Kompiuterinis kirminas Rbot
Taigi, tiriame infekuotą kompiuterį. Pirmiausia
peržiūrėsime sistemos starto metu paleidžiamas programas.
Naudosime programą Autoruns
Peržiūrėjus
sekcijas „”, „”, „”, „”, „” į akis
krenta „Logon” sekcijoje matomas registro šakos
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun įrašas
„Topic MSNGR32”. Dėmesį atkreipia nenurodytas programos
aprašas (Description) ir kompanijos vardas (Publisher). Šis
įrašas sako, kad sistemos starto metu yra paleidžiama
programa c:windowssystem32msngr32.com
Suraskime šią programą diske, kataloge
c:windowssystem32
Pradžioje Explorer
langas programos nerodo, todėl reikia išjungti parametrą,
kuris paslepia sisteminius saugomus failus (nuimti
vėliavėlę Properties lange)
Tęsiame tyrimą.
Peržiūrėkime procesų sąrašą (naudosime programą
„Process Explorer”)
Mūsų „įtariamasis” MSNGR32.com vaizduojamas violetine
spalva. Taip yra vaizduojamos supakuotos programos.
Peržiūrėkime šio proceso informaciją. Nemažai
informacijos mums gali suteikti kortelė „Strings” – čia
galima rasti programoje apibrėžtas simbolines eilutes, tai
gali duoti informacijos apie programos funkcijas.
Kadangi programos kodas diske yra supakuotas, suprantamos
simbolinės informacijos mes negauname, todėl reikia
peržiūrėti simbolines eilutes, esančias atmintyje
(mygtukas „Memory”)
Simbolinės eilutės, tokios kaip „ddos.syn”, „Done with %
flood”, „Goodbye happy r00ting” ir panašiai leidžia spėti,
kad programa turi įvairių DoS, šnipinėjimo, atakų
rengimo funkcijų.
Taigi po trumpo mūsų tyrimo, įtariamasis Nr.1 yra
programa MSNGR32.com. Sustabdykime ją
Išjunkime galimybę jai pasileisti iš naujo po kompiuterio
perkrovimo
Išjungę vėliavėlę prie MSNGR32 įrašo, atnaujinkime
Autoruns vaizdą – reikia įsitikinti, ar nėra registro
įrašo atnaujinimo mechanizmo, išsaugančio šį įrašą
registre.
Pašalinkime programą iš katalogo: sukuriame atsarginės
kopijos katalogą, ten įkelsime šią programą ir pakeisime
jos plėtinį.
Visi reikiami veiksmai atlikti, perkraukime sistemą ir
įsitikinkime, ar nebėra įtarimą kėlusių įrašų,
failų programų.