Заказать товар!?
Нет ничего проще!!!
Если на этом месте стоит "пользователь неопределен" или
что-то подобное то радуйтесь, вы заражены! и вам придется читать дальше. Я
именно так и обнаружил своего первого вируса на специальной сборочной
машине (просто компьютер подключенный к сети с win2000, безо всяких пакетов
обновление, экранов и т.д. специально для сбора таких программ =)). Если действовать
по логике, а не по инстинкту, то первым делом вы должны закрыть дыру в
системе для последующих проникновений, а потом уже локализовывать вирусы. Как я уже
говорил, такие вирусы обычно лезут через tftp.exe, поэтому (если он вам
действительно не нужен! если никогда его не видели, значит, не нужен) просто удаляем его из
системы. Для этого сначала удаляем его из архива
%WINDIR%\Driver Cache\driver.cab
затем из папок обновления ОС, если таковые имеются, после этого из
%WINDIR%\system32\dllcache\ и уже потом просто из
%WINDIR%\system32\ Возможно, ОС скажет, что файлы повреждены и попросит диск с дистрибутивом,
не соглашайтесь! А не то он восстановится и опять будет открыта дыра. Когда
вы проделаете этот шаг можно приступать к локализации вируса. Посмотреть
какие приложения используют сетевое подключение, помогает маленькая удобная
программа TCPView, однако некоторые черви имеют хороший алгоритм шифрации или хуже
того,
прикрепляются к процессам либо маскируются под процессы. Самый
распространенный процесс для маскировки - это, несомненно, служба svhost.exe, в диспетчере
задач таких процессов несколько, а что самое поразительное, можно создать
программу с таким же именем и тогда отличить, кто есть кто практически невозможно. Но
шанс есть и зависит от внимательности. Первым делом посмотрите в диспетчере
задач (а лучше в программе Process Explorer) разработчика программ. У svhost.exe
это как не странно M$, конечно можно добавить подложную информацию и в код вируса,
однако тут есть пара нюансов. Первый и наверное главный состоит в том, что
хорошо написанный вирус не содержит не таблицы импорта, не секций данных.
Поэтому ресурсов у такого файла нет, а, следовательно, записать в ресурсы
создателя нельзя. Либо можно создать ресурс, однако тогда появится лишний
объем файла, что крайне нежелательно вирмейкеру. Еще надо сказать про svhost.exe,
это набор системных служб и каждая служба - это запущенный файл с
определенными параметрами. Соответственно в
Панели управления -> Администрирование -> Службы,
содержатся все загружаемые службы svhost.exe, советую подсчитать
количество
работающих служб и процессов svhost.exe, если не сходиться , то уже все
понятно (только не забудьте сравнивать количество РАБОТАЮЩИХ служб). Подробнее в
приложении А. Надо так же отметить, что возможно и среди служб есть вирус, на это могу
сказать одно, список служб есть и на MSDN и еще много где в сети, так что просто
взять и сравнить проблемы не составит. После таких вот действий вы сможете
получить имя файла, который возможно является вирусом. О том, как определять
непосредственно вирус или нет, я расскажу чуть дальше, а сейчас оторвемся от рассуждений и
посмотрим еще несколько моментов. Как вы, наверное, уже знаете, для
нормальной работы ОС необходимо всего 5 файлов в корневом каталоге, поэтому все
остальные файлы вы можете смело удалять, если конечно вы не умудряетесь ставить
программы в корневой каталог. Кстати файлы для нормальной работы, вот они:
ntldr
boot.ini
pagefile.sys
Bootfont.bin
NTDETECT.COM
Больше ничего быть не должно. Если есть и вы не знаете, откуда оно там
появилось то переходите к главе [Детальный анализ].Приаттачивание к процессам мы так
же рассмотрим в главе [детальный анализ], а сейчас поговорим про автозапуск.
