Лечение компьютера в "полевых условиях"
Какой бы антивирус у вас не стоял, каковы бы не были его характеристики, все равно случаются ситуации, когда по системе гуляет зловред, еще не добавленный в базу данных сигнатур. В такой ситуации я не советую вам паниковать и немедленно удалять антивирус, который все это время служил вам верой и правдой, а тут, вдруг, дал сбой – не обнаружил вирус. Конечно, ошибиться можете и вы, причислив просто системный, программный или другой файл к числу злостных монстров. В общем, в любом случае, эта ситуация призывает вас заняться безопасностью своей машины самому, не уповая на автоматизм соответствующих инструментов.
Как-то попросили меня посмотреть компьютер, который играет роль сервера АТС. Было подозрение, что на машине сидит нечисть, распространяющаяся через флешки – чума 21 века, можно сказать. Чума потому, что в неделю я кикаю по 10-15 таких зверей. Ввиду некоторых обстоятельств под рукой у меня не было антивируса со свежими базами сигнатур. Все, что имелось – так это немного старенького софта, очень негусто. Но делать было нечего и пришлось уставиться в монитор и начать изучать систему.
Он себя выдал
Прежде чем я начну рассказывать про изучение вируса, хотел бы остановиться на некоторых симптомах, которые указывают на наличие вируса в системе. Про странное поведение все слышали, так об этом твердится уже не один год подряд и не только мной, а огромным числом вирусных аналитиков. Я же остановлюсь больше на червях, которые распространяются через флешки, раз уж рассказ будет идти об уничтожении подобного.
Самый лучший способ проверки зараженности системы – это анализ своей флешки, которая не раз была подключена к компьютеру, не сомневаюсь. Сделать это можно достаточно просто: банально подключаете флешку к компьютеру, открываете тотал коммандер и наблюдаете содержимое. Вот только не забудьте в настройках тотала включить функцию "Показывать скрытые/системные файлы (только для опытных!)", иначе вы мало что увидите. Как только убедились, что опция работает, то сразу же обратите внимание на наличие файла autorun.inf, который отвечает за автозагрузку. Присутствие его, да еще и в скрытом виде – верный признак. Также можно просмотреть его, и если вы увидели, что при автозагрузке вызывается какой то непонятный файл или файл с подозрительным названием, то можете не сомневаться. Как пример названия можно привести что-то подобное на xfght.exe или в том же духе. Также, кроме имени, странным и незнакомым может быть и расширение файла, например, .wvm и т.д.
Файл-тело вируса может лежать как в корне флешки, так и в папке RECYCLER – это последнее новшество, которое вот уже больше полугода активно используется вирусописателями. Как правило, в вышеуказанной папке лежит еще одна, в названии которой имеется длинный цифровой код, а вот в ней уже находится вирус. Файл-тело, так же как и авторан, скрыт, ну, собственно, скрыта вся папка RECYCLER. Обращаю внимание на то, что наличие папки – далеко не 100% гарантия наличия вируса – папка по сути является системной, именно поэтому злоумышленники и начали ее использовать.
Еще одним способом понять происходящее является анализ процессов с помощью диспетчера задач Windows, и как дополнение или отдельный вариант – анализ компонентов автозагрузки, при помощи утилиты msconfig.exe. Искать следует все то же – подозрительные имена файлов/процессов. Однако что касается диспетчера задач, то если вирусописатель решил хоть чуть-чуть осерьезнить свое творение, то утилита мониторинга процессов от малкомягких его уже не заметит.
Лицом к лицу
Продолжаем по теме. Сев за машину, я первым делом сунул в usb свою флешку, которая была точно чистой. Открыв в тотале ее содержимое, заметил папочку RECYCLER, а в самом низу списка файлов красовался файл авторана. Сразу стало все ясно. Решив проверить, с кем имею дело, я открыл папку RECYCLER и вложенную в нее. Там я увидел файл hn.exe, который окончательно рассеял мои сомнения по поводу зараженности. Один уже был, оставалось еще поискать. Проведя за клавиатурой около 2 часов, я смирился-таки с мыслью, что этот hn - единственный обитатель здешних мест.
