80634-41bd163f6957f17532e86e2c1f187a08.png

Небольшое вступление

Наверняка тебе не раз приходилось наблюдать на экране монитора, (не у себя конечно я надеюсь :) а у своих знакомых), надпись вида: "Отправьте смс с текстом **** на короткий номер **** и тогда ваш компьютер будет разблокирован" и тому подобное. Поначалу такие просьбы вызывали некое смущение и небольшую радость одновременно, но, спустя некоторое время, эти просьбы стали напрягать, ведь наверника у тебя и своих дел хватает. Поэтому хотел бы поделиться с тобой схемой, которая в дальнейшем поможет тебе не искать очередное оправдание, а с уверенностю сказат "Сделай сам! Тут все написано и нарисовано", с гордостью предоставив данную статью :)

Итак, порядок действий по освобождению компьютера от надоедливого зловреда будет следующим:

  • Находим процесс зловреда и останавливаем его;
  • Находим директорию, где поселился зловред, и удаляем его;
  • Избавляемся от последствий.

Пожалуй, самая основная проблема состоит в том, чтобы определить, под каким процессом прячется зловред, ведь подавляющее большинство такого рода программ, как правило, тщательно маскируют своё присутсвие в системе, и все бы хорошо, но, даже зная имя процесса, остановить его голыми руками не всегда получается. Скажу даже более, найдя сам файл зловреда, удалить его также получается далеко не всегда.

Но тем не менее начнем!

Набор схем, следуя которым можно выличить свой компьютер от вредоноса

Условные обозначения

Схема №1


Схема №2


Схема №3


Схема №4


Схема №5


Схема №6

 

Диспетчер задач

Если ты еще не передумал, то первое место, куда стоит заглянуть в поисках следов нашего вредоноса, это, конечно же, диспетчер процессов. Вероятность того, что он там присутсвует, стремится к нулю, связано это с тем, что современная малварь имется далеко не один способ спрятаться от его взора, но шансы есть.

Итак, вариантов в данном случае будет всего три:

  • В диспетчере задач явно наблюдается какой-то непонятный процесс с подозрительным именем, данный процесс запросто можно завершить;
  • Всё также виден подозрительный процесс, но завершить его обычным способом не получается;
  • В диспетчере задач подозрительных процессов не наблюдается.

В первом случая все понятно. Завершаем процесс, находим файл зловреда, смотрим раздел автозагрузки, кидаем файл на вирустотал, делаем выводы, после чего смело удаляем. Надеюсь, что имена системных процессов ты хотя бы частично знаешь, но на всякий случай перечислю: lsas, services, system, winlogon, svhosts csrss.

Следует помнить, что все системные процессы располагаются в папке %WINDIR%\system32\ (исключением является процесс explorer.exe, он как правило, находится просто в %WINDIR%\). Если путь процесса ведет в какую-либо временную папку или на флешку, то скорее всего стоит уделить этому процессу должное внимание. Обрати внимание на то, от чьего имени работает процесс, если процесс работает от имени пользователя, то это тоже повод насторожиться. Тот факт, что вредоносы могут скрываться за системными именами вроде того же svhost, никто не исключал, да и ты, я думаю, уже догадался о его существовании, так что не оставляй их без внимания.

Если дело касается второго случая, то это серьезный повод задуматься. Обычно адекватные и послушные программы без проблем дают себя удалить из списка процессов. В данной ситуации советую воспользоваться каким-нибудь альтернативным менеджером процессов (Process Explorer, ProcessHacker можно попробывать воспользоваться утелитой Kernel Detective). Если все выше перечисленное не помогло, то, по всей видимости, дело не обошлось без перехвата функций в ядре, но об этом чуть позже.

В случае, когда в диспетчере задач ничего подозрительного не наблюдается, то либо все чисто (данный вариант не рассматривается, как истинные параноики ИБ, смело его отметаем :)), либо процес настолько хитер , что умело маскируется, или же произвел внедрение своего кода в какой-то легальный процесс и из-под его прикрытия творит свои нехорошие дела.

