Вирусы, черви и трояны - 10 Сентября 2010 - WIKI сайт про всё, что можно подумать
E-mail:
Пароль:

Wiki сайт: Всё про всё

Меню сайта
Главная » 2010 » Сентябрь » 10 » Вирусы, черви и трояны
11:47 Am
Вирусы, черви и трояны

                                            

В этой статье будут описаны следующие трояны, вирусы и черви:

Hybris, MTX, Wscript.KakWorm, NetMonitor,GirlFriend, Acid Shiver, Deep Throat 1.0, Deep Throat 2.0

Ну троянов очень много так не будем их всех описывать, список всех известных троянов в мире можно посмотреть здесь

Hybris

Довольно сложный и неплохо написанный троян. Обычно попадает в системы стандартным способом – приходит прикрепленным к письму со стандартным содержанием на тему порнокартинок. После запуска троян заражает файл WSOCK32.DLL, который собственно и отвечает за работу в сети (Интернете). Троян записывает себя в конец файла и заменяет точку входа DLL-библиотеки на свой код и при этом шифрует "настоящую" стартовую процедуру файла.

Червь перехватывает функции "connect", "recv", "send", сканирует принимаемые и отправляемые данные, ищет в них адреса электронной почты и через некоторое время отправляет свои копии по этим адресам.

Вирус имеет возможность подключения дополнительных программ – плагинов, которые он самостоятельно скачивает из Интернета со страницы http://pleiku.vietmedia.com/bye/, что делает возможности создателя трояна безграничными. Работоспособен на всех Win32-платформах.

Защита: распознается последней версией AVP.

MTX

Довольно сложный по структуре троян. Состоит из трех частей – вирус, червь, троянец-backdoor. Вирус отвечает за заражение -exe файлов по технологии "Entry Point Obscuring". Вирус записывается не в точку входа заражаемого файла, а в любое произвольное место. Затем ищется подходящая процедура в теле программы и переписывается так, что вирус, понаделав пакостей, возвращает управление программе. Таким образом вирус фактически начинает работать не при запуске зараженной программы, а при выполнении определенной процедуры. Сам код вируса содержит в себе и червя, и троянца в запакованном виде. Другими словами, зараженный файл перенесет на другой компьютер полный набор радостей. 

Собственно червь занимается "рекламой” и распространением вируса-трояна. Он также как и предыдущий троян заражает WSOCK32.DLL и распространяется, используя перехваченные почтовые адреса. В то же время он блокирует посылку любых писем на адреса антивирусных компаний и посещение их Web-сайтов. Ну, а троян-backdoor занимается тем, что скачивает программы с определенного сервера, что позволяет загрузить на зараженный компьютер все что угодно: закачать троян или какой-либо злобный вирус. Работает на Win32-платформе.

Защита: распознается последней версией AVP.

WScript.KakWorm

Этот червь написан на языке Java Script, для распространения использует MS Outlook Express.

Червь приходит на компьютер в виде письма в HTML-формате. В письме содержится троян, в виде программы, написанной на языке JavaScript. При открытии или предварительном просмотре сообщения скрипт-программа не видна, т.к. скрипты никогда не отображаются в HTML-документах (сообщениях, страницах и т.п.), но получает управление - и червь активизируется. Червь создает в системном каталоге Windows файл, имя которого зависит от настроек системы. Расширение файла – HTA. Также создается файл "KAK.HTM” – html-копия трояна.

Для справки: HTA-файл (HTML Application) - тип файлов, появившийся в MS Internet Explorer 5.0. HTA-файлы содержат обычный HTML-текст и скрипт-программы, но при запуске не вызывают оболочку Internet Explorer, а выполняются как отдельные приложения. Это дает возможность разрабатывать приложения (и вирусы), используя скрипт-программы.

Скрипт червя меняет разделы реестра, относящиеся к MS Outlook Express, - меняется ключ "подпись по умолчанию". Червь записывает туда ссылку на файл "KAK.HTM".

