Антивирус спасает далеко не всегда, главный недостаток - сигнатурный поиск. При желании вооружившись Winhexom и надежным криптором значок в трее авера будет бесполезно висеть, не мешая проникновению в систему различного рода spyware, adware, crimware, viruses и т.д. Как бы не полагались производители на технологию эвристического поиска - на деле эта фича служит лишь для привлечения клиентов. Если вы столкнулись с вредоносным ПО, а не с одноразовыми шутками, гробящими систему, то зараза может автозагружаться. Автозапуск 1). Реестр - ветки Run , RunOnce , RunOnceEx , RunService , RunServiceOnce для текущего пользователя. Банальный автозапуск через реестр, самый распространенный. Автозапуск на уровне пользователя. 2). Самооткрывающиеся меню. Меню Пуск -- Все программы -- Автозагрузка. Единственный плюс в том, что в закоулках реестра можно сменить путь к папке Автозагрузка на какой нибудь другой. Например, на %windir%system32 - страшно будет подумать, как у юзера при запуске винды автоматом запустятся все проги из system32)) 3). Файлы автозапуска. Win.ini , system.ini , wininit.ini , wininit.ini , winstart.bat , config.sys , dosstart.bat , autoexec.nt , autoexec.bat , config.nt. Некоторые в корне системного диска, многие в папке windows. Ознакомьтесь с их синтаксисом самостоятельно. Особое внимание хотел бы уделить файлу system.ini. Параметр shell по-умолчанию установлен в explorer.exe. Т.е при запуске винды будет грузиться стандартная оболочка эксплорера. При замене этого параметра последствия предугадываемы - загрузка вируса вместо эксплорера, а затем вирус, получивший управление загружает эксплорер. 4). Winlogon - вход в windows. HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon Значения shell и userinit отвечают за загрузку пользовательского интерфейса. Shell - уже знакомая оболочка эксплорера. Способ автозагрузки такой же, как в предыдущем способе. В Winlogon много параметров отвечающих за вход в систему и настройка поведения explorer, что на руку изощренной заразе. На всякий случай держите бекапы важных веток реестра на болванке. 5). Команды оболочки. Параметры запуска командных файлов, исполняемых файлов, скриптовой платформы(wscript), заставки и т.д Например, зараза запускается вместе с каждым exeшником. Редкий способ, гораздо чаще используется перехват аналогичным системных функций. 6). Appinit dlls - внедренные библиотеки во все процессы. Обычно это spyware. HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows, параметр AppInit_DLLs. Вредоносная дллка внедряется в каждый процесс и контролирует таким образом работу систему. К примеру если это направлено на ослика(iexplore.exe) то библа может генерировать переход на любой сайт автоматически или генерировать накрутку посещений на сайте. Сама по себе dll служит компонентом для основного тела вредоносной программы. 7). Сервисы. Самый действенный способ для средней малвари. В систему добавляется сервис(это можно сделать вручную, путем записи в реестр), устанавливается путь к exeшнику для запуска, имя сервиса, тип автозапуска - auto, остальное значения не имеет. Обнаружить труднее всего, юзер редко когда знает для чего какие сервисы служат. Между прочим работающая служба планировщика заданий обеспечивает автозагрузку любой заразы, поэтому следует ее отключить, если особо не нужна. Панель управления -- Администрирование -- Службы. 8). Руткиты(на уровне пользователя или ядра) , драйверы, перехват системных функций, библиотеки winsock, изменение записи master boot record. Лучшее решение, вирьмейкеры, умело применяющие такие методы - вот что вызывает уважение. Серьезные эпидемии на сегодняшний день вызывают трояны с применением руткитов для скрытия в системе. Возможно скрывать свои файлы от виндосовского api, записи в реестре, вредоносные процессы. Все антивирусы в нокдауне, если вовремя не смогли обнаружить комплекс, и он получил доступ к системе с наивысшими привелегиями. Каждое системное событие: запуск файла, подгрузка dll, открытие папки, изменение реестра, выход