9) Задания планировщика задач Task Scheduler (данные Менеджера планировщика задач Task Scheduler)

Отображение задач, запланированных с помощью стандартного планировщика задач Windows. В таблице доступны следующие данные:

- имя и адрес запускаемого заданием файла

- имя задания

- состояние задания

- описание

- производитель (копирайт)

Образец строки из протокола:

Зачем эта таблица?

Известны случаи использования Планировщика задач для автоматического запуска вредоносных программ. В частности, Планировщик задач позволяет запускать приложения при старте Windows или при входе в систему, становясь таким образом вполне полноценной заменой традиционных ключей Run.

10) Настройки spi/lsp (данные Менеджера Winsock spi)

В этой таблице отображаются компоненты, зарегистрированные в качестве компонентов структуры Winsock – поставщиков пространства имен и поставщиков транспортных протоколов.

Для поставщиков пространства имен (NSP) доступны

- название поставщика

- состояние (статус)

- имя и адрес исполняемого файла

- описание

- идентификационный номер GUID

Поставщики транспортных протоколов (TSP, LSP) характеризуются

- названием поставщика

- именем и адресом исполняемого файла

- описанием

Образец строки из протокола:

Таблица сопровождается информацией о результатах автоматической проверки корректности настроек Winsock. В случае обнаружения несоответствий AVZ предупреждает о возможных проблемах сетевого подключения.

Зачем эта таблица?

Внедрение модуля в структуры Winsock позволяет вредоносному модулю не только автоматически запускаться, но и активно вмешиваться в процесс обмена данными между компьютером и сетью – фактически полностью контролировать таковой. Прибегнем к схеме работы Winsock, предложенной в справке AVZ, чтобы лучше понять это утверждение.

Winsock 2 имеет две “стороны” – API и SPI. Winsock API обеспечивает стандартные API-интерфейсы между Winsock и использующими его приложениями. SPI - это интерфейс между Winsock и поставщиками служб Winsock.

Поставщики Winsock бывают двух типов:

- поставщики пространства имен (NameSpace Providers, NSP), преобразующие дружественные пользователю имена в зависимые от протокола адреса. Классический пример – DNS, преобразующая дружественные имена вида www.somesite.com в IP-адреса вида 123.456.789.010;

- поставщики транспортных услуг (Transport Service Providers, TSP), предоставляющие функции установления связи, передачи данных, управления потоком, обработки ошибок и т.п. Поставщики транспортной службы бывают двух видов:

а) базовые (Base) поставщики реализуют конкретные детали сетевого транспортного протокола (типа TCP/IP), включая базовые сетевые функции протокола, такие как отправка и получение данных по сети.

б) многоуровневые (Layered) поставщики реализуют только высокоуровневые функции связи и нуждаются в базовом поставщике для фактического обмена по сети.

Схема отражает также тот факт, что в систему может быть установлено неограниченное количество компонентов Winsock SPI. Список используемых поставщиков хранится в специальной базе данных, которая размещена в реестре. Функции Winsock API позволяют программам не только получать списки NSP и TSP, но и регистрировать своих поставщиков.

С одной стороны, хранение списка поставщиков и их параметров в базе данных и наличие функции для управления этой базой позволяют любым приложениям устанавливать свои провайдеры SPI, расширяя возможности Winsock. При этом прикладной программе совершенно не обязательно знать с том, какие конкретно провайдеры SPI и как именно обеспечивают разрешение имен и обмен по сети. Получается универсальная система, и многие программы используют эти возможности - в списке провайдеров можно обнаружить брандмауэры, антивирусы, разнообразные антишпионские программы, утилиты для борьбы с рекламой, учета трафика и т.п.

С другой стороны, при помощи своего поставщика пространства имен вредоносная программа может отслеживать запросы на разрешение имени и вмешиваться в этот процесс. Возможно такое и на уровне поставщика транспорта – вредоносное ПО часто устанавливает свои Layered Service Providers - LSP.

Вот примерная схема одного из вариантов работы вредоносного NSP:

Неприятной особенностью Winsock является то, что при потере любой библиотеки, зарегистрированной в качестве поставщика SPI, или повреждении базы данных в реестре происходит нарушение работы Winsock, выражающееся обычно либо в потере сетевых подключений, либо в проблемах при работе с локальной сетью.

При обнаружении ошибки Winsock в частности и вся система Windows в целом не принимают никаких мер по ее ликвидации и не выдают никаких диагностических сообщений. Важно отметить, что переустановка системы "поверх" имеющейся не приводит к исправлению настройки SPI.