Журнал Компьютерра - Журнал «Компьютерра» N 35 от 26 сентября 2006 года
[www.ptsecurity.ru], можно просто набрать команду netstat -an, но в этом случае велик риск получить недостоверную инфрмацию, так как некоторые трояны готовы к этому. В любом случае, самый надежный способ проверки - извне.
Если подозрительная активность обнаружена, то прежде чем готовиться к длительному отражению осады злейших кибермонстров, неплохо бы поискать примитивных троянов [А также adware/spyware, hi-jack (подменяющих адрес стартовой страницы) и прочих наград за распутный веб-серфинг] и их следы в типичных местах для размещения «подарков».
Прежде всего обратите взор на активные процессы. Можно воспользоваться и стандартным TaskManager’ом, но лучше попробовать Advanced Process Viewer. Необходимо завершить все посторонние процессы, принадлежащие зловредному коду. Во избежание недоразумений полезно «своих знать в лицо». И в здравом уме не стоит трогать хотя бы следующие процессы: Explorer, Lsass, Services, System, Winlogon, Svchost, Csrss, Smss. Естественно, список далеко не полный и несколько отличается у разных пользователей, но эти - самые главные. Особое внимание следует обратить на так называемые процессы-маскировщики, они обычно имитируют истинные названия по написанию: explore (должно быть explorer), sys (system), svshost (svchost), winlogin (winlogon), systrey (systray) и т. д., их надо удалить в первую очередь.
После того как разобрались с оперативной памятью, запускаем regedit (или любой другой, более удобный редактор реестра) и открываем ветви:
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun;
HKCUSoftwareMicrosoftWindowsCurrentVersionRun;
HKU.DefaultSoftwareMicrosoftWindowsCurrentVersionRun;
HKLMSoftwareMicrosoftWindowsCurrentVersionRunonce;
HKCUSoftwareMicrosoftWindowsCurrentVersionRunonce;
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunServices;
При обнаружении ключа автозапуска, принадлежащего вредоносному коду - тут же удалите его. Если не уверены во вредоносности, просто поставьте в начале строки запуска несколько символов "+", это помешает запустить программу при следующей загрузке.
Ну а утилита autoruns от Марка Руссиновича и Брюса Когсвелла покажет вам не только общеизвестные секции автозапуска в реестре, но и вообще ВСЁ, что запускается самостоятельно при каждой загрузке операционной системы. В том числе и как ее часть. Это сотни строк, будьте морально готовы. Искать по ним подозрительные вещи глазками - довольно нудное занятие, поэтому рекомендую сразу после установки «чистой» ОС экспортировать из autoruns список автозапуска в текстовый файл, а затем каждый раз при проверке создавать новый и просто сравнивать его с эталонным (например, опцией «сравнить файлы» в Total Commander).
Так что при наличии внимания, здравого смысла и хорошего инструмента вы легко завалите относительно крупных и заметных коней. Но среди них попадаются и очень подлые экземпляры, которые вычищать придется долгие часы, зовя на помощь знания о внутреннем устройстве системы. Но в этом случае, возможно, проще дождаться обновления антивирусных баз…
Много хорошо - тоже плохоМногие по старинке считают, что чем больше, тем лучше. Это касается и пользователей, которые, увидев очередную защитную программу, спешат ее установить. В результате либо ни одна из них на самом деле не работает, либо компьютер «встает на ручник». С недавних пор появился и еще один вариант: ОС не загружается вообще.
Поэтому большинство инсталляторов AV-пакетов первым делом проверяют: а не стоит ли уже другой антивирус? И если таковой находят, то требуют (безапелляционно!) сначала деинсталлировать его. Антивирусы стали «стукаться лбами» не только друг с другом, но и с другими защитными программами (файрволлами, антишпионами, антитроянами, etc.). Их использование стало несовместимо практически с любыми программами, работающими на уровне ядра: отладчик SoftIce, почти все эмуляторы и в некоторых случаях даже антипиратская система проверки оптических носителей компании StarForce.
Вирмэйкеры не стесняются писать свой код так, что он вмешивается в работу ОС на самом глубоком уровне. Разработчикам защитных программ приходится использовать столь же глубокую интеграцию. Усугубляет ситуацию и взгляд компании Microsoft на то, как должно выглядеть ядро ОС. Как известно с незапамятных времен, конструктор достигает совершенства не тогда, когда уже нечего добавить, а когда нечего больше удалить из его творения. К сожалению, ядра в семействе Windows только толстеют от релиза к релизу, вбирая в себя все больше нестабильных компонентов.
