Вітаю. Стаття присвячена такого популярного явища, як віруси. Будь-яку заразу на компі зазвичай називають вірусом і відразу біжать врубати антивірус, сподіваючись що він врятує. Антивирь рятує далеко не завжди, головний недолік — сигнатурний пошук. При бажанні озброївшись Winhex’om і надійним криптором значок в треї віра буде марно висіти, не заважаючи проникненню в систему різного роду spyware, adware, crimware, viruses і т. д.
Як би не покладалися виробники на технологію евристичного пошуку — на ділі ця фіча служить лише для залучення клієнтів.
Якщо ви зіткнулися з шкідливим ПЗ, а не з одноразовими жартами, гробящими систему, то зараза може автозагружаться.
Автозапуск
1). Реєстр — гілки Run, RunOnce, RunOnceEx, RunService, RunServiceOnce для поточного користувача.
Банальний автозапуск через реєстр, найпоширеніший. Автозапуск на рівні користувача.
2). Самооткрывающиеся меню.
Меню Пуск — Всі програми — Автозавантаження.
Єдиний плюс у тому, що в закутках реєстру можна змінити шлях до папки Автозавантаження на який-небудь інший.
Наприклад, на %windir%system32 — страшно буде подумати, як у юзера при запуску вінди автоматом запустяться всі проги з system32))
3). Файли автозапуску.
Win.ini, system.ini, wininit.ini, wininit.ini, winstart.bat, config.sys, dosstart.bat, autoexec.nt, autoexec.bat, config.nt.
Деякі в корені системного диска, багато в папці windows. Ознайомтеся з їх синтаксисом самостійно.
Особливу увагу хотів би приділити файлу system.ini. Параметр shell за замовчуванням встановлений в explorer.exe. Тобто при запуску вінди буде грузиться стандартна оболонка
експлорера. При заміні цього параметра наслідки предугадываемы — завантаження вірусу замість експлорера, а потім вірус, що одержав управління завантажує експлорер.
4). Winlogon — вхід в windows.
HKEY_LOCAL_MACHINESoftwareMicrosoftwindows NTCurrentVersionWinlogon
Значення shell і userinit відповідають за завантаження інтерфейсу. Shell — вже знайома оболонка експлорера. Спосіб автозавантаження
такий же, як в попередньому способі. У Winlogon багато параметрів відповідають за вхід в систему і налаштування поведінки explorer, що на руку витонченою зарази. На всяк випадок тримайте бекапи важливих гілок реєстру
на болванці.
5). Команди оболонки.
Параметри запуску командних файлів, виконуваних файлів, скриптовой платформи(wscript), заставки і т. д
Наприклад, зараза запускається разом з кожним ехешником. Рідкісний спосіб, набагато частіше використовується перехоплення аналогічним системних функцій.
6). Appinit dlls — вбудовані бібліотеки процеси.
Зазвичай це spyware. HKEY_LOCAL_MACHINESOFTWAREMicrosoftwindows NTCurrentVersionWindows, параметр AppInit_DLLs. Шкідлива дллка
впроваджується в кожен процес і контролює таким чином роботу систему. Наприклад якщо це спрямовано на ослика(iexplore.exe) то бібла може генерувати перехід на
будь-який сайт або автоматично генерувати накрутку відвідувань на сайті. Сама по собі dll служить компонентом для основного тіла шкідливої програми.
7). Сервіси.
Найдієвіший спосіб для середньої малварі. У систему додається сервіс(це можна зробити вручну, шляхом запису в реєстр), встановлюється шлях до ехешнику для запуску, ім’я сервісу,
тип автозапуску — auto, інше значення не має. Виявити важче всього, юзер рідко коли знає для чого які сервіси служать. Між іншим працююча служба планувальника завдань забезпечує
автозавантаження будь-якої зарази, тому слід її відключити, якщо особливо не потрібна. Панель управління — Адміністрування — Служби.
8). Руткіти(на рівні користувача або ядра), драйвери, перехоплення системних функцій, бібліотеки winsock, зміна запису master boot record.
Саме дієве рішення, вирьмейкеры, вміло застосовують такі методи — ось що викликає повагу.
Серйозні епідемії на сьогоднішній день викликають трояни із застосуванням руткітів для приховування в системі. Можливо приховувати свої файли від виндосовского api, записи в реєстрі,
шкідливі процеси. Всі антивіруси в нокдауні, якщо вчасно не змогли виявити комплекс, і він отримав доступ до системи з найвищими привілеями.
