Журнал «Компьютерра» № 35 от 26 сентября 2006 года - Компьютерра. Страница 13
Чаще всего в различных руководствах по борьбе с вирусами советуют начинать проверку с открытых на компьютере портов. В нормальном режиме, при установленном и адекватно настроенном Zone Alarm’е (или любом другом приличном брандмауэре) все неиспользуемые порты закрыты. Поэтому попытка отправить запрос на один из «нестандартных» портов ни к чему не приведет: компьютер прикинется калькулятором и запрос проигнорирует.
А вот если чудо-софт обнаружил что-то подозрительное, тут надо глядеть во все порты! Утилита AVZ (www.z-oleg.com/secur/avz) их отлично показывает. И она — мощнейшее оружие супротив троянов и прочих супостатов. Положительный результат (наличие непрошенных соединений) будет свидетельствовать о том, что вы на правильном пути. А вот отрицательный результат вовсе не означает отсутствия заразы в вашем ПК. Кстати, чем именно смотреть — не столь важно. Я пользуюсь AVZ, админы традиционно предпочитают X-Spider
[www.ptsecurity.ru], можно просто набрать команду netstat -an, но в этом случае велик риск получить недостоверную инфрмацию, так как некоторые трояны готовы к этому. В любом случае, самый надежный способ проверки — извне.
Если подозрительная активность обнаружена, то прежде чем готовиться к длительному отражению осады злейших кибермонстров, неплохо бы поискать примитивных троянов [А также adware/spyware, hi-jack (подменяющих адрес стартовой страницы) и прочих наград за распутный веб-серфинг] и их следы в типичных местах для размещения «подарков».
Прежде всего обратите взор на активные процессы. Можно воспользоваться и стандартным TaskManager’ом, но лучше попробовать Advanced Process Viewer. Необходимо завершить все посторонние процессы, принадлежащие зловредному коду. Во избежание недоразумений полезно «своих знать в лицо». И в здравом уме не стоит трогать хотя бы следующие процессы: Explorer, Lsass, Services, System, Winlogon, Svchost, Csrss, Smss. Естественно, список далеко не полный и несколько отличается у разных пользователей, но эти — самые главные. Особое внимание следует обратить на так называемые процессы-маскировщики, они обычно имитируют истинные названия по написанию: explore (должно быть explorer), sys (system), svshost (svchost), winlogin (winlogon), systrey (systray) и т. д., их надо удалить в первую очередь.
После того как разобрались с оперативной памятью, запускаем regedit (или любой другой, более удобный редактор реестра) и открываем ветви:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run;
HKCU\Software\Microsoft\Windows\CurrentVersion\Run;
HKU\.Default\Software\Microsoft\Windows\CurrentVersion\Run;
HKLM\Software\Microsoft\Windows\CurrentVersion\Runonce;
HKCU\Software\Microsoft\Windows\CurrentVersion\Runonce;
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices;
При обнаружении ключа автозапуска, принадлежащего вредоносному коду — тут же удалите его. Если не уверены во вредоносности, просто поставьте в начале строки запуска несколько символов "+", это помешает запустить программу при следующей загрузке.
Ну а утилита autoruns от Марка Руссиновича и Брюса Когсвелла покажет вам не только общеизвестные секции автозапуска в реестре, но и вообще ВСЁ, что запускается самостоятельно при каждой загрузке операционной системы. В том числе и как ее часть. Это сотни строк, будьте морально готовы. Искать по ним подозрительные вещи глазками — довольно нудное занятие, поэтому рекомендую сразу после установки «чистой» ОС экспортировать из autoruns список автозапуска в текстовый файл, а затем каждый раз при проверке создавать новый и просто сравнивать его с эталонным (например, опцией «сравнить файлы» в Total Commander).
