Когато антивирусът остава безмълвен - статии за Microsoft Windows
Който пише злонамерен софтуер, винаги е на крачка пред този, който защитава от него. В рамките на тази статия, като използвам примера на добре познатия Trojan Back Orifice, ще се опитам да разгледам принципа и характеристиките на работата на троянски коне, засягайки нестандартни методи за търсене и унищожаване на зловреден софтуер.
Най-новите версии на зловреден софтуер, които не се откриват от антивирусите дори с "ежедневни" бази данни, и модификации на вече съществуващи злонамерени програми отдавна са се превърнали в фона на съвременното киберпространство. Писателите на вируси се опитват да дадат всичко от себе си: днес няма да изненадате никого със злонамерена програма, маскирана като GPEG файл; посещението на HTML страница може лесно да се превърне в изтегляне на истински троянец на вашия компютър и достъп до интернет с SP1 - MS Blast, седнал в самата утроба на вашата система. И тук въпросът дори не е, че броят на нововъзникващите софтуерни уязвимости нараства експоненциално. Всеки, който пише злонамерен софтуер, винаги е на крачка пред някой, който го защитава ... В рамките на тази статия, използвайки добре познатия троянец Back Orifice като пример, ще се опитам да разгледам принципа и характеристиките на троянските програми, засягайки нестандартни методи за търсене и унищожаване на зловреден софтуер.
Нашият герой - Back Orifice: жива легенда 8 години по-късно ...
Back Orifice работи (и работи;)) на база клиент/сървър и му позволява да администрира дистанционно компютър, на който сървърната част е предварително инсталирана ... Много скоро BO придоби статут на троянски кон: антивирусните бази данни бяха попълнени със записи като BackDoor.BOrifice, Trojan.Bo ... какво, всъщност, не е особено изненадващо, защото BO може успешно да се използва за дистанционно управление на чужд компютър. Графичният интуитивен интерфейс на програмата и нейните впечатляващи възможности направиха истински фурор, след което в добре познати кръгове инсталирането на BO на чужд компютър се превърна в нещо като вълнуващо състезание. С пускането на новата версия на Back Orifice 2000, която освен Win95 и Win98 поддържаше Windows NT и беше с отворен код, популярността на „любимия на хората“ достигна своя връх. Microsoft също започна да говори за BO: програмата, според тях, не е пряка заплаха за MS Windows и изисква от нападателя да инсталира сървърната част на машината на жертвата. По един или друг начин и днес известният Back Orifice е класифициран като истински троянец. Според съвременната класификация, аз не се страхувам от тази дума, нашият герой в базите данни на различни антивирусни компании изглежда така: Backdoor.Win32.BO.a (Kaspersky Lab), известен също като Backdoor.BO.a ( Лаборатория Касперски), Orifice .svr (McAfee), W32.HLLP.Clay.dr (Symantec), BackDoor.BOrifice (Doctor Web), Troj/Orifice-A (Sophos), Backdoor: Win32/BOClay (RAV), BKDR_BO. 58880 (Trend Micro), Boserve-01 (H + BEDV), W32/Back_Orifice.124928 (FRISK), Win32: Trojan-gen. (ALWIL), BackDoor.BackOrifice (Grisoft), Backdoor.BackOrifice.A (SOFTWIN), Trojan.Bo (ClamAV), Trj/BOr (Panda), Back_Orifice.Dropper (Eset).
Внимание! Открит е троянски кон
BO се разпространява като пакет, който включва сървърната част (BOSERVE.EXE или bo2k.exe - възможни са вариации), клиентската част
(bo2kgui.exe) и конфигурационния файл на сървъра (bo2kcfg.exe). В допълнение към трите изброени компонента, пакетът може да съдържа плъгини и документация. И трите програмни компонента са написани на C ++ и са компилирани от Microsoft Visual C ++. Всички програми са във формат Portable Executable и могат да се изпълняват само в среда Win32.
След като троянецът се фиксира в системата, той започва да слуша UDP порт 31337, оставайки в паметта на Windows като скрито приложение (т.е. без активен прозорец и връзка в списъка с приложения). След като сървърът получи команди от клиента, на машината на жертвата може да се развие следният сценарий:
. Сървърът изпраща на истинския си собственик различна информация за системата: тип процесор, размер на паметта, версия на системата, инсталирани устройства и др .;
. Сървърът споделя дискове, което ги прави видими от мрежата.
По този начин отдалеченият потребител получава пълен достъп до заразената система: операции за изтриване, операции за копиране и т.н. до форматирането стават толкова реални, сякаш работите на собствен компютър;). В допълнение към горното, отдалеченият потребител има възможност да изключи текущия потребител от мрежата, да спре системата, да убива процеси, да получава и изпраща кеширани пароли, да показва текстови съобщения, да възпроизвежда звукови файлове и т.н. и т.н. Горните функции в никакъв случай не са върхът на това, на което е способен BO: за да разширите списъка с функции, е достатъчно да изтеглите няколко нови приставки и това е всичко;).