Кожне системне подія: запуск файлу, завантаження dll, відкриття папки, редагування реєстру, вихід із системи, навіть переміщення вікна по екрану — все контролюється і при бажанні
творця зарази може модифікувати ці дії або додавати до них нові властивості.
AVZ.
Без цієї утиліти не обійтися. Тепер про те, як з її допомогою знищити практично будь-яку заразу.
Першим ділом на вкладці меню «AVZPM» виберіть «Встановити драйвер розширеного моніторингу процесів».
Тепер про перевірку системи. На вкладці «Область пошуку» вибирайте системний диск. Там де «Виконувати лікування» — на свій розсуд,
не раджу ставити на автоматичне видалення всього знайденого.
«Типи файлів» — встановлюйте «Всі файли».
«Параметри пошуку» — встановіть все на максимум, відмітьте всі пункти. Пуск перевірки.
Хід перевірки.
Ініціалізація баз і мікропрограм AVZ.
1. Пошук RootKit і програм, перехоплюючих функції API
1.1 Пошук перехоплювачів API, що працюють в UserMode
//Аналіз користувальницьких dll. При включеній нейтралізації руткітів на рівні користувача червоним будуть відзначені виявлені
коди руткітів функції бібліотек, написи про те що вони нейтралізовані. Якщо у вас стоїть файрволл, і яке небудь антивірусне ПО
ці руткіти служать для їх правильної роботи.
1. Пошук RootKit і програм, перехоплюючих функції API
1.1 Пошук перехоплювачів API, що працюють в KernelMode
//Аналіз перехоплених функцій ядра. При знайдених перехоплювачів червоним буде виведена функція, яка була перехоплена і шлях до файлу перехоплювача.
Перехоплені функції відновлюються, але це не завадить зарази зупинитися назавжди, після перезавантаження все піде по новій. Якщо ім’я переватчика
не належить до системи або встановлених антивірусних програм, то це руткіт, що приховує шкідливе ПО в системі і забезпечує його приховану роботу.
1.3 Перевірка ІDT і SYSENTER
1.4 Пошук маскування процесів і драйверів
//Звертайте увагу на цей пункт. Справжнє ім’я знайденого замаскованого драйвера виведеться червоним. Як і у випадку з перехоплювачами ядра, запам’ятовуйте всі знайдені аномалії та імена передбачуваних
шкідливих модулів.
1.5 Перевірка обробників IRP
//Перехоплені обробники як зазвичай виводяться червоним, звертайте увагу на випадки, в яких шлях до файлу руткіта визначений.
2. Перевірка пам’яті
//Тут йде тільки аналіз процесів. Часто AVZ знаходить більше процесів, ніж стандартний диспетчер задач, що згубно для руткітів на рівні користувача.
Про кожному процесі виводяться попередження — за типом записаний в автозапуск, підозра на exe пакувальник, може працювати з мережею, не має видимих вікон. Тут все ясно.
3. Сканування дисків
//Тут сканування вибраних дисків(або папок на диску).
Вся виявлена зараза обробляється у відповідності з заданими параметрами «Методика лікування».
4. Перевірка Winsock Layered Service Provider (SPI/LSP)
//Буває зараза має намір припиняє доступ в інтернет, змінюючи ці параметри. Пооверка їх утилітою AVZ автоматично виправить всі помилки і забезпечить доступ в мережу.
5. Пошук перехоплювачів подій клавіатури/миші/вікон (Keylogger, троянські DLL)
//Тут теж все ясно. Підозрілі dll будуть виведені червоним, буде проведений поведінковий аналіз об’єкта і виведена ступінь ймовірності підозр.
6. Пошук відкритих портів TCP/UDP, використовуваних шкідливими програмами
//У AVZ є база в кілька сотень троянських портів, як TCP, так і UDP. При знаходженні відкритих троянських портів буде виведено попередження і шлях до файлу, який працює з цим портом в даний момент.
При знаходженні такого добра пора бити тривогу і викидати на смітник негідний антивірус/файрволл, обрубувати інет повністю, до видалення зарази з системи.
7. Евристична перевірка системи
//Не плутати з нікчемною евристичної сигнатурной перевіркою у розкручених антивірусів. Це дійсно потужна перевірка виявляє приховані завантажувачі і т. д
8. Пошук потенційних вразливостей
//Видає попередження про запущених потенційно небезпечних службах(телнет, віддалений робочий стіл, планувальник завдань), адміністративне доступ до дисків, розшарені ресурси, доступу до системи в якості гостя.
