Троян и его определение

Обнаружение троянской программы

Большинство троянцев используется для удаленного управления/администрирования, кражи конфиденциальной информации и т.д. А это все подразумевает использование сети и технологии клиент-сервер. И так или иначе троянцу придется использовать какой-либо порт для осуществления поставленной задачи. Очень часто используется даже несколько портов, для разделения задач (например, через один порт осуществляется отсылка информации, а через другой получение команд).

Отсюда следует, что необходимо знать порты, используемые службами виндовс. Ниже приведен краткий список таких портов:

• 25 TCP – SMTP - Exchange Server;
• 69 UDP – TFTP - Служба упрощенного FTP-демона;
• 80 TCP – HTTP - Службы Windows Media;
• 110 TCP - POP3 - Служба Microsoft POP3;
• 119 TCP – NNTP - Протокол Network News Transfer Protocol;
• 123 UDP – SNTP - Служба времени Windows;
• 135 TCP – RPC - Очередь сообщений;
• 135 TCP – RPC - Удаленный вызов процедур;
• 135 TCP – RPC - Exchange Server;
• 137 UDP - Разрешение имен NetBIOS - Обозреватель компьютеров;
• 1433 TCP - SQL по TCP - Microsoft SQL Server;
• 1433 TCP - SQL по TCP - MSSQL$UDDI;
• 5000 TCP - Уведомление о событиях SSDP - Служба обнаружения SSDP;
• 6004 TCP - DSProxy/NSPI - Exchange Server 2003;
• 42424 TCP - Состояние сеанса ASP.NET - Служба состояния сеанса ASP.NET;
• 51515 TCP - MOM-Clear - Microsoft Operations Manager 2000.

Естественно список далеко не полный, поэтому вот вам ссылка, где можно его лицезреть в полном объеме.

При этом надо учитывать, что порты указанные выше используются только службами виндовс и при отключении какой-либо службы, порт становиться свободным для других приложений. Так же порты могут использовать и сторонние программы (например, icq).

В таком случае логично рассмотреть еще и список портов, которые обычно юзаются теми или иными троянскими программами:

• 23 - Tiny Telnet Server;
• 25 - Ajan, Antigen, Email Password Sender, Haebi Coceda, Happy 99, Kuang2, ProMail trojan, Shtrilitz, Stealth, Tapiras, Terminator, WinPC, WinSpy;
• 31 - Master Paradise;
• 80 - Executor;
• 99 - Hidden port V2.0;
• 121 - BO jammerkillahV;
• 1010 - Doly Trojan 1.30 (Subm.Cronco);
• 1033 - Netspy;
• 1042 - Bla1.1;
• 1080 - Wingate Socks Proxy;
• 12701 - Eclipse2000;
• 1492 - FTP99CMP;
• 1509 - PsyberStreamingServer Nikhil G.;
• 1600 - Shiva Burka;
• 2115 - Bugs;
• 4590 - IcqTrojan;
• 7789 - iCkiller;
• 6670 - Deep Throat;
• 53001 - Remote WindowsShutdown;
• 40412 - TheSpy.

Опять же неполный список, за полным прошу сюда.

В общем, вооружившись всем этим, открываем командную строку и вводим команду netstat с параметром –an. На экран сразу выводится список активных подключений и порты используемые ими (рис.1). Потом берем и анализируем.

Большинство вирусописателей при написании вирусов в код программы включают алгоритм, который делает процесс невидимым (естественно, это действует не на все утилиты, работающие с процессами) (рис.2).

Но, некоторые этого алгоритма не вводят, по этому процесс Трояна легко заметить.

В представленном ниже списке идет сначала процесс обозначенный в диспетчере, а потом программа, которая «стоит» за этим процессом:

• Mslogin.exe - FuckToy.exe;
• mwsoemon.exe - MyWebSearch toolbar ;
• mediaaccess.exe - WindUpdates.com ;
• mediaacck.exe - WindUpdates.com ;
• wtoolsa.exe - HuntBar ;
• wsup.exe - HuntBar spyware ;
• systrey - Trojan Dropper;
• cxtpls.exe - AproposMedia ;
• autoupdate.exe - Apropos Media adware ;
• wtoolss.exe - HuntBar ;
• istsvc.exe - IST adware/hijacker ;
• optimize.exe - MoneyTree Dialer ;
• gmt.exe - Gator adware ;
• cmesys.exe - Gator adware ;
• tbps.exe - Neo Toolbar ;
• pib.exe - PIB Toolbar ;
• gah95on6.exe - ShopAtHome Select ;
• mediapass.exe - WindUpdates.com ;
• mediapassk.exe - WindUpdates.com ;
• tbpssvc.exe - Neo Toolbar ;
• bargains.exe - Bargain Buddy ;
• save.exe - WhenU SaveNow adware ;
• salm.exe 180Search Assistant ;
• rk.exe - Marketscore “monitoring” ;
• webrebates0.exe - TopRebates hijacker/adware ;
• webrebates1.exe - TopRebates hijacker/adware ;
• vmss.exe - Delfin Media Viewer.

Стоит так же знать процессы системы:

• Alg.exe;
• Explorer.exe;
• Csrss.exe;
• Lsass.exe;
• Smss.exe;
• Rundll32.exe;
• Services.exe;
• Svchost.exe;
• Winlogon.exe;
• Wdfmgr.exe.

Вот так можно определить троянца, активно действующего в вашей системе. Но, не стоит обольщаться, антивирус необходимо ставить, ведь человек имеет свойство делать не верные выводы (ну, собственно как и антивирус), а в связке с антивирусной программой будет намного проще.