Intro
Contents
Neretai vartotojai susiduria su tokia problema – visos
kompiuterio apsaugos priemonės įdiegtos, bet kompiuteris
vis tiek užkrečiamas virusais. Ne paslaptis, antivirusinės
programos dažnai neaptinka naujai pasirodžiusių virusų,
kirminų ir kitokių piktybinių programų. Tam priežastys
gali būti įvairios: viruso kodas itin naujas, viruso kodas
supakuotas-užkoduotas
ir antivirusinė programa nemoka jo dekoduoti. Tokiu atveju,
kai antivirusinė sistema bejėgė padėti, sutvarkyti
sistemą jos pilnai neperinstaliuojant gali būti gana
sudėtinga. Šiame dokumente demonstruojami įrankiai, kurie
gali padėti aptikti ir sustabdyti piktybines programas.
Pademonstruosime tris užkrėstų sistemų atvejus, ir
veiksmus, kaip sistemas sutvarkyti.
Sistemai tirti naudosime
Sysinternals įrankius:
- Autoruns
– leidžia peržiūrėti, kokios programos paleidžiamos
automatiškai startuojant operacinei sistemai, kokios DLL
bibliotekos užkraunamos ir kt. - Process
Explorer – leidžia peržiūrėti, kokie procesai
paleisti, kokios DLL bibliotekos prie jų prikabintos,
kokius failus yra atidarę procesai ir kt. - Process
Monitor – įrankis, rodantis failų, registro, procesų
aktyvumą realiu laiku - TCPView
– įrankis parodo atidarytus portus, užmegztus
susijungimus
Pateikiamuose pavyzdžiuose laikomasi tokios veiksmų sekos:
- aptikti piktybines programas
- sustabdyti piktybines programas
- užtikrinti, kad jos nepasileistų perkrovus kompiuterį
- pašalinti piktybines programas, tuo pačiu išlaikant
atsargines jų kopijas
Piktybinių programų aptikimas
Taigi, mūsų tikslas surasti nepageidautinas pašalines
programas, kad vėliau galėtumem išvalyti kompiuterį.
Kur ieškosime? Visų pirma peržiūrėsime
registrus. Tai yra vieta, kur virusai, kirminai palieka
įrašus tam, kad perkrovus sistemą jie būtų paleisti
vėl. Taip pat peržiūrėsime procesų sąrašą bei prie
programų prikabintų DLL bibliotekų sąrašus.
Ko ieškosime? Procesų sąraše arba paleidžiamų
programų sąraše virusas gali atrodyti taip pat kaip ir
kitos legalios programos. Mūsų tikslas – aptikti
potencialiai nepatikimas, įtartinas programas. Kreipsime
dėmesį į kelis dalykus: programos aprašymas ir kompanijos
(gamintojo) vardas, skaitmeninis parašas, supakuotos
programos. Dėmesio: tai kad programa supakuota dar
nereiškia, kad ji – piktybinė. Legalios programos (pvz.
Skype) taip pat gali būti pakuojamos.
Spręsdami, kiek programa yra įtartina, remsimės tokiais
kriterijais:
- Nenurodytas programos aprašymas ir gamintojas
- Programos pavadinimas, aprašymas, gamintojas nurodyti,
bet yra neįprasti (pvz. abcdefg.exe) - Gamintojas nepasirašė programos skaitmeniniu būdu.
Dėja, toli gražu ne visi gamintojai pasirašo savo
sukurtas programas. Jei aptiksite programą, kurios
gamintoją jūs žinote, bet ji nepasirašyta, imkitės
papildomų priemonių jos autentiškumui patikrinti (pvz.
„online” antivirusinėmis priemonėmis). Nežiūrint to,
kompiuteryje rasite gana daug pasirašytų programų, ir
tai sumažins „įtartinų” programų sąrašą. - Programa yra supakuota. Šis kriterijus, kaip jau
minėta, nėra absoliutus - Kylant abejonėms informacijos galima paieškoti
internete. Į Google paiešką įveskite programos vardą
(kartu su plėtiniu), ir jei dauguma rastų svetainių jums
pateiks virusų aprašymus, turėsite rimtą tai programai
sustabdyti, pašalinti.
Piktybinių programų sustabdymas
Aptikę įtartinas programas jas stabdysime. Tai padaryti
galima su Process Explorer programa – funkcija „Kill”.
Aptikę įtartinas vykdomas dinaminių bibliotekų šakas
(threads), prikabintas prie legalių procesų, taip pat
stabdysime (Kill) su Process Explorer programa.
Registrų sutvarkymas (piktybinių programų įrašų
šalinimas)
Sustabdę visus įtartinų programų egzempliorius, valysime
registrą, kad perkrovus kompiuterį, nebūtų bandoma
programas paleisti iš naujo. Tam naudosime programą
Autoruns, kuri taip pat ruti galimybę vėliau atstatyti
padarytus pakeitimus.
Piktybinių programų pašalinimas
Visas piktybines programas iš kompiuterio būtina
pašalinti. Prieš šalinimą atliksime tokius veiksmus:
- Perkelsime piktybinę programą į atsargiinų kopijų
katalogą ‘Backup’ - Pakeisime programos plėtinį taip, kad ji nebūtų
paleista atsitiktinai - Patikrinsime programą antivirusinėmis priemonėmis
svetainėje http://www.virustotal.com
Nagrinėjami pavyzdžiai
- Rbot,
VirusTotal rezultatai: File size: 280576 bytes
MD5: 3e36b8b8f425dffeb632c93c9f138c78
SHA1: 53f146f9cb4ea64261d35177a5cb69e077e3b1e9
packers: ASProtect
packers: PE_Patch, Aspack
Result: 21/32 (65.63%) (virusą identifikavo 21 iš 32 antivirusinių) - Pykse a.k.a Sandra,
VirusTotal rezultatai: File size: 98304 bytes
MD5: 5992e07480f1ae3c72b3089f648888e7
SHA1: 3142057fbb0d0d84713387b4399680da7535c9ee
packers: BINARYRES
Result: 28/32 (87.5%) (virusą identifikavo 28 iš 32 antivirusinių) - Backdoor.Win32.Agent,
VirusTotal rezultatai: File size: 17753 bytes
MD5: c3c81b69c3d207130d80cf5365df358b
SHA1: 173a829955858a79a9d76cfae4424d96d94d3dd6
packers: NsPack
packers: NSPack, PE_Patch
Result: 19/32 (59.38%) (virusą identifikavo 19 iš 32 antivirusinių