2014-02-12
791
ü Что делать, если вы предполагаете, что на вашем компьютере с Windows установлена программа-шпион или троян?
ü Как найти троянскую программу или spyware, если ваш антивирус или AdWare ее не находит?
Статья для начинающих системных администраторов и опытных пользователей Windows описывает возможные способы поиска троянских программ и также описывает, как использовать для этого поиска программы и утилиты из стандартной поставки Windows 2000, XP и 2003 и программы сторонних разработчиков: netstat, msconfig, msinfo32, tlist, Sysinternals TCPView, CurrPorts, WinTasks, Security Task Manager, Starter, Winpatrol, Sysinternals Autoruns, Sysinternals ProcessExplorer, MoveOnBoot, Microsoft PortReporter, System Safety Monitor.
Если коротко описать процесс поиска программы, выполняющей нежелательные действия, то алгоритм обычно такой:
ü Обновить базу данных установленного на вашем компьютере антивируса и проверить им все локальные диски. (Если антивируса нет, то установить его.) Вам нужно осознавать, что если антивирус не обнаружил троянов, то это не значит, что их у вас нет. На компьютере может работать свежий троян или специально подготовленная для вас программа-шпион, которой еще нет в базах ни одной компании производителя антивируса. И, возможно, вы тот человек, который первым выявит и пошлет эту программу для исследования в антивирусную компанию.
|
|
|
ü Посмотреть, какие процессы работают на компьютере и какие соединения с Интернетом ими используются. Возможно, на диске появились новые файлы, возможно, старые файлы изменились. Возможно, в реестре появились новые ключи или параметры.
ü Просмотреть логи персонального firewall. Если firewall не смог заблокировать несанкционированные соединения трояна в силу своей недостаточной функциональности или неправильной настройки, то есть надежда, что он хотя бы запротоколировал, какие соединения были пропущены в Интернет. Если хорошего персонального firewall нет, то хотя бы включите встроенный в Windows XP firewall, который называется ICF (как это сделать, описано на https://www.microsoft.com/rus/windowsxp/using/howto/networking/icf.asp). Протоколы встроенного firewall можно посмотреть с помощью любого текстового редактора, открыв файл C:\WINDOWS\ pfirewall.log. Но лучше использовать более удобные утилиты, ссылки на которые легко найти при помощи Google (например, набрав в строке поиска «XP firewall logger»).
Первый пункт достаточно понятен и помогает в 80% случаев. За третий пункт нужно браться в самом запущенном случае и еще лучше со специалистом по компьютерной безопасности (далее КБ). Давайте попробуем выполнить действия, описанные во втором пункте. Тем более что при внимательном выполнении всех операций можно найти и убить любую гадость, засевшую в вашем компьютере. Возникает вопрос, нужно ли отключаться от Интернета, если мы ищем вирус или троян? Вам понадобятся различные утилиты для поиска трояна (какие конкретно будет описано далее). Если эти утилиты уже есть или на жестком диске, или на компакт-диске, или у вас есть возможность сходить за нужными дисками, или скачать и записать на компакт-диск нужные программы на другом незараженном компьютере, то необходимо отключиться от Сети. Это нужно сделать, чтобы предотвратить дальнейшую утечку информации с компьютера. Отключаться нужно даже от локальной сети, например, сети офиса или домашней сети, чтобы не заражать соседние компьютеры.
|
|
|
Однако иногда встречаются особо запущенные случаи, в которых приходится скачивать нужные программы через Интернет. Например, я однажды приехал в гости к родственникам в Сибирь, обрадовался наличию компьютера с модемным доступом к Интернету, сел за него и, нажав по привычке <Ctrl-Alt-Del>, сразу обнаружил трояна в списке процессов. Поскольку нужных программ под рукой не было, пришлось лечить вручную. Единственной «защитой» этого компьютера с Windows XP был гордо стоящий антивирус с базами вирусов двухгодичной давности. В Windows даже не был включен ICF.
К сожалению, подавляющее большинство пользователей неопытны и несведущи в вопросах компьютерной безопасности. Компьютеры на платформе Intel и операционная система Windows являются высокотехнологичными продуктами. Ведь даже среди тех, кто пользуется общеизвестной программой Microsoft Word, не так много людей, кто изучал его на курсах или хотя бы читал к нему документацию. Что тут говорить про образованность в области компьютерной безопасности.
К каждому пользователю специалиста по компьютерной безопасности не приставишь. Поэтому на таких компьютерах все подготовительные мероприятия их владельцы будут делать сами при работающем трояне и подключенном Интернете, поскольку Интернет – единственное место, где они могут найти помощь и программное обеспечение для поиска троянов. Тем более чего им бояться – все важное троян уже наверняка украл и отослал своему владельцу. Но даже в этом случае, после того как вы скачали все необходимые утилиты на локальный диск, нужно отключиться от Сети. Итак, боевая задача состоит в том, чтобы успешно пройти три этапа: найти трояна, убить его и поменять свои украденные пароли. Именно в такой последовательности.
Замечание: программа в операционной системе Windows представлена в виде процесса, в котором может работать несколько нитей, и все эти нити загружены в память из файлов, хранящихся на диске. Как правило, это файлы с расширением EXE и DLL. Расширения могут быть и другими. Злоумышленники часто используют другие расширения, чтобы никто не догадался.
Некоторыми проявлениями троянских программ являются:
ü несанкционированные соединения c различными хостами в Интернете;
ü открытые программами соединения, ожидающие подключения извне;
ü попытка открыть ненужные для нормальной деятельности файлы на локальном диске;
ü добавление себя в списки автозапуска;
ü маскировка под стандартные системные процессы и размещение в системной папке Windows.
