Как обнаружить троян? Методика и утилиты.
Обнаружить троян, который не определяется антивирусом и обошёл ваш фаервол, порой задача не из тривиальных. Но не невозможная — любое действие оставляет в системе следы. Принцип обнаружения трояна в том и состоит. Предупреждаю сразу — в статье лёгких и быстрых решений не будет. Извините, что ссылок на программы будет немного — названий немало, придётся вам искать их вручную. И пригодятся вам не все. Я покажу как троян найти. Но обнаружить троян — не значит вылечить.
Если троян есть, он, скорее всего, нужен для отправки некой информации хакеру. Значит, ему понадобится для этого специальный канал , вход в который открывает один из портов системы. И порт этот (скорее всего) будет из числа тех, какие системой не используются, то есть из числа зарезервированных. Следовательно, задача на этом этапе проста: внимательно изучить открытые порты и проследить за процессами, которые этими портами пользуются, и на какие адреса информация отправляется.
Для операционной системы Windows вам в этом процессе на скорую руку может помочь команда netstat с флагом -an (если для выхода в интернет вы используете роутер, принцип поиска будет немного неполноценным, но читайте до конца). Наберите её прямо сейчас в консоли команд:
Внешний адрес описан по типу IP-адрес:интернет-порт
Однако более развёрнутую информацию вам предоставят сторонние программы. Лично я пользуюсь утилитами TCPView, CurrPorts и IceSword. Не всегда эта информация объективна, так как процесс может затаиться до поры до времени, и не факт, что порт откроется прямо сейчас, но проверять иногда стоит.
ПРОСТОЙ ЗАПУСК И БЫСТРАЯ ПРОВЕРКА
Запустите ESET Online Scanner из любого браузера и выберите области для проверки. Запуск сканирования не требует входа в учетную запись администратора и не конфликтует с установленным антивирусом.
Вы можете сканировать весь компьютер или выбрать нужную область, включая отдельные папки, автозагрузку и загрузочный сектор. После проверки вам предложат удалить зараженные файлы или переместить их в защищенную область, где их можно восстановить.
Какие симптомы имеет компьютер при нахождении в нем трояна?
- часто выключается или произвольно перезагружается
- запускает неизвестные программы и автозапускает их
- пк сам создает скриншоты
- модифицирует файлы, присваивает им другое расширение
- компьютер начинает затормаживаться и может повиснуть совсем
- часто высвечиваются сообщения об ошибках
Часто обычные антивирусы не могут найти скрытные зловредные программы. Как удалить троян в этом случае? На помощь тогда приходят антивирусные сканеры, которые не конфликтуют с уже установленным антивирусом. У этих сканеров постоянно обновляется база сигнатур вирусов, что дает возможность найти их и обезвредить. Рассмотрим самые известные сканеры-антивирусы, они то уж точно знают, как удалить вирус троян.
Malwarebytes Anti-Malware
Полная проверка системы с помощью Malwarebytes Anti-Malware
Очень популярное средство защиты от разного рода угроз: начиная от классических вирусов, заканчивая различным рекламным ПО, эксплойтами, программ-вымогателей и пр.
Помимо непосредственного сканирования вашей системы и выявления угроз, программа может в реальном времени защищать вас от львиной доли угроз (подобно классическому антивирусу), при этом, не создавая большую нагрузку на вашу систему и не заставляя ее тормозить.
Рекомендую хотя бы иногда запускать Malwarebytes Anti-Malware на своем ПК и проверять ОС Windows.
- возможность проверки полностью всех дисков на вашем ПК;
- защита компьютера в режиме реального времени;
- возможность удалять руткины и восстанавливать поврежденные ими файлы;
- частые и регулярные обновления баз (для своевременного обнаружения и защит от современных угроз);
- низкая нагрузка на вашу систему;
- все подозрительные файлы отправляются в карантин (откуда вы можете либо восстановить их, либо безвозвратно удалить);
- дружелюбность и простота в использовании, выполнена в стиле минимализм;
- поддерживается всеми современными версиями Windows XP/7/8/10.
