Защити свой компьютер на 100% от вирусов и хакеров - [52]

По современной классификации (использована информация http://www.virusList.com),

BO в базах данных различных антивирусных компаний выглядит следующим образом:

♦ Backdoor.Win32.BCa ("Лаборатория Касперского");

♦ Orifice.svr (McAfee);

♦ W32.HLLP.Clay.dr (Symantec);

♦ BackDoor.BOrifice (Doctor Web);

♦ Troj/Orifice-A (Sophos);

♦ Backdoor:Win32/BOClay (RAV);

♦ BKDR_BO.58 8 80 (Trend Micro);

♦ Trj/BOr (Panda);

♦ Back_Orifice.Dropper (Eset).

Являясь достаточно мощной утилитой удаленного администрирования, Back Orifice разрешает пользователю контролировать компьютеры при помощи обычной консоли или графической оболочки. А теперь внимание! Ни много ни мало крылатая фраза, которая весьма емко отражает возможности программы: "В локальной сети или через Internet BO предоставляет пользователю больше возможностей на удаленном Windows-компьютере, чем имеет сам пользователь этого компьютера".

Согласно классификации "Лаборатории Касперского", BO (как и другие утилиты удаленного администрирования) могла вовсе и не попасть в "черный список", если бы не одно но. При запуске серверной части отсутствуют какие-либо предупреждения: "продвигаясь вглубь", троянский конь незаметно устанавливает себя в системе и затем берет ее полностью под свой контроль, при этом жертве не выдается никаких сообщений о действиях троянского коня в системе. Более того, в списке активных приложений ссылка на BO отсутствует.

Распространяется BO как пакет, включающий в себя серверную часть (boserve.exe или bo2k.exe), клиентскую часть (bo2kgui.exe) и файл конфигурации сервера (bo2kcfg.exe). В дополнение к трем перечисленным компонентам пакет может содержать плагины и документацию.

Все три компонента программы написаны на C++ и откомпилированы Microsoft Visual C++. Все программы имеют формат Portable Executable и могут выполняться только в среде Win32.

Как вы уже поняли, основной программой в пакете является boserve.exe, он же bo2k.exe. Следует отметить, что при установке на целевой ПК сервер можно обнаружить под другими именами, вплоть до system, explore, в зависимости от фантазии того, кто конфигурировал сервер.

Вторым файлом является boconfig.exe, он же bo2kcfg.exe, назначение которого – первичная настройка сервера. Программа конфигурации позволяет производить самые разнообразные настройки, вплоть до склейки сервера с каким-либо другим исполняемым файлом. Зачем это нужно, думаю, объяснять не стоит.

И наконец, посредством чего осуществляется удаленное управление серверной частью – клиентская часть – bo2kgui.exe.

При запуске серверной части происходит следующее: сервер BO настраивает под себя нужные порты, в результате чего открытым оказывается порт 31337.

Следует учесть, что при заражении BO порт 31337 может молчать, ведь никто не мешает настроить работу сервер/клиент на другой порт. При заражении в системном каталоге Windows появляется файл windll.dll. Далее троянский конь определяет адреса нескольких Windows API, ищет свою копию в памяти и выгружает ее, если обнаружена старая версия утилиты; попросту говоря, троянский конь сам себя обновляет. После вышеперечисленного BO, как и любой уважающий себя троянский конь, копируется в системный каталог Windows (), прописывая себя на автозапуск в следующем ключе реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

После того как троянский конь закрепляется в системе, он начинает слушать 31337 UDP-порт, оставаясь в памяти Windows как скрытое приложение (то есть без активного окна и ссылки в списке приложений). После того как сервер получил команды от клиента, на машине жертвы возможно развитие следующего сценария:

♦ сервер высылает своему истинному хозяину различную информацию о системе: тип процессора, размер памяти, версия системы, установленные устройства и т. п.;

♦ сервер открывает для общего доступа диски, делая их видимыми из сети.

Таким образом, удаленный пользователь получает полный контроль над зараженной системой: операции удаления, копирования, вплоть до форматирования, становятся настолько же реальными, как если бы вы работали за своим собственным ПК. Помимо перечисленного, удаленный пользователь имеет возможность: отключать текущего пользователя от сети, подвешивать систему, убивать процессы, получать и отправлять кэшированные пароли, выводить текстовые сообщения, проигрывать звуковые файлы и т. д.

Вышеперечисленные возможности отнюдь не являются "верхом" того, на что способен BO: чтобы расширить список функций, достаточно скачать пару новых плагинов (plug-in) – и все!

Вернемся к нашей защите.

Если ваш антивирус упорно молчит, а возможность присутствия троянского коня высока, то можно попробовать обнаружить шпиона, воспользовавшись специальными утилитами вроде Trojan Remover либо другими аналогичными продуктами. Как показывает практика, этот способ доступен даже самому неопытному пользователю ПК.

♦ Advanced Spyware Remover – утилита, предназначенная для защиты персонального компьютера от вредоносных программ и шпионских модулей и позволяющая избавиться от рекламных программ, дозвонщиков, программ-шпионов, клавиатурных шпионов, троянских коней и т. д. Advanced Spyware Remover проверяет системный реестр на наличие в нем ключей, принадлежащих вышеперечисленным типам вредоносных программ. Ее главной отличительной особенностью перед аналогами является высокая скорость работы сканера и обновляемая антишпионская база сегментов вредоносного кода.