Недавно тестовая попытка подружить Zone Alarm Pro 6.5, Norton Antivirus 2005 и Kaspersky Antivirus 5.0 for Workstation привела к невозможности загрузить WinXP. Дело в том, что Kaspersky AntiVirus перехватывал (в режиме ядра!) функции ZwClose, ZwCreateProcess, ZwCreateSection и другие. Norton Antivirus хоть и не имел приказа проверять все «на лету», однако продолжал загружать свои сервисы и действовал аналогичным образом. В общем, говоря бытовым языком, вся эта свора сторожевых псов перегрызлась из-за виндового ядра. Усугубляло ситуацию и то, что ОС была установлена на RAID-массив, загружался модифицированный драйвер nVidia IDE_SW и драйвер a347bus.sys (установленный пакетом Alcohol 120%)…
Сегодня сложилась такая ситуация, что, усиливая malware-защиту, даже опытный пользователь рискует получить проблем больше, чем если бы допустил инфицирование своего ПК.
Неплох следующий вариант: непосредственно во время работы в основной ОС защиту ПК берет на себя либо один софтовый комплекс, либо набор гарантированно бесконфликтных программ. Дополнительные проверки выполняются программами, не стремящимися работать на уровне ядра, или же вообще из-под дополнительной ОС.
ТЕМА НОМЕРА: Плоды конверсии
Авторы: Константин Курбатов, Андрей Васильков
Социальная значимость любого софта зависит не только от целей его создания, но и от целей применения. Так, кухонный нож не только инструмент семейных разборок, но и удобное орудие для нарезки овощей…
Появление троянов, обладающих огромными «административными» возможностями вместе с удобным графическим интерфейсом на стороне клиента (откуда, собственно, и направляются их действия), привело к тому, что этими «вредными» возможностями стали пользоваться не только злоумышленники.
Как-то довелось общаться с системным администратором, который использовал Back Orifice для управления компьютерами в корпоративной сети, чьи пользователи часто требовали внимания. «Чтобы через весь коридор не бегать к ним из-за очередного пустяка», - улыбаясь, пояснял он за рюмкой чая.
Другой приятель возлюбил утилиту Hidden Camera, которая позволяла видеть в режиме реального времени все, что происходит на «рабочем столе» удаленного компьютера. Очень удобно, знаете ли, позвонить сотруднику с другого этажа и подсказать, как побыстрее разложить пасьянс, - надо же помочь ему поскорее взяться за дело, которое вы и поручили…
KGBSpy - хакерская утилита. Такие приложения, часто являющиеся полезными при корректном применении, могут быть использованы и для причинения вреда. Утилита записывает все нажатия на клавиши, однако сохраняет в памяти только знаки. Которые затем могут быть отправлены по e-mail или FTP. От относительно «честных» программ она отличается тем, что может быть запущена в скрытом режиме, поэтому KGBSpy быстро попала на карандаш ведущим антивирусным компаниям.
Впрочем, KGBSpy - банальный кейлоггер (keylogger). Ничего впечатляющего. GhostSpy, написанный талантливым украинским парнем Валентином Валерьевичем Состиным, - куда круче. Проект временно приостановлен, но задумки у автора были - мама не горюй! Как-то раз Андрей Васильков предупредил его, что программа может быть легко классифицирована как троян. Валентин не поверил: мол, как так, я же ее бесплатно с сайта распространяю и в мануале четко цели указал! И верно, на его страничке написано: «Запрещено использовать GS с целью овладения приватной информацией, взлома паролей, нанесения физическому лицу любого вида ущерба»…
Конечно, это предупреждение никого не останавливает, особенно системных администраторов, просматривающих личную переписку Светки с третьего этажа; не прошло и полутора месяцев, как AVP стал определять GhostSpy как троян. Валя обиделся (причем на все антивирусные компании скопом, поскольку базами AVP дело не ограничилось) и стал совершенствовать свой продукт. К 2003 году ничего лучше, наверное, уже и не было, однако он не собирался останавливаться. Но к тому моменту Валентин поступил в институт, стал учиться на системного программиста и забросил сайт проекта ghostspy.coolfreepage.com. Тем не менее написать более мощный кейлоггер, насколько мне известно, никто так и не сумел.
Еще одна утилита - Processor. Это интерпретатор командной строки, который после установки на компьютер жертвы может быть активирован удаленно. С его помощью удобно собирать информацию о запущенных на компьютере процессах, а также запускать новые или завершать их.
Другая известная утилитка, чаще применяемая для скрытого запуска троянских программ, - Cmbow - изменяет (в частности, скрывает) свойства окон. Она запускается из командной строки (может стартовать автоматически). Сокрытие окна может понадобиться для того, чтобы пользователь не разглядел запуск какого-то приложения (того же трояна). Скажем, так удобно «троянить» ПК на работе. Пришел с флэшкой и при помощи Cmbow запустил по очереди все программы из набора «юный хакер». А потом идешь в отдел кадров писать заявление об увольнении…