Онлайн проверка на вирусы отдельных программ и файлов
Существует несколько популярных онлайн-сервисов, позволяющих загрузить подозрительный файл и получить отчет о том, содержит ли он вирусы или другие угрозы.
VirusTotal
VirusTotal — один из самых известных и популярных сервисов для онлайн проверки файлов на вирусы. Всё что требуется для проверки файла программы (или другого файла, но не архива rar — такие файлы предварительно распакуйте) — это выполнить следующие шаги:
- Зайдите на сайт https://www.virustotal.com/
- Перетащите файл для проверки мышью на окно с открытым сайтом, либо нажмите кнопку «Choose File» и укажите файл на вашем компьютере.
- Дождитесь завершения проверки файла на вирусы.
- Также вы можете проверить на вирусы адрес в интернете, вставив его на вкладке URL.
Примечание: недавно произошло обновление интерфейса VirusTotal и русский язык интерфейса с главной страницы исчез. Но, предполагаю, перевод появится.
VirusTotal примечателен тем, что выполняет проверку с использованием сразу многих антивирусных «движков», то есть в отчете вы получаете общую картину, составленную различными известными и не очень антивирусами. При этом учитывайте следующие моменты:
- Единичные обнаружения обычно говорят о ложном срабатывании.
- Программы для удаленного доступа к компьютеру, утилиты для настройки и оптимизации ПК (твикеры) часто показывают значительное количество обнаружений: в этом случае нужно изучать тексты результатов. Обычно они сообщают о том, что это RiskWare — программное обеспечение с потенциально опасными возможностями (а любые программы для удаленного управления компьютером или глубокого изменения функционирования Windows можно отнести к таковым).
- Помимо результатов теста для хорошо известных файлов вы также увидите мнение сообщества в правом верхнем углу (Community Score) и на вкладке «Community». С ним также можно ознакомиться, если у вас есть сомнения.
Kaspersky Threat Intelligence Portal
Ранее сервис Касперского для онлайн проверки файлов на вирусы назывался Virusdesk, теперь — Kaspersky Threat Intelligence Portal, главная страница которого: https://opentip.kaspersky.com/ а варианта на русском языке пока не появилось.
Суть использования та же самая, что и в случае с VirusTotal:
- Либо переносим файл мышью, либо загружаем с компьютера, нажав кнопку «Browse», нажимаем кнопку «Analyze».
- В результате сервис покажет, является ли файл чистым с точки зрения Касперского (о том, что файл чистый будет сообщать надпись «Clean» под контрольной суммой SHA-25 для загруженного файла.
- Также на главной странице сервиса вы можете ввести хэш (контрольную сумму файла) или адрес сайта и нажать кнопку «Look up» для быстрой проверки.
Онлайн проверка программы или файла на вирусы в Dr.Web
У Dr.Web также есть собственный сервис онлайн-проверки файлов на вирусы и другие угрозы, доступный на сайте https://online.drweb.com/result2/
Использование, пожалуй, проще чем любых других аналогичных сервисов: загружаем файл в единственное поле в центре окна браузера, сканируем, получаем краткий результат на русском языке.
Hybrid Analysis
Недостаток двух перечисленных методов проверки — их ограниченность единственным антивирусом, выполняющим проверку. VirusTotal лишен этого недостатка, но если вас интересуют еще более мощные средства онлайн проверки на вирусы, рекомендую познакомиться с Hybrid Analysis.
На первый взгляд, сервис мало чем отличается, но в ходе проверки вы сможете выбрать виртуальную машину, на которой будет запущен ваш подозрительный файл и получить очень подробные и удобные для изучения отчеты о проведенном анализе. Отдельная инструкция по использованию сервиса: Онлайн проверка на вирусы в Hybrid Analysis.
