- •I. Введение
- •II. Работа с инструментами диагностики и лечения
- •Описание HiJackThis и работа с ней
- •Вступление
- •Предупреждение
- •Назначение
- •Начало работы
- •Раздел Misc Tools.
- •Описание avz и работа с ней
- •Ключевые компоненты avz
- •Главное окно программы
- •Меню «Файл»: avz как единый инструмент
- •1. Функции анализа и восстановления
- •2. Функции скриптового движка
- •3. Обновление баз
- •4. Функции карантина
- •5. Отложенное удаление файла
- •Меню «Сервис»: диспетчеры и менеджеры avz
- •1. Общие характеристики диспетчеров и менеджеров avz
- •2. Подсистемы поиска
- •3. Прочие инструменты
- •AvzGuard
- •Boot Cleaner
- •III. Основы диагностики
- •1. Подготовка
- •2. Протокол hjt
- •3. Протоколы avz
- •Чтение протоколов HiJackThis
- •Анализ лога
- •Чтение протоколов avz
- •1. Цветовая схема
- •2. Состав таблиц
- •1) Список процессов (данные Диспетчера процессов)
- •2) Модули пространства ядра (данные одноименного диспетчера)
- •3) Службы (данные Диспетчера служб и драйверов, часть 1)
- •4) Драйверы (данные Диспетчера служб и драйверов, часть 2)
- •5) Автозапуск (данные Менеджера автозапуска)
- •6) Модули расширения Internet Explorer (bho, панели…) (данные Менеджера расширений ie)
- •7) Модули расширения проводника (данные Менеджера расширений проводника)
- •8) Модули расширения системы печати (данные Менеджера расширений системы печати)
- •9) Задания планировщика задач Task Scheduler (данные Менеджера планировщика задач Task Scheduler)
- •10) Настройки spi/lsp (данные Менеджера Winsock spi)
- •11) Порты tcp/udp (данные диспетчера «Открытые порты tcp/udp»)
- •12) Downloaded Program Files (данные Менеджера Downloaded Program Files)
- •13) Апплеты панели управления (cpl) (данные Менеджера апплетов панели управления)
- •3. Общие сведения
- •4. Поиск RootKit и программ, перехватывающих функции api (в соавторстве с Олегом Зайцевым)
- •1.1 Поиск перехватчиков api, работающих в UserMode
- •1.2 Поиск перехватчиков api, работающих в KernelMode
- •1.2 Поиск перехватчиков api, работающих в KernelMode
- •1.3 Проверка idt и sysenter
- •1.4 Поиск маскировки процессов и драйверов
- •1.4 Поиск маскировки процессов и драйверов
- •1.4 Поиск маскировки процессов и драйверов
- •5. Проверка памяти
- •2. Проверка памяти
- •6. Сканирование дисков
- •3. Сканирование дисков
- •7. Проверка Winsock Layered Service Provider
- •4. Проверка Winsock Layered Service Provider (spi/lsp)
- •4. Проверка Winsock Layered Service Provider (spi/lsp)
- •8. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские dll)
- •5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские dll)
- •9. Поиск открытых портов tcp/udp, используемых вредоносными программами
- •6. Поиск открытых портов tcp/udp, используемых вредоносными программами
- •10. Эвристическая проверка системы
- •7. Эвристичеcкая проверка системы
- •11. Поиск потенциальных уязвимостей
- •8. Поиск потенциальных уязвимостей
- •8. Поиск потенциальных уязвимостей
- •12. Мастер поиска и устранения проблем
- •9. Мастер поиска и устранения проблем
- •9. Мастер поиска и устранения проблем
- •Критерии вредоносности файла
- •Зоны особого внимания
- •Примечание
- •Дополнительная диагностика
- •Работа со списком заподозренных файлов
- •Извлечение файлов и их анализ
- •Если файл не удается поместить в карантин
- •1) Попытаться выполнить карантин в безопасном режиме.
- •3) Попробовать применить специализированный антируткит (например, IceSword, позволяющий копировать скрытые и защищенные файлы).
- •Vms@drweb.Com
- •Virus_malware@avira.Com
- •IV. Лечение
- •Лечение с помощью HiJackThis
- •Лечение с помощью avz
- •1. Удаление файлов
- •2. Восстановление системы и исправление ошибок
- •1. Настройки spi/lsp
- •1) Ручной.
