Зоны особого внимания

Обращайте внимание на:

- системные объекты, имеющие копирайт Microsoft, но не отмеченные как безопасные. В таблице процессов проверяйте размер файла (сверяя с эталонным показателем на чистой системе) и дату его изменения. Если дата лежит в пределах нескольких месяцев от момента снятия логов, размер не соответствует эталонному, то есть риск, что файл модифицирован вредоносным ПО, т.е. пропатчен. Тот же риск существует для неопознанных системных библиотек и драйверов. Подобные объекты также должны быть направлены в карантин.

- любые незнакомые вам процессы, библиотеки, службы и драйвера. Поначалу вам потребуется проверять множество файлов, но со временем в вашей памяти сформируется база уже проверенных и знакомых вам объектов, которые не потребуется верифицировать.

- объекты в таблице «Подозрительные файлы» (№17). Туда собираются все подозрения текстового протокола.

- объекты автозапуска, размещенные в системных и временных папках. Не забывайте, что BHO, мониторы печати, обработчики и т.д. также являются объектами автозапуска.

Примечание

В ряде случаев (при работе из-под ограниченного аккаунта или в терминальной сессии серверной операционной системы) может происходить некорректное отображение путей к системным файлам. Например,

C:\Documents and Settings\User\Application Data\WINDOWS\system32\ smss.exe

В частности, по этой причине AVZ может также сообщать о множественных ошибках Winsock Service Provider. Если вы видите подобное, уточните у пользователя, не сняты ли протоколы из-под терминальной сессии или из-под ограниченной учетной записи. Если ответ положительный, рассматривайте протокол, как если бы фрагмента Documents and Settings\User\Application Data\ не было в адресе, и уж ни в коем случае не производите исправление ошибок Winsock.

Дополнительная диагностика

Помимо уже упомянутой процедуры получения протокола Диспетчера служб и драйверов в безопасном режиме, можно использовать некоторые другие вспомогательные приемы.

1) Поиск файлов опасных типов за последний месяц. Это старый, много раз проверенный на деле метод определения возможно вредоносных файлов после появления признаков инфекции. Сделаем это через AVZ.

AVZ – Сервис – Поиск файлов на диске. Необходимо отметить системный диск (обычно C:\; по протоколам можно определить, на каком диске размещается загруженная система). Далее задаем фильтры:

Имя файла или маска: *.exe *.dll *.sys *.ocx (можно выбрать из выпадающего списка)

Дата создания: можно задать либо «Больше» (тогда в поле нужно вписать дату на месяц меньше текущего дня [формат ДД.ММ.ГГГГ]), либо «В диапазоне» (в этом случае в первое поле вписывается дата на месяц меньше, во второе – текущий день). Для уменьшения размера списка файлов отмечаем галочки «Исключить файлы, известные AVZ как системные и безопасные» и «Исключить файлы, прошедшие проверку подлинности Microsoft». В результате получаем примерно следующую расстановку настроек поиска:

Остается запустить поиск.

Если вы работаете с компьютером сами, просмотрите список найденных файлов, отметьте требуемые и скопируйте в карантин с помощью соответствующей кнопки. Если вы просите удаленного пользователя выполнить эту операцию, более целесообразно попросить его скопировать текст с закладки «Протокол» и показать вам. Так вы сможете указать пользователю выполнить карантин только тех файлов, которые вас интересуют.

2) При подозрении на кейлоггер, если соответствующая секция текстового протокола ничего не показывает, можно попробовать следующее:

- убедиться, что запущены Проводник и Internet Explorer (если браузер по умолчанию другой, его тоже следует запустить);

- запустить AVZ, перейти в Сервис – Менеджер внедренных DLL и сохранить протокол;

- запустить Диспетчер процессов, выделить по очереди Проводник и браузер(ы), сохранить протоколы в нижней части окна (список DLL для каждого из процессов).

Кейлоггеры часто реализуются в виде загружаемых DLL, и есть шанс обнаружить их в пространстве процесса AVZ, Проводника или браузеров.