Говоря о добротных программных средствах противодействия вредоносному ПО, напоследок стоит все же упомянуть условно бесплатную программу Anti-Spy Info, которую можно загрузить с одноименного сайта (http://anti-spy.info). При запуске программа отображает список активных процессов и автоматически загружаемых объектов (тип запуска того или иного объекта приведен в графе Запуск). Все, что нам нужно делать, – следить за списком автозагрузки на предмет появления в нем новых объектов. Следует отметить тот факт, что Anti-Spy Info обладает достаточно мощным эвристическим механизмом, анализирующим активные процессы и автоматически загружаемые объекты и определяющим вероятность их принадлежности к вирусам.
Если все усилия по поимке 'зло-кода' так ничего и не дали, а признаки троянизации налицо (слишком большой трафик, непонятные процессы в оперативной памяти, зависания системы, лишние открытые порты) – то пришло, как говорят, время для плана Б. Необходимо просканировать ваш ПК извне на наличие открытых портов. Зачем? Все просто. Как уже было сказано выше, при своей работе троянский конь, как правило, открывает 'левый', нестандартный для нормального состояния системы порт.
ВНИМАНИЕ
Имейте в виду – ничто не мешает троянскому коню использовать порт доверенного приложения!
Все, что вам понадобится для такой операции, – хороший сканер портов. Данная процедура высокоэффективна, и с ее помощью выявляются даже самые скрытные и хитрые троянские кони. Из сканеров можно посоветовать X-Spider, который является лучшим сканером для подобных дел. Если у вас открыты нестандартные порты, то стоит задуматься и прикрыть это дело в настройках брандмауэра (подробно о выборе брандмауэра смотрите в гл. 6). Ниже приведен далеко не полный список подозрительных портов:
¦ 23 – Tiny Telnet Server (= TTS);
¦ 25 – Ajan, Antigen, Email Password Sender, Haebi Coceda, Happy 99;
¦ 31 – Master Paradise;
¦ 121 – BO jammerkillahV;
¦ 456 – HackersParadise;
¦ 555 – Phase Zero;
¦ 666 – Attack FTP;
¦ 1001 – Silencer;
¦ 1001 – WebEx;
¦ 1010 – Doly Trojan 1.30 (Subm.Cronco);
¦ 1011 – Doly Trojan 1.1 + 1.2;
¦ 1015 – Doly Trojan 1.5 (Subm.Cronco);
¦ 1033 – Netspy;
¦ 1042 – Bla1.1;
¦ 1170 – Streaming Audio Trojan;
¦ 1207 – SoftWar;
¦ 1243 – SubSeven;
¦ 1245 – Vodoo;
¦ 1269 – Maverick's Matrix;
¦ 1492 – FTP99CMP;
¦ 1509 – PsyberStreamingServer Nikhil G;
¦ 1600 – Shiva Burka;
¦ 1807 – SpySender;
¦ 6669 – Vampire 1.0;
¦ 6670 – Deep Throat;
¦ 6883 – DeltaSource (DarkStar);
¦ 6912 – Shitheep;
¦ 6939 – Indoctrination;
¦ 7306 – NetMonitor;
¦ 7789 – iCkiller;
¦ 9872 – PortalOfDoom;
¦ 9989 – nIkiller;
¦ 10607 – Coma Danny;
¦ 11000 – SennaSpyTrojans;
¦ 11223 – ProgenicTrojan;
¦ 12076 – Gjamer;
¦ 12223 – Hackr99 KeyLogge;
¦ 12346 – NetBus 1.x (avoiding Netbuster);
¦ 12701 – Eclipse 2000;
¦ 16969 – Priotrity;
¦ 20000 – Millenium20034-NetBus Pro;
¦ 20203 – Logged!;
¦ 20203 – Chupacabra;
¦ 20331 – Bla;
¦ 21544– GirlFriend;
¦ 22222 – Prosiak 0.47;
¦ 23456 – EvilFtp;
¦ 27374 – Sub-7 2.1;
¦ 29891 – The Unexplained;
¦ 30029 – AOLTrojan1.1;
¦ 30100 – NetSphere;
¦ 30303 – Socket25;
¦ 30999 – Kuang;
¦ 31787 – Hack'a'tack;
¦ 33911 – Trojan Spirit 2001 a;
¦ 34324 – Tiny Telnet Server;
¦ 34324 – BigGluck TN;
¦ 40412 – TheSpy;
¦ 40423 – Master Paradise;
¦ 50766 – Fore;
¦ 53001 – RemoteWindowsShutdown;
¦ 54320 – Back Orifice 2000 (default port);
¦ 54321 – Schoolbus 1.6+2.0;
¦ 61466 – Telecommando;
¦ 65000 – Devil 1.03.
4.4. Практический экзорцизм – изгоняем «зло-код» голыми руками
Проверено автором. Если в процессе работы антивирусов, чистильщиков, сканеров и прочего вы все-таки почувствовали, что экзорцист – это вы, а порции адреналина получает кто-то другой, то непременно, даже не задумываясь, вам обязательно следует «убить» его собственными руками.
Для ритуала нам понадобятся:
¦ светлая голова и работающая Windows;
¦ Редактор реестра;
¦ минимальный набор специальных программ (Starter, ADinf).
Как правило, процедура безопасного избавления от вредоносного ПО включает в себя ряд стадий, главными из которых будут следующие.
1. Завершение 'зло-процесса'.
2. Уничтожение исполняемого файла.
3. Уничтожение записи в реестре, принадлежащей вирусу/троянскому коню.
