в систему інших троянських програм. Приклад: Trojan-Dropper.Win32.Agent.vw.
    Proxy-сервери - троян встановлює у вашу систему один з декількох proxy-сервер (шкарпетки, HTTP і т.п.), а потім хто завгодно, заплативши господареві трояна, або сам троянмейкер здійснює інтернет-серфінг через цей proxy, не боячись, що його IP вичислять, оскільки це вже не його IP, а ваш…
    Деструктивні троянські програми, крім своїх безпосередніх функцій збору та відсилання конфіденційної інформації, можуть форматувати диски, “зносити” Вінду і т.д.
    Як підхопити заразу?
    Способи зараження не нові, але саме вони і є воротами для погані в ваш ПК… Через Internet (звичайний спосіб - коли користувач хитає з нету проги). Дуже часто під нешкідливим прискорювачем браузера може сидіти троян. За допомогою усіма нами улюбленого “мила”- найпоширеніший спосіб зараження. Незважаючи на численні попередження, прогресує завдяки методів соціальної інженерії. Прикріплений файл, навіть якщо він виглядає як картинка, може бути вдало замаскованої троянською програмою. Через дискету або КОМПАКТ-ДИСК диск. Досить поширений спосіб зараження. За статистикою юзери перевіряють дискети частіше, ніж диски, якщо не сказати більше: CD-диски зазвичай не перевіряють взагалі. А дарма… Адже саме піратські диски (ніхто не буде заперечувати, що в нас таких більшість) - не найслабша ланка в каналі поширення деструктивних програм. Чому, коли WIN95.CIH пронісся над Європою і Азією, виявилося, що інфіковано близько мільйона машин, а в США - всього 10 тисяч? Поширювався цей вірус через нелегальне ПО, скопійоване на CD-дисках.
    Винахідливість вірусописьменників не знає кордонів. Сам особисто зловив «на живця» наступного звіра - «Trojan horse.Bat.Format C», який сидів у програмному коді Trojan Remover’а(!). Розібратися в таких випадках буває нелегко. Правильність укладення можна перевірити, лише дезассемблировав таку програму. Досить оригінальний спосіб зараження - через autorun при вставці диск у дисковод. Як ви вже здогадалися, autorun.exe в даному випадку виступає досить оригінальною ролі.
    Знайти і знешкодити!
    Якщо ваш антивірус наполегливо мовчить, а можливість присутності трояна висока, то спробуйте виявити розвідника, скориставшись спеціальними утилітами типу Trojan Remover і т.п. Як показує практика, цей спосіб доступний навіть недосвідченому користувачу ПК, тим більше, що відповідного софта в Інтернеті більш ніж достатньо. Але про це поговоримо пізніше. А зараз постараємося розібратися в тому, як можна видалити троян вручную.Для свого запуску троянська програма зазвичай прописуються на автозапуск в наступних галузях реєстру:
    HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run (найчастіше сюди)Крім цієї гілки, ще слід заглянути:HKEY_CURENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run;HKEY_CURENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Runonce;HKEY_USERS\\.Default\\Software\\Microsoft\\Windows\\CurrentVersion\\Run;HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Runonce;
    При виявленні невідомою запису, тобто тієї, яка не належить нормальним додатків (для того, щоб з легкістю виявляти «засыльного», раджу вам вивчити дані гілці реєстру в чистій системі і знайти відповідності запис/додаток), сміливо видаляйте її. Думаю, не гріх зайвий раз нагадати, що при роботі з реєстром слід дотримуватися особливої обережності. Слід також переглянути все, що прописано в автозавантаження. Для цього в консолі “виконати” набираємо msconfig, далі переходимо на закладку “автозавантаження”. Операції дозвіл/заборону на автозавантаження конкретної програми інтуїтивно прості. Просто прибираємо галочку з програми, викликає у вас сумнів, і її запуск при наступному завантаженні Вінди блокується. Раджу вам уважно стежити за своїми драйверами і програмами, прописаними в автозавантаження - тоді у вас буде набагато більше шансів миттєво визначити трояна. Якщо троян все ж запустився, для початку слід розпізнати його і завершити процес, йому належить, скориставшись Ctrl+Alt+Del. Однак, навіть якщо ви не знайшли його в процесах диспетчера завдань, засмучуватися не варто. Повну інформацію про запущених в Windows програмах можна побачити, запустивши утиліту XRun або їй подібну - CTask. Для того щоб не переплутати своїх/чужих, раджу вивчити список типових процесів диспетчера завдань.
    Якщо вищевикладені способи нічого не дали, а ознаки троянизации в наявності (занадто великий трафік, незрозумілі процеси в оперативній пам'яті, гальмо та глюки), то прийшов, як кажуть, час для плану Б. Необхідно просканувати ваш ПК ззовні на наявність відкритих портів. Все, що вам знадобиться для такої операції - це хороший сканер портів і ваш IP. Дана процедура високоефективна, і з її допомогою виявляються навіть самі потайливі і хитрі трояни. З сканерів можу порадити X-Spider, який є кращим сканером для подібних справ. Якщо у вас відкриті нестандартні порти, то є про що задуматися… і прикрити це справа в налаштуваннях вашого брандмауера.
    Нижче наведено список підозрілих портів:
    port 23 - Tiny Telnet Server (= TTS)port 25 - Ajan, Antigen, Email Password Sender, Haebi Coceda , Happy 99, Kuang2, ProMail trojan, Shtrilitz, Stealth, Tapiras, Terminator, WinPC, WinSpy31-Master Paradise121-BO jammerkillahV456-HackersParadise555-Phase Zero666-Attack FTP1001-Silencer1001-Silencer1001-WebEx,1010-Doly Trojan 1.30 (Subm.Cronco)1011-Doly Trojan 1.1+1.21015-Doly Trojan 1.5 (Subm.Cronco)1033-Netspy1042-Bla1.11170-Streaming Audio Trojan1207-SoftWar1243-SubSeven1245-Vodoo1269-Maverick's Matrix1492-FTP99CMP1509-PsyberStreamingServer Nikhil G.1600-Shiva Burka,1807-SpySender,6669-Vampire 1.06670-Deep Throat6883-DeltaSource (DarkStar)6912-Shitheep6939-Indoctrination7306-NetMonitor7789-iCkiller9872-PortalOfDoom9875-Portal of Doom9989-iNi-Killer9989-InIkiller10607-Coma Danny11000-SennaSpyTrojans11223-ProgenicTrojan12076-Gjamer12223-Hackґ99 KeyLogge12346-NetBus 1.x (avoiding Netbuster)12701-Eclipse 200016969-Priotrity20000-Millenium20034-NetBus Pro20203-Logged!20203-Chupacabra20331-Bla21544-GirlFriend21554-GirlFriend22222-Prosiak 0.4723456-EvilFtp27374-Sub-7 2.129891-The Unexplained30029-AOLTrojan1.130100-NetSphere30303-Socket2530999-Kuang31787-Hack'a'tack33911-Trojan Spirit 2001 a34324-Tiny Telnet Server34324-BigGluck TN40412-TheSpy40423-Master Paradise50766-Fore53001-RemoteWindowsShutdown54320-Back Orifice 2000 (default port)54321-Schoolbus 1.6+2.061466-Telecommando65000-Devil 1.03
    Як ви вже здогадалися, в даному списку портів в основному ті, які використовуються шпигунськими програмами.
    Software проти троянів
    Для виявлення і видалення троянів існує цілий арсенал відповідного софта. Ось лише та мала частина, яка, як я сподіваюся, допоможе захистити ваш ПК від всілякого роду шпигунів.
    Advanced Spyware RemoverУтилита, призначена для захисту персонального комп'ютера від шкідливих програм і шпигунських модулів. Вона дозволяє позбутися від рекламних програм, дозвонювачі, програм-шпигунських програм, кілоггерів, троянів і т.д. Advanced Spyware Remover перевіряє системний реєстр на наявність в ньому ключів, що належать перерахованим вище типів шкідливих програм. Її головною відмітною особливістю перед аналогами є висока швидкість роботи сканера і оновлювана антишпигунська база сегментів шкідливого коду F-Secure BlackLight.
