„Greitoji pagalba“ kompiuteriui


Backdoor.Win32.Agent

kvadratėlis prie pelėsVos
paleidus sistemą matyti, kad ji funkcionuoja ne taip, kaip
turėtų – pastebimi pelės darbo uždelsimai, prie pelės
žymeklio kartais atsiranda vaizdo išdarkymai (baltas
kvadratėlis)

Tyrimą pradedame peržiūrėdami sistemos starto metu
paleidžiamų programų sąrašą – paleidžiame programą
Autoruns.
Autoruns

Peržiūrėję skiltis, atkreipiame dėmesį į explorer
programos objektą „CAdLogis Object“. Taip pat nėra įprasti
sistemos servisai 1C8C936A ir 5680A3E1, nors jų kūrėjas ir
įrašytas Microsoft Corporation.
Autoruns - LogonAutoruns           - ServicesAutoruns           - WinlogonAutoruns           - Internet Explorer

Patikrinkime visus šiuos registro įrašus įjungę
skaitmeninių parašų tikrinimo funkciją.
Autoruns - parašų patikrinimas

Matome, objekto „CAdLogic Object“ ir minėtų servisų
failai nėra pasirašyti, nors ir tvirtinama, kad pastarųjų
kilmė – Microsoft. Trys rastos programos – pirmieji mūsų
įtariamieji.
Autoruns - nepasirašytos programos

Peržiūrėkime procesų sąrašą, paleidžiamą programą
Process Explorer. Dėmesį atkreipia programa DE0427A8.exe,
kuri, matome, yra supakuota, jos kūrėjas nenurodytas.
Process Explorer

Process Explorer, Properties...

Peržiūrėkime proceso informaciją. Atidarę kortelę
Strings, peržiūrėsime atmintyje saugomas simbolines
eilutes.

Process Image Strings Strings Strings

Šį kartą negalime tvirtinti, kad peržiūrėjus šią
simbolinę informaciją pasidarė bent kiek aiškesnė
programos paskirtis. Tačiau norėdami tinkamai išvalyti
sistemą, turime su įtarimu žvelgti į visas nepatikrinamas
programas, failus. Programą stabdome. Vėliau galėsime ją
ištirti su online antivirusinėmis priemonėmis.
Kill           Process

Autoruns. Išjungiame programų automatinį           paleidimąSekantis
žingsnis – pašalinti registro įrašus, kurie mums
pasirodė įtartini. Naudodami programą Autoruns, nuimame
varneles nuo atitinkamų programų, atnaujiname Autoruns
vaizdą (F5).

AutorunsMatome
servisų 1C8C936A ir 5680A3E1 programos vis tiek išlieka
saraše. Išvada – sistemoje įkeltas šių registrų
įrašų apsaugos-atnaujinimo mechanizmas.

Šį mechanizmą būtina rasti. Tam panaudosim programą
Process Monitor, kuri reliu laiku parodo registrų aktyvumą.

Process Monitor

Programai nustatysime filtrą, kuris parodys tik mus
dominančių registrų veiklą: tam nukopijuosime registro
rakto kelią, šį kelią įrašysime į Process Monitor
atitinkamo filtro reikšmę.
Autoruns. Kopijuojame registro rakto keliąProcess Monitor Filter

Matome, registru HKLMSystemCurrentControlSetServices
1C8C936A ir 5680A3E1 nuolat atnaujina programa Winlogon.exe
(vykdydama operaciją RegCreateKey)
Process Monitor. winlogon.exe veiklaProcess Monitor. winlogon.exe veikla

Peržiūrėję vykdymo steką matome, kad šioje registrų
veikloje dalyvauja specifinių DLL bibliotekų funkcijos:
vieną registro raktą tvarko CDACCD8B.DLL, kitą –
A9BA1095.DLL.
winlogon.exe vykdymo stekaswinlogon.exe vykdymo stekasVykdyti           moduliai

Procesas winlogon.exe yra atsakingas už visas sistemines
prisijungimo-atsijungimo operacijas, ir šio proceso
sustabdyti negalima. Taip pat galime įsitikinti, kad
programa turi Microsoft kompanijos parašą (pažymėję
winlogon.exe, išsirenkam Properties, Image kortelėje
spaudžiam Verify), taigi yra visiškai legali.
Peržiūrėję prie proceso prikabintas DLL bibliotekas
matome ir anksčiau mūsų pastebėtus DLL failus XXX ir YYY.
Galime patikrinti jų skaitmeninius parašus, peržiūrėti
simbolines eilutes.
winlogon.exe DLL sąrašasDLL           properties

DLL           Properties. VerifyParašo           tikrinimo rezultatasDLL           simbolinės eilutės
DLL           simbolinės eilutės DLL           simbolinės eilutėsDLL           simbolinės eilutės

Dėmesį atkreipia eilė įvairių URL adresų, kurie gali
tarnauti kaip kodo atnaujinimo šaltinis arba informacijos
perdavimo-gavimo adresas (pvz. šnipinėjimo informacijai
perduoti, ar botneto komandoms gauti). Adresai nepriklauso
kokiai nors vienai konkrečiai ir žinomai kompanijai (tai
galima patikrinti su visažiniu Google). .

Atidarę winlogon proceso parametrus, pereikime į skiltį
Threads ir sustabdykime visas šių DLL bibliotekų šakas:
saraše reikės pažymėjus kiekvieną nepageidaujamą DLL
įraša spausti Kill
.Stabdom           DLLStabdom           DLL

Dar kartą bandom išjungti automatinį           programų paleidimąĮsitikinę, kad nepageidaujamų DLL
bibliotekų funkcijos nebevykdomos, vėl pereikime į
Autoruns programą ir išjunkime anksčiau rastų programų
paleidimą startuojant.

Atnaujinę vaizdą matome, kad įrašai nebeatstatyti –
atstatymo mechanizmą įveikėme.
Išjungtos programos nebeatstatytos

Suraskimę diske visus nepageidaujamus failus ir perkelkime
į atskirą katalogą.
Perkeliam failus į backup katalogą

Peržiūrėdami system32 direktorijos turinį galime
pastebėti, kad pašalinių failų kūrimo laikas nėra
sufalsifikuotas (ne toks, kaip daugumos sistemos failų ir
katalogų), tai gerokai palengvina mūsų darbą ir pagal
šį laiką galime nesunkiai rasti ir kitus pašalinius
failus.
Failų kūrimo laikasKiti to           paties laiko failai Perkeliame failus į backup katalogąPervadinti failai

Perkraukime kompiuterį ir dar kartą patikrinkime, kad
sistemoje nėra pašalinių programų.
RestartStarting           Windows XP

Patikrinam AutorunsPatikrinam paleistus procesus