Если вы не уделяете достаточного внимания безопасности компьютера, то вполне возможно, что он «начнет жить своей жизнью, независимой от вас». И это действительно так! В современном интернете живут самые настоящие «разумные сущности», которые путешествуют с одного компьютера на другой. Самым распространенным видом таких сущностей являются черви. Попадая в потенциальный компьютер-донор, они могут выполнять без ведома пользователя различные действия, характер которых ограничен только фантазией автора вирусного кода.
Но чтобы продолжить свою работу даже после перезагрузки системы, они должны быть вновь загружены в память компьютера. Для этого они вносят некоторые изменения в системные области. Эти изменения позволяют получать вредоносному коду управление вне зависимости от действий пользователя. Рассмотрим ряд таких изменений:
• Червь может создавать исполнимый exe-файл с произвольным, в общем случае, именем, но на практике создаются файлы с «говорящим» названием, чтобы ввести пользователя в заблуждение. При этом имена созданных файлов очень похожи на имена системных файлов операционной системы. Некоторые черви заимствовали у вирусов способность инфицировать уже существующие, в том числе и системные файлы, или перезаписывают их своим файлов.
• Ряд червей также создают динамические библиотеки и помещают их в системные папки операционной системы. Такие файлы, как правило, используются червями для создания «задних выходов» (backdoor) в системе безопасности компьютера. Благодаря таким «выходам» злоумышленник может беспрепятственно получить доступ к компьютеру. Например, один из видов червя MyDoom — I-Worm.Mydoom.aa создает в системной папке Windows файл tcp5424.dll и регистрирует его в реестре, создавая ключ HKCRCLSID{E6FB5E20-DE35-11CF-9C87-00AA005127ED}InProcServer32 {Default} = «%SysDir%tcp5424.dll.
• Также возможны изменения системных файлов win.ini и system.ini. Но в настоящее время такой способ не используется, т.к. в операционных системах выпущенных начиная с Windows 2000 эти файлы оставлены исключительно для совместимости со старыми версиями операционных систем, и не используются загрузчиком Windows при загрузке операционной системы.
Помимо перечисленных, вредоносные программы также могут вносить изменения в такие ветви реестра:
o Ветвь: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion, ключи: Run, RunOnce, RunOnceEx, RunServices, RunServicesOnce. Внесение изменений в данные ключи системного реестра обеспечивают автоматическую загрузку вредоносного кода в оперативную память компьютера и передачу ему управления.
o Ветвь: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion, ключ: Run. Таким образом, например, регистрировал зараженные файлы вирус Email-Worm.Win32.Bagle.ax
o Если внести в системный реестр такую запись: HKEY_CLASSES_ROOTexefileshellopencommand {Default} = %SystemDir%wintask.exe %1 %*), то запуск всех exe-файлом будет происходить через вызов зараженного файла wintask.exe. Этот метод характерен для вируса I-Worm.Navidad. Если удалить зараженный файл, не внеся соответствующих корректировок в систмный реестр, то запуск всех exe-файлов станет невозможным.
o Вирус Email-Worm.Win32.LovGate.ad создает такую запипь в системном реестре Windows: HKCRtxtfileshellopencommand {default}=»Update_OB.exe %1″, переопределяя таким образом вызов всех текстовых файлов а себя.
Помимо указанных выше значений ситемного реестра, вирусы также могут изменять и другие значения в реестре, например:
o HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWOWboot
o HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionDrivers32
o HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinLogon
o HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices
o HKEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupInstalled Components
o HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionAeDebug
Устранение последствий заражения
Ввиду того, что черви практически никогда не используют методы шифрования или полиформизма, обнаружить их проще. Можно выделить алгоритм действий для борьбы с ними вручную:
1. Провести анализ запущенных процессов при помощи Диспетчера задач Windows.
2. Провести анализ открытых в системе портов при помощи встроенной команды Netstat.
3. Выгрузить из памяти компьютера подозрительные процессы.
4. Провести анализ системного реестра Windows по приведенным выше ветвям при помощи системной утилит Regedit.exe.
5. Восстановить значения этих ключей на стандартные значения, принятые по умолчанию в операционной системе.
6. Найти все инфицированные файлы, используя данные о запущенных процессах и значениях системного реестра.
7. Удалить инфицированные файлы или заменить на оригинальные.
8. Перегрузить операционную систему.
После проведения всех перечисленных выше меропритий, необходимо провести повторный анализ запущенных процессов и ключей системного реестра и открытых портов. Если ключи реестра не изменились и в памяти компьютера не обнаружено подозрительных процессов, то мероприятия по дезинфекции компьютера можно считать успешными. Иначе необходимо будет повторять эти мероприятия до тех пор, пока изменений в реестре и процессах будут повторяться.
Однако, приведенные в данной статье мероприятия следует производить на заведомо инфицированном компьютере. Более того, некоторые черви могут использовать технологию backdoor, затрудняя процесс анализа. После проведения ручного удаления вредоносного кода рекумендуется все же провести поиск вирусов при помощи антивирусного программного обеспечения. Кроме того, использование антивирусного ПО способно предотвратить заражение компьютера.
Внимание! Все приведенные в данной статье советы предназначены исключительно в ознакомительных целях и не преследуют своей целью предоставления информации для написания заведомо вредоносного кода. Автор статьи не несет никакой ответственности за применение данных советов злоумышленниками.