Pinned Скажем нет троянам!

  • Скажем нет троянам!

    Хочу выразить благодарность составителю этого мануала, замечательному человеку, хорошему другу, и гиганту мысли - Nelapsi. Он насколько мне известно не играет в эту игру, но думаю он будет не против размещения его "краткого" обзора, призванного помочь в борьбе с вирусами.

    Почему лучше понимать как работает вместо того что тупо жать на кнопку "Scan".
    Потому как вы сможете выковырить практически любую вражину, не опираясь на какие-либо сканеры. Сканеры не панацея, но только как помощь в устранении заразы. В общем доказывать, что лучше понимать чего делаешь вместо того что бы давить на скан, мне влом. Сами поймете этот постулат.

    Какие бывают звери.
    Всего не так много вида заразы, но дело в том, что они используют методы друг-друга и в итоге уже нельзя сказать однозначно червь это или вирус или что-то еще.
    1. Вирусы. Вредноносный код встраиваится в исполняемые модули, получает управление и предпринимает действия к своему распостранению.
    2. Черви. Особеность, это распостранения по сети, в виде приложения к письму. Или напрямую по сети.
    3. Адваре. Вражеские модули, которые ориентированы на распостранение рекламы помимо воли хозяина компа.
    4. Трояны. Особеность в том, что они ориентированны на то что бы спереть информацию.
    Комбинации вражин могут быть очень разные. Например, троян который распостраняется как червь и использует еще элементы вируса, что бы внедрить часть своего модуля на компьютер, укрепиться так сказать.

    Private & Public. Undeground.
    Это раньше были одиночки, которые в потьмах вояли вирусню. Сейчас существуют целые сообщества андеграунда, которые объединены по интересу. Интерес в основном один - деньги. То есть информация, которая стоит денег. Продается все. В том числе и уязвимости систем. Уязвимости, которые латает МС уже старые, очень старые. Если уязвимость нароет кто-то из андеграунда, то он не побежит сдавать ее в мс, а напишет пример использования и продаст своим же товарищам по оружию или сам использует, если сможет. Такие уязвимости, о которых знает только андеграунд называется приватными, стоимость таких уязвимостей от 500 бакинских комисаров. Трояны, построенные на таких уязвимостях не палятся сканерами. Насколько долго не будут палиться зависит от того как скоро уязвимость, на которой они построены перейдет в разряд публичных. Месяцами трояны могут жить в системе, а юзер в полной уверенности, обвешанный сканерами по самое не болуйся, живет в полной уверенности, что все отлично. (привет кнопке "Scan")

    Охота на зайцев
    Черви, вирусы, то есть модули, которые занимаются только своим распостранением, в принципе, безобидны. Это побочный результат основной задачи андеграунда. Кто-то учится писать вирусню, кто-то осваивает-отлаживает методы работы самораспостранения, оценивает скорость попадания в антивирусные базы, оценивает ориентацию на определенные регионы. Другое дело, что это в итоге будет первый камень в построении сети вполне определенного человека. Под контролем 1-2 человек могут находиться десятки тысяч компов, которые в свою очерь являются предметом торговли. Продают зараженные компы, которые используются как прокси сервера или в каких-то других целях.
    Трояны могут охотиться на вполне определенную цель (например, трой ориентирован на воровство Вебмони кошельков) или быть неким универсальным инструментом. Если ориентирован на определенную цель, то он использует некий стандартный механизм на распостранение, но имеет модуль, который проверит установлен ли кошелек и сольет информацию врагу, а другие цели (пароль от аськи, например) он просто не увидит. "Универсальные" модули это как правило логеры. Но логить весь ввод с клавиатуры просто нереально, слишком много информации, поэтому трой будет логить, только в определенный момент, например, когда устанавливается защищенное соединение в интернет эксплоере (соединение с банком, с каким-нибудь аккаунт менеджером итд) и сольет всю инфу врагу. Кроме этого, червь может служить базой для будущих троянов, так сказать, стандартный интерфейс встраивает в систему, которая будет ждать своего часа.