    SpyDefense 0.9.5.118 BetaПрограмма для виявлення шпигунських модулів. Дозволяє знайти і знешкодити велика кількість комп'ютерних шпигунів.
    Advanced Spyware Remover 1.73.20134Утилита, призначена для захисту персонального комп'ютера від шкідливих програм і шпигунських модулів. Дозволяє позбутися від рекламних програм, дозвонювачі, програм-шпигунських програм, кілоггерів, троянів і т.д.
    WinPatrol 9.8.1.0Программа, призначена для підвищення безпеки Windows. Відстежує і знищує різні шпигунські модулі та шкідливі програми типу Adware і Spyware.
    Arovax Shield 1.2.314Утилита, призначена для захисту від програм-шпигунів. Arovax Shield дозволяє в режимі реального часу стежити за безпекою системи, попереджаючи користувача про проникнення в неї всіляких паразитів за допомогою мережі Інтернет.
    Arovax AntiSpyware 1.0.353Утилита для видалення програм-шпигунів. На сьогоднішній день у її антишпигунські базі міститься понад 33 тисяч сегментів шкідливого коду.
    Microsoft AntiSpyware 1.0.701Система для боротьби з вірусами і шпигунськими модулями розробки Microsoft. Як стверджує розробник, утиліта тримає під контролем більше 50 так званих spyware-шляхів, за якими в комп'ютер можуть потрапити шпигунські модулі.
    Trend Micro CWShredder 2.19Утилита для знаходження і видалення шпигунських програм. Дозволяє виявити сліди присутності на ПК так званих Cool Web Search програм (їх відносять до вірусів-троянцям,).
    a-squared HiJackFree 1.0.0.19Утилита, призначена для детального аналізу системи за різними параметрами, що стосуються безпеки. Програма може бути корисна для визначення і видалення з комп ’ ютера практично всіх типів HiJackers, Spyware, Adware, Trojans і Worms.
    Зазначені програми можна завантажити за адресою: сайт .за адресою сайт можна знайти наступний корисний софт:
    SpyRemover - непогана програма для пошуку шпигунських модулів. SpyRemover розпізнає більш 27.500 типів шкідливих програм (spyware, adware, hijackers, keyloggers, Trojans і т.д.). У ній є можливість автооновлення.
    XSpy Shield Gold - це потужна програма, яка допоможе вам захиститися від spyware-модулів, які присутні в деяких програмних продуктах та інших шпигунські модулі і можуть становити загрозу безпеці вашої операційної системи.
    Anti-keylogger - утиліта для операційних систем сімейства Windows 2k/XP, що захищає від програмних кілоггерів(програм, які фіксують всі натискання клавіш на клавіатурі, а значить, можуть дозволити зловмиснику дізнатися всі ви набираєте паролі).
    CounterSpy - аналог програми Ad-aware. Дозволяє видалити шпигунські модулі з вашого комп'ютера.
    Spy Sweeper - непогана програма для захисту ПК від spyware (шпигунських) модулів, а також від троянів і кілоггерів.
    HookMonitor призначена для адміністрування процесу установки глобальних пасток на клавіатуру. Виявляє і блокує модулі різного spyware, які ведуть спостереження за набором паролів і т.п.
    Browser Sentinel постійно спостерігає за уразливими зонами системи на предмет виявлення шкідливих компонентів. Вона повідомить вас і допоможе видалити програми-шпигуни, рекламне ПО, клавіатурні шпигуни, програми автодозвону та інших непрошених гостей.
    Microsoft Windows AntiSpyware 1.0.614 beta - це програма для виявлення і видалення з системи різноманітних небажаних модулів: відстежують інтернет-переваги, додаючі спливаючі рекламні вікна, що вносять несанкціоновані зміни в інтернет-налаштування. На закінчення хотілося б відзначити, що широке поширення троянських коней було, є і буде. І тому є багато причин. Троянські програми є потужним інструментом отримання конфіденційної інформації, крадіжки особистих даних, наживи за чужий рахунок. Для того щоб зупинити трояна, в одних випадках буває досить Spy Remover’а і йому подібних програм, в інших - вашого антивіруса. Але тільки комплексне застосування методів захисту забезпечить безпеку вашої системи.