Естественно, при просмотре процессов диспетчером и автозагрузке я ничего полезного не нашел. Тогда я решил отключить explorer.exe и посмотреть, как себя будет вести вирус в данной ситуации. Вырубив процесс, я снова очистил флешку, отключил ее и опять подключил секунд через 30. В итоге я получил сведения о том, что процесс вируса либо повязан с explorer'ом, либо просто эксплорер инфицирован. Где искать гада, стало ясно, оставалось только понять, как его выкинуть оттуда. Взяв весь софт, который имелся у меня в распоряжении, я понял, что придется туго. Через несколько минут изучения всего этого я наткнулся на программу Autoruns v8.73 – это менеджер автозагрузки и лукер процессов по совместительству, который работает напрямую с реестром в обход всех ограничений. Запустив прогу, я принялся изучать все процессы, которые имелись в системе. И, о чудо, я нашел процесс под названием n/a =) без имени производителя, но зато с адресом файла :). Это был файл hn.exe – мой клиент. А находился он на диске С, все в той же папке RECYCLER и все в той же подпапке с цифровым кодом в качестве имени. Вот как все просто оказалось.
Истребляем паразитов
Теперь оставалось его убрать из системы. А для этого необходимо было выяснить, каким образом он связан с explorer'ом. В этой программе имеется очень полезная вкладка, которая отображает все процессы, связанные с explorer.exe – это был просто превосходный способ, чтобы выяснить, каким образом hn.exe связан с explorer.exe. Просмотрев процессы эксплорера, я нашел наш вирус, что означало одно – он не дописывал в explorer.exe свое тело. Теперь подошло время подготовить алгоритм действий для излечения машины. Я решил сделать так, чтобы получить результат без шансов на выживание зловреда.
Со своего ноутбука я взял файл explorer.exe – даже если вирь и не дописал в файл свое тело, то он все равно мог вставить какой-либо участок кода в него. Для того чтобы это не позволило ему доставить впоследствии неприятности мне, я решил заменить файл чистым. Это не займет много времени, а результат подкрепит, однозначно. После всего этого я отправился на диск С и сделал копию вируса, после этого, засунув его в архив, я поместил его на флешку (это был образец, который мне хотелось унести с машины). После этого, открыв тотал коммандер, я вырубил эксплорер — для того, чтобы освободить файл от активного процесса. За этим я сразу снес его запись в автозагрузке и процессах при помощи проги Autoruns v8.73. Пришло время удалить тело с диска C. Зайдя в папку, я без промедления выделил файл и нажал shift+delete, клацнул по энтеру и увидел окно ошибки, в котором говорилось, что файл невозможно удалить (это было неприятно). Пришлось действовать быстро. Просмотрев инструментал, имеющийся на машине, я нашел программу Unlocker – это было то что доктор прописал. Выделив файл, я отправил его в Unlocker, выбрал действие на удаление и вуаля – вирь исчез :). После этого я уже не спеша почистил флешку. Оттуда вирус тоже не хотел удаляться, поэтому я снова воспользовался услугами отличной программки Unlocker. Вот и все, процесс ручного лечения был завершен.
Во имя добра
Придя к своему ноуту, я вставил флешку, распаковал архив и просканировал систему Outpost Security Suite с последними базами сигнатур. Но он не определил вирус в этом файле, не сработал ни эмулятор кода, ни эвристика. Ну, такого я допустить не мог :) и отправил файл почтой в лабораторию Agnitum Ltd., предварительно сообщив знакомому, что файл к ним уже пришел. Через пару-тройку часов я обновил базы и, просканировав файл, узрел сообщение о найденной угрозе. Зверька классифицировали как червя. Молодцы парни из агнитума, +5 им за оперативность. Ну а пока они анализировали, а я ждал, то решил повозиться с вирусом на моей машине. Результатом этого стал мувик, который называется "Ручная работа", его можно скачать отсюда: сайт . Кроме того, на нашем форуме открылся новый подраздел, который называется "Помощь в лечении ПК от вирусов", его вы сможете найти в разделе "Безопасность". Оставляйте свои вопросы по поводу лечения компьютера, и форумчане с радостью помогут решить проблему ;).