    Охота на зайцев №2
    Кроме троянов, еще адваре ориентируются на деньги. В сущности, задача адварей одна - загнать юзера на определенный сайт (сгенерить трафик). Загонять могут на единственно ориентированый сайт или на распределитель трафика. То есть, например, БЯКА-666 ориентированна только на сайт ПОРНО-РУС, то только этот ресурс будет лезть из всех дыр. В случае же с распределителем трафика, лезть будет всяка разна реклама, с разных сайтов. А входящий будет только один сайт, например порно.ком/?ббб
    Так же современная адварь работает с отступом по времени. То есть вместо того что бы спамить новым окном в каждуые 2-3 секунды, он выдает 1 окно в полчаса, таким образом отодвигая свою смерть на компе (юзеры ленивые) и повышая эффективность трафика.
    Трафик в свою очередь является предметом торговли. Выглядит это так. Держатель распределителя договаривается с порноресурсом БАБКИ.НЕТ о том, что он обеспечит 10000 заходов с разных ип адресов и получит за это $$. После этого настраивает свой сайт-распределитель таким образом, что каждый 5й заход отправится на БАБКИ.НЕТ

    Трои подробнее.
    Существует такая штука, я не помню как называется, но функциональность ее в следующем. Она шифрует екзешник таким образом, что не оставляет в ней никакой сигнатуры от исходного модуля. Что, однако, не сказывается на функциональности самого екзешника. Таким образом, враги меняют ключ и перешифруют один и тот же троян, а бедный Женя плодит всякие модификации типа Pinch-AW, Pinch-BW, ..., Pinch-ZW. Пока новая модификация попадет в базы, трой уже возьмет под контроль сотню-другую компов. (привет кнопке "Scan").
    Трояны могут быть многомодульными. Один модуль отвечает за распостранение, другой за деструктивные действия, третии за распостранения самого модуля распостранения.
    Трояны бывают распределенными, то есть свой кусок скачивает с ДЕДКИ.НЕТ или наоборот принимает на себя роль распространителя кусков трояна, то есть ждет обращения к себе и передает всем желающим нужный троян.

    Плохого по маленьку.
    Ладно, не все так мрачно. Со всем этим можно бороться. Главный постулат:
    Вражина должен работать или запуститься в системе, что бы он сделал хоть что-то.
    Мы должны знать, как вражеский модуль попадает на комп. Методов попадания не очень много:
    1. Юзер сам запускает программу-ловушку (самый распостраненный).
    2. Через дыру в системе или в программе.
    3. Юзер зашел на сайт и разрешил "донастроить" свой эксплоер.
    То есть, если юзер открыл почтовое вложение, сказал "да" на каком-нибудь сайте, то он сам себе поросенок. Ладно, предположим, что все эти азы знают, но тем не менее получили плюху в види какой-нибудь твари. Сейчас ниже будем лечиться.

    Сканеры.
    Как видно выше, сканеры не панацея, но они могут сэкономить много время, поэтому мы на них не забиваем окончательно, имеем из в виду.
    Ad-Aware SE Professional - очень не плохой ремувер, работает по сигнатуре.
    В общем, я думаю, тут особо останавливаться смысла нет, стандартные решения и так в инете полно. Будем чиниться ручками.

    Инструментарий.
    Радуга - это очень удобный и бесплатный инструмент для работы процессов. Взамен стандартному диспечеру задач. anvir.com/index_ru.htm Незаменимая вещь!
    Хиджекремувер majorgeeks.com/download3155.html Такая же незаменимая вещь для борьбы с адварью.

    Глобальная стратегия.
    Стандартный метод лечения прост по идеи:
    1. Выявить действующий процесс
    2. Задавить действующий процесс и процесс воспроизводства
    3. Выковырить все сопутствующие модули.

    Адваре - подробнее.
    Признаки заражения адваре (Т! - характерно и для троянов):
    1. Интернет эксплоер или другой браузер тормозит, при открытии иногда вылезает "Эксплоер вывполнил недопустимую операцию и будет закрыт".
    2. ни с того не с сего ломится в интернет. (поднимает модемное соединение) (Т!)
    3. Интернет эксплоер висит как скрытый процесс. Запускаете разугу, тыкаете в закладку процесы и там видем IEXPLORER.EXE хотя никакаих окошек инета нету в помине.(Т!)
    4. Домашняя страничка постоянно меняется на БАБКИ.НЕТ и никакими силами ее не выковырить.
    5. Происходит перенаправление сайта ДЕДКИ.КОМ на БАБКИ.НЕТ
    6. Машина тормозит в целом (Т!)
    Запускает Хиджек и смотрим внимательно, чего там такого понатыкано.
    там есть хелп - Info, вот он:

    Source Code

    1. R - Registry, StartPage/SearchPage changes
    2. R0 - Changed registry value
    3. R1 - Created registry value
    4. R2 - Created registry key
    5. R3 - Created extra registry value where only one should be
    6. F - IniFiles, autoloading entries
    7. F0 - Changed inifile value
    8. F1 - Created inifile value
    9. F2 - Changed inifile value, mapped to Registry
    10. F3 - Created inifile value, mapped to Registry
    11. N - Netscape/Mozilla StartPage/SearchPage changes
    12. N1 - Change in prefs.js of Netscape 4.x
    13. N2 - Change in prefs.js of Netscape 6
    14. N3 - Change in prefs.js of Netscape 7
    15. N4 - Change in prefs.js of Mozilla
    16. O - Other, several sections which represent:
    17. O1 - Hijack of auto.search.msn.com with Hosts file
    18. O2 - Enumeration of existing MSIE BHO's
    19. O3 - Enumeration of existing MSIE toolbars
    20. O4 - Enumeration of suspicious autoloading Registry entries
    21. O5 - Blocking of loading Internet Options in Control Panel
    22. O6 - Disabling of 'Internet Options' Main tab with Policies
    23. O7 - Disabling of Regedit with Policies
    24. O8 - Extra MSIE context menu items
    25. O9 - Extra 'Tools' menuitems and buttons
    26. O10 - Breaking of Internet access by New.Net or WebHancer
    27. O11 - Extra options in MSIE 'Advanced' settings tab
    28. O12 - MSIE plugins for file extensions or MIME types
    29. O13 - Hijack of default URL prefixes
    30. O14 - Changing of IERESET.INF
    31. O15 - Trusted Zone Autoadd
    32. O16 - Download Program Files item
    33. O17 - Domain hijack
    34. O18 - Enumeration of existing protocols and filters
    35. O19 - User stylesheet hijack
    36. O20 - AppInit_DLLs autorun Registry value, Winlogon Notify Registry keys
    37. O21 - ShellServiceObjectDelayLoad (SSODL) autorun Registry key
    38. O22 - SharedTaskScheduler autorun Registry key
    39. O23 - Enumeration of NT Services
    Display All


    Просканив свою систему вы увидете что и как у вас стоит, теперь надо определить что лишнее и есть ли оно. В двух словах тяжело сказать, что именно лишнее, а что надо оставить. Скажу только одно, как правило, адварь садится как модуль O16 - DPF (Downlod Programm Files) и О2 (BHO), обратите внимание именно на это. Как правило, вычистив это вы сможете изменить стартовую страницу.
    Дальше лезем в эксплоер как показано на скрине 1 и удаляем вражеские активикс модули. Только тут маленькая тонкость, этот пункт доступен не на всех версиях эксплоера, возможно придется обновиться.

    Трои - подробнее.
    признаки заражения:
    1. Левые процессы.
    2. Тормоза компа, проседания компа.
    3. Левый трафик.
    4. Непонятные телодвижения компа. (например, открытие окошек, сворачивания программ, внезапные перезагрузки компа)



    (продолжение следует)
  • (продолжение)

    5. Некие процесы отжирают много ресурсов системы.

    Маскировка.
    Самая распространенная маскировка - это обозваться системным экзешником, но запускаться он будет из другой папки. Вот тут-то нам и поможет радуга. Там мы сможем увидеть откуда именно стартанул процесс. И если он стартует из другой папки, то это явно враг и его нужно давить.

    Удаление файлов.
    Никогда просто так не удаляйте подозрительные файлы, перенесите их куда-нибудь для начала. Если система себя будет чуствовать нормально, то можно и грохнуть в последствии.

    Женя нам поможет.
    Касперский странный антивирус. Вирусня может быть в базе, но он его не детектит на установленной машине. Бывает, что и отдетектит, но лечит только деструктивный модуль, а модуль распостранения не лечит. В общем ведет себя как хочет. Зато у него на ура работает онлайн сервис. Поэтому подозрительные файлы пихаем сюда kaspersky.ru/virusscanner (File Scaner) Нам не требуется, что бы каспер вычистил его, нам требуется всего-лишь ответ на вопрос, вирус это или нет, точнее знает каспер о нем. Я раза два присылал новые виды вирусов Касперскому, они в ответ "Спасибо, это модификация вируса такого-то, добавлен в базу под таким-то именем" smile.gif Кроме того, у каспера есть еще приколы, например он сносил систему восстановления ХП напрочь, а так же не мог корректно сам себя деинсталировать. В общем, воспользуемся только базой касперского, а больше нам ничего и не надо.

    Антивирус.
    Сейчас я пользуюсь антивирусом Аваст. Не буду устривать споры какой лучше, а какой хуже, но для предотвращения массовой эпидемии сгодится.

    Фаервол.
    Нужен!
    Фаер нужен по-любому, а вот какой именно тут уж смотрите сами. Макафи и аутпост хорошие фаеры, я ими пользуюсь. Первый лучше для охраны изнутри по сравнению с аутпостом, но аутпост дружелюбнее к юзеру. А снаружи они одинаковые. Так что дома я юзаю именно аутпост, мне бы в домашней сети позащищаться от врагов, а с собой я сам разберусь.

    Трои - лечим дальше.
    У нас возникло подозрение на трояна. Первое что делаем - это отрубаемся от сети, так что если враг уже накопил инфу, но не отправил, то пресечем канал. Далее лезем в радугу и ищем левые процессы или признаки заражения (эксплоер, призакрытых окнах интернета). Давим, оставляя только минимум. Если задавите какой-нибуд индикатор звука, да и фиг с ним, после перезагрузки все на место встанет.
    Все подозрительные не нужные файлы переносим в другую папку. Проверяем его каспером-онлайн потом.
    После задавленных процессов, вычищаем все байду с помощью хиджека. Запускаем эксплоер (или какой браузер юзаете) и смотрим радугой какие процессы появляются, есть ли лишние.

    Неубиваемые процесы.
    Сложные трояны, как я говорил, состоят из нескольких модулей. Один отвечает только за размножение, не имеет сигнатуры троянца, но создает оный. Особо умные антивирусы лечат причину, то есть диструктивный модуль, а модуль распостранения не лечат и не убивают. Таким образом частенько бывает ситуация, что на компе стоит какой-нибудь касперский и он при каждой загрузке орет - "Все пропало! Найден вирус! Я его убил!" Хрена он его убил...
    Предположим, что мы вычислсли троя, точнее его процесс, килл его, а он опять же на месте. Значит его кто-то держит, надо вычислить модуль поддержки (размножения). Опять ищем процессы.
    Как показал недавнишний опыт, таким процессом может служить и служебная программа, например, services.exe Только его отличия в том, что он не использует служебные файлы, а весь такой голенький. Как выглядит правильный сервисес видно на скрине. Задавив такой процесс поддержки мы спокойно вычистим деструктивные модули, они не будут восстанавливаться, не будут перезапускаться.

    Автозагрузка



    (продолжение следует)
  • (продолжение)

    Автозагрузка
    Любой вражеский модуль имеет механизм для запуска себя-любимого во время загрузки системы.
    В принципе, это слабое место вражеских модулей, потому как методов загрузки относительно немного. Говорим только про ХП систему.
    1. Папка "Автозагрузка"
    2. В реестре ветка RUN (радуга покажет этот раздел)
    3. В реестре ветка RUN-once (радуга покажет этот раздел)
    4. Сервисы (радуга тоже покажет), лучше смотреть Пуск - панель управления - администрирование - сервисы. Только мне подсказали, что, оказывается, можно скрыть сервисы в этом списке. Еще особеность, что трои в основном ориентированны на английский вариант виндов, то есть враг скорее всего будет виден, как английское описание, в русской винде таких сервисов будет всего ничего.
    5. Запуск, как подмена отладчика ветка реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ (линк по теме geekswithblogs.net/ssimakov/archive...3/22/26930.aspx)
    6. Запуск, как кусок длл Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
    Проверяем все эти нычки на предмет левых-правых запусков. Не забываем, что пока действует вражеский процесс, скорее всего изавтозагрузки удалить не удасться, точнее все будет вставать на место сразу после удаления.

    Подмена трафика
    Есть класс программ, вполне себе легальных, которые подменяют винсокет, заруливая весь трафик на себя. Например, такие программы как "Permeo Security Driver". Я один раз сталкивался с такими троем, который подменил сокет. Таким образом, вражина транслировал через себя весь трафик. Экзотика, но иметь в виду надо такой финт. Хиджек это покажет по опции О10 (скрин1 так выглядит программа пермио), вылечить не сможет, но даст линк на бесплатную утилиту, которая сможет это вырезать, я проверял.