Metadefender Cloud
Metadefender Cloud, также как и предыдущий рассмотренный сервис позволяет либо выполнить мультисканирование с помощью популярных антивирусов либо запустить файл в песочнице с заданными вами параметрами и проанализировать его поведение, включая создание процессов, обращение к реестру и другие.
Более подробно об использовании этого инструмента онлайн проверки на вирусы и наличие вредоносных программ в статье Продвинутая онлайн-проверка на вирусы в Metadefender Cloud.
Онлайн-сканер Nano Antivirus
На официальном сайте Nano Antivirus https://www.nanoav.ru/ в разделе «Сервисы» присутствует онлайн-сканер для проверки программ и других файлов на вирусы.
О качестве проверки выводов сделать не могу, результата не дождался. И еще один нюанс —ограничение размера загружаемого для проверки файла всего 20 Мб.
Бесплатный сканер троянов PC Tools ThreadFire
Если Вы предпочитаете готовое решение, требующего минимальных действий от пользователя, то PC Tools ThreatFire является отличным вариантом для Вас. Он предлагает активную защиту от известных и неизвестных угроз, таких как трояны, вирусы, черви, шпионское ПО, руткиты и другие вредоносные программы.
ThreatFire предоставляет собой защиту в реальном времени на основе поведенческого анализа системы. Это достигается путем работы программы в фоновом режиме, что позволяет обходиться без проверки «по требованию».
Любые обнаруженные вредоносные программы автоматически помещаются в карантин для обеспечения защиты вашего компьютера. Вы можете загрузить файлы на анализ по адресу: www.threatexpert.com/filescan.aspx. После того как вы убедились, что файлы действительно относится к разряду вредоносных программ (а не скомпрометированных), Вам необходимо их удалить.
Интерфейс программы показывает карту мира, на которой отображается расположение распространенных угроз, так сказать, «в дикой природе». Для обычных пользователей это не более чем способ заявить о своем существовании. Для пользователей, работающих с распределенными сетями по всему миру — это способ понять «к чему готовиться».
Еще одной полезной особенностью является ThreatExpert отчет, который дает подробную информацию о последних 200 угроз. Из этого отчета видно, что более чем 30% угроз связаны с троянами.
ThreatFire предполагает обратную связь с сообществом, что обеспечивает хорошую базу для выявления новых угроз. Если Вы откажетесь предоставлять информацию, то автоматическое обновление для Вас будет закрыто.
Защитник Windows
Продолжает мой обзор антишпионских программ встроенная утилита от компании Microsoft. В новых версиях Виндовс он включена по умолчанию, но явно не даёт о себе знать, пока не будет обнаружена опасность.
- Быстро находит вредоносные скрипты, которые замедляют систему;
- Борется с рекламными вирусами в браузерах;
- Резервирует все внесенные изменения, чтобы потом можно было выполнить откат;
- Есть планировщик заданий, который поможет автоматизировать процесс сканирования;
- Работает в фоне, не привлекая внимание пользователя;
- Обновление баз происходит почти ежедневно.
Что делать, если программы не помогают?
Довольно часто встречается такая ситуация, когда даже со специальными программами удалить трояны не получается. Они просто остаются на своих местах даже после многократного удаления. Тогда остается всего два варианта:
- попробовать вручную найти расположение файла и удалить его при помощи Shift+Del
- отнести ПК на диагностику и лечение в наш сервисный центр.
Помните, что трояны – это серьезный вирус , который не просто мешает работе компьютера, но может нанести реальный вред:
- перехватить личную информацию
- помочь хакерам получить доступ к вашему кошельку или банковской карте
- скопировать и передать «хозяину» важные документы, вплоть до ксерокопий паспортов.
Поэтому если вам кажется, что компьютер работает плохо, а антивирусы то и дело «кричат» о том, что в системе обнаружены угрозы, лучше отнесите компьютер к нашим профессионалам.