- •2. Файл hosts
- •3. Эвристическая проверка системы
- •4. Мастер поиска и устранения проблем
- •Восстановление системы по жалобам пользователя
- •3. После лечения
- •Если вредоносное программное обеспечение восстанавливается после удаления
- •1) Убедитесь, что Восстановление системы Windows отключено.
- •Если лечение прошло успешно
- •Чего не следует делать уважающему себя и других антивирусному консультанту
- •3) Выполнять ненужные / бесполезные для обрабатываемого случая операции
- •6) Содействовать поиску и использованию вредоносного и / или взломанного программного обеспечения
- •V. Заключение
Зоны особого внимания
Обращайте внимание на:
- системные объекты, имеющие копирайт Microsoft, но не отмеченные как безопасные. В таблице процессов проверяйте размер файла (сверяя с эталонным показателем на чистой системе) и дату его изменения. Если дата лежит в пределах нескольких месяцев от момента снятия логов, размер не соответствует эталонному, то есть риск, что файл модифицирован вредоносным ПО, т.е. пропатчен. Тот же риск существует для неопознанных системных библиотек и драйверов. Подобные объекты также должны быть направлены в карантин.
- любые незнакомые вам процессы, библиотеки, службы и драйвера. Поначалу вам потребуется проверять множество файлов, но со временем в вашей памяти сформируется база уже проверенных и знакомых вам объектов, которые не потребуется верифицировать.
- объекты в таблице «Подозрительные файлы» (№17). Туда собираются все подозрения текстового протокола.
- объекты автозапуска, размещенные в системных и временных папках. Не забывайте, что BHO, мониторы печати, обработчики и т.д. также являются объектами автозапуска.
Примечание
В ряде случаев (при работе из-под ограниченного аккаунта или в терминальной сессии серверной операционной системы) может происходить некорректное отображение путей к системным файлам. Например,
C:\Documents and Settings\User\Application Data\WINDOWS\system32\ smss.exe
В частности, по этой причине AVZ может также сообщать о множественных ошибках Winsock Service Provider. Если вы видите подобное, уточните у пользователя, не сняты ли протоколы из-под терминальной сессии или из-под ограниченной учетной записи. Если ответ положительный, рассматривайте протокол, как если бы фрагмента Documents and Settings\User\Application Data\ не было в адресе, и уж ни в коем случае не производите исправление ошибок Winsock.
Дополнительная диагностика
Помимо уже упомянутой процедуры получения протокола Диспетчера служб и драйверов в безопасном режиме, можно использовать некоторые другие вспомогательные приемы.
1) Поиск файлов опасных типов за последний месяц. Это старый, много раз проверенный на деле метод определения возможно вредоносных файлов после появления признаков инфекции. Сделаем это через AVZ.
AVZ – Сервис – Поиск файлов на диске. Необходимо отметить системный диск (обычно C:\; по протоколам можно определить, на каком диске размещается загруженная система). Далее задаем фильтры:
Имя файла или маска: *.exe *.dll *.sys *.ocx (можно выбрать из выпадающего списка)
Дата создания: можно задать либо «Больше» (тогда в поле нужно вписать дату на месяц меньше текущего дня [формат ДД.ММ.ГГГГ]), либо «В диапазоне» (в этом случае в первое поле вписывается дата на месяц меньше, во второе – текущий день). Для уменьшения размера списка файлов отмечаем галочки «Исключить файлы, известные AVZ как системные и безопасные» и «Исключить файлы, прошедшие проверку подлинности Microsoft». В результате получаем примерно следующую расстановку настроек поиска:
Остается запустить поиск.
Если вы работаете с компьютером сами, просмотрите список найденных файлов, отметьте требуемые и скопируйте в карантин с помощью соответствующей кнопки. Если вы просите удаленного пользователя выполнить эту операцию, более целесообразно попросить его скопировать текст с закладки «Протокол» и показать вам. Так вы сможете указать пользователю выполнить карантин только тех файлов, которые вас интересуют.
2) При подозрении на кейлоггер, если соответствующая секция текстового протокола ничего не показывает, можно попробовать следующее:
- убедиться, что запущены Проводник и Internet Explorer (если браузер по умолчанию другой, его тоже следует запустить);
- запустить AVZ, перейти в Сервис – Менеджер внедренных DLL и сохранить протокол;
- запустить Диспетчер процессов, выделить по очереди Проводник и браузер(ы), сохранить протоколы в нижней части окна (список DLL для каждого из процессов).
Кейлоггеры часто реализуются в виде загружаемых DLL, и есть шанс обнаружить их в пространстве процесса AVZ, Проводника или браузеров.