Борьба с вредоновным ПО продолжается

Борьба с вредоносным ПО продолжается

Олег Бойцев,
эксперт

Сетевые сканеры безопасности

Наверняка многие из читателей не понаслышке знают, что степень уязвимости системы прямо пропорциональна количеству открытых портов. Действительно, любой открытый порт -это потенциальная брешь, даже если на момент обсуждения для указанного порта отсутствует рабочий эк-сплоит. Исходя из вышесказанного, думаю, не имеет смысла заострять внимание читателя на исключительной важности аудита открытых портов. Ясно, что необходимо сразу же просканировать систему и сделать соответствующие выводы. В качестве сканера портов можно посоветовать X-Spider - продукт отечественного производителя, который достойно зарекомендовал себя как надежный инструмент для поиска брешей. Просканировав систему (естественно, с отключенным брандмауэром), мы получим отчет, из которого можно узнать не только об открытых портах, но и о найденных уязви-мостях и способах их нейтрализации (рис. 1).

Являясь сетевым сканером безопасности, X-Spider одинаково хорошо находит как уязвимости служб и сервисов, так и "непрошеных гостей", наличие которых можно засечь по "нестандартным" открытым портам. Так, если на вашем ПК открыт порт 54320, то это верный признак того, что в системе "сидит" Back Orifice 2000…

Ниже приведен список портов, открываемых троянскими программами (список далеко не полный):

23 - Tiny Telnet Server (=TTS);
25 - Ajan, Antigen, Email Password Sender, Haebi Coce-da, Happy 99;
31 - Master Paradise;
80 - Executor;
99 - Hidden port V2.0;
121 - BO jammerkillahV;
456 - HackersParadise;
555 - Phase Zero;
555 - Stealth Spy;
666 - Attack FTP;
1001 - Silencer;
1001 - WebEx;
1010 - Doly Trojan 1.30 (Subm.Cronco);
1011 - Doly Trojan 1.1+1.2;
1015 - Doly Trojan 1.5 (Subm.Cronco);
1024 - Psyber Streaming Server;
1033 - Netspy;
1080 - Wingate Socks Proxy;
1170 - Streaming Audio Trojan;
1243 - SubSeven;
1234 - Ultors Trojan;
1245 - Vodoo;
1269 - Maverick's Matrix;
12701 - Eclipse2000;
1492 - FTP99CMP;
1509 - PsyberStreamingServer Nikhil G.;
1600 - Shiva Burka;
1807 - SpySender;
1999 Backdoor, Transscout;
2000 - Transscout;
2001 - TrojanCow;
2115 - Bugs;
2140 - The Invasor;
3024 - WinCrash;
3150 - The Invasor;
4590 - IcqTrojan;
5031 - NetMetropolitan 1.0 & 1.04;
5400 - Blade Runner; 5550 - Xtcp; 6000 - The tHing 1.6;
5550 – Xtcp;
6000 – The tHing 1.6;
6669 - Vampire 1.0;
6670 - Deep Throat;
6883 - DeltaSource (Dark-Star);
6912 - Shitheep; 6939 - Indoctrination;
7000 - Remote Grab;
7306 - NetMonitor;
7789 - iCkiller;
9400 - InCommand 1.0;
9872 - PortalOfDoom;
9875 - Portal of Doom;
9989 - InIkiller;
10607 - Coma Danny;
11000 - SennaSpyTrojans;
11223 – ProgenicTrojan;
12076 - Gjamer;
12223 - HackЂ99 KeyLogge;
12346 - NetBus 1.x (avoiding Netbuster);
12362 - Whack-a-mole;
12701 - Eclipse 2000;
16969 - Priotrity;
20000 - Millenium;
20034 - NetBus Pro;
20203 - Logged!;
20203 - Chupacabra;
20331 - Bla;
21554 - GirlFriend;
22222 - Prosiak 0.47;
23456 - EvilFtp;
23456 - Ugly Ftp;
26274 - Delta;
27374 - Sub-7 2.1;
29891 - The Unexplained;
30029 - AOLTrojan 1.1;
30100 - NetSphere;
30133 - Trojan Spirit 2001a;
30999 - Kuang;
3129 - Masters Paradise;
31787 - Hack'a'tack;
32418 - Acid Battery;
33911 - Trojan Spirit 2001 a;
34324 - Tiny Telnet Server;
34324 - BigGluck TN;
40423 - Master Paradise;
50766 - Fore;
53001 - RemoteWindowsShut-down;
54320 - Back Orifice 2000 (defaultt port);
54321 - Schoolbus 1.6+2.0;
61466 - Telecommando;
65000 - Devil 1.03.

Кстати, список открытых портов можно узнать и не прибегая к помощи специализированного ПО. Для этого в консоли прописываем команду "netstat" с параметром "-an" (рис. 2).

Поиск и уничтожение Spyware "вручную". Практическое руководство

1. Не секрет, что для своего запуска Spyware (собственно, как и другие про граммы, запускающиеся при старте системы) прописывают себя в реестре. Чаще всего записи "непрошеных гостей" можно найти здесь:
   HKEY_LOCAL_MACHI-NE\SOFTWARE\Microsoft\Win-dows\CurrentVersion\Run
   Н KEY_CU R E NT_US-ER\Software\Microsoft\Win-dows\CurrentVersion\Run
   (Это самые типичные, но далеко не все ветви, куда может прописаться троян.)
   Вредоносные модули могут стартовать и из папки "Автозагрузка", которая располагается по адресу x:\Documents and Settings\All Users\Главное ме-ню\Программы\Автозагрузка. Внимание читателей не случайно акцентируется на адресе данной папки. Уместно привести пример, когда троян стартует из указанной папки, предварительно поменяв атрибуты последней на скрытый и системный. Не трудно догадаться зачем.


2. Как правило, активно работающее вредоносное ПО оставляет после себя след, а именно процесс, который можно найти в диспетчере задач. Для того чтобы распознать "чужого", очень важно знать, какие из процессов "свои". Обычными процессами можно считать: Explorer, Lsass, Services, System, Winlo-gon, Alg, Vsmon, Ctfmon, Svchost, Csrss, Smss. Естественно, помимо перечисленных, в диспетчере задач можно обнаружить и другие процессы, принадлежащие службам Windows (например tlntsvr -сервер telnet, spoolsv - диспетчер очереди печати, MSTask - планировщик заданий) и не имеющие ничего общего с вредоносным ПО; как и процессы, принадлежащие запущенным и резидентно выполняющимся приложениям, например avp, принадлежащий антивирусу Каспер-ского, или zonealarm, принадлежащий брандмауэру.
   А вот появление в диспетчере процессов типа Explore, Sys, Svshost, Winlogin, Systrey, Winsys и т.д. должно насторожить - такие процессы, скорее всего, принадлежат вредоносному ПО. В качестве "горячего" примера можно привести вирус fuckToy.exe, работа которого сопровождается появлением процесса mslogin в диспетчере задач.


3. Контролировать появление новых файлов (чаще всего по адресу %SystemRo-ot%\system32), которые могут оказаться потенциальным Spyware, легко с помощью уже упоминавшегося продукта отечественного производителя - программы-ревизора Adinf32.

Таким образом, чтобы "убить зло-объект" собственными руками, необходимо:

удалить запись в реестре, принадлежащем Spyware;

убить "зло-процесс" в диспетчере задач;

удалить "тело".

Вместо P.S.: Безопасность есть предотвращение зла.