- •I. Введение
- •II. Работа с инструментами диагностики и лечения
- •Описание HiJackThis и работа с ней
- •Вступление
- •Предупреждение
- •Назначение
- •Начало работы
- •Раздел Misc Tools.
- •Описание avz и работа с ней
- •Ключевые компоненты avz
- •Главное окно программы
- •Меню «Файл»: avz как единый инструмент
- •1. Функции анализа и восстановления
- •2. Функции скриптового движка
- •3. Обновление баз
- •4. Функции карантина
- •5. Отложенное удаление файла
- •Меню «Сервис»: диспетчеры и менеджеры avz
- •1. Общие характеристики диспетчеров и менеджеров avz
- •2. Подсистемы поиска
- •3. Прочие инструменты
- •AvzGuard
- •Boot Cleaner
- •III. Основы диагностики
- •1. Подготовка
- •2. Протокол hjt
- •3. Протоколы avz
- •Чтение протоколов HiJackThis
- •Анализ лога
- •Чтение протоколов avz
- •1. Цветовая схема
- •2. Состав таблиц
- •1) Список процессов (данные Диспетчера процессов)
- •2) Модули пространства ядра (данные одноименного диспетчера)
- •3) Службы (данные Диспетчера служб и драйверов, часть 1)
- •4) Драйверы (данные Диспетчера служб и драйверов, часть 2)
- •5) Автозапуск (данные Менеджера автозапуска)
- •6) Модули расширения Internet Explorer (bho, панели…) (данные Менеджера расширений ie)
- •7) Модули расширения проводника (данные Менеджера расширений проводника)
- •8) Модули расширения системы печати (данные Менеджера расширений системы печати)
- •9) Задания планировщика задач Task Scheduler (данные Менеджера планировщика задач Task Scheduler)
- •10) Настройки spi/lsp (данные Менеджера Winsock spi)
- •11) Порты tcp/udp (данные диспетчера «Открытые порты tcp/udp»)
- •12) Downloaded Program Files (данные Менеджера Downloaded Program Files)
- •13) Апплеты панели управления (cpl) (данные Менеджера апплетов панели управления)
- •3. Общие сведения
- •4. Поиск RootKit и программ, перехватывающих функции api (в соавторстве с Олегом Зайцевым)
- •1.1 Поиск перехватчиков api, работающих в UserMode
- •1.2 Поиск перехватчиков api, работающих в KernelMode
- •1.2 Поиск перехватчиков api, работающих в KernelMode
- •1.3 Проверка idt и sysenter
- •1.4 Поиск маскировки процессов и драйверов
- •1.4 Поиск маскировки процессов и драйверов
- •1.4 Поиск маскировки процессов и драйверов
- •5. Проверка памяти
- •2. Проверка памяти
- •6. Сканирование дисков
- •3. Сканирование дисков
- •7. Проверка Winsock Layered Service Provider
- •4. Проверка Winsock Layered Service Provider (spi/lsp)
- •4. Проверка Winsock Layered Service Provider (spi/lsp)
- •8. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские dll)
- •5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские dll)
- •9. Поиск открытых портов tcp/udp, используемых вредоносными программами
- •6. Поиск открытых портов tcp/udp, используемых вредоносными программами
- •10. Эвристическая проверка системы
- •7. Эвристичеcкая проверка системы
- •11. Поиск потенциальных уязвимостей
- •8. Поиск потенциальных уязвимостей
- •8. Поиск потенциальных уязвимостей
- •12. Мастер поиска и устранения проблем
- •9. Мастер поиска и устранения проблем
- •9. Мастер поиска и устранения проблем
- •Критерии вредоносности файла
- •Зоны особого внимания
- •Примечание
- •Дополнительная диагностика
- •Работа со списком заподозренных файлов
- •Извлечение файлов и их анализ
- •Если файл не удается поместить в карантин
- •1) Попытаться выполнить карантин в безопасном режиме.
- •3) Попробовать применить специализированный антируткит (например, IceSword, позволяющий копировать скрытые и защищенные файлы).
- •Vms@drweb.Com
- •Virus_malware@avira.Com
- •IV. Лечение
- •Лечение с помощью HiJackThis
- •Лечение с помощью avz
- •1. Удаление файлов
- •2. Восстановление системы и исправление ошибок
- •1. Настройки spi/lsp
- •1) Ручной.
- •2. Файл hosts
- •3. Эвристическая проверка системы
- •4. Мастер поиска и устранения проблем
- •Восстановление системы по жалобам пользователя
- •3. После лечения
- •Если вредоносное программное обеспечение восстанавливается после удаления
- •1) Убедитесь, что Восстановление системы Windows отключено.
- •Если лечение прошло успешно
- •Чего не следует делать уважающему себя и других антивирусному консультанту
- •3) Выполнять ненужные / бесполезные для обрабатываемого случая операции
- •6) Содействовать поиску и использованию вредоносного и / или взломанного программного обеспечения
- •V. Заключение
7. Эвристичеcкая проверка системы
Проверка завершена
Спектр возможных предупреждений довольно широк. Вот некоторые примеры:
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll"
Нестандартный префикс для WWW в IE: "http://htpp.ws?"
Опасно - отладчик процесса "explorer.exe" = "C:\WINDOWS\System32\ntdbg.exe"
>>> C:\WINDOWS\system32\ntos.exe ЭПС: подозрение на Файл с подозрительным именем Trojan.Win32.Banker (высокая степень вероятности)
Преимущественно эти данные также предупреждают вас о тех или иных изменениях в эталонных настройках системы или файлах с именами, характерными для вредоносного ПО, но окончательное решение об их судьбе оставляют вам. Некоторые модификации настроек фактически никогда не бывают легитимными (например, изменения настроек протоколов в Internet Explorer или записи регистрации отладчиков системных процессов), некоторые – бывают иногда (некоторые изменения параметров запуска файлов), некоторые – столь же часто вредоносны, сколь легитимны (автозапуск библиотек через ключи AppInit_DLLs).
