Так как действие троянов и систем удалённого управления очень похожи друг на друга, то я решил написать эту статью на примере Anti-Lamer BackDoor v. 1.4 (далее просто ALB). Сама по себе эта процедура выглядит проще, когда пользуешься каким-нибудь антивирусом или антитрояном, но вот беда, многие уже научились делать свои трояны и даже системы удалённого управления, которые ни один антивирус не разглядит среди всей кучи ваших драгоценнейших документов. Написал я эту статью предельно просто, так что не вините меня в том, что вы и без моих усилий знаете. Ну так, если тебе интересно, то слушай, я расскажу полное действие этой программы:
Чтобы предоставить тебе доступ к удалённому компьютеру, она должна открыть какой-нибудь новый порт (по умолчанию это 47891 порт). Для этого ты конфигурируешь сервер удалённого управления, который кидаешь своему "другу".
Теперь действие сервера удалённого управления:
Попав на комп ламера и запустившись там (при нажатии на него левой кнопкой мыши ламером), он записывается в те файлы, которые ты указал при конфигурации и в system.ini (находится там же), system.ini, это и есть системный реестр, и загружает файл (*.exe его имя ты тоже указывал при конфигурации как "имя файла сервера" (по умолчанию MSconfig.exe)) в папку с виндовсом или во вложеную в виндовс папку system (куда загружать файл сервера ты тоже указываешь в пункте "в какую папку устанавливаться" так, как я тебе сказал, то это папка system). Теперь разберём, как этот файл запускается (он ведь должен запускаться при каждом старте windows, чтобы всегда открывать нам порт).
Файл win.ini - это параметры загрузки операционной системы windows. Здесь он записывается, если ты поставишь галочку при конфигурации сервера удалённого управления на "win.ini".
Удаление трояна:
Чтобы удалить оттуда ALB, надо найти (ALB размещает вначале этого файла свою информацию) там файл, который должен запускаться при загрузке системы (по умолчанию windows не прописывает там никаких файлов). Команда загрузки файла при запуске windows задаётся командой run= после этой команды идёт имя файла (в нашем случае это и есть наш враг, теперь мы знаем, какой у него файл сервера (если ты его забыл), его следует найти в папке виндовса или во вложеной в виндовс папку system, затем можно либо оставить причинять вред, либо удалить, чем мы и займёмся в ближайшее время :))
Теперь кратенько про файл system.ini или системный реестр. Системный реестр - это как параметры загрузки операционной системы, так и её настройка и план всей работы. Здесь находятся вообще вся конфигурация твоей операционной системы. Для того, чтобы просмотреть или отредактировать свой реестр, нужно нажать ПУСК=>ВЫПОЛНИТЬ, написать в командную строку "regedit" (естественно БЕЗ ковычек) и, самое трудное - обязательно нажать на "OK" :)) Программа ALB создаёт ключ реестра (это как бы папка, ведь реестр виден при запуске regedit, как много папок), в этом ключе программа создаёт параметр (параметры записаны в правой части экрана) и присваивает нужное ей значение. Чтобы удалить оттуда всё, касающееся ALB, нужно выделить (левой кнопкой мыши) первую папку (чтобы поиск шёл сначала), нажать ПРАВКА=>НАЙТИ... затем ввести в строку поиска то, что ты написал в "Ключ реестра:" при конфигурации сервера удалённого управления (по умолчанию это MS Config Monitor). Естественно, всю папку (MS Config Monitor) следует удалить из реестра, нажав на папке правой кнопкой мыши и выбрав в меню пункт "УДАЛИТЬ". Затем следует удалить все ключи, отвечающие за запуск сервера удалённого управления при старте операционной системы. Для этого следует выделить первую папку и опять нажать ПРАВКА=>НАЙТИ... и написать в строку поиска имя файла сервера удалённого управления (мы его указывали при конфигурации сервера удалённого управления в пункте "Имя файла сервера", по умолчанию это msconfig.exe), затем жмём "НАЙТИ ДАЛЕЕ". Когда компьютер найдёт это имя (по идее оно должно быть в "папке" RUN), следует удалить весь этот параметр (параметр, а не папку!). Затем, не выделяя ничего, снова нажать ПРАВКА=>НАЙТИ ДАЛЕЕ или просто F3 (так как папок RUN может быть несколько, если у вас на компьютере не один пользователь), запустить поиск и снова, как только он найдёт параметр со значением или таким именем (msconfig.exe), мы его целиком удалим.
Ну вот, вроде бы и всё... После проведённой операции от ALB не останется ровным счётом ничего... Таким методом можно удалять не только ALB, но и практически все трояны (во всяком случае я лично не встречал и не слышал вообще о таком трояне, который действовал бы иначе).
Автор статьи: hacker_online E-mail автора: hacker@anior.com
