От переводчика.

Я давно являюсь поклонником творчества Марка Руссиновича, это и понятно из основного моего контента, что я размещаю. Но перевод данного поста публику в такое время, что просто вынужден поделиться своими мыслями по поводу опасности, которая подстерегает нас при переходе на единую электронную карту (все подробности на кремль.ру), взрыва АЭС в Японии и 15 марта выхода книги Марка – все эти темы, свои опасения и, конечно же, новые переводы относительно «Zero Day» я размещаю в своем новом блоге. Буду рад видеть Вас там.

Что касается этого поста: реальное дело, рассмотренное реальным человеком. В моей же практике такого не было, чтобы утилиты от Sysinternals оказались бессильными, но все течет все меняется. И этот метод лечения системы мной взят на вооружение. Лично я, не являюсь приверженцем тактики: «словил вирусню – меняй систему». Где гарантия, что на новенькую систему этот зверь не заползет? Нет ее, а поэтому надо латать дыры, изучать и препарировать всю дрянь, которая оказывается на машине. Конечно. Изобретать велосипеда не надо, если есть возможность автоматического лечения, ее надо пользоваться, а вот как выйти на такую возможность, если все ативирусные программы блокируются, посмотрим в свежем посте Марка Руссиновича, да прибудет с Вами сила.

Пост.

Продолжаю тему о вредоносных программах (предыдущий мой пост был «Дело о вредоносном автозапуске». Перевод этого поста здесь - ArkSmoke). В преддверии публикации «Нулевого Дня», намеченной на 15 марта, я хочу рассказать историю одного пользователя, которому пришлось искать нестандартный подход для лечения своей больной системы, когда он лицом к лицу столкнулся с программами, блокирующими использование утилит с Sysinternals.

Все чаще и чаще целью вирусописателей становится блокировка ативирусов и утилит от Sysinternals, чтобы сохранить господство на оккупированных системах. Данное дело началось с того, когда одни из друзей нашего героя попросил его посмотреть компьютер, который принялся неоправданно долго грузиться и заходить в систему. У этого друга уже были подозрения на вирусы, он пытался запустить сканирование системы в Microsoft Security Essentials (MSE), но сканирование никак не могло завершиться. Так же не получалось его остановить через диспетчера задач.

Наш пользователь, уже знакомый с Sysinternals, попытался вылечить систему, как описано в моей презентации. Двойной клик по Process Explorer, однако же, дал в результате только то, что появился интерфейс программы, а потом работа оборвалась. Следующая на очереди программа из арсенала Sysinternals была – Autoruns, но результат оказался тот же. И у Process Monitor’а поведение оказалось аналогичным, что окончательно убедило нашего героя, что во всем виновато вредоносное ПО.

Вредоносные программы используют многочисленные методы и технологии обезвреживания необходимых им программ. К примеру, они могут использовать хэш исполняемого файла, искать в образе исполняемого файла специальный текст или сканировать память процесса на поиск ключевых слов. В действительности же это всего лишь малый набор атрибутов, которые необходимы, поэтому я не затрагиваю механизмы идентификации нужных программ. Это та игра, которую выиграть невозможно, и поэтому приходится искать другие пути для выигрыша в этой партии. Если бы опасные программы использовали простую ссылку на имя исполняемого файла, то пользователь мог бы просто переименовать утилиты для дальнейшего ее использования.

Этот случай становится ироничным тем, что многие вирусописатели используют инструменты Sysinternals в своих целях. Для примера Clampi trojan, который распространился в начале 2009 года, использовал Sysinternals PsExec утилиту для распространения. Coreflood, вирус, который крал пароли в середине 2008, так же использовал PsExec. Более свежее использование утилит Sysinternals – атаки на нефтеперерабатывающие заводы китайскими хакерами. Авторы вредоносно ПО так же использовали бренд Sysinternals, чтобы пользователи купили «scareware» - вредоносную программу, которая показывала поддельный диалог безопасности, чтобы заманит для покупки программы под названием «Sysinternals Antivirus»:

Но возвращаемся к нашему делу: пользователя заинтересовало, каким именно образом вредоносная программа искала, что блокировать: сканировала части процессов или же просто искала в Windows задания с ключами в названии, чтобы это определить, он открыл блокнот, набрал в нем какой-то текст и сохранил под именем «process explorer.txt». Конечно же, блокнот сделал попытку открыться и даже мелькнул на экране.