Выявить скрытый процесс можно попробовать все тем же Kernel Detective, который умеет определять маскировку процесса, реализованная с помощью API функции NtQuerySystemInformation. Как правило, скрыть процесс в системе практически невозможно, те или иные следы остаются в системе. У каждого процесса имеется целая куча косвенных признаков. Это могут быть различные окна, хендлы - (дескриптор), все это можно попробовать проанализировать с помощью утилиты Handle, которая покажет список открытых хендлов для все текущих процессов, в том числе и для скрытых.

Когда дело касается внедрения вредоносного кода в процесс, то это, как правило, делается для того, чтобы получить беспрепятственный доступ в сеть, либо для того, чтобы прехватить некоторые системные функции и в дальнейшем произвести внедрение перехватов во все запущенные процессы (обычно такими процессами выступают explorer.exe или winlogon.exe). Для того, чтобы определить взаимодействие внедренного кода с сетью, необходимо воспользоваться утилитой мониторинга сетевых соединений. В качестве примера возьмем тулзу TcpView, после запуска программа сразу же покажет список активных TCP и UDP соединений и покажет, к какому процессу относится каждое соединение. Если в полученном списке наблюдается, например, процесс explorer.exe, который ведет активное общение с непонятным адресом, то лучше сразу закрыть это соединение, либо попытаться перезапустить данный процесс.

API-функции которые любят перехватывать вредоносы

Перехватываемая функция Функции выполняемые перехватчиком

ntdll.dll!LdrLoadDll
kernel32.dll!LoadLibrary

Отслеживание загрузки библиотек

ntdll.!EnumerateValueKey
ntdll.dll!EnumerateKey
advapi!.dll!RegEnumKey
advapi.dll!RegEnumKeyEx
advapi.dll!RegEnumValue

Маскировка ключей и их значений в реестре, блокировка изменений значений ключей в реестре

ntdll.!OpenProcess
ntdll.dll!OpenThread

Защита процессов и потоков от анализа и завершения

ntdll.NtQuerySysteminformation
ntdll.dll!RtlGetNativeSystemInformation
kernel32.dll!Process32Next
Kernel32.dll!CreateToolhelp32Snapshot

Маскировка процессов

ntdll.dll!NtQueryDirectoryFile
ntdll.dll!NtCreateDirectoryObject
ntdll.dll!NtOpenDirectoryObject
ntdll.dll!QueryInformationFile
ntdll.dll!OpenFile
ntdll.dll!CreateFile
kernel32.dll!FindNextFile
kernel32.dll!CopyFile
kernel32.dll!MoveFile
kernel32.dll!DeleteFile

Маскировка файлов и каталогов, блокировка доступа к файлам, искажение информации о файлах

 

Места автозагрузки

Существует далеко не один способ сделать так, чтобы зловред запускался вместе с системой. В большинстве случаев для этого используется реестр (папка автозагрузки я думаю, упоминанию не подлежит, слишком банально, но бывает и такое, что она тоже может быть задействована). Перечислять все возможные места автозагрузки не имеет смысла, их настолько много, что проще доверить это дело очередной утилите,менеджеру автозагрзки, который возьмет столь непосильный труд на себя. Лучшим вариантом будет Autoruns от компании SisInternals.

В большинстве случаев вредоносы имеют защиту от удаления их из областей автозагрузки. Как правило, они ведут мониторинг наличия своих ключей в реестре и, если обнаруживают, что их записи удалены, создают их снова. Чтобы воспрепятствовать такому поведению, одного Autorun's будет недостаточно. Для начала нужно будет воспользоваться Process Explorer или его аналогом для того, чтобы приостановить данный процесс со всеми его потоками, после чего произвести чистку реестра, как результат после перезагрузки компьютера "если повезет", вредонос останется не у дел.

 

Напоследок

Если, все усилия, потраченные на поиски вредоноса, не принесли никаких результатов, не спеши радоваться. Советую перезапуститься с LiveCD со свежими антивирусными базами, (они, кстати, есть на многих сайтах различных антивирусных компаний), после чего произвести проверку компьютера уже с этого LiveCD. 


Пожалуйста авторизируйтесь, что бы оставлять комментарии