из системы, даже перемещение окна по экрану - все контролируется и при желании создателя заразы может модифицировать эти действия или добавлять к ним новые свойства. AVZ. Без этой утилиты не обойтись. Теперь о том, как с ее помощью уничтожить практически любую заразу. Первым делом на вкладке меню "AVZPM" выберите "Установить драйвер расширенного мониторинга процессов". Теперь о проверке системы. На вкладке "Область поиска" выбирайте системный диск. Там где "Выполнять лечение" - на свое усмотрение, не советую ставить на автоматическое удаление всего найденного. "Типы файлов" - устанавливайте "Все файлы". "Параметры поиска" - установите все на максимум, отметьте все пункты. Пуск проверки. Ход проверки. Инициализация баз и микропрограмм AVZ. 1. Поиск RootKit и программ, перехватывающих функции API 1.1 Поиск перехватчиков API, работающих в UserMode //Анализ пользовательских dll. При включенной нейтрализации руткитов на уровне пользователя красным будут отмечены обнаруженные коды руткитов в функциях библиотек, надписи о том что они нейтрализованы. Если у вас стоит файрволл, и какое нибудь антишпионское ПО то эти руткиты служат для их правильной работы. 1. Поиск RootKit и программ, перехватывающих функции API 1.1 Поиск перехватчиков API, работающих в KernelMode //Анализ перехваченных функций ядра. При найденных перехватчиках красным будет выведена функция, которая была перехвачена и путь к файлу перехватчика. Перехваченные функции восстанавливаются, но это не помешает заразе остановиться навсегда, после перезагрузки все пойдет по новой. Если имя переватчика не относится к системе или установленным антивирусным программам, то это руткит, скрывающий вредоносное ПО в системе и обеспечивающий его скрытную работу. 1.3 Проверка IDT и SYSENTER 1.4 Поиск маскировки процессов и драйверов //Обращайте внимание на этот пункт. Настоящее имя найденного замаскированного драйвера выведется красным. Как и в случае с перехватчиками ядра, запоминайте все найденные аномалии и имена предполагаемых вредоносных модулей. 1.5 Проверка обработчиков IRP //Перехваченные обработчики как обычно выводятся красным, обращайте внимание на случаи, в которых путь к файлу руткита определен. 2. Проверка памяти //Здесь идет только анализ процессов. Часто AVZ находит больше процессов, чем стандартный диспетчер задач, что губительно для руткитов на уровне пользователя. О каждом процессе выводятся предупреждения - по типу записан в автозапуск, подозрение на exe упаковщик, может работать с сетью, не имеет видимых окон. Здесь все ясно. 3. Сканирование дисков //Здесь сканирование выбранных вами дисков(или папок на диске). Вся обнаруженная зараза обрабатывается в соответствии с заданными параметрами "Методика лечения". 4. Проверка Winsock Layered Service Provider (SPI/LSP) //Бывает зараза намерено прекращает доступ в интернет, изменяя эти настройки. Пооверка их утилитой AVZ автоматически исправит все ошибки и обеспечит доступ в сеть. 5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL) //Здесь тоже все ясно. Подозрительные dll будут выведены красным, будет произведен поведенческий анализ обьекта и выведена степень вероятности подозрений. 6. Поиск открытых портов TCP/UDP, используемых вредоносными программами //У AVZ есть база в несколько сотен троянских портов, как протокола TCP, так и UDP. При нахождении открытых троянских портов будет выведено предупреждение и путь к файлу, работающему с этим портом в данный момент. При нахождении такого добра пора бить тревогу и выкидывать на помойку негодный антивирус/файрволл, обрубать инет полностью, до удаления заразы из системы. 7. Эвристичеcкая проверка системы //Не путать с никудышной эвристической сигнатурной проверкой у раскрученных антивирусов. Это действительно мощная проверка, выявляющая скрытые загрузчики и т.д 8. Поиск потенциальных уязвимостей //Выдает предупреждение о запущенных потенциально опасных службах(телнет, удаленный рабочий стол, планировщик заданий), административном доступе к дискам, расшаренных ресурсах, доступу к системе в качестве гостя. 9. Мастер поиска и устранения проблем //Запрещенный запуск реестра, заблокированный диспетчер задач, включенный автозапуск с hdd и сьемных устройств - все это выводится здесь.
