Пара слов от переводчика:
Перезагрузка системы – довольно интересный трюк. Первый раз с ним я столкнулся в студенческие годы, я не имею ввиду проблемы с системой, а именно из-за хулиганских действий, когда один мой знакомый подкладывал красивым девушкам «свинью»: тогда он руками в реестре писал рандомную перезагрузку системы (и ведь считал себя крутым знатоком операционной системы), ну да время все расставило на место. Хотя специалист он железе хороший, но hard и soft немного разные вещи. И анонсируя пост Марка Руссинович, хочу сказать: Знайте свои сильные и слабые стороны и применяйте их целью создать, а не разрушить, да прибудет с Вами Сила!
Пост
Данное дело началось тогда, когда продвинутый пользователь, имеющий опыт работы Sysinternals, работающий системным администратором в большой корпорации, получил от своих друзей сообщение, что их ноутбук не пригоден к эксплуатации. Дело было в том, что всякий раз, когда ноутбук подключался к сети, он просто уходил на перезагрузку. Наш опытный пользователь и герой данного дела, добравшись до этого ноутбука, первым делом решил проверить его поведение, подключив к беспроводной сети. Система внезапно перезагрузилась, сначала в безопасном режиме, потом снова в нормальном. Наш пользователь попробовал перезагрузить ноутбук в безопасном режиме, надеясь, что причина такого его поведения будет неактивной в этом режиме, но вход в систему (logging) получался только в результате автоматического выхода (logoff). Перезагрузившись в нормальный режим, он заметил, что Microsoft Security Essentials (MSE) установлен и пробует запуститься. Двойной клик по иконке результата не дал, а двойной щелчок по входу в Программах на панели управления выдал вот такое сообщение:
Наведение же курсора мышки на иконку MSE в меню Пуск объяснило эту причину: ссылка указывала на файл с большой степенью вероятности вредоносный:
Доступа в сеть не было, поэтому он не мог легко восстановить поврежденный MSE. К счастью Sysinsternals инструменты могли помочь, он скопировал Process Explorer и Autoruns сначала на флэшку, затем на ноутбук, в инфекции которого наш пользователь не сомневался. Запущенный Process Explorer приветствовал нашего пользователя вот таким деревом процессов:
В своей презентации для Blackhat «Удаление вредоносных программ Нулевого Дня с помощью Sysinternals» (я начал перевод этой увлекательной презентации, вот ссылка на то, что уже сделано - ArkSmoke) я показываю список общих характеристик вредоносного процесса. У них нет собственной иконки, имени компании или описания, размещаются в %Systemroot% или %Userprofile% папках и упакованы (зашифрованы или сжаты). Хотя, на самом деле, есть очень извращенные программы, у которых нет этих признаков, но все же большинство вредоносных кодов их имеют. Данное дело – великолепный того пример. Process Explorer просматривает подписи распространенных инструментов для сжатия, таких как UPX, используя эвристику, чтобы определить движок, с помощью которого происходило сжатие файла, и отображение цветом. Цвет по умолчанию – фукция (признаться, названия этого цвета не знал, но приведу его параметры: f754e1 или же 247, 84, 225 – в RGB - ArkSmoke), подсветил с дюжину процессов в просмотрщике процессов. Так же, в подсвеченных процессах отсутствуют описания, имена компаний (хотя, у некоторых процессов есть иконки).
Многие из имен этих процессов совпадают с легитимными именами, используемыми Windows. У одного из нижеприведенных подсвеченных процессов имя используемого Windows процесса - Svchost.exe, и иконка, заимствованная у Adobe Flash, и в довесок не стандартная папка размещения: C:\Windows\Update.1:
У других процессов имена, не используемых Windows процессов, но вот это имя - Svchostdriver.exe вполне способно завести в ступор кого угодно, кто не так близко знаком с устройством Windows. В действительности же процесс устанавливает TCP/IP сокет соединение, предположительно для связи с ботнетом:
В действительности же не осталось сомнений, что машина жестко заражена. Autoruns вредоносные программы, используя несколько различных точек активации, и объяснил, почему должным образом не работает даже Безопасный Режим с поддержкой командной строки. Причина - Services32.exe (еще один процесс с именем, похожим на легитимное), зарегистрировалась в безопасном режиме в AlternateShell, где по умолчанию стоит Cmd.exe (командная строка):
Мой совет, чтобы очистить машину от вредоносных программ, первым делом надо воспользоваться утилитами для уничтожения вредоносных программ, если есть такая возможность. Защиты от вредоносных программ могли бы решить вопросы с инфекциями, почему бы не поработать им, если у Вас не получается? Но система не могла подключиться к интернету, не давая возможности легкого лечения, установив MSE, или другие защиты от вредоносных программ на подобие Microsoft Malicious Software Removal Tool (MSRT). Герой нынешнего дела видел, как я на конференции Process Explorer’ом приостанавливал выполнение вредоносных процессов, чтобы они не запускали другие, мешая вылечить машину. А может быть, если он приостановит выполнение всех подозрительных процессов, появится возможность подключиться к сети без перезагрузки системы? Игра стоила свеч.
Кликая правой кнопкой мыши по каждому подозрительному процессу, он выбирал из контекстного меню Suspend (приостановить), чтобы «подвесить» процесс:
Когда все было сделано, дерево процессов выглядело как на картинке ниже, с помеченными серым цветом приостановленными процессами:
Теперь же, чтобы посмотреть, прошла ли его хитрость, он подключился к беспроводной сети. Бинго, машина на перезагрузку не ушла! Сейчас она была в сети, он скачал MSE, установил его, и начал сканировать систему. Программа работал довольно долго. Когда же она закончила, выдала четыре штампа: Trojan:Win32/Teniel, Backdoor:Win32/Bafruz.C, Trojan:Win32/Malex.gen!E и Trojan:Win32/Sisron:
После перезагрузки, в этот раз она прошла видимо быстрее, чем обычно, машина подключилась к сети без всяких проблем. Делая контрольный выстрел, наш сегодняшний герой запустил Process Explorer, посмотреть остались ли какие-нибудь подозрительные процессы. Дерево же процессов выглядело девственно:
Еще одно дело разрешилось благодаря инструментам Sysinternals! Новое «Руководство администратора Sysinternals», написанное мной в соавторстве с Айроном Маргисом, описывает все утилиты в мельчайших деталях, раскрывая перед Вами технические возможности решения проблем, связанных медленной загрузкой и обманчивыми сообщениями об ошибках, и возможность разобраться в аварийных дампах (данная книга – мощный инструмент, для практического освоения лечения машин, про книгу я говорил, и, думаю, скажу еще много раз – так что следите за обновлениями - ArkSmoke). Если же Вы интересуетесь компьютерной безопасностью, то обязательно приобретите технотриллер «Нулевой День».
Комментариев нет:
Отправить комментарий