|
|
Поиск и удаление вирусов вручнуюПока что я не знаю никого, кто бы прямо или косвенно не пострадал от
действий компьютерных вирусов. Антивирусные компании много хотят за свои
продукты, которые так и не обеспечивают надлежащей защиты. Спрашивается,
зачем вообще тогда покупать антивирусное ПО? Все что создано человеком
может быть уничтожено, это относится как к антивирусам, так и к вирусам.
Человека обмануть намного сложнее, чем программу. Поэтому эта статья
посвящена описанию методики обнаружения и деактивации вирусного
программного обеспечения без антивирусного продукта. Запомните есть только
одна вещь, ценность которую невозможно обойти/сломать/обмануть - это
Знание, собственное понимание процесса.
Сегодня я расскажу на реальных примерах как обнаружить и поймать у себя на
компьютере Интернет-червей и шпионское ПО. Конечно есть еще много видов,
но я взял самые распространенные и решил написать
про то, что было у меня на
практике, дабы не сказать чего лишнего. Если повезет в поиске расскажу про
макро-вирусы, бэкдоры и руткиты.
Итак перед тем как приступись, отмечу, в данной статье рассматриваю только
операционную систему семейства NT, подключенную к интернету. У меня самого
стоит Win2000 SP4, вирусы ловлю на WinXP PE.
Итак перейдем к беглому, а затем и детальному анализу системы на предмет
червей и шпионов. Беглым осмотром мы просто обнаружаем наличие программы и
локализуем ее, детальный анализ уже идет на уровне файла и процессов. Там
я расскажу о прекрасной программе PETools, впрочем всему свое время.
[Анализ системы]
Логично, что для того чтобы обнаружить и обезвредить вредоносную программу
необходимо существование таковой программы. Профилактика остается
профилактикой, о ней поговорим позже, однако надо первым делом определить
есть ли на компьютере вообще вирусы. Для каждого типа вредоносных программ
соответственно есть свои симптомы, которые иногда видны невооруженным
глазом, иногда незаметны вовсе. Давайте посмотрим, какие вообще бывают
симптомы заражения. Поскольку мы ведем речь о компьютере, подключенном к
глобальной сети, то первым симптомом является чрезмерно быстрый расход,
как правило, исходящего трафика, это обуславливается тем, что очень многие
интернет-черви выполняют функции DDoS-машин или просто ботов. Как известно
, при DDoS атаке величина исходящего трафика равна максимальной величине
трафика за единицу времени. Конечно, на гигабитном канале это может быть и
не так заметно если проводится DdoS атака шириной с диалап соединение, но
как правило бросается в глаза заторможенность системы при открытии
интернет ресурсов (Еще хотелось бы отметить, что речь пойдет о вирусах,
которые хоть как то скрывают себя системе, ведь не надо объяснять ничего
если у вас в папке Автозагрузка лежит файл kfgsklgf.exe который ловится
фаерволлом и т.д.). следующее по списку, это невозможность зайти на многие
сайты антивирусных компаний, сбои в работе платных программ типа CRC-error,
это уже обусловлено тем, что достаточно многие коммерческие протекторы
поддерживают функцию проверки четности или же целости исполняемого файла
(и не только протекторы, но и сами разработчики защит), что сделано для
защиты
программы от взлома. Не будем говорить об эффективности данного метода
против крякеров и реверсеров, однако сигнализацией к вирусному заражению
это может сработать идеально. Плата начинающих вирмейкеров за не убиваемые
процессы, то что при выключении или перезагрузке компьютера идет
длительное завершение какого нибудь-процесса, или
же вообще компьютер зависает при завершении работы. Думаю про процессы
говорить не надо, а так же про папку автозагрузка, если там есть что-то
непонятное или новое, то, возможно, это вирус, однако про это попозже.
Частая перезагрузка компьютера, вылет из интеренета, завершение
антивирусных программ, недоступность сервера обновления системы microsoft,
недоступность сайтов антивирусных компаний, ошибки при обновлении
антивируса, ошибки вызванные изменением структуры платных программ,
сообщение windows, что исполняемые файлы повреждены, появление неизвестных
файлов в корневом каталоге, это лишь краткий перечень симптомов зараженной
машины. Помимо прямых вредоносных программ существует так называемое
шпионской программное обеспечение, это всевозможные кейлоггеры, дамперы
электронных ключей, нежелательные "помощники" к браузеру.
Честно говоря, по методу обнаружения их можно разделить на два
противоположных лагеря. Допустим кейлоггер, присоединенный динамической
библиотекой к оболочке операционной системы обнаружить на лету крайне
сложно, и наоборот, невесть откуда взявшийся помощник (плагин, строка
поиска и т.д.) к internet Explorer'у (как правило) бросается в глаза сразу
же. Итак, я думаю, настало время оставить эту пессимистическую ноту и
перейти к реалистичной практике обнаружения и деактивации вредоносного
программного обеспечения.
[Обнаружение на лету]
Первым делом мы научимся обнаруживать и уничтожать интернет-черви. Про
почтовые черви я рассказывать не буду, алгоритм он один для всех, однако
метод распространения почтовых червей настолько банален, что если вы
умудрились запустить файл из аттача, то эта статья вам не поможет все
равно. Для наглядности приведу пример из жизни, как обнаружил
недектируемый ни одним антивирусом (до сих пор) IRC-bot, на уязвимой
машине. Принцип распространения таких червей довольно прост, через
найденную уязвимость в операционной системе.
Если подумать головой то можно понять, что основным способом забросить
себя на уязвимую машину является вызов ftp-сервера на этой машине. По
статистике
уязвимостей это печально известный tftp.exe (который, кстати, я не разу не
использовал и думаю, что и создан он был только для вирусописателей).
Первый симптом таких червей это исходящий трафик и
не только из-за DDoS атак, просто вирус, попадая на машину, начинает поиск
другой уязвимой машины в сети, то есть попросту сканирует диапазоны
IP-адресов. Далее все очень просто, первым делом смотрим логи в журнале
событий ОС, что находится по адресу Панель управления->Администрирование->Журнал
событий. Нас интересуют уведомления о запущенных службах и главное
уведомления об ошибках. Уже как два года черви лезут через ошибку в DCOM
сервере, поэтому любая ошибка, связанная с этим сервером уже есть повод
полагать о наличие вируса в системе. Чтобы точно убедится в наличии
последнего, в отчете об ошибке надо посмотреть имя и права пользователя
допустившего ошибку.
Заказать товар?! Нет ничего проще!!!
Книги,музыка,софт...
Следующая
 |
 |
На главную