Проверка закончена. Все подозрительные файлы смотрите в меню "Файл" -- "Просмотр списка подозрительных обьектов", там же принимайте решения об удалении. Откройте меню "Файл" -- "мастер поиска и устранения проблем". Найдите и исправьте системные проблемы, например часто встречающееся несоответствиие расширений файлов и заблокированный реестр. Все проверки которые производились можно сделать вручную, меню вкладка "Сервис". Зеленым отмечаются безопасносные обьекты, черным - сторонних производителей и просто неопределенные, красным - наверняка вредоносные. Меню файл -- "Восстановление системы" - полезные функции для очистки следов от spyware, в том числе и восстановление настроек ослика. Меню файл -- "Менеджер автозапуска" - контроль над почти всеми методами автозапуска, перечисленными выше. И о вычислении внедренных dll в системные процессы. В AVZ есть "Диспетчер процессов", выберите любой процесс и внизу увидите "Используемые dll". Как раз то что нужно. Проверьте все библиотеки, отмеченные черным, и не имеющие подписи производителя антивиря или файрволла. С средней малварью и многими червями покончено. Зная как использовать эту тулзу, можно нейтрализовать подавляющее большинство вредоносного ПО. А ведь мы еще даже не заикнулись про полноценный антивирус) Трояны. Пришло время разделаться и с троянами. Не будет страшен даже запуск без разбору любого вредителя, работающего с сетью. Все дело в файрволле, если такого еще не установил то не заботишься о безопасности в интернете. Лучший на сегодня фаер это Agnitum Outpost Firewall PRO, в представлении массам не нуждается. Проблемой для многих становится его настройка. Для базовой защиты достаточно ставить уровень "Повышенный" при установке. Тогда по-умолчанию он отслеживает все сетевые коннекты, при разрешении добавляет сетевую прогу в доверенные, отслеживает реестр, попытки загрузки драйверов, записи в системные файлы, попытки внедрения в другой процесс, попытки запуска неизвестных программ, удаляет вредоносные скрипты, попадающие из веба. Список впечатляющий. Вся активность системы как на ладони. Полезнейшая фишка файрволла в том, что он детектирует и отклоняет практически все известные сетевые атаки (фаер использует руткит технологии для низкоуровнего доступа к системе, отсюда и тотальный контроль над всей активностью). Ничего страшного в том что лог обнаруженных атак растет каждые 5 минут, это автоматические запросы с серваков прова на всю подсеть плюс атаки с зараженных машин. Приходится считаться с тем что интернетом пользуются повально все, и в основной массе это практически ничего не смыслящие люди. В то время как они лазают по соц сетям и онлайн игрушкам червяки с их компов продолжают сканировать удаленные машины для размножения, ддосят сайты, а умельцы, распространившие червя по инету, уже продают отчеты троев на тематических ресурсах. Бывает даже так что комп ничего не подозревающего пользователя входит в ботнет, и несколько раз этот самый ботнет перепродается от одного хозяина другому)) Фаервол, в отличии от AVZ, предупреждение заражения. Если случайно разрешили трояну свою деятельность, то гоу Настройки -- Правила для приложений -- [Сетевая прога] -- Редактировать - Блокировать все действия. И учтите, оптимальный вариант - это индивидуальная настройка фаера, так что придется покопаться в настройках/гугле поочередно. Антивирус. Не мешает обзавестись, лень каждый раз исследовать систему утилитой авз и уничтожать побежденную малварь руками:) А для лечения зараженных файлов просто необходимо. Что бы посоветовать? ИМХО DrW......, но оставляю выбор антивиря на читателя. Рассказывать про обобщенное использование не буду, т.