Показано с 1 по 1 из 1.

Трояны Windows, что это такое и с чем их едят

  1. #1
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3162

    Трояны Windows, что это такое и с чем их едят

    Большинство троянов состоят из двух частей. Клиента и Сервера. Правда, есть исключения. Трояны, способные совершить запланированные действия (обычна кража информации), без какого-то либо вмешательства атакующего. Клиент серверные трояны нуждаются в помощи атакуемого. То есть, вы неосознанно помогаете злоумышленнику. Обычно, на компьютере жертве посылается серверная часть трояна, которая открывает для атакуемого любой порт, и ждет поступления команды от своей клиентской части. Для установления связи обычно используется протокол TCP/IP, но известны трояны, которые используют и другие протоколы связи, такие как ICMP, и даже UDP.

    Для уменьшения вероятности своего обнаружения, трояны используют разные возможности. Маскируются под другие процессы. Используют для связи с атакующим уже порты, открытые другими приложениями. При обнаружении доступа в Интернет серверная часть трояна сообщает клиентской части IP адрес пораженного компьютера и порт для прослушивания.

    Для подачи сообщения используются различные механизмы. Обычно это SMTP протокол, но есть Трояны, использующие ICQ или IRC. Прямой отправки сообщения атакующему не применяется, так как злоумышленник должен оставаться анонимным. Большинство троянов для запуска серверной части на компьютере жертвы используют различные методы, позволяющие им запускаться автоматически при каждом включении компьютера. Список различных мест, позволяющих троянам автоматически запустить свое серверное приложение на компьютере жертвы.

    1. Папка Startup Любое помещенное в нее приложение будет выполнятся автоматически как только произойдет полная загрузка Windows.

    2. Файл win.ini Для запуска используется конструкции типа load=Trojan.exe или run=Trojan.exe

    3. Файл system.ini Конструкция shell=explorer.exe Trojan.exe выполнит Trojan.exe каждый раз, как только запуститься explorer.exe.

    4. Файл wininit.ini Этот файл используется в основном программами установки, для выполнения некоторого кода при установке приложений. Обычно удаляется. Но может использоваться троянами для автоматического запуска.

    5. Файл winstart.bat Обычный bat файл, используемый windows для запуска приложений. Настраивается пользователем. Трояны используют строку для запуска @Trojan.exe, что бы скрыть свой запуск от глаз пользователя.

    6. Файл autoexec.bat Кто помнит DOS, тот поймет )))

    7. Файл config.sys Аналогично.

    8. Explorer Startup Данный метод используется Windows 95, 98, ME для запуска explorer. И если будет существовать файл C:\Explorer.exe, то он выполнится вместо обычного C:\Windows\Explorer.exe.

    9. Ключи автозапуска Windows, используемые для запуска различных приложений и сервисов. Вот, к примеру, некоторые из них:

    HKEY_CURRENT_USER \Software\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\RunOnce HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunOnce HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunOnceEx 10. Registry Shell Open HKEY_CLASSES_ROOT\exefile\shell\open\command HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\ open\command По умолчанию значение данных ключей”%1″ %*. Туда можно поместить имя любого выполняемого файла для запуска его при открытии бинарным файлом. К примеру, вот так: trojan.exe “%1″ %*.

    10. Метод запуска приложений при обнаружении ICQ соединения с Интернет Эти ключи включают в себя все файлы, которые будут выполнены при обнаружении ICQ соединения с Интернетом. Это удобно для запуска некоторых приложений. Но и злоумышленники могут им воспользоваться. HKEY_CURRENT_USER\SOFTWARE\Mirabilis\ICQ\Agent\App s HKEY_LOCAL_MACHINE\SOFTWARE\Mirabilis\ICQ\Agent\Ap ps

    12. Компоненты ActiveX. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components Установленные в системе компоненты ActiveX.

    Троян, маскируясь под компонент, добивается своего запуска при каждой инициализации Windows. Все эти методы в принципе уже хорошо изучены и, успешно применяются для борьбы с троянами. Но время не стоит. И вам тоже не стоит расслабляться, поскольку в любой момент может появиться новый метод. Удачи вам в борьбе с троянами

    Автор: IUnknown
    Источник: www.pcnews.biz

  2. Реклама
     

Похожие темы

  1. Ответов: 4
    Последнее сообщение: 31.10.2010, 11:28
  2. Помогите что это такое C:\WINDOWS\csrss.exe
    От shilkinm в разделе Помогите!
    Ответов: 5
    Последнее сообщение: 23.04.2008, 16:42
  3. черви едят трафик
    От ДДмитрий в разделе Помогите!
    Ответов: 48
    Последнее сообщение: 17.01.2008, 09:01
  4. А что это за штуки и с чем их едят?
    От ayf в разделе Вредоносные программы
    Ответов: 3
    Последнее сообщение: 25.11.2007, 19:15
  5. ActiveX и с чем его едят?
    От Kirill в разделе Общая сетевая безопасность
    Ответов: 3
    Последнее сообщение: 27.03.2005, 22:26

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00315 seconds with 18 queries