Журнал «Компьютерра» № 35 от 26 сентября 2006 года
Шрифт:
Ну и напоследок, одна из самых известных утилит — Trojan Remover. Ее база на данный момент насчитывает больше десяти тысяч сигнатур.
Бывает, вы обнаружили активного трояна, а удалить его целиком не смогли. Что делать? В эпоху FAT32 и однодисковых конфигураций ответ был очевиден: загрузиться из-под DOS и удалить оставшиеся фрагменты тела вредителя (или его целиком) вручную.
Появление NTFS— и RAID-массивов заметно усложнило ситуацию. Дело в том, что NTFS является закрытой файловой системой. Ни одна сторонняя ОС и драйверы других разработчиков не поддерживают ее полностью. Если с чтением они еще худо-бедно справляются, то попытка записать/удалить что-либо на NTFS-разделе с их помощью подобна игре в русскую рулетку.
Лучше других для целей ручного удаления подходит версия WinXP PE. Однако и она пасует перед RAID уровня 0. Возможность догрузить дополнительные драйверы (например, nVidia nvRAID) при загрузке по {F6} реально не работала ни на одном из попавшихся мне дистрибутивов WinXP PE. Поэтому, если у вас задействован RAID-контроллер или другие устройства, поддержка которых не включена [Отгульный скот] по умолчанию в Windows, — соберите собственный дистрибутив WinXP PE, дополнив его всем необходимым. Уверен, он поможет вам не единожды. Начните со скачивания приличного PE-билдера.
Более безопасный (но и менее гарантированный) способ ручного удаления заключается в запуске различных «кулхацких» утилит непосредственно из-под инфицированной системы. Для минимализации риска их заражения/дезактивации можно осуществить запуск через защищенный режим AVZ [Об этом уникальном творении Олега Зайцева читайте в ближайших выпусках «Компьютерры»].
Среди таких программ отмечу три творения от компании DiamondCS:
1. Advanced Process Termination (APT). Уникальность этой бесплатной софтинки в том, что она предлагает на выбор дюжину пользовательских и два «ядерных» метода завершения активного процесса (читай — выгрузки активного трояна). Полагаю, лучше не реализовано нигде.
2. Advanced Process Manipulation (APM) родилась на свет в результате исследования троянских программ и поиска путей борьбы с ними. Она тоже бесплатна (даже для коммерческого использования). В отличие от обычных вьюеров активных процессов (заменителей Task Manager’а), APM не отсылает запросы другим процессам, а становится их частью. Фактически это означает полный контроль над процессом, так как сам себе любой процесс обычно готов разрешить любые действия.
3. DelLater позволяет указать пользователю файл, который необходимо удалить при следующем запуске ОС. Она берет на вооружение официальный метод, описанный Microsoft в Platform SDK, — Microsoft Developer Network, а значит, максимально безопасна.
Все эти симпатичные софтинки являются отличным орудием в деле удаления строптивых троянских коней.
Но новые угрозы появляются постоянно, а старые трансформируются и делают прежние средства борьбы неэффективными. Никакие сколь угодно «продвинутые» утилиты не отменяют необходимость знать устройство используемой операционной системы и уметь очищать ее от вредоносного (в том числе троянского) кода вручную. Те, кто надеется исключительно на автоматическую, «прозрачную для пользователя» защиту, ничего не смыслят ни в защите, ни в автоматике. Рано или поздно таких людей постигнет участь жителей Трои… хорошо хоть, что только в переносном смысле.
Чаще всего в различных руководствах по борьбе с вирусами советуют начинать проверку с открытых на компьютере портов. В нормальном режиме, при установленном и адекватно настроенном Zone Alarm’е (или любом другом приличном брандмауэре) все неиспользуемые порты закрыты. Поэтому попытка отправить запрос на один из «нестандартных» портов ни к чему не приведет: компьютер прикинется калькулятором и запрос проигнорирует.
А вот если чудо-софт обнаружил что-то подозрительное, тут надо глядеть во все порты! Утилита AVZ (www.z-oleg.com/secur/avz) их отлично показывает. И она — мощнейшее оружие супротив троянов и прочих супостатов. Положительный результат (наличие непрошенных соединений) будет свидетельствовать о том, что вы на правильном пути. А вот отрицательный результат вовсе не означает отсутствия заразы в вашем ПК. Кстати, чем именно смотреть — не столь важно. Я пользуюсь AVZ, админы традиционно предпочитают X-Spider
[www.ptsecurity.ru], можно просто набрать команду netstat -an, но в этом случае велик риск получить недостоверную инфрмацию, так как некоторые трояны готовы к этому. В любом случае, самый надежный способ проверки — извне.
Если подозрительная активность обнаружена, то прежде чем готовиться к длительному отражению осады злейших кибермонстров, неплохо бы поискать примитивных троянов [А также adware/spyware, hi-jack (подменяющих адрес стартовой страницы) и прочих наград за распутный веб-серфинг] и их следы в типичных местах для размещения «подарков».
Прежде всего обратите взор на активные процессы. Можно воспользоваться и стандартным TaskManager’ом, но лучше попробовать Advanced Process Viewer. Необходимо завершить все посторонние процессы, принадлежащие зловредному коду. Во избежание недоразумений полезно «своих знать в лицо». И в здравом уме не стоит трогать хотя бы следующие процессы: Explorer, Lsass, Services, System, Winlogon, Svchost, Csrss, Smss. Естественно, список далеко не полный и несколько отличается у разных пользователей, но эти — самые главные. Особое внимание следует обратить на так называемые процессы-маскировщики, они обычно имитируют истинные названия по написанию: explore (должно быть explorer), sys (system), svshost (svchost), winlogin (winlogon), systrey (systray) и т. д., их надо удалить в первую очередь.
После того как разобрались с оперативной памятью, запускаем regedit (или любой другой, более удобный редактор реестра) и открываем ветви:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run;
HKCU\Software\Microsoft\Windows\CurrentVersion\Run;
HKU\.Default\Software\Microsoft\Windows\CurrentVersion\Run;
HKLM\Software\Microsoft\Windows\CurrentVersion\Runonce;
HKCU\Software\Microsoft\Windows\CurrentVersion\Runonce;
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices;
При обнаружении ключа автозапуска, принадлежащего вредоносному коду — тут же удалите его. Если не уверены во вредоносности, просто поставьте в начале строки запуска несколько символов "+", это помешает запустить программу при следующей загрузке.
Ну а утилита autoruns от Марка Руссиновича и Брюса Когсвелла покажет вам не только общеизвестные секции автозапуска в реестре, но и вообще ВСЁ, что запускается самостоятельно при каждой загрузке операционной системы. В том числе и как ее часть. Это сотни строк, будьте морально готовы. Искать по ним подозрительные вещи глазками — довольно нудное занятие, поэтому рекомендую сразу после установки «чистой» ОС экспортировать из autoruns список автозапуска в текстовый файл, а затем каждый раз при проверке создавать новый и просто сравнивать его с эталонным (например, опцией «сравнить файлы» в Total Commander).