к некоторые антивирусы умеют ловить руткиты на уровне ядра, а некоторые не справляются с простым троем) Сторонние антишпионские утилиты как раз созданы против троянов и шпионов, но неэффективны против червей и вирусов. Против изощренных шпионов хорошо справляется Ad Aware, особенно со встраивающимися в браузер или в качестве activex компонента. Утилита HiJackFree показывает процессы, практически всю автозагрузку(перечисленные выше методы), открытые порты, хост файл и многое другое, не мешает обзавестись. Удаление вручную При себе имеем обычную ХРюшу, допустим зараженную(чем именно не известно), пользоваться можно только средствами системы. Интернет есть, но скачивать ничего нельзя, так же есть локалка. Теперь о том, как вручную искоренить заразу в такой ситуации.
Так как есть локалка, то для начала cmd -- "net user". Если обнаружена неизвестная учетка, то "net user [УЧЕТКА] /delete". Теперь cmd -- "net share". Удаляйте все неразрешенные шары, "net share C$ /delete", "net share ADMIN$ /delete" и т.д. Более удобно юзать компонент панели управления fsmgmt.msc(просто запустите через меню Выполнить), эта утилита показывает все расшаренные ресурсы на компе и удаленные компы, их просматривающие, включая netbios имена, айпи, время просмотра, имя активного пользователя(!). И для остановки телнета: [code] @echo off net stop telnet sc config tlntsvr start= disabled tlntadmn config port=23 sec=-NTLM [/code] Все учетки, которые существуют, но скрыты при старте системы в ветке реестра HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogonSpecialAccountsUserList. На время избавления от заразы, не помешает настроить свойства подключения по локалке -- вкладка "Общие". Снимите галочки с "Клиент для сетей Microsoft", "Служба доступа к файлам и принтерам", "Ответчик обнаружения топологии уровня связи". Теперь выбираем "Протокол интернета (TCP/IP)" и его свойства -- дополнительно. Вкладка "DNS", снимите галочку с пункта "Зарегестрировать адреса этого подключения в DNS". Вкладка "WINS" -- выберите "Отключить NetBios через TCP/IP". Теперь ваш комп не может обращаться к другим машинам в локалке, но повышен уровень безопасности на время поиска заразы. Если не используются общие ресурсы, файлообменники и т.д, то можно так и оставить, система будет меньше тормозить. Дале не помешает проверить автозагрузку через ключи реестра, все найденные неизвестные параметры в разделах Run, RunOnce для HKEY_CURRENT_USER или HKEY_LOCAL_MACHINE спокойно удаляйте. Далее просто удалите само тело вируса, найденное в параметре автозапуска. Если реестр отключен средствами системы, то заставить его заработать можно через "secpol.msc /s" - локальная политика безопасности. Или просто попробуйте переименовать regedit.exe в папке windows на *.bat. Запускаться будет, если вирь блочит редактор только по имени процесса regedit.exe. Если блокировка идет по хендлу окна, то попробуйте удалить свою учетку, создайте для начала другую с админскими правами и зайдите с нее. Настройки на свеже созданной учетке дефолтные, и реестр и таскменеджер будут запускаться. Новая учетка решает все проблемы с отображением скрытых и системных файлов. Теперь о уничтожении резидентной малвари. cmd -- "tasklist". Стандартная утилита tasklist показывает даже те процессы, которые не видны для обычного диспетчера. Обнаружили подозрительный процесс - найдите имя файла на диске. Если отсутвуют подписи известных разработчиков в свойствах файла и дата его создания недавняя, то можно валить. Но это нельзя будет сделать средствами проводника, набейте в командную строку: [code] @echo off taskkill /im [вредоносный_процесс] /f attrib -s -r -a -h [путь_к_файлу_процесса] erase [путь_к_файлу_процесса] /f shutdown -r -f [/code] Идем дальше, если последствия остались. Комбинация клавиш win + pause, смотрим в раздел удаленные сеансы, снимаем галочки со всех разрешений. Затем убедитесь что отключены следующие службы: TermService, RemoteRegistry, NetTcpPortSharing, ClipSrv, RDSessMgr, Telnet. Все кто возможно юзал ваш комп как выделенный сервер(дедик) в большом обломе. Регулярно следите за опасными службами и скрытыми учетками, и проблем с этим не