    Как отличить нормальный файл от фейкового.
    Во-первых, проверяем действительно имя системного файла, то есть может быть файл с таким именем в системе или нет. Это сделать можно с помощью интернета. Вбить имя файла в гугл google.ru/search?hl=ru&q=lsass.exe+&lr или смотрим на специализированных сайтах типа такого liutilities.com/products/wintas...processlibrary/
    Во-вторых, если мы узнали, что такой файл в системе легален, то уточняем с какого каталога он запускается. Если файл lsass.exe висит в процессах, стартанувши из C:\WINDOWS\ то это фейк, он должен стартовать из C:\WINDOWS\SYSTEM32\ Таких процессов, под которые маскируются враги всего 2-3 штуки, вы их быстро запомните.
    В-третьих, враги пытаются обмануть наивным образом обзывая себя "типа системный". win32.exe, winsys.exe, итд - это все фейк.
    В-четвертых, враг пытается дописать несколько букв-цифр к имени легального файла, например lsass32.exe. Все это выявится моментом, когда вобьете в гугл имя файла.

    Интернет эксплоер.
    Дырявый? Да, есть немного. Но поскольку пользуются люди, то и ловят всякую каку. Я и сам пользуюсь smile.gif Однако, отдаем себе отчет в том, чего делаем и риск будет минимальный. Имейте в системе еще один браузер, например оперу. Ей будете пользоваться, что бы зайти на потенциально опасные сайты. Это не значит, что в опере нету дыр, есть, кудаже без них. Но писатели троянов ориентируются именно на эксплоер. Поскольку, при временных затратах на написание трояна будут теже, а вот эффект будет в разы лучше. Заражение может произойти, просто зайдя на страницу, сформированную определенным образом. Я сталкивался с хитрожопой страницей, в результате которого в системе формировался и запускался экзешник-троян. ВСе какие я потестил фаеры отсо.... в смысле не поймали троя, кроме Макафи фаера, который возбудился в момент создания екзешника интернет эксплоером.
    Враги распостраняют троев формируя именно страницы и распихивая линки на них куда только можно, авось чюдак зайдет по линку. Это самый простой способ. Способ сложнее - это когда в своем сетевом пространстве формируют хитрый скрипт в результате которого выдается картинка и далее, ползая по форумам и регистрируясь делают подпись в виде сылки на эту картинку, но реально отрабатывает скрипт, котороый производит заражение. То есть все кто увидел сообщение получили атаку. Вы помните такие хитрые картинки, которые показывают ваш ип, так вот по этому принципу и происходит заражение. Тоже самое с аватарами с хоста отличного от хоста форума. Поэтому грамотные товарищи запрещают картинки в подписи и аватары с чущих хостов.
    Еще, враги встраиваются в эксплоер в качестве плагина к оному. Это покажет хиджек и вычистит. А можно и ручками посшибать "C:\Program Files\Internet Explorer\PLUGINS".

    Подмена DLL
    Есть такая хитрая длл называется shdoclc.dll там хранятся ресурсы, которые показываются если не доступен сайт, например, или действие прервано пользователем. Так вот хитрые адвари заменяют эту длл и вместо "страница недоступна" вы увидите ВВВ.БАБКИ.КОМ и домашняя страница опять будет указывать на хз куда. Проверяется просто, надо просто вбить недоступный ресурс и если увидете порносайт и сечер какой-нить, то воссстанавливайте эту длл. Вбейте ее в гугл и найдете оригинал. Или поищите по своему диску, скорее всего в кеше оригинал остался.

    Маленький итог.
    Итак, для лечения используем следующую тактику.
    1. Смотрим процессы, проверяем непонятные в гугле, давим их. Систему не порушите, самое опасное чем рискуете, это система уйдет в перегруз, если задавите системный процесс, ничего страшного, перезагрузитесь и продолжите. Смотрим внимательно в гугле еще и на то, какие файлы используются системными процессами, может это враг использует легальный файл в своих черных целях.
    2. Запускаем хиджек и рубим всякую гадость.
    3. Ищем процессы воспроизводства и давим их.
    4. Проверяем подмену.
    5. После этого юзаем кнопку "Скан".