Ако вашият антивирус упорито мълчи и възможността за присъствие на троянски кон е голяма, тогава е време да прибегнете до следните инструменти:
SUPERAntiSpyware е безплатна програма за частно ползване, която ви позволява да премахвате всякакъв вид злонамерен софтуер (шпионски софтуер, рекламен софтуер, злонамерен софтуер, троянски коне, дайлери, червеи, keyLoggers, HiJackers и други) от вашия компютър, възстановяване на счупени записи в мрежови връзки, на работния плот, в системния регистър, подобрете цялостната защита на компютъра, като затворите пропуските в сигурността на Windows, открити по време на стартиране.
XoftSpy Е един от най-добрите софтуер за премахване на шпионски софтуер. Едно от предимствата на XoftSpy е неговата висока скорост на сканиране. Друг плюс са редовните актуализации, което е особено важно за помощна програма, чиято основна цел е да гарантира безопасността на потребителите.
SpywareGuard - след инсталирането програмата автоматично се поставя в стартиране и се намира в RAM паметта на компютъра. Програмата не е взискателна към системните ресурси. В него практически няма настройки - само няколко функции са конфигурирани с възможност за задаване на парола за промяна на настройките в тези функции. Програмата ще служи като отличен помощник на антивирусния монитор и сериозна програма за намиране и премахване на шпионски софтуерни модули.
Отивам! Стартирайте regedit, отворете клона HKEY_LOCAL_MACHINESOFTWAREM MicrosoftWindowsCurrentVersionRun (най-любимото място за троянци; NB: този клон не е единственият, където троянците могат да седят, така че не би навредило да погледнете и тук:
Ако бъде намерен неканен запис за гост, изтрийте този запис. След това трябва да убиете процеса, който принадлежи на „непознатия“, за което е много полезно да „познавате собствените си хора“: Explorer, Lsass, Services, System, Winlogon, Alg, Vsmon, Ctfmon, Svchost, Csrss, Smss. Естествено, освен изброените, в диспечера на задачите можете да намерите и други, „мирни“ процеси - тези, които принадлежат на работещи и постоянно работещи приложения. Това са например kavsvc, който принадлежи на Kaspersky Anti-Virus, zonealarm, който принадлежи на защитната стена и т.н. Особено внимание трябва да се обърне на така наречените маскиращи процеси, които имитират истинските: explore, sys, svshost, winlogin, systrey и др. Ако е невъзможно да се спре „злият процес“ посредством диспечера на задачите, можете да използвате помощната програма Process Explorer и други подобни. Между другото, горната програма ще бъде много, много полезна и "в мирно време", защото с негова помощ можете да завършите дори тези процеси, които не могат да бъдат завършени с редовни средства;).
"Контролен изстрел" - така може да се нарече финалната част от нашия ритуал: необходимо е да се намери и унищожи тялото. И тук е подходящият момент да си спомните за добрия стар одитор, който за разлика от полифагите не се нуждае от нови бази данни. Като пример е повече от подходящо да се цитира одиторската програма Adinf. Принципът на действие на Adinf се основава на съхраняване в специална база данни на основните данни за всеки логически диск в системата. При първото стартиране таблиците съхраняват количеството RAM, изображения на главния сектор за зареждане, сектори за зареждане, списък с лоши клъстери, дървовидна структура на директории, дължини на файлове и контролни суми. Когато вирус/троянски зарази компютър, той променя обекта, в който е вграден изпълнимият файл, основния сектор за зареждане, таблицата FAT. Ако одиторът открие промени на диска, които са характерни за вирус/троянски кон, той предупреждава потребителя за това. Важна разлика между ADinf и други съществуващи програми за одит е достъпът до дискове без използване на функциите на операционната система. Този метод за достъп до дискове дава възможност за успешно откриване на стелт вируси (невидими вируси). При условие, че е направена моментна снимка на чиста система, намирането и изтриването на „допълнителния“ файл няма да бъде трудно.
Възможно е по време на „ритуал“ да възникнат извънредни ситуации: файлът може да се използва активно от системата и всички опити за изтриването му няма да бъдат увенчани с успех. Има ли изход? Разбира се, че има! Всичко, което трябва да направим, е да премахнем тялото от под друга система - например чрез зареждане от под Linux LiveCD.
Е, това е може би всичко. Рестартирайте системата, след което последното докосване е проверка на отворените портове с командата netstat -an. Резултатът от командата е списък с отворени портове
Ако бъде открит подозрителен порт ... повторете процедурата за експулсиране ...