Так что при наличии внимания, здравого смысла и хорошего инструмента вы легко завалите относительно крупных и заметных коней. Но среди них попадаются и очень подлые экземпляры, которые вычищать придется долгие часы, зовя на помощь знания о внутреннем устройстве системы. Но в этом случае, возможно, проще дождаться обновления антивирусных баз…
Многие по старинке считают, что чем больше, тем лучше. Это касается и пользователей, которые, увидев очередную защитную программу, спешат ее установить. В результате либо ни одна из них на самом деле не работает, либо компьютер «встает на ручник». С недавних пор появился и еще один вариант: ОС не загружается вообще.
Поэтому большинство инсталляторов AV-пакетов первым делом проверяют: а не стоит ли уже другой антивирус? И если таковой находят, то требуют (безапелляционно!) сначала деинсталлировать его. Антивирусы стали «стукаться лбами» не только друг с другом, но и с другими защитными программами (файрволлами, антишпионами, антитроянами, etc.). Их использование стало несовместимо практически с любыми программами, работающими на уровне ядра: отладчик SoftIce, почти все эмуляторы и в некоторых случаях даже антипиратская система проверки оптических носителей компании StarForce.
Вирмэйкеры не стесняются писать свой код так, что он вмешивается в работу ОС на самом глубоком уровне. Разработчикам защитных программ приходится использовать столь же глубокую интеграцию. Усугубляет ситуацию и взгляд компании Microsoft на то, как должно выглядеть ядро ОС. Как известно с незапамятных времен, конструктор достигает совершенства не тогда, когда уже нечего добавить, а когда нечего больше удалить из его творения. К сожалению, ядра в семействе Windows только толстеют от релиза к релизу, вбирая в себя все больше нестабильных компонентов.
Недавно тестовая попытка подружить Zone Alarm Pro 6.5, Norton Antivirus 2005 и Kaspersky Antivirus 5.0 for Workstation привела к невозможности загрузить WinXP. Дело в том, что Kaspersky AntiVirus перехватывал (в режиме ядра!) функции ZwClose, ZwCreateProcess, ZwCreateSection и другие. Norton Antivirus хоть и не имел приказа проверять все «на лету», однако продолжал загружать свои сервисы и действовал аналогичным образом. В общем, говоря бытовым языком, вся эта свора сторожевых псов перегрызлась из-за виндового ядра. Усугубляло ситуацию и то, что ОС была установлена на RAID-массив, загружался модифицированный драйвер nVidia IDE_SW и драйвер a347bus.sys (установленный пакетом Alcohol 120%)…
Сегодня сложилась такая ситуация, что, усиливая malware-защиту, даже опытный пользователь рискует получить проблем больше, чем если бы допустил инфицирование своего ПК.
Неплох следующий вариант: непосредственно во время работы в основной ОС защиту ПК берет на себя либо один софтовый комплекс, либо набор гарантированно бесконфликтных программ. Дополнительные проверки выполняются программами, не стремящимися работать на уровне ядра, или же вообще из-под дополнительной ОС.
ТЕМА НОМЕРА: Плоды конверсии
Авторы: Константин Курбатов, Андрей Васильков
Социальная значимость любого софта зависит не только от целей его создания, но и от целей применения. Так, кухонный нож не только инструмент семейных разборок, но и удобное орудие для нарезки овощей…
Появление троянов, обладающих огромными «административными» возможностями вместе с удобным графическим интерфейсом на стороне клиента (откуда, собственно, и направляются их действия), привело к тому, что этими «вредными» возможностями стали пользоваться не только злоумышленники.
Как-то довелось общаться с системным администратором, который использовал Back Orifice для управления компьютерами в корпоративной сети, чьи пользователи часто требовали внимания. «Чтобы через весь коридор не бегать к ним из-за очередного пустяка», — улыбаясь, пояснял он за рюмкой чая.
Другой приятель возлюбил утилиту Hidden Camera, которая позволяла видеть в режиме реального времени все, что происходит на «рабочем столе» удаленного компьютера. Очень удобно, знаете ли, позвонить сотруднику с другого этажа и подсказать, как побыстрее разложить пасьянс, — надо же помочь ему поскорее взяться за дело, которое вы и поручили…