Для уменьшения вероятности своего обнаружения, трояны используют разные возможности. Маскируются под другие процессы. Используют для связи с атакующим уже порты, открытые другими приложениями. При обнаружении доступа в Интернет серверная часть трояна сообщает клиентской части ip адрес пораженного компьютера и порт для прослушивания.

Для подачи сообщения используются различные механизмы. Обычно это smtp протокол, но есть Трояны, использующие icq или irc. Прямой отправки сообщения атакующему не применяется, так как злоумышленник должен оставаться анонимным. Большинство троянов для запуска серверной части на компьютере жертвы используют различные методы, позволяющие им запускаться автоматически при каждом включении компьютера. Список различных мест, позволяющих троянам автоматически запустить свое серверное приложение на компьютере жертвы.

1. Папка startup Любое помещенное в нее приложение будет выполнятся автоматически как только произойдет полная загрузка windows.

2. Файл win.ini Для запуска используется конструкции типа load=trojan.exe или run=trojan.exe

3. Файл system.ini Конструкция shell=explorer.exe trojan.exe выполнит trojan.exe каждый раз, как только запуститься explorer.exe.

4. Файл wininit.ini Этот файл используется в основном программами установки, для выполнения некоторого кода при установке приложений. Обычно удаляется. Но может использоваться троянами для автоматического запуска.

5. Файл winstart.bat Обычный bat файл, используемый windows для запуска приложений. Настраивается пользователем. Трояны используют строку для запуска @trojan.exe, что бы скрыть свой запуск от глаз пользователя.

6. Файл autoexec.bat Кто помнит dos, тот поймет )))

7. Файл config.sys Аналогично.

8. explorer startup Данный метод используется windows 95, 98, me для запуска explorer. И если будет существовать файл c:explorer.exe, то он выполнится вместо обычного c:windowsexplorer.exe.

9. Ключи автозапуска windows, используемые для запуска различных приложений и сервисов. Вот, к примеру, некоторые из них:

hkey_current_user softwaremicrosoftwindowscurrentversionrun hkey_current_usersoftwaremicrosoftwindowscurrentversionrunonce hkey_local_machinesoftwaremicrosoftwindowscurrentversionrun hkey_local_machinesoftwaremicrosoftwindowscurrentversionrunonce hkey_local_machinesoftwaremicrosoftwindowscurrentversionrunonceex 10. registry shell open hkey_classes_rootexefileshellopencommand hkey_local_machinesoftwareclassesexefileshellopencommand По умолчанию значение данных ключей”%1? %*. Туда можно поместить имя любого выполняемого файла для запуска его при открытии бинарным файлом. К примеру, вот так: trojan.exe “%1? %*.

10. Метод запуска приложений при обнаружении icq соединения с Интернет Эти ключи включают в себя все файлы, которые будут выполнены при обнаружении icq соединения с Интернетом. Это удобно для запуска некоторых приложений. Но и злоумышленники могут им воспользоваться. hkey_current_usersoftwaremirabilisicqagentapps hkey_local_machinesoftwaremirabilisicqagentapps

12. Компоненты activex. hkey_local_machinesoftwaremicrosoftactive setupinstalled components Установленные в системе компоненты activex.

Троян, маскируясь под компонент, добивается своего запуска при каждой инициализации windows. Все эти методы в принципе уже хорошо изучены и, успешно применяются для борьбы с троянами. Но время не стоит. И вам тоже не стоит расслабляться, поскольку в любой момент может появиться новый метод. Удачи вам в борьбе с троянами )