Exit
Если честно, то ситуация получилась штатная. Приходилось видеть и намного более сложные экземпляры. Но это реальность, а значит, ее нельзя игнорировать и закрывать глаза. На этом я закончил. Обновляйте базы сигнатур, помогайте антивирусным лабораториям сделать вашу машину еще безопаснее ;) и принимайте активное участие в жизни вашего компьютера.
Евгений Кучук SASecurity gr. http://sa-sec.org
Как-то попросили меня посмотреть компьютер, который играет роль сервера АТС. Было подозрение, что на машине сидит нечисть, распространяющаяся через флешки – чума 21 века, можно сказать. Чума потому, что в неделю я кикаю по 10-15 таких зверей. Ввиду некоторых обстоятельств под рукой у меня не было антивируса со свежими базами сигнатур. Все, что имелось – так это немного старенького софта, очень негусто. Но делать было нечего и пришлось уставиться в монитор и начать изучать систему.
Он себя выдал
Прежде чем я начну рассказывать про изучение вируса, хотел бы остановиться на некоторых симптомах, которые указывают на наличие вируса в системе. Про странное поведение все слышали, так об этом твердится уже не один год подряд и не только мной, а огромным числом вирусных аналитиков. Я же остановлюсь больше на червях, которые распространяются через флешки, раз уж рассказ будет идти об уничтожении подобного.
Самый лучший способ проверки зараженности системы – это анализ своей флешки, которая не раз была подключена к компьютеру, не сомневаюсь. Сделать это можно достаточно просто: банально подключаете флешку к компьютеру, открываете тотал коммандер и наблюдаете содержимое. Вот только не забудьте в настройках тотала включить функцию "Показывать скрытые/системные файлы (только для опытных!)", иначе вы мало что увидите. Как только убедились, что опция работает, то сразу же обратите внимание на наличие файла autorun.inf, который отвечает за автозагрузку. Присутствие его, да еще и в скрытом виде – верный признак. Также можно просмотреть его, и если вы увидели, что при автозагрузке вызывается какой то непонятный файл или файл с подозрительным названием, то можете не сомневаться. Как пример названия можно привести что-то подобное на xfght.exe или в том же духе. Также, кроме имени, странным и незнакомым может быть и расширение файла, например, .wvm и т.д.
Файл-тело вируса может лежать как в корне флешки, так и в папке RECYCLER – это последнее новшество, которое вот уже больше полугода активно используется вирусописателями. Как правило, в вышеуказанной папке лежит еще одна, в названии которой имеется длинный цифровой код, а вот в ней уже находится вирус. Файл-тело, так же как и авторан, скрыт, ну, собственно, скрыта вся папка RECYCLER. Обращаю внимание на то, что наличие папки – далеко не 100% гарантия наличия вируса – папка по сути является системной, именно поэтому злоумышленники и начали ее использовать.
Еще одним способом понять происходящее является анализ процессов с помощью диспетчера задач Windows, и как дополнение или отдельный вариант – анализ компонентов автозагрузки, при помощи утилиты msconfig.exe. Искать следует все то же – подозрительные имена файлов/процессов. Однако что касается диспетчера задач, то если вирусописатель решил хоть чуть-чуть осерьезнить свое творение, то утилита мониторинга процессов от малкомягких его уже не заметит.
Лицом к лицу
Продолжаем по теме. Сев за машину, я первым делом сунул в usb свою флешку, которая была точно чистой. Открыв в тотале ее содержимое, заметил папочку RECYCLER, а в самом низу списка файлов красовался файл авторана. Сразу стало все ясно. Решив проверить, с кем имею дело, я открыл папку RECYCLER и вложенную в нее. Там я увидел файл hn.exe, который окончательно рассеял мои сомнения по поводу зараженности. Один уже был, оставалось еще поискать. Проведя за клавиатурой около 2 часов, я смирился-таки с мыслью, что этот hn - единственный обитатель здешних мест.
