Защити свой компьютер на 100% от вирусов и хакеров
Шрифт:
Вторым файлом является boconfig.exe, он же bo2kcfg.exe, назначение которого – первичная настройка сервера. Программа конфигурации позволяет производить самые разнообразные настройки, вплоть до склейки сервера с каким-либо другим исполняемым файлом. Зачем это нужно, думаю, объяснять не стоит.
И наконец, посредством чего осуществляется удаленное управление серверной частью – клиентская часть – bo2kgui.exe.
При запуске серверной части происходит следующее: сервер BO настраивает под себя нужные порты, в результате чего открытым оказывается порт 31337.
ПРИМЕЧАНИЕ
Кстати,
Следует учесть, что при заражении BO порт 31337 может молчать, ведь никто не мешает настроить работу сервер/клиент на другой порт. При заражении в системном каталоге Windows появляется файл windll.dll. Далее троянский конь определяет адреса нескольких Windows API, ищет свою копию в памяти и выгружает ее, если обнаружена старая версия утилиты; попросту говоря, троянский конь сам себя обновляет. После вышеперечисленного BO, как и любой уважающий себя троянский конь, копируется в системный каталог Windows , прописывая себя на автозапуск в следующем ключе реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
После того как троянский конь закрепляется в системе, он начинает слушать 31337 UDP-порт, оставаясь в памяти Windows как скрытое приложение (то есть без активного окна и ссылки в списке приложений). После того как сервер получил команды от клиента, на машине жертвы возможно развитие следующего сценария:
сервер высылает своему истинному хозяину различную информацию о системе: тип процессора, размер памяти, версия системы, установленные устройства и т. п.;
сервер открывает для общего доступа диски, делая их видимыми из сети.
Таким образом, удаленный пользователь получает полный контроль над зараженной системой: операции удаления, копирования, вплоть до форматирования, становятся настолько же реальными, как если бы вы работали за своим собственным ПК. Помимо перечисленного, удаленный пользователь имеет возможность: отключать текущего пользователя от сети, подвешивать систему, убивать процессы, получать и отправлять кэшированные пароли, выводить текстовые сообщения, проигрывать звуковые файлы и т. д.
Вышеперечисленные возможности отнюдь не являются "верхом" того, на что способен BO: чтобы расширить список функций, достаточно скачать пару новых плагинов (plug-in) – и все!
Вернемся к нашей защите.
Если ваш антивирус упорно молчит, а возможность присутствия троянского коня высока, то можно попробовать обнаружить шпиона, воспользовавшись специальными утилитами вроде Trojan Remover либо другими аналогичными продуктами. Как показывает практика, этот способ доступен даже самому неопытному пользователю ПК.
Advanced Spyware Remover – утилита, предназначенная для защиты персонального компьютера от вредоносных программ и шпионских модулей и позволяющая избавиться от рекламных программ,
SpyDefense – программа для обнаружения шпионских модулей; позволяет найти и обезвредить достаточно приличное количество компьютерных шпионов.
Arovax AntiSpyware – утилита для удаления программ-шпионов. На сегодняшний день в антишпионской базе утилиты содержится свыше 33 тыс. сегментов вредоносного кода.
Microsoft AntiSpyware – система разработки Microsoft для борьбы с вредоносными программами и шпионскими модулями. Как утверждает разработчик, утилита держит под контролем более 50 так называемых spyware-путей, по которым в компьютер могут попасть шпионские модули.
Перечисленные утилиты можно скачать по адресу: http://www.izone.ru/security/spy/.
Говоря о добротных программных средствах противодействия вредоносному ПО, напоследок стоит все же упомянуть условно бесплатную программу Anti-Spy Info, которую можно загрузить с одноименного сайта . При запуске программа отображает список активных процессов и автоматически загружаемых объектов (тип запуска того или иного объекта приведен в графе Запуск). Все, что нам нужно делать, – следить за списком автозагрузки на предмет появления в нем новых объектов. Следует отметить тот факт, что Anti-Spy Info обладает достаточно мощным эвристическим механизмом, анализирующим активные процессы и автоматически загружаемые объекты и определяющим вероятность их принадлежности к вирусам.
Если все усилия по поимке "зло-кода" так ничего и не дали, а признаки троянизации налицо (слишком большой трафик, непонятные процессы в оперативной памяти, зависания системы, лишние открытые порты) – то пришло, как говорят, время для плана Б. Необходимо просканировать ваш ПК извне на наличие открытых портов. Зачем? Все просто. Как уже было сказано выше, при своей работе троянский конь, как правило, открывает "левый", нестандартный для нормального состояния системы порт.
ВНИМАНИЕ
Имейте в виду – ничто не мешает троянскому коню использовать порт доверенного приложения!
Все, что вам понадобится для такой операции, – хороший сканер портов. Данная процедура высокоэффективна, и с ее помощью выявляются даже самые скрытные и хитрые троянские кони. Из сканеров можно посоветовать X-Spider, который является лучшим сканером для подобных дел. Если у вас открыты нестандартные порты, то стоит задуматься и прикрыть это дело в настройках брандмауэра (подробно о выборе брандмауэра смотрите в гл. 6). Ниже приведен далеко не полный список подозрительных портов:
23 – Tiny Telnet Server (= TTS);