|
В этой статье я хочу описать основные методы и приемы обнаружения и удаления вредоносных программ, типа интернет-червей и троянских вирусов с персональных компьютеров, работающих под управлением операционных систем семейства windowsXX. Причиной написания данной статьи послужило то, что мне за несколько дней пришлось 'лечить' семь персональных компьютеров пользователей, зараженных компьютерным червем BugBear, который на момент заражения не обнаруживался ни одним, из популярных в России, антивирусным продуктом: антивирусом лаборатории Касперского; Dr.Web от ДиалогНаука; NortonAntivirus от Symantec. Я такого даже в разгар эпидемии Klez не видел, хотя … тогда просто повезло, наверное … 8).
Досье (по материалам Symantec):
Виновный:
Компьютерный червь "BugBear", по шкале NortonAntiVirus заработал 4 балла из 5 возможных за две недели существования, встав наравне с "Nimda" и "Klez".
Основные данные:
Является приложением Windows (PE EXE-файл). Имеет размер около 50688 байт (упакован UPX), среда разработки - Microsoft Visual C++. Опасен для всех операционных систем семейства Windows.
Способ заражения:
Использует брешь (IFRAME) в системе безопасности почтового клиента, при этом зараженное вложение активизируется без участия пользователя при чтении или предварительном просмотре сообщения. Также возможно заражение через вредоносную Web-страницу. При инсталляции копирует себя со случайным именем в системный каталог Windows и регистрирует этот файл в ключе автозапуска системного реестра. Создает в системном каталоге Windows DLL-файл со случайным именем, впоследствии используемый для перехвата вводимых с клавиатуры символов.
Возможности:
Имеет встроенный HTTP-сервер и предоставляет "хозяину" WEB-интерфейс для операций с зараженной системой. Процедура удаленного управления открывает порт 36794 и "слушает" команды "хозяина". Данная процедура позволяет контролировать зараженный компьютер: принимать/передавать/копировать/удалять файлы, запускать файлы на выполнение, принудительно завершать процессы, etc.
Содержит Password-троян (PWS.Hooker.Trojan), который отсылает "хозяину" системные пароли на несколько адресов, которые находятся в теле червя в зашифрованном виде.
Ведет логи нажатия клавиш клавиатуры, в последствии отсылая их "хозяину".
Принудительно, примерно с интервалом в 30 сек., пытается завершать работу популярных антивирусных программ и фаерволов - Касперского, Нортона, Zonealarm, Outpost ... (всего 106 программ, в т.ч. резидентных сканеров и мониторов).
Рассылает зараженные письма, для этого использует встроенного SMTP-клиента и напрямую подключается к почтовому серверу.
Перебирает сетевые ресурсы в локальной компьютерной сети, ищет на них каталоги авто-запуска Windows и копирует туда свой EXE-файл.
А может враг и не пройдет?
Почему люди, являясь жильцами домов, выходя из них запирают свои кватриры. Являясь владельцами автомобилей ставят их на сигнализацию. Но почему эти же самые люди, являясь пользователями персональных компьютеров, лезут во всемирную паутину не защищаясь ферволами, запускают любые приложения без разбора и без предварительной их проверки антивирусами, нисколько при этом не заботясь о безопасности своего компьютера и находящихся в нем данных? Ведь достаточно, имея минимальные знания и соблюдая определенные правила поведения в сети, работы с программами, а так же используя специализированное программное обеспечение, свести опасность заражения компьютера до минимума! Но это отдельный разговор и для отдельной статьи, да и, собственно, речь в этой статье идет совсем не об этом …
Лечение больного …
Случилось так … или этак, но компьютер заражен … Нет, я не говорю здесь про вредоносные программы и компьютерные вирусы, которые удаляют файлы, форматируют жесткий диск или делают что-нибудь подобное … В данном случае лечение пациенту не требуется, а нужна тотальная переустановка программного обеспечения, да и мозги владельцу тоже не помешает … проинсталлировать 8))).
Для начала необходимо определить, откуда вредоносная программа запускается при загрузке компьютера. Для этого изучаем все возможные места системы, откуда могут запускаться программы:
1. Папка "Автозагрузка" (Autorun), вызываемая из 'Пуск/Программы'.
Место для загрузки очень уж очевидное, тем не менее иногда можно найти здесь. Все подозрительные программы смело удаляем отсюда.
2. Секции системного реестра Windows, отвечающие за запуск приложений.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunservicesOnce
HKEY_USERS\.Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_USERS\.Default\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_USERS\.Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices
HKEY_USERS\.Default\SOFTWARE\Microsoft\Windows\CurrentVersion\RunservicesOnce
Для просмотра и редактирования реестра в Windows используется утилита regedit, запускаем ее из командной строки (Пуск/Выполнить …) и ищем подозрительные файлы, запоминаем их пути, команды из реестра удаляем (будте аккуратны с реестром, предварительно надо сделать его копию).
3. Файл win.ini
В этом файле, доставшемся в наследство от windows3.1 вызов программ может производится отсюда:
[windows]
load=
run=
Файл открывается для редактирования любым текстовым редактором, например, стандартным "блокнотом" Windows. Если здесь вы обнаруживаете запись с подозрительным названием после символа '='- удалите ее.
Лучше конечно, не копаться во всем этом вручную, а использовать специализированную утилиту, например Starter (можно взять отсюда). Программа не требует инсталляции, имеет дружественный и интуитивно понятный интерфейс, показывает ВСЕ загрушенные процессы, чего нельзя сказать о msconfig.exe, стандартной утилите Windows. С помощью ее просматриваем все указанные секции реестра и файл win.ini, подозрительное блокируем.
4. Файлы autoexec.bat, config.sys.
Из этих файлов, доставшихся Windows от не умирающего DOS, также могут запускаться программы на выполнение. Открываем их текстовым редактором или утилитой msconfig.exe, подозрительные программы комментируем командой 'rem' в редакторе или убираем галочки в msconfig.
Теперь осталось удалить сами вирусные программы. Находясь в Windows это сделать практически всегда невозможно, т.к. программа уже активна. Здесь то нам и поможет старый добрый MS-DOS 8))). Перегружаем компьютер в режиме эмуляции MS-DOS, или в командном режиме, или загружаемся с системной дискеты Windows. Ищем подозрительные файлы на жестком диске и удаляем их.
Вот и все дела …. 8)))
Брат5, HomeSite http://www.brat5.by.ru