будет. Брандмауэр в винде, как все знают, никуда не годится. Но щелкните по свойствам этого самого вечно отключенного брандмауэра по вкладке "Исключения". Посмотрите на пути к прогам, некоторые из них вписываются в исключения самостоятельно, угадайте зачем. Ничего не стоит удалить эти проги, но в случае с пинчем и ему подобными при отсутствии файрволла и антивируса будет уже поздно)) Пора воспользоваться по настоящему мощным средством для мониторинга сетевой активности, cmd -- "netstat -a -b". Через пару минут увидите статистику всех текущих коннектов, даже скрытых от сторонних файрволлов. Узнав имя подозрительного процесса, юзающего нестандартный порт, ничего не стоит его грохнуть, опять же через cmd. Исследуйте найденный сетевой процесс, поищите его и в службах. Если по всем признакам это бекдор, то можете посмотреть айпи подключившегося в графе "Внешний адрес" нетстата, если взломщик не соксифицировал админку управления сервером. А вот код для очистки временных файлов, среди которых обычно прячутся вирусные модули: [code] @echo off attrib -s -r -a -h %temp%*.* erase %temp%*.* /f attrib -s -r -a -h %tmp%*.* erase %tmp%*.* /f [/code] Обратите внимание на излюбленные для spyware папки %systemdrive%docume~1текущий_пользовательLocal SettingsTemp, %systemdrive%docume~1текущий_пользовательLocal SettingsTempomary Internet Files, %systemdrive%docume~1текущий_пользовательLocal SettingsApplication Data. Для выявления недавно измененных или созданных файлов в папке windows удобно юзать стандартный поиск файлов и папок, указажите только маску для поиска и дату модификации. Если зараза повредила системные файлы, то запускайте "sfc /scannow" для их восстановления. Компонент панели управления eventvwr.msc - те самые локальные логи уведомлений, событий и ошибок винды, выдающие подробное описание, путь к файлу, дату и время с точностью до секунды, и даже дизассемблированный отрывок кода ошибки. По этим самым логам и можно вычислить абсолютно все действия на компе за всю историю системы, время работы на нем, моменты подключения к инету, отчеты системных служб, ответы устройств на системные обращения, подключения к сетевым интерфейсам и многое другое. Самая фишка - в том что все эти логи можно легко очистить через ту же стандартную утилиту eventvwr.msc. Зашифрованные файлы системных журналов лежат тут %systemdrive%WINDOWSsystem32config*.Evt. Служба отвечающая за логи - eventlog, по хитрой задумке не может быть остановлена средствами виндосовского апи, но может быть очень урезана ее настройками. Всегда, когда только можно, старайтесь удалять заразу через безопасный режим(клавиша F8 при загрузке компа), с отключенным инетом. В безопасном режиме, при условии что вирус не сделал невозможным его запуск, загружаются только основные драйверы и службы. Запускайте утилиту DrWeb Cureit(бесплатная, не требует установки, must have на флешке или cd), сканируйте все диски. AVZ тоже хорошо уживается с безопаской. Восстановление настроек осла на дефолт(компоненты ie использует система) - свойства обозревателя -- безопасность -- по-умолчанию. Заключение Стоит защитить систему должным образом, и можно не паниковать при обнаружении вредоносного ПО. Представленные в статье сведения достаточны для успешной борьбы практически со всеми зловредами. Старайтесь проявлять интерес к действиям малвари на компе, это своеобразный квест:) Пробивайте по гуглу обнаруженные имена тел вирусов, ключей реестра, действия заразы, узнавайте тем самым что именно попало к вам на комп, и как наиболее эффективно с этим бороться. Самые трудновыводимые на данный момент вещи, это черви, для обьединения компов в ботнет, обоходящие файрволлы, закриптованные полиморфными крипторами с индивидуальными сигнатурами, руткит технологии присутствуют на уровне ядра с использованием плохо документированных функций для тотального сокрытия своей деятельности и сетевого траффика... Они и составляют чуть меньше одного процента всей заразы, можно даже не узнать что комп заражен. Спасибо за внимание.
