Backdoor.Win32.Agent
Vos
paleidus sistemą matyti, kad ji funkcionuoja ne taip, kaip
turėtų – pastebimi pelės darbo uždelsimai, prie pelės
žymeklio kartais atsiranda vaizdo išdarkymai (baltas
kvadratėlis)
Tyrimą pradedame peržiūrėdami sistemos starto metu
paleidžiamų programų sąrašą – paleidžiame programą
Autoruns.
Peržiūrėję skiltis, atkreipiame dėmesį į explorer
programos objektą „CAdLogis Object”. Taip pat nėra įprasti
sistemos servisai 1C8C936A ir 5680A3E1, nors jų kūrėjas ir
įrašytas Microsoft Corporation.
Patikrinkime visus šiuos registro įrašus įjungę
skaitmeninių parašų tikrinimo funkciją.
Matome, objekto „CAdLogic Object” ir minėtų servisų
failai nėra pasirašyti, nors ir tvirtinama, kad pastarųjų
kilmė – Microsoft. Trys rastos programos – pirmieji mūsų
įtariamieji.
Peržiūrėkime procesų sąrašą, paleidžiamą programą
Process Explorer. Dėmesį atkreipia programa DE0427A8.exe,
kuri, matome, yra supakuota, jos kūrėjas nenurodytas.
Peržiūrėkime proceso informaciją. Atidarę kortelę
Strings, peržiūrėsime atmintyje saugomas simbolines
eilutes.
Šį kartą negalime tvirtinti, kad peržiūrėjus šią
simbolinę informaciją pasidarė bent kiek aiškesnė
programos paskirtis. Tačiau norėdami tinkamai išvalyti
sistemą, turime su įtarimu žvelgti į visas nepatikrinamas
programas, failus. Programą stabdome. Vėliau galėsime ją
ištirti su online antivirusinėmis priemonėmis.
Sekantis
žingsnis – pašalinti registro įrašus, kurie mums
pasirodė įtartini. Naudodami programą Autoruns, nuimame
varneles nuo atitinkamų programų, atnaujiname Autoruns
vaizdą (F5).
Matome
servisų 1C8C936A ir 5680A3E1 programos vis tiek išlieka
saraše. Išvada – sistemoje įkeltas šių registrų
įrašų apsaugos-atnaujinimo mechanizmas.
Šį mechanizmą būtina rasti. Tam panaudosim programą
Process Monitor, kuri reliu laiku parodo registrų aktyvumą.
Programai nustatysime filtrą, kuris parodys tik mus
dominančių registrų veiklą: tam nukopijuosime registro
rakto kelią, šį kelią įrašysime į Process Monitor
atitinkamo filtro reikšmę.
Matome, registru HKLMSystemCurrentControlSetServices
1C8C936A ir 5680A3E1 nuolat atnaujina programa Winlogon.exe
(vykdydama operaciją RegCreateKey)
Peržiūrėję vykdymo steką matome, kad šioje registrų
veikloje dalyvauja specifinių DLL bibliotekų funkcijos:
vieną registro raktą tvarko CDACCD8B.DLL, kitą –
A9BA1095.DLL.
Procesas winlogon.exe yra atsakingas už visas sistemines
prisijungimo-atsijungimo operacijas, ir šio proceso
sustabdyti negalima. Taip pat galime įsitikinti, kad
programa turi Microsoft kompanijos parašą (pažymėję
winlogon.exe, išsirenkam Properties, Image kortelėje
spaudžiam Verify), taigi yra visiškai legali.
Peržiūrėję prie proceso prikabintas DLL bibliotekas
matome ir anksčiau mūsų pastebėtus DLL failus XXX ir YYY.
Galime patikrinti jų skaitmeninius parašus, peržiūrėti
simbolines eilutes.
Dėmesį atkreipia eilė įvairių URL adresų, kurie gali
tarnauti kaip kodo atnaujinimo šaltinis arba informacijos
perdavimo-gavimo adresas (pvz. šnipinėjimo informacijai
perduoti, ar botneto komandoms gauti). Adresai nepriklauso
kokiai nors vienai konkrečiai ir žinomai kompanijai (tai
galima patikrinti su visažiniu Google). .
Atidarę winlogon proceso parametrus, pereikime į skiltį
Threads ir sustabdykime visas šių DLL bibliotekų šakas:
saraše reikės pažymėjus kiekvieną nepageidaujamą DLL
įraša spausti Kill
.
Įsitikinę, kad nepageidaujamų DLL
bibliotekų funkcijos nebevykdomos, vėl pereikime į
Autoruns programą ir išjunkime anksčiau rastų programų
paleidimą startuojant.
Atnaujinę vaizdą matome, kad įrašai nebeatstatyti –
atstatymo mechanizmą įveikėme.
Suraskimę diske visus nepageidaujamus failus ir perkelkime
į atskirą katalogą.
Peržiūrėdami system32 direktorijos turinį galime
pastebėti, kad pašalinių failų kūrimo laikas nėra
sufalsifikuotas (ne toks, kaip daugumos sistemos failų ir
katalogų), tai gerokai palengvina mūsų darbą ir pagal
šį laiką galime nesunkiai rasti ir kitus pašalinius
failus.
Perkraukime kompiuterį ir dar kartą patikrinkime, kad
sistemoje nėra pašalinių programų.