Но при всем разнообразии их способов проникновения, есть ряд общих мер по предотвращению заражения, инструментов для лечения и рекомендаций по ручному удалению (доочистке) инфицированного компьютера. Об этом читайте в следующей статье.

Beast (англ. зверь, скот, грубиян) — троянский конь с функцией удаленного администрирования, работающий под всеми ОС семейства Windows и предоставляющий полный контроль над ними. Был написан в 2002 году вирмэйкером Tataye и стал одним из первых бэкдоров, использовавших механизм обратного соединения в классической системе клиент-сервер. В ней клиентом является собственно управляющая часть, а сервером — инфицирующий компонент. Его уникальность, в частности, в том, что атакующему не требовалось выяснять IP своей жертвы. Серверная часть сама устанавливала связь с определенным DNS, который сообщал трояну текущий IP-адрес клиентской «панели управления». Идеальное средство для управления ПК, использующего дайлап-соединение (и, соответственно, меняющего IP как перчатки).

Отдельно следует упомянуть о Win32.Peerat. В отличие от классических троянцев-загрузчиков, он не просто скачивает вредоносную программу из Интернета, но и пытается выложить ее в файлообменную сеть, если к таковой подключена инфицированная машина.

Авторы: Андрей Васильков, Бойцев, Олег

Если бы участие человека в войнах можно было бы исключить, идеалы хиппи были бы воплощены в жизнь еще много столетий назад. Однако, несмотря на все ухищрения технического прогресса, победу в войне за свою независимость может одержать только сам человек. Разумеется, не без технических средств.

Одержимому паранойей/здравым смыслом пользователю компьютера давно предлагается масса всякого антивирусного вооружения — от тяжелого, сравнимого по размеру с операционной системой, до микроскопического, предназначенного для прицельного отстрела «вторженцев». Имеющееся на военных складах антивирусное ПО можно условно разбить на три класса:

1. Антивирусные (AV) сканеры в последние годы существенно расширили спектр действия, включив в него и троянов. Они являются хорошим подспорьем к основным инструментам борьбы с троянскими конями. С помощью антивирусов можно выявлять эти зловредные программы по совпадению проверяемых файлов с сигнатурами AV-баз. Прошу обратить внимание: большинство троянов, существующих в виде отдельных файлов, не определяются средствами эвристики, так как их действия не отличаются от таковых у легитимных программ: чтения с диска и записи на него, обращения к реестру, передачи данных по сети… такое поведение типично для любого софта и ни в коей мере не является специфичным для троянов. Поэтому если в базе антивируса нет подходящей сигнатуры, он будет рапортовать о чистоте системы, даже наткнувшись на авгиевы конюшни.

2. У антивирусных мониторов, осуществляющих постоянную проверку исполняемого в данный момент кода, шансов отловить троян и того меньше. Они не могут (да и не должны) вести проверку столь же тщательно, как AV-сканеры. Кроме того, антивирусный монитор (если он запускается как приложение, а не служба) трояну легко обмануть, попросту скрыв свое присутствие.

3. Специализированное ПО для поиска троянов действует схожим с AV-сканерами образом; однако оно также проверяет записи реестра (в первую очередь — все секции автозапуска), файлы настроек (boot.ini, win.ini etc.) и может быть способно определить открытые/прослушиваемые порты, что резко повышает эффективность проверки.

Мудрый пользователь имеет в своем арсенале все три вида, но вот запускать их одновременно не стоит ни в коем случае (см. врезку «много хорошо — тоже плохо»).

Полное удаление найденных троянов с помощью любой из этих утилит не всегда возможно. Логика работы WinXP такова, что не допускает удаления файлов, если к ним обращается какой-то активный процесс. А завершить процесс трояна (особенно уровня ядра ОС) в автоматическом режиме не всегда просто… да и опасно в плане сохранности данных.

Здесь-то и выходят на сцену узкие специалисты, специально обученные удалять наиболее глубоко засевших коней разными (в том числе недокументированными) способами. В первую очередь, это утилита с богатейшей функциональностью производства компании Ewido; она отлавливает не только троянов, но и другое неприятное ПО вроде ad-ware и т. п. Бесплатную тридцатидневную версию можно найти по адресу www.ewido.net/en/product. Есть еще парочка неплохих утилит Trojan Hunter/Spy Hunter, лежащих на www.misec.net/trojanhunte.

Очень мощная утилита компании EMSI — a-squared. Бесплатная версия просканирует и укажет на наличие вредоносного ПО. К сожалению, полная функциональность — только за деньги.