Trojan có thể gây ra thiệt hại về mặt tinh thần và tài chính cho người sử dụng máy tính. Các chương trình chống vi-rút và tường lửa ngăn dòng chính của phần mềm độc hại, nhưng các phiên bản Trojan mới xuất hiện hàng ngày. Đôi khi người dùng PC rơi vào tình huống mà phần mềm chống vi-rút không nhìn thấy mã độc hại, sau đó anh ta phải tự mình đối phó với chương trình độc hại.
Hướng dẫn
Bước 1
Một trong những loại Trojan khó chịu nhất là backdoor, cho phép hacker điều khiển từ xa một máy tính bị nhiễm. Đúng như tên gọi của nó, backdoor mở ra một kẽ hở cho kẻ tấn công mà qua đó, bất kỳ hành động nào cũng có thể được thực hiện trên một máy tính từ xa.
Bước 2
Backdoor bao gồm hai phần: máy khách, được cài đặt trên máy tính của tin tặc và máy chủ, nằm trên máy tính bị nhiễm. Phía máy chủ luôn chờ kết nối, "treo" ở cổng nào đó. Trên cơ sở này - cổng bị chiếm đóng - có thể được theo dõi, sau đó việc loại bỏ con ngựa thành Troy sẽ dễ dàng hơn nhiều.
Bước 3
Mở dòng lệnh: "Start - All Programs - Accessories - Command Prompt". Nhập lệnh netstat –aon và nhấn Enter. Bạn sẽ thấy danh sách các kết nối của máy tính. Các kết nối hiện tại sẽ được chỉ ra trong cột "Trạng thái" là ĐÃ THIẾT LẬP, các kết nối đang chờ xử lý được đánh dấu bằng dòng LISTENING. Cửa hậu chờ được kết nối đang ở trạng thái lắng nghe.
Bước 4
Trong cột đầu tiên, bạn sẽ thấy các địa chỉ cục bộ và các cổng được sử dụng bởi các chương trình tạo kết nối mạng. Nếu bạn thấy các chương trình trong danh sách của mình ở trạng thái kết nối đang chờ xử lý, điều này không có nghĩa là máy tính của bạn chắc chắn đã bị nhiễm. Ví dụ, các cổng 135 và 445 được sử dụng bởi các dịch vụ Windows.
Bước 5
Trong cột cuối cùng (PID), bạn sẽ thấy số ID quy trình. Họ sẽ giúp bạn tìm ra chương trình đang sử dụng cổng mà bạn quan tâm. Nhập danh sách tác vụ trong cùng một cửa sổ dòng lệnh. Bạn sẽ thấy danh sách các quy trình với tên và số định danh của chúng. Bằng cách xem mã định danh trong danh sách các kết nối mạng, bạn có thể sử dụng danh sách thứ hai để xác định nó thuộc về chương trình nào.
Bước 6
Có những lúc tên tiến trình không cho bạn biết bất cứ điều gì. Sau đó, sử dụng chương trình Everest (Aida64): cài đặt nó, chạy nó và xem danh sách các quy trình. Everest giúp bạn dễ dàng tìm thấy đường dẫn nơi chứa tệp thực thi. Nếu bạn không quen với chương trình bắt đầu quá trình, hãy xóa tệp thực thi và đóng quá trình của nó. Trong lần khởi động tiếp theo của máy tính, một cửa sổ cảnh báo có thể xuất hiện cho biết rằng tệp đó và tệp như vậy không thể khởi động được và khóa tự động chạy của nó sẽ được chỉ ra trong sổ đăng ký. Sử dụng thông tin này, xóa khóa bằng trình chỉnh sửa sổ đăng ký ("Start - Run", lệnh regedit).
Bước 7
Nếu quá trình đang được điều tra thực sự thuộc về cửa sau, trong cột "Địa chỉ bên ngoài", bạn có thể thấy ip của máy tính đã kết nối với bạn. Nhưng đây rất có thể là địa chỉ của máy chủ proxy, vì vậy bạn khó có thể phát hiện ra kẻ tấn công.