9. Майстер пошуку та усунення проблем
//Заборонений запуск реєстру, заблокований диспетчер завдань, включений автозапуск з hdd і сьемных пристроїв — все це виводиться тут.

Перевірка закінчена. Всі підозрілі файли дивіться у меню «Файл» — «Перегляд списку підозрілих об’єктів», там же приймайте рішення про видалення.
Відкрийте меню «Файл» — «майстер пошуку та усунення проблем». Знайдіть і виправте системні проблеми, наприклад, часто зустрічається несоответствиие розширень файлів і заблокований реєстр.
Всі перевірки проводилися можна зробити вручну, вкладка меню «Сервіс». Зеленим відзначаються безопасносные об’єкти, чорним — сторонніх виробників і просто невизначені, червоним — напевно шкідливі.
Меню файл — «Відновлення системи» — корисні функції для очищення слідів від spyware, в тому числі і відновлення налаштувань ослика.
Меню файл — Менеджер автозапуску» — контроль над майже всіма методами автозапуску, перерахованими вище.
І про обчислення вбудованих dll в системні процеси. В AVZ є «Менеджер процесів», виберіть будь-який процес і внизу побачите «Використовуються dll». Як раз те що треба. Перевірте всі бібліотеки, позначені чорним, і не мають підпису виробника антивиря або файрволла.
З середньої малварью і багатьма хробаками покінчено. Знаючи, як використовувати цю тулзу, можна нейтралізувати переважна більшість шкідливого ПО. А адже ми ще навіть не заїкнулися про повноцінний антивірус)
Трояни.
Настав час розправитися і з троянами. Не буде страшний навіть запуск без розбору будь-якого шкідника, що працює з мережею. Вся справа в файрволлі, якщо такого ще не встановив то не дбаєш про безпеку в інтернеті.
Кращий на сьогодні фаєр це Agnitum Outpost Firewall PRO, в поданні масам не потребує. Проблемою для багатьох стає його налаштування. Для базової захисту досить ставити рівень «Підвищений» при установці.
Тоді за замовчуванням він відстежує всі мережеві коннекти, при вирішенні додає мережеву прогу в довірені, відстежує реєстру, спроби завантаження драйверів, записи в системні файли, спроби впровадження в інший процес,
спроби запуску невідомих програм, видаляє шкідливі скрипти, які потрапляють з веба. Список вражаючий. Вся активність системи як на долоні. Корисна фішка файрволла у тому, що він детектує і відхиляє практично всі відомі мережеві атаки (фаєр використовують руткіт-технології для нізькорівневої доступу до системи, звідси і тотальний контроль над усією активністю). Нічого страшного в тому що лог виявлених атак зростає кожні 5 хвилин, це автоматичні запити з серваков прова на всю підмережу плюс атаки з заражених машин.
Доводиться рахуватися з тим, що інтернетом користуються повально всі, і в основній масі це практично нічого не тямлять люди. У той час як вони лазять по соц мереж і онлайн іграшок черв’яки з їх компів продовжують сканувати віддалені машини для розмноження, ддосят сайти, а умільці,
поширили хробака по інету, вже продають звіти троев на тематичних ресурсах. Буває навіть так що комп нічого не підозрює користувача входить у ботнет, і кілька разів цей ботнет перепродується від одного господаря до іншого))
Фаєрвол, на відміну від AVZ, попередження зараження. Якщо випадково дозволили трояну свою діяльність, то гоу Налаштування — Правила для додатків — [Мережева прога] — Редагувати — Блокувати всі дії.
І врахуйте, оптимальний варіант — це індивідуальна настройка фаєра, так що доведеться покопатися в налаштуваннях/гуглі по черзі.
Антивірус.
Не заважає обзавестися, лінь кожен раз дослідити систему утилітою авз і знищувати переможеним малварь руками:) А для лікування заражених файлів просто необхідно.
Що б порадити? ІМХО DrW……, але залишаю вибір антивиря на читача. Розповідати про узагальнене використання не буду, тому що деякі антивіруси вміють ловити руткіти на рівні ядра, а деякі не справляються з простим троєм)
Сторонні антишпигунські утиліти якраз створені проти троянів та шпигунів, але неефективні проти черв’яків і вірусів. Проти витончених шпигунів добре справляється Ad Aware, особливо з встраивающимися в браузер або в якості activex компонента. Утиліта HiJackFree показує процеси, практично всю автозавантаження(перераховані вище методи), відкриті порти, хост файл і багато іншого, не заважає обзавестися.
