Всегда на страже! Защищаемся от последствий случайных связей

GalanT (galanttt@mail.ru)

Xakep, номер #028, стр. 028-038-1

В наше тяжелое время от программ всего можно ожидать. То винчестер тебе нечаянно отформатирует, то потрет важные данные или отправит все пароли через Интернет, да так, что не воспользоваться ими сможет только ленивый. Опасности подстерегают нас повсюду. Даже друзьям уже сложно доверять, потому как никогда не знаешь, кто сидит за их компьютером, когда ты пошел проветриться. Что делать?

Что уж тут поделаешь, если каждый день появляется что-то новенькое. Остается лишь обвешаться антивирусами, сканерами, мониторами, фаерволами и прочими средствами защиты от "случайных связей". Бороздил я недавно просторы Сети и по адресу http://backdoor.nm.ru обнаружил прогу PC Door Guard (PDG), которая, по мнению авторов, настолько хороша, что странно, что ты еще здесь :)).

Решено было проверить, так ли страшен троян, как его малюют, и насколько полезным может оказаться PDG. Сразу же из Сети были выужены несколько троянов с самым разными принципами активации и действия. Найти их, к сожалению (а кому и к счастью), можно на каждом шагу. И, конечно же, пришлось скачать тестируемый продукт :). В архе он занимает 2,62 метра. Итак, трояны мирно залегли на винчестере, один из них расположился в памяти, в общем, все было готово для окончательного эксперимента.

Пять минут - полет нормальный...

Запустил я антитроян, посмотрел на его внешний вид, поискал глазами кнопочку "Сканировать", не нашел ее и решил нажать на не менее занимательную кнопочку "Процессы". Я надеялся что программа выведет мне список всех запущенных процессов, и я визуально попытаюсь определить вредоносные. Но не тут-то было. Программа начала процесс сканирования, показывая мне, какие задачи проверяет в данный момент, немного задумалась над моим Winamp'ом, без проблем переварила его и пошла дальше. Процесс вроде подошел к концу, и я уже думал, на что бы такое еще нажать, как вдруг на экране появилось сообщение о том, что найденный в памяти vxd-файл заражен троянским конем. Я согласился удалить его из памяти, на что программа преподнесла мне второй сюрприз. Она сообщила, что эта возможность доступна только в зарегистрированной версии программы. Зато без всяких вопросов была выведена информация о расположении в реестре той записи, которая запускает троянца. С помощью PC Door Guard я эту запись сразу же и удалил. Проведенная перезагрузка и последующая повторная проверка показали, что теперь в моей памяти ничего вредоносного не висит. Кстати, этот второй прогон показал, что помимо памяти осмотру подвергались также реестр и системные файлы, наверное, на предмет обнаружения посторонних записей, указывающих на опасные программы.

Память, файлы... Главное - винт!

Ну что ж, пришло время посмотреть, как программа справится с лежащими на винчестере троянскими конями, и насколько эффективность ее работы будет отличаться от обычного антивируса, ну, например, AVP. Так и не найдя заветную кнопку "Сканировать", я обнаружил, что вместо нее есть три других, позволяющих проверить текущий каталог, каталог со всеми подкаталогами, и, наконец, целый диск. Немного поэкспериментировав, я обнаружил, что каждый раз, когда я даю команду на запуск сканирования, программа опять проверяет реестр, оперативную память и системные файлы, и видеть этот процесс в очередной раз удовольствия вовсе не доставляет. Но в принципе, лучше пересмотреть, чем недосмотреть, тем более, что на экране можно обнаружить количество известных программе троянцев, проверенных к данному моменту файлов, скорость проверки, выраженную в "Кб/сек" и "файлов/сек" и количество найденных троянских коней.