- •I. Введение
- •II. Работа с инструментами диагностики и лечения
- •Описание HiJackThis и работа с ней
- •Вступление
- •Предупреждение
- •Назначение
- •Начало работы
- •Раздел Misc Tools.
- •Описание avz и работа с ней
- •Ключевые компоненты avz
- •Главное окно программы
- •Меню «Файл»: avz как единый инструмент
- •1. Функции анализа и восстановления
- •2. Функции скриптового движка
- •3. Обновление баз
- •4. Функции карантина
- •5. Отложенное удаление файла
- •Меню «Сервис»: диспетчеры и менеджеры avz
- •1. Общие характеристики диспетчеров и менеджеров avz
- •2. Подсистемы поиска
- •3. Прочие инструменты
- •AvzGuard
- •Boot Cleaner
- •III. Основы диагностики
- •1. Подготовка
- •2. Протокол hjt
- •3. Протоколы avz
- •Чтение протоколов HiJackThis
- •Анализ лога
- •Чтение протоколов avz
- •1. Цветовая схема
- •2. Состав таблиц
- •1) Список процессов (данные Диспетчера процессов)
- •2) Модули пространства ядра (данные одноименного диспетчера)
- •3) Службы (данные Диспетчера служб и драйверов, часть 1)
- •4) Драйверы (данные Диспетчера служб и драйверов, часть 2)
- •5) Автозапуск (данные Менеджера автозапуска)
- •6) Модули расширения Internet Explorer (bho, панели…) (данные Менеджера расширений ie)
- •7) Модули расширения проводника (данные Менеджера расширений проводника)
- •8) Модули расширения системы печати (данные Менеджера расширений системы печати)
- •9) Задания планировщика задач Task Scheduler (данные Менеджера планировщика задач Task Scheduler)
- •10) Настройки spi/lsp (данные Менеджера Winsock spi)
- •11) Порты tcp/udp (данные диспетчера «Открытые порты tcp/udp»)
- •12) Downloaded Program Files (данные Менеджера Downloaded Program Files)
- •13) Апплеты панели управления (cpl) (данные Менеджера апплетов панели управления)
- •3. Общие сведения
- •4. Поиск RootKit и программ, перехватывающих функции api (в соавторстве с Олегом Зайцевым)
- •1.1 Поиск перехватчиков api, работающих в UserMode
- •1.2 Поиск перехватчиков api, работающих в KernelMode
- •1.2 Поиск перехватчиков api, работающих в KernelMode
- •1.3 Проверка idt и sysenter
- •1.4 Поиск маскировки процессов и драйверов
- •1.4 Поиск маскировки процессов и драйверов
- •1.4 Поиск маскировки процессов и драйверов
- •5. Проверка памяти
- •2. Проверка памяти
- •6. Сканирование дисков
- •3. Сканирование дисков
- •7. Проверка Winsock Layered Service Provider
- •4. Проверка Winsock Layered Service Provider (spi/lsp)
- •4. Проверка Winsock Layered Service Provider (spi/lsp)
- •8. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские dll)
- •5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские dll)
- •9. Поиск открытых портов tcp/udp, используемых вредоносными программами
- •6. Поиск открытых портов tcp/udp, используемых вредоносными программами
- •10. Эвристическая проверка системы
- •7. Эвристичеcкая проверка системы
- •11. Поиск потенциальных уязвимостей
- •8. Поиск потенциальных уязвимостей
- •8. Поиск потенциальных уязвимостей
- •12. Мастер поиска и устранения проблем
- •9. Мастер поиска и устранения проблем
- •9. Мастер поиска и устранения проблем
- •Критерии вредоносности файла
- •Зоны особого внимания
- •Примечание
- •Дополнительная диагностика
- •Работа со списком заподозренных файлов
- •Извлечение файлов и их анализ
- •Если файл не удается поместить в карантин
- •1) Попытаться выполнить карантин в безопасном режиме.
- •3) Попробовать применить специализированный антируткит (например, IceSword, позволяющий копировать скрытые и защищенные файлы).
- •Vms@drweb.Com
- •Virus_malware@avira.Com
- •IV. Лечение
- •Лечение с помощью HiJackThis
- •Лечение с помощью avz
- •1. Удаление файлов
- •2. Восстановление системы и исправление ошибок
- •1. Настройки spi/lsp
- •1) Ручной.
- •2. Файл hosts
- •3. Эвристическая проверка системы
- •4. Мастер поиска и устранения проблем
- •Восстановление системы по жалобам пользователя
- •3. После лечения
- •Если вредоносное программное обеспечение восстанавливается после удаления
- •1) Убедитесь, что Восстановление системы Windows отключено.