Видалення вручну
При собі маємо звичайну ХРюшу, припустимо заражену(чим саме не відомо), користуватися можна тільки засобами системи. Інтернет є, але скачувати нічого не можна, так само є локалки. Тепер про те, як вручну викорінити заразу в такій ситуації.

Так як є локалки, то для початку cmd — «net user». Якщо виявлена невідома учетка, то «net user [УЧЕТКА] /delete». Тепер cmd — «net share». Видаляйте всі недозволені кулі, «net share C$ /delete», «net share ADMIN$ /delete» і т. д. Більш зручно юзати компонент панелі управління fsmgmt.msc(просто запустіть через меню Виконати), ця утиліта показує всі расшаренные ресурси на компі і віддалені компи, їх переглядають, включаючи netbios імена, айпі, час перегляду, ім’я активного користувача(!).
І для зупинки телнета:
[code]
@echo off
net stop telnet
sc config tlntsvr start= disabled
tlntadmn config port=23 sec=-NTLM
[/code]
Всі закладки, які існують, але приховані при старті системи в гілці реєстру HKEY_LOCAL_MACHINESOFTWAREMicrosoftwindowsntcurrentversionwinlogonspecialaccountsuserlist.
На час визволення від зарази, не завадить налаштувати властивості підключення по локалці — вкладка «Загальні». Зніміть галочки з «Клієнт для мереж Microsoft», «Служба доступу до файлів і принтерів», «Відповідач виявлення топології рівня зв’язку». Тепер вибираємо «Протокол інтернету (TCP/IP)» і його властивості — додатково. Вкладка «DNS», зніміть галочку з пункту «Зарегестрировать адреси цього підключення в DNS». Вкладка «WINS» — виберіть «Вимкнути NetBios через TCP/IP».
Тепер ваш комп не може звертатися до інших машин в локалці, але підвищений рівень безпеки на час пошуку зарази. Якщо не використовуються загальні ресурси, файлообмінники і т. д, то можна так і залишити, система буде менше гальмувати.
Дале не завадить перевірити автозавантаження через ключі реєстру, всі знайдені невідомі параметри у розділах Run, RunOnce для HKEY_CURRENT_USER або HKEY_LOCAL_MACHINE спокійно видаляйте. Далі просто видаліть саме тіло вірусу, знайдене в параметрі автозапуску.
Якщо реєстр відключений засобами системи, то змусити його заробити можна через «secpol.msc /s» — локальна політика безпеки. Або просто спробуйте перейменувати regedit.exe в папці windows *.bat. Запускатися буде,
якщо вирь блочит редактор тільки по імені процесу regedit.exe. Якщо блокування йде по хендлу вікна, то спробуйте видалити свою учетку, створіть для початку іншу з админскими правами і зайдіть з неї. Налаштування на свіжо створеної з дефолтні, і реєстр і таскменеджер будуть запускатися.
Нова учетка вирішує всі проблеми з відображенням прихованих і системних файлів.
Тепер про знищення резидентної малварі. cmd — «tasklist». Стандартна утиліта tasklist показує навіть ті процеси, які не видно для звичайного диспетчера. Виявили підозрілий процес — знайдіть ім’я файлу на диску. Якщо відсутні підписи відомих розробників у властивостях файлу і дата його створення недавня,
то можна валити. Але це можна буде зробити засобами провідника, набийте в командний рядок:
[code]
@echo off
taskkill /im [вредоносный_процесс] /f
attrib -s -r -a -h [путь_к_файлу_процесса]
erase [путь_к_файлу_процесса] /f
shutdown -r -f
[/code]
Йдемо далі, якщо наслідки залишилися. Комбінація клавіш win + pause, дивимося в розділ віддалені сеанси, знімаємо галочки з усіх дозволів. Потім переконайтеся, що відключені наступні служби:
TermService, RemoteRegistry, NetTcpPortSharing, ClipSrv, RDSessMgr, Telnet.
Всі хто можливо юзал ваш комп як виділений сервер(дедик) у великому обломе. Регулярно слідкуйте за небезпечними службами і прихованими учетками, і проблем з цим не буде.