Естественно вирус должен как-то загружаться при старте системы, как
правило. Соответственно смотрим следующие ключи реестра на предмет подозрительных
программ. (А если вы уже нашли вирус, то ищите имя файла везде в реестре и
удаляйте):
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskSchedulerHKLM\
SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Это все было сказано про детектирование простых червей. Конечно, вычислить
хороший скрытый вирус сложно. Обнаружение этого червя и его деативация
заняли у меня около 10 минут времени, конечно, я знал, где искать, это упростило
задачу.
Однако допустим на обнаружение хорошего бэкдора, кейлоггера, стелс-вируса,
или же просто вируса, в котором используется перехват вызовов API-функций
файловой
системы (тогда вирус получается действительно невидимым), потокового
в руса, в общем, есть еще ряд нюансов, однако таких творений действительно мало,
мало настоящих вирмейкеров в наши дни. Огорчает... Постараюсь рассказать о них
в следующих статьях.
теперь перейдем к шпионским программам, или, как их называют буржуи
SpyWare. Объяснять буду опять же на примерах шпионов, которых я ловил сам лично,
чтобы мои слова не казались пустой фантазией.
Начну я свой рассказ с самых распространенных шпионов. В одном
небезызвестном журнале один хороший программист правильно назвал их блохами ослика.
Простейший шпион очень часто скрывается за невинным на вид тулбаром. Знайте, что если
у вас, вдруг, откуда не возьмись, появилась новая кнопка или же строка
поиска в браузере то считайте, что за вами следят. Уж очень отчетливо видно, если у
вас вдруг изменилась стартовая страница браузера, тут уж и говорить нечего.
Конечно, прошу простить меня за некоторую некорректность в терминах. Вирусы,
меняющие стартовые страницы в браузере вовсе не обязательно будут шпионами, однако,
как правило, это так и поэтому позвольте здесь в этой статье отнести их к
шпионам.
рассмотрим пример из жизни, когда я пришел на работу и увидел на одном
компьютере странного вида строку поиска в браузере, на мой вопрос откуда
она взялась я так ничего и не получил. пришлось разбираться самому. Как вообще
может пролезть шпион в систему? Есть несколько методов, как вы уже заметили речь
идет про Internet Explorer, дело в том, что самый распространенный метод
проникновения вируса в систему через браузер - это именно посредством
использование технологии ActiveX, саму технологию уже достаточно описали и
зацикливаться я на ее рассмотрении не буду. Так же заменить стартовую
страницу, к примеру, можно простым Java-скриптом, расположенным на странице, тем же
javascript можно даже закачивать файлы и выполнять их на уязвимой системе.
Банальный запуск программы якобы для просмотра картинок с платных сайтов
известного направления в 98% случаев содержат вредоносное ПО. Для того
чтобы знать, где искать скажу, что существует три наиболее распространенных
способа, как шпионы располагаются и работают на машине жертвы.
Первый - это реестр и ничего более, вирус может сидеть в автозагрузке, а
может и
вообще не присутствовать на компьютере, но цель у него одна - это заменить
через реестр стартовую страницу браузера.
В случае если вирус или же скрипт всего лишь однажды заменил стартовую
страницу, вопросов нет, всего лишь надо очистить этот ключ в реесре, если же после
очищения, через некоторое время ключ снова появляется, то вирус запущен и
постоянно производит обращение к реестру. Если вы имеете опыт работы с
отладчиками типа SoftIce то можете поставить точку останова на доступ к
реестру (bpx RegSetValueA, bpx RegSetValueExA) и проследить, какая программа,
кроме стандартных, производит обращении к реестру. Дальше по логике уже.
Второй - это именно перехватчики системных событий, так назваемые хуки.
Как правило, хуки используются больше в кейлоггерах, и представляют собой
библиотеку, которая отслеживает и по возможности изменяет системные
сообщения. Обычно есть уже сама программа и прикрепленная к ней библиотека, поэтому
исследуя главный модуль программы вы ничего интересного не получите.
Подробнее об этом и следующем способе смотрите ниже в главе детальный
анализ.