Столкнувшись с невозможным запуском своих привычных инструментов для устранения неполадок, наш герой задумался, а существуют ли другие утилиты от Sysinternals, которые можно было бы запустить? Он загрузил список всех доступных утилит и начал сканировать этот список. Загрузив несколько утилит, его внимание привлек инструмент под называнием Desktops. Он позволяет создавать до трех виртуальных рабочих столов для запуска приложений, так же использует горячие клавиши или диалог задач столов, для переключения между ними. Так, может быть, опасные программы не будут запускать на альтернативный рабочих столах? Он запустил Desktops по ссылке Sysinternals Live (эта вещь позволяет запускать утилиты из сети, не скачивая их) и создал второй рабочий стол. Затая дыхание, он двойным щелчком кликнул по иконке Process Explorer, и тот запустился!

Итак: по всей видимости данная вредоносная программа имеет в своей основе таймер запросов, который опрашивает названия окон и обрывает процессы, в названиях которых встречаются ключевые слова вроде таких: “process explorer”, “autoruns”, “process monitor” и другие ключи на известные антивирусные продукты и популярные инструменты для борьбы с вирусами. Поскольку вредоносной программой перехватывались процессы только текущего рабочего стола, программа не смогла распознать Sysinternals инструменты, запушенные со второго рабочего стола.

Наш герой не обнаружил чего-нибудь необычного в списке процессов в Process Explorer, поэтому он загрузил Process Monitor (я бы второй запустил - Autoruns). Он дал поработать Process Monitor пару минут, а затем стал изучать, что программа насобирала. Глаза тут же расширились, дышать стало сложно, когда он увидел сотни операций Winlogon с реестром, обычно он не наблюдал подобной картины при работе Process Monitor. Подозревая, что это и есть след вредной программы, он установил фильтр только на Winlogon и принялся детально изучать этот след:

Большая часть из этих операций обращалась к ключам реестра с очень странным названием HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Notify\acdcacaeaacbafbeaa. В начале загрузки Windows, вредоносная программа подписывает себя как доверенные DLL Winlogon. Доверенные DLL Winlogon применяются для мониторинга входа в систему, выхода из нее, всех событий, связанных с паролями (ввод, изменение, обработка и т.д.), но так же эти библиотеки применяются для перехвата информации, с которой они работают. Чтобы подтвердить свои подозрения и отыскать нужные DLL, он кликнул правой кнопкой по одному из странных входов, и в появившемся контекстном меню он выбрал «перейти к » (Jump To). На что Process Monitor запустил Regedit и сразу же перешел к выбранной записи:

Значение DLLName указывало на злонамеренную DLL - которая имела тоже самое имя, возможно, сгенерированное случайным образом, что и ключ реестра. Он знал, что в этом случае, вредоносная программа, скорее всего, уже вмешалась в работу MSE сканера, но нацелившись на конкретное имя DLL, ему стало интересно, а MSE просканировать конкретно взятый файл. Но все же, сначала, он решил провести полное сканирование системы, слабо надеясь, что вредоносная программа не будет захватывать исполняемые файлы со второго рабочего стала, но зря он на это надеялся. Он запустил MSE снова, указав в диалоге сканирования интересующую его DLL. Через пару секунд MSE закончил анализ библиотеки и отчитался, что библиотека вредоносна, и он в состоянии вылечить ее автоматически:

Наш пользователь нажал на нужные кнопки, и MSE быстро расправился с вредителем. Для финальной проверки, пользователь перезагрузил систему. Сразу же убедился, что загрузка прошла быстро, а вход в систему – оперативно. Снова появилась возможность запускать инструменты Sysinternals с основного рабочего стола, в отчетах Process Monitor не видно никакой подозрительной активности. Используя инструменты Sysinternals, наш пользователь обезвредил Sysinternals-блокирующий вирус и успешно закрыл данное дело.