Трояны Windows, что это такое и с чем их едят
Большинство троянов состоят из двух частей. Клиента и Сервера. Правда, есть
исключения. Трояны, способные совершить запланированные действия (обычна кража
информации), без какого-то либо вмешательства атакующего. Клиент серверные
трояны нуждаются в помощи атакуемого. То есть, вы неосознанно помогаете
злоумышленнику. Обычно, на компьютере жертве посылается серверная часть трояна,
которая открывает для атакуемого любой порт, и ждет поступления команды от своей
клиентской части. Для установления связи обычно используется протокол TCP/IP, но
известны трояны, которые используют и другие протоколы связи, такие как ICMP, и
даже UDP.
Для уменьшения вероятности своего обнаружения, трояны используют разные
возможности. Маскируются под другие процессы. Используют для связи с атакующим
уже порты, открытые другими приложениями. При обнаружении доступа в Интернет
серверная часть трояна сообщает клиентской части IP адрес пораженного компьютера
и порт для прослушивания.
Для подачи сообщения используются различные механизмы. Обычно это SMTP
протокол, но есть Трояны, использующие ICQ или IRC. Прямой отправки сообщения
атакующему не применяется, так как злоумышленник должен оставаться анонимным.
Большинство троянов для запуска серверной части на компьютере жертвы используют
различные методы, позволяющие им запускаться автоматически при каждом включении
компьютера. Список различных мест, позволяющих троянам автоматически запустить
свое серверное приложение на компьютере жертвы.
1. Папка Startup Любое помещенное в нее приложение будет выполнятся
автоматически как только произойдет полная загрузка Windows.
2. Файл win.ini Для запуска используется конструкции типа load=Trojan.exe или
run=Trojan.exe
3. Файл system.ini Конструкция shell=explorer.exe Trojan.exe выполнит
Trojan.exe каждый раз, как только запуститься explorer.exe.
4. Файл wininit.ini Этот файл используется в основном программами установки,
для выполнения некоторого кода при установке приложений. Обычно удаляется. Но
может использоваться троянами для автоматического запуска.
5. Файл winstart.bat Обычный bat файл, используемый windows для запуска
приложений. Настраивается пользователем. Трояны используют строку для запуска
@Trojan.exe, что бы скрыть свой запуск от глаз пользователя.
6. Файл autoexec.bat Кто помнит DOS, тот поймет )))
7. Файл config.sys Аналогично.
8. Explorer Startup Данный метод используется Windows 95, 98, ME для запуска
explorer. И если будет существовать файл C:\Explorer.exe, то он выполнится
вместо обычного C:\Windows\Explorer.exe.
9. Ключи автозапуска Windows, используемые для запуска различных приложений и
сервисов. Вот, к примеру, некоторые из них:
HKEY_CURRENT_USER \Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx 10.
Registry Shell Open HKEY_CLASSES_ROOT\exefile\shell\open\command
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command По умолчанию
значение данных ключей”%1″ %*. Туда можно поместить имя любого выполняемого
файла для запуска его при открытии бинарным файлом. К примеру, вот так:
trojan.exe “%1″ %*.
10. Метод запуска приложений при обнаружении ICQ соединения с Интернет Эти
ключи включают в себя все файлы, которые будут выполнены при обнаружении ICQ
соединения с Интернетом. Это удобно для запуска некоторых приложений. Но и
злоумышленники могут им воспользоваться.
HKEY_CURRENT_USER\SOFTWARE\Mirabilis\ICQ\Agent\Apps
HKEY_LOCAL_MACHINE\SOFTWARE\Mirabilis\ICQ\Agent\Apps
12. Компоненты ActiveX. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active
Setup\Installed Components Установленные в системе компоненты ActiveX.
Троян, маскируясь под компонент, добивается своего запуска при каждой
инициализации Windows. Все эти методы в принципе уже хорошо изучены и, успешно
применяются для борьбы с троянами. Но время не стоит. И вам тоже не стоит
расслабляться, поскольку в любой момент может появиться новый метод. Удачи вам в
борьбе с троянами
Автор: IUnknown
Источник: www.pcnews.biz
|