Большой архив статей, книг, документации по программированию, вебдизайну, компьютерной графике, сетям, операционным системам и многому другому
 
<Добавить в Избранное>    <Сделать стартовой>    <Реклама на сайте>    <Контакты>
  Главная Документация Программы Обои   Экспорт RSS E-Books
 
 

   Безопасность -> Вирусы -> Трояны Windows, что это такое и с чем их едят


Трояны Windows, что это такое и с чем их едят

Большинство троянов состоят из двух частей. Клиента и Сервера. Правда, есть исключения. Трояны, способные совершить запланированные действия (обычна кража информации), без какого-то либо вмешательства атакующего. Клиент серверные трояны нуждаются в помощи атакуемого. То есть, вы неосознанно помогаете злоумышленнику. Обычно, на компьютере жертве посылается серверная часть трояна, которая открывает для атакуемого любой порт, и ждет поступления команды от своей клиентской части. Для установления связи обычно используется протокол TCP/IP, но известны трояны, которые используют и другие протоколы связи, такие как ICMP, и даже UDP.

Для уменьшения вероятности своего обнаружения, трояны используют разные возможности. Маскируются под другие процессы. Используют для связи с атакующим уже порты, открытые другими приложениями. При обнаружении доступа в Интернет серверная часть трояна сообщает клиентской части IP адрес пораженного компьютера и порт для прослушивания.

Для подачи сообщения используются различные механизмы. Обычно это SMTP протокол, но есть Трояны, использующие ICQ или IRC. Прямой отправки сообщения атакующему не применяется, так как злоумышленник должен оставаться анонимным. Большинство троянов для запуска серверной части на компьютере жертвы используют различные методы, позволяющие им запускаться автоматически при каждом включении компьютера. Список различных мест, позволяющих троянам автоматически запустить свое серверное приложение на компьютере жертвы.

1. Папка Startup Любое помещенное в нее приложение будет выполнятся автоматически как только произойдет полная загрузка Windows.

2. Файл win.ini Для запуска используется конструкции типа load=Trojan.exe или run=Trojan.exe

3. Файл system.ini Конструкция shell=explorer.exe Trojan.exe выполнит Trojan.exe каждый раз, как только запуститься explorer.exe.

4. Файл wininit.ini Этот файл используется в основном программами установки, для выполнения некоторого кода при установке приложений. Обычно удаляется. Но может использоваться троянами для автоматического запуска.

5. Файл winstart.bat Обычный bat файл, используемый windows для запуска приложений. Настраивается пользователем. Трояны используют строку для запуска @Trojan.exe, что бы скрыть свой запуск от глаз пользователя.

6. Файл autoexec.bat Кто помнит DOS, тот поймет )))

7. Файл config.sys Аналогично.

8. Explorer Startup Данный метод используется Windows 95, 98, ME для запуска explorer. И если будет существовать файл C:\Explorer.exe, то он выполнится вместо обычного C:\Windows\Explorer.exe.

9. Ключи автозапуска Windows, используемые для запуска различных приложений и сервисов. Вот, к примеру, некоторые из них:

HKEY_CURRENT_USER \Software\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx 10. Registry Shell Open HKEY_CLASSES_ROOT\exefile\shell\open\command HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command По умолчанию значение данных ключей”%1″ %*. Туда можно поместить имя любого выполняемого файла для запуска его при открытии бинарным файлом. К примеру, вот так: trojan.exe “%1″ %*.

10. Метод запуска приложений при обнаружении ICQ соединения с Интернет Эти ключи включают в себя все файлы, которые будут выполнены при обнаружении ICQ соединения с Интернетом. Это удобно для запуска некоторых приложений. Но и злоумышленники могут им воспользоваться. HKEY_CURRENT_USER\SOFTWARE\Mirabilis\ICQ\Agent\Apps HKEY_LOCAL_MACHINE\SOFTWARE\Mirabilis\ICQ\Agent\Apps

12. Компоненты ActiveX. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components Установленные в системе компоненты ActiveX.

Троян, маскируясь под компонент, добивается своего запуска при каждой инициализации Windows. Все эти методы в принципе уже хорошо изучены и, успешно применяются для борьбы с троянами. Но время не стоит. И вам тоже не стоит расслабляться, поскольку в любой момент может появиться новый метод. Удачи вам в борьбе с троянами

Автор: IUnknown
Источник: www.pcnews.biz

Ссылки по теме
Продам вирус. Сколько стоит?!
Троянский беспредел
История двух вирусов
Вирус - основные понятия
Пишем своего трояна
 

Компьютерная документация от А до Я - Главная

 

 
Интересное в сети
 
10 новых программ
CodeLobster PHP Edition 3.7.2
WinToFlash 0.7.0008
Free Video to Flash Converter 4.7.24
Total Commander v7.55
aTunes 2.0.1
Process Explorer v12.04
Backup42 v3.0
Predator 2.0.1
FastStone Image Viewer 4.1
Process Lasso 3.70.4
FastStone Image Viewer 4.0
Xion Audio Player 1.0.125
Notepad GNU v.2.2.8.7.7
K-Lite Codec Pack 5.3.0 Full


Наши сервисы
Рассылка новостей. Подпишитесь на рассылку сейчас и вы всегда будете в курсе последних событий в мире информационных технологий.
Новостные информеры. Поставьте наши информеры к себе и у вас на сайте появится дополнительный постоянно обновляемый раздел.
Добавление статей. Если вы являетесь автором статьи или обзора на тему ИТ присылайте материал нам, мы с удовольствием опубликуем его у себя на сайте.
Реклама на сайте. Размещая рекламу у нас, вы получите новых посетителей, которые могут стать вашими клиентами.
 
Это интересно
 

Copyright © CompDoc.Ru
При цитировании и перепечатке ссылка на www.compdoc.ru обязательна. Карта сайта.