- •Если лечение прошло успешно
- •Чего не следует делать уважающему себя и других антивирусному консультанту
- •3) Выполнять ненужные / бесполезные для обрабатываемого случая операции
- •6) Содействовать поиску и использованию вредоносного и / или взломанного программного обеспечения
- •V. Заключение
5. Проверка памяти
Вторая секция текстового протокола – сканирование оперативной памяти на предмет вредоносного ПО и подозрительных объектов. В случае, если при сканировании ничего не обнаружено, AVZ ограничивается сообщением:
2. Проверка памяти
Количество найденных процессов: XXX
Количество загруженных модулей: XXX
Проверка памяти завершена
При обнаружении вредоносных процессов в протокол выводится соответствующая информация.
В этой секции сообщается и о присутствии исполняемых файлов в ADS:
c:\windows\system32\svchost.exe:exe.exe:$DATA >>> Опасно - исполняемый файл в потоке NTFS - возможно, маскировка исполняемого файла
Понимать данную запись следует так: в одном из NTFS-потоков процесса c:\windows\system32\svchost.exe располагается файл exe.exe.
При исполнении второго Стандартного скрипта включается анализатор запущенных процессов, не опознанных по базе безопасных, так как скрипт номер 2 сканирует систему в «параноидальном» режиме эвристики. В логе отражаются сообщения вида
Анализатор - изучается процесс 1600 C:\Program Files\SMARTHDD\SMARTHDD.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:EXE упаковщик ?
[ES]:Записан в автозапуск !!
Наиболее распространенная претензия к процессам – отсутствие видимых окон. Каждый процесс имеет некоторое количество окон (не случайно же система называется Windows), часть из которых – видимые, часть – невидимые. В Диспетчере процессов рядом со списком используемых DLL можно посмотреть список окон для каждого процесса. Если процесс не общается с вами, то он обычно не отображает никаких графических интерфейсов и либо не подает признаков своего присутствия, либо информирует вас о себе с помощью значка в трее. В таких случаях все окна процесса невидимы, что может характеризовать скрыто работающее вредоносное ПО (во всяком случае, если malware не хочет, чтобы его обнаружили, то никаких сообщений оно пользователю не показывает). В силу этого анализатор AVZ сообщает в логе о таких процессах.
EXE упаковщик
Некоторые исполняемые файлы упаковываются посредством специализированного программного обеспечения либо защищаются шифрованием. Это уменьшает размер программы и / или предохраняет файл от попыток вскрытия третьими лицами. В этом, как и в отсутствии видимых окон, нет криминала, но шифрование и упаковка используются также авторами вредоносного ПО: антивирусная сигнатура на обычный файл не срабатывает при анализе упакованного / зашифрованного файла, так что потенциально это может обмануть антивирусный сканер. Производители антивирусов решают эту проблему по-разному: добавляют в антивирус процедуры распаковки или дешифрации известных / популярных упаковщиков или крипторов, добавляют в качестве сигнатуры фрагмент кода уже упакованного объекта (детектируют «поверх» упаковщика), включают процедуры детектирования самого факта упаковывания определенными или сразу несколькими упаковщиками.
В силу того, что упаковка исполняемого файла может характеризовать вредоносное ПО, анализатор AVZ выводит в лог соответствующие сообщения. Следует принимать во внимание возможность ложных срабатываний.
Может работать с сетью
Данное сообщение свидетельствует о том, что, по мнению анализатора AVZ, приложение может работать с сетью. Этот вывод делается на основании изучения списка используемых библиотек и на основании обнаружения прослушивания портов или наличия у изучаемого процесса открытых соединений TCP/IP.
Может отправлять почту
Вывод подобного сообщения в списке результатов анализа процесса говорит о том, что, по мнению анализатора, у процесса имеется функционал для отправки сообщений по электронной почте.
Подозрение на факт рассылки почты/спама
Данное сообщение аналогично предыдущему, но выдается в случае, если в момент обследования процесса зафиксирован его обмен по SMTP протоколу. Это очень важное сообщение, выводится обычно для активных почтовых червей и спам-ботов.
Прослушивает порты TCP
Данное сообщение указывает на то, что изучаемый процесс прослушивает порты TCP. Иногда в подобной ситуации выдается детализированная информация, например сообщение о том, что прослушивается порт, характерный для HTTP-протокола.
Прослушивает порты UDP
Данное сообщение указывает на то, что изучаемый процесс прослушивает порты UDP. Иногда в подобной ситуации выдается детализированная информация, в частности, если прослушивается порт TPFT-протокола.
Другие сообщения анализатора
Среди сообщений анализатора могут встречаться отметки вида «Предположительно может бороться с антивирусными приложениями», «Предположительно может изменять параметры сетевых экранов и параметры безопасности», «Содержит детектор отладчика и утилит мониторинга», «Загружает DLL RASAPI: возможно программа автодозвона», «Подозрительное имя», «Подозрительные атрибуты», «Записан в автозапуск», «Trojan.PSW ?» и т.п. Каждое из таких сообщений свидетельствует о том, что анализатор предполагает наличие у процесса той или иной особенности, на которую, по его мнению, следует обратить внимание при анализе.