„Greitoji pagalba“ kompiuteriui


Intro

Neretai vartotojai susiduria su tokia problema – visos
kompiuterio apsaugos priemonės įdiegtos, bet kompiuteris
vis tiek užkrečiamas virusais. Ne paslaptis, antivirusinės
programos dažnai neaptinka naujai pasirodžiusių virusų,
kirminų ir kitokių piktybinių programų. Tam priežastys
gali būti įvairios: viruso kodas itin naujas, viruso kodas
supakuotas-užkoduotas
ir antivirusinė programa nemoka jo dekoduoti. Tokiu atveju,
kai antivirusinė sistema bejėgė padėti, sutvarkyti
sistemą jos pilnai neperinstaliuojant gali būti gana
sudėtinga. Šiame dokumente demonstruojami įrankiai, kurie
gali padėti aptikti ir sustabdyti piktybines programas.
Pademonstruosime tris užkrėstų sistemų atvejus, ir
veiksmus, kaip sistemas sutvarkyti.

Sistemai tirti naudosime
Sysinternals
įrankius:

  • Autoruns
    – leidžia peržiūrėti, kokios programos paleidžiamos
    automatiškai startuojant operacinei sistemai, kokios DLL
    bibliotekos užkraunamos ir kt.

  • Process
    Explorer
    – leidžia peržiūrėti, kokie procesai
    paleisti, kokios DLL bibliotekos prie jų prikabintos,
    kokius failus yra atidarę procesai ir kt.

  • Process
    Monitor
    – įrankis, rodantis failų, registro, procesų
    aktyvumą realiu laiku

  • TCPView
    – įrankis parodo atidarytus portus, užmegztus
    susijungimus

Pateikiamuose pavyzdžiuose laikomasi tokios veiksmų sekos:

  1. aptikti piktybines programas
  2. sustabdyti piktybines programas
  3. užtikrinti, kad jos nepasileistų perkrovus kompiuterį
  4. pašalinti piktybines programas, tuo pačiu išlaikant
    atsargines jų kopijas

Piktybinių programų aptikimas

Taigi, mūsų tikslas surasti nepageidautinas pašalines
programas, kad vėliau galėtumem išvalyti kompiuterį.

Kur ieškosime? Visų pirma peržiūrėsime
registrus. Tai yra vieta, kur virusai, kirminai palieka
įrašus tam, kad perkrovus sistemą jie būtų paleisti
vėl. Taip pat peržiūrėsime procesų sąrašą bei prie
programų prikabintų DLL bibliotekų sąrašus.

Ko ieškosime? Procesų sąraše arba paleidžiamų
programų sąraše virusas gali atrodyti taip pat kaip ir
kitos legalios programos. Mūsų tikslas – aptikti
potencialiai nepatikimas, įtartinas programas. Kreipsime
dėmesį į kelis dalykus: programos aprašymas ir kompanijos
(gamintojo) vardas, skaitmeninis parašas, supakuotos
programos. Dėmesio: tai kad programa supakuota dar
nereiškia, kad ji – piktybinė. Legalios programos (pvz.
Skype) taip pat gali būti pakuojamos.

Spręsdami, kiek programa yra įtartina, remsimės tokiais
kriterijais:

  1. Nenurodytas programos aprašymas ir gamintojas
  2. Programos pavadinimas, aprašymas, gamintojas nurodyti,
    bet yra neįprasti (pvz. abcdefg.exe)

  3. Gamintojas nepasirašė programos skaitmeniniu būdu.
    Dėja, toli gražu ne visi gamintojai pasirašo savo
    sukurtas programas. Jei aptiksite programą, kurios
    gamintoją jūs žinote, bet ji nepasirašyta, imkitės
    papildomų priemonių jos autentiškumui patikrinti (pvz.
    „online“ antivirusinėmis priemonėmis). Nežiūrint to,
    kompiuteryje rasite gana daug pasirašytų programų, ir
    tai sumažins „įtartinų“ programų sąrašą.

  4. Programa yra supakuota. Šis kriterijus, kaip jau
    minėta, nėra absoliutus

  5. Kylant abejonėms informacijos galima paieškoti
    internete. Į Google paiešką įveskite programos vardą
    (kartu su plėtiniu), ir jei dauguma rastų svetainių jums
    pateiks virusų aprašymus, turėsite rimtą tai programai
    sustabdyti, pašalinti.

Piktybinių programų sustabdymas

Aptikę įtartinas programas jas stabdysime. Tai padaryti
galima su Process Explorer programa – funkcija „Kill“.
Aptikę įtartinas vykdomas dinaminių bibliotekų šakas
(threads), prikabintas prie legalių procesų, taip pat
stabdysime (Kill) su Process Explorer programa.

Registrų sutvarkymas (piktybinių programų įrašų
šalinimas)

Sustabdę visus įtartinų programų egzempliorius, valysime
registrą, kad perkrovus kompiuterį, nebūtų bandoma
programas paleisti iš naujo. Tam naudosime programą
Autoruns, kuri taip pat ruti galimybę vėliau atstatyti
padarytus pakeitimus.

Piktybinių programų pašalinimas

Visas piktybines programas iš kompiuterio būtina
pašalinti. Prieš šalinimą atliksime tokius veiksmus:

  1. Perkelsime piktybinę programą į atsargiinų kopijų
    katalogą ‘Backup’

  2. Pakeisime programos plėtinį taip, kad ji nebūtų
    paleista atsitiktinai

  3. Patikrinsime programą antivirusinėmis priemonėmis
    svetainėje http://www.virustotal.com

Nagrinėjami pavyzdžiai

  1. Rbot, 
    VirusTotal rezultatai:

    File size: 280576 bytes  
    MD5: 3e36b8b8f425dffeb632c93c9f138c78
    SHA1: 53f146f9cb4ea64261d35177a5cb69e077e3b1e9
    packers: ASProtect
    packers: PE_Patch, Aspack
    Result: 21/32 (65.63%) (virusą identifikavo 21 iš 32 antivirusinių)
  2. Pykse a.k.a Sandra, 
    VirusTotal rezultatai:

    File size: 98304 bytes  
    MD5: 5992e07480f1ae3c72b3089f648888e7
    SHA1: 3142057fbb0d0d84713387b4399680da7535c9ee
    packers: BINARYRES
    Result: 28/32 (87.5%) (virusą identifikavo 28 iš 32 antivirusinių)
  3. Backdoor.Win32.Agent,
    VirusTotal rezultatai:

    File size: 17753 bytes  
    MD5: c3c81b69c3d207130d80cf5365df358b
    SHA1: 173a829955858a79a9d76cfae4424d96d94d3dd6
    packers: NsPack
    packers: NSPack, PE_Patch
    Result: 19/32 (59.38%) (virusą identifikavo 19 iš 32 antivirusinių