11. Поиск потенциальных уязвимостей
В восьмой секции протокола содержится информация о потенциально опасных настройках системы: работающих уязвимых службах, разрешениях на удаленные соединения, включенных административных общих ресурсах и так далее.
В случае отсутствия потенциальных уязвимостей сообщается о завершении проверки:
8. Поиск потенциальных уязвимостей
Проверка завершена
На компьютерах, где не проводилась оптимизация безопасности, список может быть достаточно длинным:
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry)
>> Службы: разрешена потенциально опасная служба TermService (Terminal Services)
>> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)
>> Службы: разрешена потенциально опасная служба Messenger (Messenger)
>> Службы: разрешена потенциально опасная служба Alerter (Alerter)
>> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Проверка завершена
Потенциально опасные службы – те системные сервисы, которые обеспечивают удаленный доступ к компьютеру извне или эксплуатируются авторами вредоносного ПО. Их функционирование может облегчать проникновение на компьютер или содействовать работе того или иного malware. Для работы системы они никоим образом не критичны, но их отключение может нарушать функционирование некоторых программных продуктов, поэтому однозначного вердикта об их устранении не может быть вынесено.
После служб описываются потенциально уязвимые настройки системы (и, в частности, Internet Explorer). Для одиночного домашнего компьютера большинство из них не играют никакой роли, но в других случаях могут требоваться для выполнения определенных операций.
Кратко об основных предупреждениях:
Безопасность: разрешен автозапуск программ с CDROM
По умолчанию Windows разрешает автоматический запуск исполняемых файлов с компакт-диска, если в его корне расположен файл autorun.inf. Теоретически эта функция может обеспечить скрытый запуск вредоносного программного обеспечения.
Безопасность: разрешен административный доступ к локальным дискам (C$, D$...)
Каждый компьютер под управлением WinNT/2000/XP/2003 автоматически создает ресурсы общего доступа для каждого диска в системе. Эти ресурсы скрыты, но могут полностью контролироваться администратором домена. Именем такого ресурса является буква диска, сопровождаемая знаком $. При создании хорошо защищенной сети вам может понадобиться отключение этих общих ресурсов или по крайней мере ограничение прав конкретных пользователей и служб.
Скрыты по умолчанию следующие ресурсы:
C$ D$ E$ - корень каждой партиции. Под WinNT Workstation/2000/2003/XP Professional только администраторы или Backup Operators могут подключаться к этим ресурсам; под WinNT Server/2000 Server к ним также имеют доступ Server Operators.
ADMIN$ - %SYSTEMROOT%. Этот общий ресурс система использует при каждом сеансе удаленного администрирования. Путь к ресурсу задан переменной %SYSTEMROOT% (под Win2000/NT это обычно C:\Winnt, под XP - C:\Windows).
FAX$ - под Win2000 Server этот ресурс используется для отправки факсов. Ресурс временно кэширует файлы и обращается к файлам на сервере.
IPC$ - временные соединения между серверами, необходимые для обмена данными между программами. Используется во время сеанса удаленного администрирования и при просмотре расшаренных папок компьютера. Этот ресурс может быть очень опасен, поскольку через него можно извлечь значительное количество информации о вашей сети даже из-под анонимного аккаунта.
NetLogon – этот ресурс используется службой Net Logon под Win2000, 2003 и NT Server при обработке запросов на сетевой вход в систему через домен, а также более ранними системами при запуске logon-скриптов.
PRINT$ - %SYSTEMROOT%\SYSTEM32\SPOOL\DRIVERS. Используется для удаленного управления принтерами.
На XP Home данная функциональность отсутствует.
Административный доступ к скрытым общим ресурсам (в частности, жестких дисков) может обеспечить несанкционированный удаленный доступ к компьютеру.
Безопасность: к ПК разрешен доступ анонимного пользователя
Анонимный аккаунт позволяет подключаться к компьютеру через сеть без аутентификации. Данная настройка также имеет непосредственное отношение к нежелательному удаленному доступу.
Безопасность: В IE разрешено использование ActiveX
Об ActiveX было неоднократно сказано выше. Загрузка небезопасных ActiveX может привести к инфекции, поэтому корректная политика Internet Explorer в их отношении достаточно важна.
Безопасность: разрешен автоматический вход в систему
Запись свидетельствует: допускается вход в Windows без аутентификации пользователя, что чревато компрометацией данных пользователя.
Безопасность: Разрешена отправка приглашений удаленному помощнику
Удаленный помощник – система, позволяющая приглашенному пользователю получать удаленный доступ к системе. При формировании защиты компьютера от несанкционированного доступа подобные механизмы не могут приветствоваться.
Безопасность: Разрешены терминальные подключения к данному ПК
Служба терминалов является основой для большинства механизмов удаленного доступа. Она обеспечивает интерактивные подключения к компьютеру нескольких пользователей, т.е. допускает удаленное управление системой. Если терминальные подключения разрешены, система уязвима для вторжения и может быть управляема извне.
Безопасность: В IE разрешен запуск программ и файлов в IFRAME без запроса
IFRAME (Invisible FRAME, невидимая рамка) – невидимое окно Internet Explorer, которому переданы определенные инструкции в соответствии с кодом веб-страницы. Настройки IE могут допускать скрытый запуск файлов, загруженных через такое окно, что является входными воротами для онлайн-инфекции.