В дальнейшем все письма, которые имеют формат HTML (это стандартный формат MS Outlook Express), будут автоматически дополняться подписью, содержащей код червя. Outlook Express каждый раз при создании нового сообщения автоматически добавляет в него содержимое файла "KAK.HTM", т.е. скрипт-программу червя, а значит, все отправляемые сообщения оказываются зараженными. Письма, имеющие формат RTF или "Plain text", не заражаются (и не могут быть заражены). Одновременно червь заражает систему так, чтобы при каждой загрузке он активизировался - на тот случай, если пользователь заменит подпись по умолчанию.

Защита.
Сложности с этим трояном заключаются в том, что сканирование дисков на наличие вирусов бесполезно, так как при повторном прочтении письма система вновь заражается. Выход только один – установка антивирусного монитора. Однако это спасает только в момент записи трояна на диск, но не при чтении письма (и, соответственно, выполнении текста трояна).

Самый лучший выход – установка монитора скриптов, например "AVP Script Checker”.

И еще. Для записи своих файлов на диск червь использует бред в защите Internet Explorer 5.0. Компания Microsoft выпустила дополнение, которое устраняет этот бред: http://support.microsoft.com/support/ kb/articles/Q240/3/08.ASP.

NetMonitor

Этот троян состоит из двух частей:

NetMonitor.exe - клиент 
NetSpy.exe - сервер

Сервер стандартно запускается на компьютере жертвы. Вообщемс это обычный backdoor.

GirlFriend 

GirlFriend(подруга) является программой, которая позволяет Вам получать информацию о приложениях работающих на удаленном компьютере. Это означает, что если компьютер подключенный к сети заражается ПОДРУГОЙ - Вы можете подключиться к этому PC и украсть с него такие вещи как: текст, который "зараженный" юзер вводит в любое окно, содержащее области пароля (телефон, login и т.д.); пароли, которые "инфицированный" пользователь вводит в поле для пароля. 
Также Вы можете: Посылать системные сообщения ("system" messages) на удаленный компьютер; Проигрывать звуковые файлы; Показывать рисунки (в формате BMP); Запускать ехе файлы; Посылать зараженного пользователя на любую страничку; Изменить порт сервера; Спрятать GF Client с помощью BOSSKEY=F12; Сканировать подсеть на предмет зараженных компьютеров; Сохранять список окон с паролями (включая пароли); Работать с файлами и подкаталогами (включая CD-Rom) используя GF файл менеджер. 

Acid Shiver

Acid Shiver - троян, который каждый раз использует разный порт, для управления серверной частью, используется телнет.
Троян состоит из двух файлов:
ACiD Setup.exe - конфигуратор трояна,
ACiD Shivers.exe - сам троян.
Конфигуратор: Используется для установки почтового ящика куда посылать информацию о запущенном сервере.
Клиент: Клиентом для данного трояна является телнет (telnet).


Deep Throat 1.0 

Обладает малым количеством функций по сравнению с аналогичными программами.

УСТАНОВКА СЕРВЕРА: Все как всегда, но есть одна маленькая особенность: он не копируется в директорию Windows, а остается там, откуда его запустили, этот путь он и прописывает в реестре в разделе HKEY_LOCAL_MACHINE
\SOFTWARE\Microsoft\Windows\CurrentVersion\Run в параметре SystemDLL32.

Deep Throat 2.0 

Сервер - должен быть запущен на компьютере жертвы. После запуска сервер создает файл systray.exe в каталоге Windows и в реестре в разделе HKEY_LOCAL_MACHINE 
Software\Microsoft\Windows\CurrentVersion\Run у ключа Systemtray значение меняется с SystTray.Exe на [WinPath]\systray.exe, где WinPath путь к Вашему каталогу Windows (например c:\Windows\)



 

Категория: Советы Безопасности при Использовании компьютера | Просмотров: 31 | Добавил: torayevtm | Рейтинг: 0.0/0
Всего комментариев: 0
Имя *:
Email:
Код *: