Попав на компьютер, и запустившись, он устраивается у условленного телефона и ждет звонка. Когда ему звонят, он снимает трубку и представляется: «Здравствуйте. Вирус слушает! Чем могу помочь тебе, хохяин?»
Помочь хозяину, значит нашкодить владельцу компьютера. А может он многое:
-поменять местами клавиши мыши;
-выполнить команду/запустить программу и перейти на определенный URL;
Есть трояны куда серьезнее «Back Orifice»-рапример.Этот сработан гораздо более профессионально и продуманно - одна из самых популярных программных закладок для Windows XP. Эта программа скрыто устанавливается на компьютер при установке (или просто запуске) вами какой-либо программы, загруженной из ненадежных источников в Интернет, и позволяет хакеру в то время, когда вы работаете в Интернет, удаленно перехватывать нажатия вами клавиш, читать файлы с вашего компьютера или копировать свои файлы к вам на компьютер, читать содержимое системного реестра Windows например, там хранится пароль для доступа в Интернет, а также многое другое (для отправки в тайне от вас писем своему хозяину у нее есть свой мейлер, который шлет письма, пока вы сидите в Интернет). После установки Back Orifice ваш компьютер становится плацдармом для дальнейших атак хакера, так как Back Orifice обеспечивает хакеру просмотр сетевых ресурсов, подключенных к жертве. Легкость ее установки и использования сделала Back Orifice столь популярной, что список пострадавших от нее во всем мире исчисляется сотнями тысяч! Интересующимся подробной информацией, рекомендуется посмотреть сайт http://www.nwi.net/~pchelp/bo/bo.html.
Как и все средства удаленного администрирования, Back Orifice состоит из двух частей – сервера и клиента. Сервер запускается один раз на машине жертвы, он быстро отрабатывает и удаляет себя, но до удаления успевает спрятаться в недрах Widows так, что найти его следы нелегко. Распространяется Back Orifice очень просто - они уже получили «ускорители IRC», «патчи к ICQ».
Для обнаружения и удаления троянца или типичного BACK ORIFICE необходимо запустить антивирусную программу и просканировать тем же «Doctor Web» все диски. При обнаружении BACK ORIFICE программа удалит его автоматически.
Новый троянец восстанавливает себя после удаления. 26 октября 2012 года, компания «Доктор Веб» — российский разработчик средств информационной безопасности— сообщает о распространении новой троянской программы Trojan.GBPBoot.1, обладающей интересным механизмом самовосстановления.
С точки зрения реализуемых данным троянцем вредоносных функций, Trojan.GBPBoot.1 можно назвать довольно примитивной вредоносной программой: она способна загружать с удаленных серверов и запускать на инфицированном компьютере различные исполняемые файлы либо запускать программы, не хранящиеся непосредственно на компьютере жертвы. Этим ее деструктивный функционал исчерпывается. Однако интересен этот троянец прежде всего тем, что имеет возможность серьезно противодействовать попыткам его удаления.
Trojan.GBPBoot.1 состоит из нескольких модулей. Первый из них модифицирует главную загрузочную запись (MBR) на жестком диске компьютера, после чего записывает в конец подходящего раздела (вне файловой системы) модуль вирусного инсталлятора, модуль автоматического восстановления троянца, архив с файлом explorer.exe и сектор с конфигурационными данными. После чего помещает в системную папку вирусный инсталлятор, запускает его, а собственный файл удаляет.
После собственного запуска вирусный инсталлятор сохраняет в системную папку конфигурационный файл и динамическую библиотеку, которую регистрирует в системе в качестве системной службы. Затем инсталлятор запускает эту службу и самоудаляется.
В свою очередь, системная служба загружает хранящийся в системной папке конфигурационный файл (либо читает конфигурационные данные, ранее сохраненные на диск дроппером), устанавливает связь с удаленным управляющим сервером, передает ему сведения об инфицированной системе и пытается загрузить на зараженный компьютер передаваемые сервером исполняемые файлы. Если скачать эти файлы не удалось, повторное соединение устанавливается после следующей перезагрузки системы.
В случае если по каким-либо причинам происходит удаление файла вредоносной службы (например, в результате сканирования диска антивирусной программой), срабатывает механизм самовосстановления. С использованием модифицированной троянцем загрузочной записи в момент запуска компьютера стартует процедура проверки наличия на диске файла вредоносной системной службы, при этом поддерживаются файловые системы стандартов NTFS и FAT32. В случае его отсутствия Trojan.GBPBoot.1 перезаписывает стандартный файл explorer.exe собственным, содержащим «инструмент самовосстановления», после чего он запускается одновременно с загрузкой ОС Windows. Получив управление, вредоносный экземпляр explorer.exe повторно инициирует процедуру заражения, после чего восстанавливает и запускает оригинальный explorer.exe. Таким образом, простое сканирование системы различными антивирусными программами может не привести к ожидаемому результату, поскольку троянец способен восстанавливать себя в защищаемой системе.
