і т.п.
Тим, хто хоче мати в своєму розпорядженні утиліту, призначену саме для виявлення троянців в комп'ютерах, які працюють під управлінням операційних систем сімейства Windows (W9x, Windows NT, 2000 Professional і Server, XP Home Edition і XP Professional Windows 2003, Windows Vista, Windows 7) можна порадити популярну програму AVZ (Рис.1).
Антивірусна утиліта AVZ призначена для виявлення і видалення:
· SpyWare і AdWare модулів - це основне призначення утиліти
· Dialer (Trojan.Dialer)
· Троянських програм
· BackDoor модулів
· Мережевих і поштових черв'яків
· TrojanSpy, TrojanDownloader, TrojanDropper
Утиліта є прямим аналогом програм TrojanHunter і LavaSoft Ad-aware 6. Первинною завданням програми є видалення SpyWare і троянських програм.
Особливостями утиліти AVZ (крім типового сигнатурного сканера) є:
· Мікропрограми евристичної перевірки системи . Мікропрограми проводять пошук відомих SpyWare і вірусів за непрямими ознаками - на підставі аналізу реєстру, файлів на диску і в пам'яті.
· Обновлювана база безпечних файлів . У неї входять цифрові підписи десятків тисяч системних файлів і файлів відомих безпечних процесів. База підключена до всіх систем AVZ і працює за принципом свій/чужий - Безпечні файли не вносяться в карантин, для них заблоковано видалення і висновок попереджень, база використовується антіруткіта, системою пошуку файлів, різними аналізаторами. Зокрема, вбудований диспетчер процесів виділяє безпечні процеси і сервіси кольором, пошук файлів на диску може виключати з пошуку відомі файли (що дуже корисно при пошуку на диску троянських програм);
· Вбудована система виявлення Rootkit . В системі Windows терміном RootKit прийнято називати програму, яка впроваджується в систему і перехоплює системні функції або робить заміну системних бібліотек. Пошук RootKit йде без застосування сигнатур на підставі дослідження базових системних бібліотек на предмет перехоплення їхніх функцій. AVZ може не тільки виявляти RootKit, а й виробляти коректну блокування роботи UserMode RootKit для свого процесу і KernelMode RootKit на рівні системи. Протидія RootKit поширюється на всі сервісні функції AVZ, в результаті сканер AVZ може виявляти масковані процеси, система пошуку в реєстрі бачить маскіруемие ключі тощо Антируткіт забезпечений аналізатором, який проводить виявлення процесів і сервісів, маскованих RootKit. Головною особливістю є універсальна система виявлення і блокування KernelMode RootKit, працездатна під Windows NT, Windows 2000 pro/server, XP, XP SP1, XP SP2, XP SP3 Windows 2003 Server, Windows 2003 Server SP1
· Детектор клавіатурних шпигунів (Keylogger) і троянських DLL . Пошук Keylogger і троянських DLL ведеться на підставі аналізу системи без застосування бази сигнатур , що дозволяє досить впевнено детектувати заздалегідь невідомі троянські DLL і Keylogger; та ін.
·
Рис.1. Зовнішній вигляд антивірусної утиліти AVZ
6. Клавіатурні шпигуни
Одна з найбільш поширених різновидів програмних закладок - клавіатурні шпигуни. Такі програмні закладки націлені на перехоплення паролів користувачів операційної системи, а також на визначення їх легальних повноважень і прав доступу до комп'ютерних ресурсів.
Клавіатурні шпигуни - явище зовсім не нове в світі комп'ютерів. Свого часу вони розроблялися і для OS/370, і для UNIX, і для DOS. Їх поведінка в загальному випадку є досить традиційним: типовий клавіатурний шпигун обманним шляхом заволодіває користувацькими паролями, а потім переписує ці паролі туди, звідки їх може без особливих зусиль витягти зловмисник. Відмінності між клавіатурними шпигунами стосуються тільки способу, який застосовується ними для перехоплення користувальницьких паролів. Відповідно всі клавіатурні шпигуни діляться на три типи - імітатори, фільтри і заступники.
.1 Імітатори
Клавіатурні шпигуни цього типу працюють за наступним алгоритмом. Зловмисник впроваджує в операційну систему програмний модуль, який імітує запрошення користувачеві зареєструватися для того, щоб увійти в систему. Потім впроваджений модуль (у прийнятій термінології - імітатор) переходить в режим очікування введення користувальницького ідентифікатора і пароля. Після того як користувач ідентифікує себе і введе свій парол...
