Оберегаем данные от кражи
Недавно поймал на одном из своих сайтов троянского коня, жирного такого. После чего решил, написал этот пост.
Итак:
Что есть трояны? Это вирусная программа, с большей вероятностью, выдает себя за что-нибудь чрезвычайно полезное и мирное. Например, ускоритель интернета, рекламная компания по получению миллионов из воздуха и так далее и тому подобное. Принцип действия прост. Программа, предоставляет к компьютеру полный доступ, со всеми правами, для другого компьютера, без разрешения пользователя. По научному имеет название BackDoor (черная дверь или дыра). Либо программа в скрытом виде предоставляется данные по адресу конфиденциальную информацию с компьютера-пользователя также без разрешения.
Вообще Троян, это из древней мифологии. Если кто не в курсе, почитайте немного истории. Очень познавательно.
Что сможет троян на чужом компьютере?
Через BackDoor – в общем и целом можно сделать очень многое, даже, наверное, все. Все в данном случае будет зависеть только от корыстных целей злоумышленника. Например, побаловаться простыми вещами как послать сообщение, передвинуть мышь, выдвинуть крышку CD-ROM, заканчивая кражей файлов, паролей, других важных файлов и вплоть до деструктивных методов изменение файлов, удаление и даже форматированием диска. Но сейчас это не практикуется так как время баловства уже ушло на третий, четвертый и десятый план, так как интернет наполнился деньгами. Сейчас куда вкуснее брать данные с доступами.
Троян обыкновенный – один из легких вариантов проникновения, но и имеющий слабый функционал по сравнению с backdoor. Как правило, чтобы заполучить доступ к чужому компьютеру, засылают первоначально трояна обыкновенного. В основном он скрывается в javascript файлах на различных не совсем честных сайтах. Для того чтобы себя предохранить рекомендуется посещаться подобного рода сайты, с выключенной опцией обработки javascript. Такая опция есть в любом современном браузере.
Как вирус — троян попадает в компьютер?
Все трояны попадают на компьютеры жертвы одинаково. Только по глупости самого пользователя. Самый распространенный вариант — троян высылается по почте, для примера, письмо в котором говориться, что якобы виделись когда то на пьяной вечиренке и девушку с большими сиськами вы заинтересовали или очень полезными программа расположенными по указанному адресу в Интернет. Часто в наше время встречаются и рассылка заразы через ICQ сообщения, но в целом трояна можно подцепить практически везде, но в большей степени с непроверенных сайтов. Тут все зависит от хитрости или глупости самого злоумышленника.
Часто рассадниками заразы служат сайты на распространенных CMS. Почему на CMS ну этому есть достаточно просто объяснение, если злоумышленник научиться ломать и заражать сайты на wordpress то он получит доступ к большому количеству сайтов, которые работают на этом движке. Если это случилось с вами, то рекомендую прочитать статью вирус wordpress, там подробно описано как вылечить сайт на этом движке от вирусов.
Какие признаки проявляет троян на компьютере, если уже установился?
В первую очередь по внешним признакам можно узнать, но это далеко не всегда. Зачастую такие вещи отлавливают специальные программы, антивирусы. Но и они бываю иногда пропускают. На текущий момент лучшим борцом с троянами считаете PandaSoftware, не уступает ему и Каперский со специальным модулем против троянов. Отличная бесплатная перспективка это Dr.Web.
Обязательно к проверке секции в автозапуске в реестре windows:
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersionRun
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersionRun
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersionRunServices
HKEY_USERS/DEFAULT/Software/Microsoft/Windows/CurrentVersionRun
Также фокусы встречаются в файлах INI, win.ini, строчки run= и load=. В чистой системе убедитесь, что они пустые.
Способы лечения.
Иногда можно лечить данную заразу и собственными руками. Это касается в основном отдельного направления в javascript вирусах троянах. Об этом более подробно написал zerohold в своей статье про javascript вирусы — трояны.
Хочу выразить благодарность Zerohold (он же аля sd3000) за подробнейший вводный курс в технологию вирусов и некоторых предохранительных способов от ловли
8 Comments
Очень актуальная тема. В один прекрасный момент во время загрузки винды появилась заставка, где было указано ввести код активации, для получения которого нужно отправить SMS. Дальнейшую загрузку блокировала заставка. Запустил с загрузочного диска ERD Commander 2005. В system32 нашел подозрительный dll-файл, после удаления которого заставка исчезла, но повозился достаточно долго.
Sd3000, спасибо за интервью;)
Спасибо. Про трояны был мало проинформирован.
>> Литва
Об таким способе я описал в своей статье
www.sd-company.su/sd_base...cript_trojan.php
>>Ростислав:
Вы тоже наивны?
Тогда вам сюда www.sd-company.su/news/207
Интервью с Женей Касперским (глава Касперского), где он четко говорит о безопасности Linux. Не поленитесь и послушайте. Я думаю вы не приятно будете удивлены с каким мифом вы живете.
За одним почитайте там мою статью о главный за и против
Самая лучшая перспектива — Linux.
Очень неплохо. Правда, упущена из виду еще одна распространенная цель атаки троянов — FTP. Спец троян при открытой сессии ворует данные аккаунта и пыитается подгрузить на доступные папки в файлы индекс ифреймы. При успешном срабатывании вы этого даже не заметите, пока ваши пользователи не станут кричать что их антивирус брыкается.
Спасибо за материал.
Полезная информация 🙂
Спасибо 🙂 вы так любезны сударь, что упомянули меня 😉