„Greitoji pagalba“ kompiuteriui


Kompiuterinis kirminas Rbot

Taigi, tiriame infekuotą kompiuterį. Pirmiausia
peržiūrėsime sistemos starto metu paleidžiamas programas.
Naudosime programą Autoruns
rbot1 001_0001.jpg

rbot1 002_0001.jpgPeržiūrėjus
sekcijas „“, „“, „“, „“, „“ į akis
krenta „Logon“ sekcijoje matomas registro šakos
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun įrašas
„Topic MSNGR32“. Dėmesį atkreipia nenurodytas programos
aprašas (Description) ir kompanijos vardas (Publisher). Šis
įrašas sako, kad sistemos starto metu yra paleidžiama
programa c:windowssystem32msngr32.com

Suraskime šią programą diske, kataloge
c:windowssystem32
rbot1 003_0001.jpg

rbot1 003_0002.jpgPradžioje Explorer
langas programos nerodo, todėl reikia išjungti parametrą,
kuris paslepia sisteminius saugomus failus (nuimti
vėliavėlę Properties lange)

Radome programą.
rbot1 003_0003.jpg


rbot1 003_0004.jpgTęsiame tyrimą.
Peržiūrėkime procesų sąrašą (naudosime programą
„Process Explorer“)

Mūsų „įtariamasis“ MSNGR32.com vaizduojamas violetine
spalva. Taip yra vaizduojamos supakuotos programos.
Peržiūrėkime šio proceso informaciją. Nemažai
informacijos mums gali suteikti kortelė „Strings“ – čia
galima rasti programoje apibrėžtas simbolines eilutes, tai
gali duoti informacijos apie programos funkcijas.
rbot1 005_0001.jpg

Kadangi programos kodas diske yra supakuotas, suprantamos
simbolinės informacijos mes negauname, todėl reikia
peržiūrėti simbolines eilutes, esančias atmintyje
(mygtukas „Memory“)

rbot1 005_0003.jpg
Simbolinės eilutės iš
supakuotos programos
rbot1 005_0004.jpgSimbolinės eilutės iš atminties:
ddos, flood
rbot1 005_0005.jpgSimbolinės eilutės iš atminties:
keylog
rbot1 005_0006.jpg Simbolinės eilutės iš atminties:
sniff
rbot1 005_0008.jpg
Simbolinės eilutės iš
atminties: portscan
rbot1 005_0007.jpgSimbolinės eilutės iš atminties:
ftpd, myBot

Simbolinės eilutės, tokios kaip „ddos.syn“, „Done with %
flood“, „Goodbye happy r00ting“ ir panašiai leidžia spėti,
kad programa turi įvairių DoS, šnipinėjimo, atakų
rengimo funkcijų.

Taigi po trumpo mūsų tyrimo, įtariamasis Nr.1 yra
programa MSNGR32.com. Sustabdykime ją
rbot1 005_0009.jpg

Išjunkime galimybę jai pasileisti iš naujo po kompiuterio
perkrovimo
rbot1 005_0010.jpg

Išjungę vėliavėlę prie MSNGR32 įrašo, atnaujinkime
Autoruns vaizdą – reikia įsitikinti, ar nėra registro
įrašo atnaujinimo mechanizmo, išsaugančio šį įrašą
registre.
rbot1 005_0011.jpg

Pašalinkime programą iš katalogo: sukuriame atsarginės
kopijos katalogą, ten įkelsime šią programą ir pakeisime
jos plėtinį.
rbot1 006_0001.jpg rbot1           007_0001.jpg rbot1           007_0002.jpg rbot1           007_0003.jpg

Visi reikiami veiksmai atlikti, perkraukime sistemą ir
įsitikinkime, ar nebėra įtarimą kėlusių įrašų,
failų programų.
rbot1 007_0004.jpg rbot1           007_0005.jpg rbot1           009_0001.jpg