Естественно, при просмотре процессов диспетчером и автозагрузке я ничего полезного не нашел. Тогда я решил отключить explorer.exe и посмотреть, как себя будет вести вирус в данной ситуации. Вырубив процесс, я снова очистил флешку, отключил ее и опять подключил секунд через 30. В итоге я получил сведения о том, что процесс вируса либо повязан с explorer'ом, либо просто эксплорер инфицирован. Где искать гада, стало ясно, оставалось только понять, как его выкинуть оттуда. Взяв весь софт, который имелся у меня в распоряжении, я понял, что придется туго. Через несколько минут изучения всего этого я наткнулся на программу Autoruns v8.73 – это менеджер автозагрузки и лукер процессов по совместительству, который работает напрямую с реестром в обход всех ограничений. Запустив прогу, я принялся изучать все процессы, которые имелись в системе. И, о чудо, я нашел процесс под названием n/a =) без имени производителя, но зато с адресом файла :). Это был файл hn.exe – мой клиент. А находился он на диске С, все в той же папке RECYCLER и все в той же подпапке с цифровым кодом в качестве имени. Вот как все просто оказалось.
Истребляем паразитов
Теперь оставалось его убрать из системы. А для этого необходимо было выяснить, каким образом он связан с explorer'ом. В этой программе имеется очень полезная вкладка, которая отображает все процессы, связанные с explorer.exe – это был просто превосходный способ, чтобы выяснить, каким образом hn.exe связан с explorer.exe. Просмотрев процессы эксплорера, я нашел наш вирус, что означало одно – он не дописывал в explorer.exe свое тело. Теперь подошло время подготовить алгоритм действий для излечения машины. Я решил сделать так, чтобы получить результат без шансов на выживание зловреда.
Со своего ноутбука я взял файл explorer.exe – даже если вирь и не дописал в файл свое тело, то он все равно мог вставить какой-либо участок кода в него. Для того чтобы это не позволило ему доставить впоследствии неприятности мне, я решил заменить файл чистым. Это не займет много времени, а результат подкрепит, однозначно. После всего этого я отправился на диск С и сделал копию вируса, после этого, засунув его в архив, я поместил его на флешку (это был образец, который мне хотелось унести с машины). После этого, открыв тотал коммандер, я вырубил эксплорер — для того, чтобы освободить файл от активного процесса. За этим я сразу снес его запись в автозагрузке и процессах при помощи проги Autoruns v8.73. Пришло время удалить тело с диска C. Зайдя в папку, я без промедления выделил файл и нажал shift+delete, клацнул по энтеру и увидел окно ошибки, в котором говорилось, что файл невозможно удалить (это было неприятно). Пришлось действовать быстро. Просмотрев инструментал, имеющийся на машине, я нашел программу Unlocker – это было то что доктор прописал. Выделив файл, я отправил его в Unlocker, выбрал действие на удаление и вуаля – вирь исчез :). После этого я уже не спеша почистил флешку. Оттуда вирус тоже не хотел удаляться, поэтому я снова воспользовался услугами отличной программки Unlocker. Вот и все, процесс ручного лечения был завершен.
Во имя добра
Придя к своему ноуту, я вставил флешку, распаковал архив и просканировал систему Outpost Security Suite с последними базами сигнатур. Но он не определил вирус в этом файле, не сработал ни эмулятор кода, ни эвристика. Ну, такого я допустить не мог :) и отправил файл почтой в лабораторию Agnitum Ltd., предварительно сообщив знакомому, что файл к ним уже пришел. Через пару-тройку часов я обновил базы и, просканировав файл, узрел сообщение о найденной угрозе. Зверька классифицировали как червя. Молодцы парни из агнитума, +5 им за оперативность. Ну а пока они анализировали, а я ждал, то решил повозиться с вирусом на моей машине. Результатом этого стал мувик, который называется "Ручная работа", его можно скачать отсюда: сайт . Кроме того, на нашем форуме открылся новый подраздел, который называется "Помощь в лечении ПК от вирусов", его вы сможете найти в разделе "Безопасность". Оставляйте свои вопросы по поводу лечения компьютера, и форумчане с радостью помогут решить проблему ;).
Exit
Если честно, то ситуация получилась штатная. Приходилось видеть и намного более сложные экземпляры. Но это реальность, а значит, ее нельзя игнорировать и закрывать глаза. На этом я закончил. Обновляйте базы сигнатур, помогайте антивирусным лабораториям сделать вашу машину еще безопаснее ;) и принимайте активное участие в жизни вашего компьютера.
Евгений Кучук SASecurity gr. http://sa-sec.org
Компьютерная газета. Статья была опубликована в номере 20 за 2009 год в рубрике безопасность
