По пунктам:
1. Главный модуль backdoor'а (bd) постоянно ищет в системе
загруженные пользователем процессы которым по
предположению "доверяет" firewall. Такими процессами, как
правило, являются - icq, miranda, outlook, the bat,
iexplore, opera и т.п.
2. Далее, в зависимости от найденного процесса, в него
внедряется модуль "связи" который начинает работать уже в
его контексте (обнаруженного процесса). Далее, для примера,
будем рассматривать outlook и icq. Для каждого процесса
можно использовать свой модуль связи ориентированный на
его особенности (например протокол связи).
ICQ:
в аутпосте есть такая вещщ, называется "контроль компонетов", смысл в дом, что при изменении размера *.exe зопускаемого доверяемого приложения нам предлагают создать для него новое правило.... например после установки апдейтов на єксплорер аутпост предлагает...
ессно, этот вариант отпадает....исключение - полное отключение контроля компонентов для доверяемого приложения, что не обговаривалось изначально (дефолтовая политика обучения, стандартные правила, уровень контроля компонентов - "нормальный")
предложил бы другой метод - остановить сервис файрвола. благо, был опыт, встречались вири которые останавливали сервисы панды, касперского, нортона.. всех, кроме дрвеба.. т.е. всё просто - net stop ...
.. не обговаривалась коняигурация системы, привелегии пользователя,... большинство сидят под админами
в случае если это не так, и у админа хватило знаний для того, чтобы создать отдельную ограниченную учётную запись, уверен, ему хватит мозгов на то, чтобы....
мысль понятна