Брандмауер в вінді, як всі знають, нікуди не годиться. Але клацніть по властивостям цього самого вічно відключеного брандмауера по вкладці «Винятки». Подивіться на шляху до прогам, деякі з них вписуються в винятки самостійно, здогадайтеся навіщо. Нічого не варто видалити ці проги, але у випадку з пинчем і йому подібними при
відсутність файрволла і антивіруса буде вже пізно))
Пора скористатися по справжньому потужним засобом для моніторингу мережевої активності, cmd — «netstat -a -b». Через пару хвилин побачите статистику всіх поточних коннектов, навіть прихованих від сторонніх файрволів. Дізнавшись ім’я підозрілого процесу, юзающего нестандартний порт, нічого не варто його грохнути, знову ж таки через cmd.
Дослідіть знайдений мережевий процес, пошукайте його і в службах. Якщо за всіма ознаками це бекдор, то можете подивитися айпі підключився в графі «Зовнішня адреса» нетстата, якщо зломщик не соксифицировал адмінку управління сервером.
А ось код для очищення тимчасових файлів, серед яких зазвичай ховаються вірусні модулі:
[code]
@echo off
attrib -s -r -a -h %temp%*.*
erase %temp%*.* /f
attrib -s -r -a -h %tmp%*.*
erase %tmp%*.* /f
[/code]
Зверніть увагу на улюблені для spyware папки %systemdrive%docume~1текущий_пользовательLocal SettingsTemp, %systemdrive%docume~1текущий_пользовательLocal SettingsTempomary Internet Files, %systemdrive%docume~1текущий_пользовательLocal SettingsApplication Data.
Для виявлення нещодавно змінених або створених файлів в папці windows зручно юзати стандартний пошук файлів і папок, указажите тільки маску для пошуку і дату модифікації. Якщо зараза пошкодила системні файли, то запускайте «sfc /scannow» для їх відновлення.
Компонент панелі управління eventvwr.msc — ті самі локальні логи повідомлень, подій і помилок вінди, видають докладний опис, шлях до файлу, дату і час з точністю до секунди, і навіть дизассемблированный уривок коду помилки. За цим самим логів і можна обчислити абсолютно всі дії на компі за всю історію системи, час роботи на ньому, моменти підключення до інету, звіти системних служб, відповіді пристроїв на системні звернення, підключення до мережних інтерфейсів і багато іншого. Сама фішка в тому, що всі ці логи можна легко очистити через ту ж стандартну утиліту eventvwr.msc. Зашифровані файли системних журналів лежать тут
%systemdrive%WINDOWSsystem32config*.Evt. Служба відповідає за логи — eventlog, за хитрим задумом не може бути зупинена засобами виндосовского апі, але може бути дуже урізана її настройками.
Завжди, коли тільки можна, намагайтеся видаляти заразу через безпечний режим(клавіша F8 при завантаженні компа), з відключеним інетом. В безпечному режимі, при умови що вірус не зробив неможливим його запуск, завантажуються тільки основні драйвери і служби. Запустіть утиліту DrWeb Cureit(безкоштовно, не вимагає установки, must have на флешці або cd), скануйте всі диски. AVZ теж добре уживається
з безопаской.
Відновлення налаштувань осла на дефолт(компоненти ie використовує система) — властивості оглядача — безпека — за замовчуванням.
Висновок
Варто захистити систему належним чином, і можна не панікувати при виявленні шкідливого ПЗ. Представлені в статті відомості достатні для успішної боротьби практично з усіма зловредів. Намагайтесь проявляти інтерес до дій малварі на компі, це своєрідний квест:) Пробивайте по гуглу виявлені імена тел вірусів, ключів реєстру, дії зарази, дізнавайтеся тим самим що саме потрапило до вас на комп,
і як найбільш ефективно з цим боротися.
Складні на даний момент речі, це черв’яки, для об’єднання компів в ботнет, обоходящие файрволли шляхом непалимого інжектування в мережеві системні процеси, доступ в інет яким завжди відкритий, закриптованные поліморфними крипторами з індивідуальними сигнатурами і грузимые через приватні зв’язки, руткіт технології присутні на рівні ядра з використанням погано документованих функцій для
тотального приховування своєї діяльності і мережевого трафіку)) Вони і становлять трохи менше одного відсотка всієї зарази, можна навіть не дізнатися що заражений комп. Дякую за увагу.