Пара слов от переводчика

Лично мне тоже приходилось работать с баннерами, здорово мешавшим работать системе, но баннер баннеру, локкер локкеру, разумеется, рознь. Иногда достаточно msconfig, чтобы вылечить систему, иногда эта утилитка уже заблокирована, как и диспетчер задач (знакомая ситуация?), в других случаях, используя стандартные тулзы, мы можем вылечить только симптомы, что является, мягко говоря, очень дурным тоном – лечить надо всегда причину, а, как это делать, вот об этом и пост от Марка Руссиновича. Дело, которое Марк ведет сам.

Превосходный айтищник, Марк так же первоклассный писатель, и теперь уже не только научно-популярной литературы и компьютерных статей, но и фантастических романов. О том, что Марк говорит о своей творческой "кухни" почитать можно здесь, но это для тех, кто интересуется процессом написания статей и романов, а для айтишников – новый пост, читайте, набирайтесь опыта. Да прибудет с Вами сила, и только светлая ее сторона!

Пост:

Этим постом я продолжаю охоту на вредоносные программы, начатую в прошлых постах (русскоязычный вариант здесь). Это дело началось тем, что моя знакомая из Microsoft рассказала, что у ее соседки лэптоп из-за вирусов вышел из строя, и она поинтересовалась, не могу ли я взглянуть на эту систему. Подруга ее была в отчаянье: на машине были важные файлы, документы, фотографии и, казалось, не было возможности достать их с этой системы.

К несчастью, большинство специалистов-айтишников видят в просьбах друзей и знакомых помочь с компьютерами только бремя для себя, я же имею привычку всегда приходить на помощь в подобных ситуациях. Ища проблемы в системе или в программном обеспеченье, чувствуешь себя в схватке с компьютером. Результатом такой схватки, для меня, - чувство удовлетворения и обязательный опыт, приобретенный в реальных «боевых» условиях. Успех так же сопровождается академическим чувством. В случае же с вредоносными программами, каждое такое дело становиться для меня личным, позволяя в очной схватке сойтись с «гением» преступного хакера. Победа над вирусом – это победа добра над злом. Была у меня идея печатать на футболках «Да, я вылечу твой компьютер!» Поэтому я тут же согласился помочь, и мы незамедлительно притащили больной лэптоп в мой офис.

Когда на следующий день выдалась свободная минутка, я запустил машину, вошел в систему, и почти сразу же на меня посыпался ливень диалоговых окон, сообщающих, что компьютер инфицирован опасными вирусами, что он же атакован через интернет:

Так же весь рабочий стол загромоздили диалоги, сообщающие, что некоторые программы не могут запуститься, потому что и они тоже инфицированы:

Мне еще не приходилось видеть scareware таким агрессивным. После того, как шквал предупреждений стих, я взялся исследовать систему. Начал с того, что подключил флэшку с утилитами от Sysinternals, я собирался запустить Process Explorer. Однако, я быстро убедился, что запустить что либо было невозможно: компоненты Windows или программы сторонних разработчиков – результат все тот же – приложение не запускается, и отображается окошко безопасности, рапортующие, что программа заражена. Система оказалась, действительно, не рабочей.

Зараженная учетная запись была единственная, что сразу же исключило возможность попытаться лечить систему из-под другой учетной записи, которая могла быть незаражена. Озадачил тот факт, что для очистки системы мог потребоваться офф-лайн доступ в систему, который устанавливается с диска вместе с Microsoft Diagnostic and Repair Toolset (Microsoft выпускает его, как потомка ERD Commander, продукта, который я создал в Winternals Software). Мой MSDaRT CD оказался дома, и мне нужно было нарезать новый. Но про себя я отметил: первое окно вылезало секунд через 5-10 после входа в систему. А это означало, что если вредоносные программы не блокируют запуск приложений в это время, или же они сами инициализируются запуска некоторых программ входа в систему, так как Explorer запускался полностью, то я вполне в этот промежуток времени мог запустить Process Explorer и Autoruns, прежде чем, система заблокируется. Этот вариант давал мне возможность не возиться с нарезкой диска. И я решил попробовать его.

Прежде чем выходить из системы, я скопировал Process Explorer и Autoruns для удобного доступа к ним. Я загрузил систему и запустил программы из быстрого запуска. Была короткая пауза, а затем оба приложения запустились. Они работали! Я дождался шквала диалогов с предупреждениями и стал изучать показания Process Explorer’а. Конечно же, одни процесс выделился сразу - hgobsysguard.exe:

Я рассказывал общие характеристики вредоносных программ в своей презентации «Продвинутая чистка от вредоносного ПО», этот же процесс имел все индикаторы вредоносной программы:

•          Случайное или необычное имя: hgobsysguard.exe кажется, такое имя может быть вполне осознанным, но я никогда не видел и не слышал ничего, что могло бы иметь такое имя.

•          Отсутствуем название компании или описание: невредоносное ПО всегда имеет в описании название компании и описание версии исполняемого файла. Во вредоносных же программах эта информация часто пропускается, с расчетом на то, что многие пользователи не запускаю утилиты, чтобы просмотреть эту информацию о файле

•          Установка происходит в отличную от \Program Files директорию: следует рассматривать все приложения, установленные не в \Program Files директорию, как потенциально опасные. В данном случае исполняемый файл находился в профиле пользователя – еще один указатель на вредоносное ПО.

•          Сжатые либо зашифрованные файлы: Для защиты от обнаружения и более трудоемкого анализа, авторы вредоносного ПО часто шифровать своих детищ. В Process Explorer используются эвристические алгоритмы для идентификации зашифрованных файлов, которые называются «упакованными», такие файлы выделяются фиолетовй подсветкой

Я внимательно изучил все остальные запущенные исполняемые файлы, для которых процесс Svchost.exe является хостовым, но не обнаружил больше ничего подозрительного. Случается, что вредоносные программы используют «приятельскую систему», использующую два процесса, которые следят друг за другом, и если одни из них пытаются прервать, то второй его запускает, тем самым, делая невозможным остановку вредоносного процесса. Когда я выявляю такие процессы, использую функцию Process Explorer’а, позволяющую усыпить такие процессы, чтобы потом их убить (этот способ, возможно, наиболее гуманный). Здесь же я увидел всего одни злонамеренный процесс, поэтому я просто прервал его выполнение. Процесс не восстал из мертвых, что само по себе было хорошим знаком, говорящем о том, не использовалась скрытая DLL, связанная с другими процессами. Потом я просто перешел в директорию и удалил все файлы процесса.

С процессом и исполняемы файлом я разобрался, следующим шагом было, определить и удалить точки автозапуска. Я включил Autoruns, который быстро закончил свое сканирование, и указал две точки входа для вредоносного исполняемого файла. Обе точки входа имели случайно сгенерированные имена, что является типичным признаком вредоносного ПО:

Я удалил эти точки, изучил в деле несколько компонентов, которые были не такие очевидные, поэтому я сделал несколько операций стандартной очистки, пока был в системе. Затем я перезагрузил систему, вышел и вышел в сеанс, чтобы убедиться, что она чистая. За все это время не было ни одного всплывающего окна, все приложения запускались в стандартном режиме, а ни Process Explorer, ни Autoruns не указал никаких признаков инфекции. В общей сложности я потратил что-то около пяти минут, получил массу приятных ощущений, перехитрив вредные программы и очистив от них систему. Дело закрыто.