Трояны и шпионы. Методы борьбы
19 апреля 2005
Рубрика: Интернет и сети.
Автор: Сергей Мазанов.
pic

В последнее время в Интернете стало невозможно спокойно работать — опасаешься подцепить какого-нибудь трояна или просто вредоносную программу. Как правило, они навязывают пользователю свою поисковую страницу, домашнюю страницу или подгружают свои банеры. Есть также особо вредоносные программы, которые разрывают модемное соединение и под видом того, что надо автоматически восстановить соединение, начинают автодозвон по межгороду к зарубежному провайдеру. И если пользователь сразу не заметит, что что-то не так, то потом получит счет на очень кругленькую сумму от телефонной компании.

Заражение может произойти на любом сайте, но особенно на ХХХ-сайте или КРЭК-сайте. Как же с этим бороться? Во-первых, можно использовать альтернативный браузер, например Opera. Но это не защитит вас полностью, так как под нее также существуют свои шпионы. Ну, а если не хотите отказываться от эксплорера, то далее мы рассмотрим методы борьбы.

Первое: обязательно должен стоять какой-нибудь антивирус с последними обновлениями, он может отлавливать часть троянов.

Второе: существует бесплатная программа «SpyBot-Search & Destroy». Вот ее домашняя страница http://www.spybot.info/ Программа поддерживает много языков, в том числе и русский, поэтому разобраться с ней сможет каждый. Мы разберем здесь только некоторые основные моменты.

После запуска программы раскроем панель Search & Destroy. Нажмите кнопку «Начать проверку», и будет произведено сканирование памяти, реестра и некоторых папок на диске на наличие известных шпионов. После сканирования будет выведен список обнаруженных шпионов и предложено их удалить — смело удаляем. На этой же закладке нажмите кнопку «Immunize» — будет проведена иммунизация операционной системы от некоторых шпионов. Здесь же есть кнопочка «Обновление», нажмите ее, когда находитесь в режиме OnLine, программа подключится к своему серверу и выведет список доступных обновлений, после чего можно их отметить и загрузить. Эту процедуру желательно сделать в первую очередь, чтобы проверять и иммунизировать систему с уже обновленной базой данных.
На панели Settings можно настроить программу по своему усмотрению, но это только для очень опытных пользователей.

На панели Tools нас интересуют две кнопочки. Первая — автозагрузка, удалите те пункты в списке, которые считаете шпионами (для опытных пользователей). Вторая — Resident. На вкладке Resident отметьте два чекбокса Resident SDHelper и Resident TeaTimer. Теперь эти модули будут сидеть в памяти и следить за подозрительными процессами, а также постоянно отслеживать изменения в реестре. Как только какая-либо программа полезет в реестр, откроется окошко с запросом пользователя на подтверждение или запрет изменений в реестре. Нажмите Allow Change, если вы только что инсталлировали какую-либо программу или Deny Change, если вдруг это окошко открылось ни с того, ни с сего.

И, наконец, третий уровень защиты — это отслеживание изменений системы и удаление вредоносных программ вручную. Это необходимо, потому что первые два способа не находят всех шпионов из-за того, что база данных обновляется с задержкой и они не могут удалить некоторые программы.
Где же надо искать шпионов? В оперативной памяти, в папках Program Files, Windows, system32, в реестре и среди запущенных служб.
Для начала после свежей инсталляции системы надо записать или запомнить программы, которые загружаются автоматически или вручную в реестре в двух ветках:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run

pic

Или на соответствующей закладке программы «SpyBot-Search & Destroy».
Потом все лишнее надо отсюда удалять. Второе: надо составить список всех запущенных служб (WindowsXP). Для этого нажмите правой кнопкой мыши на значок «Мой компьютер» на рабочем столе, выберите пункт «Управление» и в открывшемся окне управления компьютером откройте «Службы». Иногда троян прописывается в службы, поэтому их список надо периодически проверять. Особое подозрение должна вызывать служба, в описании которой вместо букв каракули или ничего нет. Чтобы удалить службу, надо сначала открыть ее свойства, остановить, записать название исполняемого файла, открыть редактор реестра и через поиск найти эту программу. После чего удаляется ветка реестра с длинным цифробуквенным обозначением, в которой мы нашли вредоносную программу.

pic

Для проверки оперативной памяти можно воспользоваться диспетчером задач. На вкладке «Процессы» мы видим все процессы в оперативной памяти. Их список также надо составить после чистой инсталляции системы, до первого подключения к Интернету.

Однако Диспетчер не показывает, из какого места запускались программа и авторские права. Под Windows 98 вообще нельзя ничего посмотреть. Для того, чтобы все посмотреть и все знать, надо установить программу «TaskInfo» с сайта http://www.iarsn.com/

pic

С ее помощью можно посмотреть место, откуда запущен процесс и его описание.
Находясь в Интернете, и особенно когда начали открываться одно за другим окна SpyBot-Search & Destroy на подтверждение изменений в реестре, надо проверить оперативную память и уничтожить вредоносную программу. Иногда шпионы сидят в памяти очень хитро, в виде двух отдельных программ. Когда закрываешь одну из них, то оставшаяся программа тут же запускает ее вновь. В таком случае надо переименовать папку, из которой они запускаются (если они сидят в Program Files в отдельной директории), а затем перезагрузить компьютер и удалить эту папку окончательно, удалить все ссылки на эти программы в реестре, если они успели туда прописаться. Еще одно место, куда чаще всего загружаются трояны, это папка system32. Для того чтобы ее проверить, надо открыть ее в проводнике или Windows Commander и нажать на заголовке «Изменен», чтобы файлы отсортировались по дате изменения. Затем все файлы с расширением .ехе, установленные за последнее время, надо перенести в отдельную папку, и если затем не будет проблем с запуском каких-либо программ, удалить их окончательно. Подозрительные файлы, как правило, имеют название из простого набора букв и цифр или похожи на системные файлы с одной измененной буквой, и в свойстве файла не указан производитель.
Ну, и самым простым и надежным методом удаления троянов является еженедельная переустановка системы с имиджа, но это не всегда удобно.

Orphus system
Подписывайтесь на канал infoCOM.UZ в Telegram, чтобы первыми узнавать об ИКТ новостях Узбекистана
В Telegram
В WhatsApp
В Одноклассники
ВКонтакте