Первый - это реестр. Вирус может сидеть в автозагрузке, а может и вообще не присутствовать на компьютере, но цель у него одна - это заменить через реестр стартовую страницу браузера. В случае если вирус или же скрипт, только однажды заменил стартовую страницу, вопросов нет, - надо очистить этот ключ в реестре. Если же после очищения, через некоторое время ключ снова появляется, то вирус запущен и постоянно производит обращение к реестру. Если вы имеете опыт работы с отладчиками типа SoftIce то можете поставить точку останова на доступ к реестру (bpx RegSetValue) и проследить, какая программа, кроме стандартных, производит обращении к реестру.
Второй - это именно перехватчики системных событий, так называемые хуки. Как правило, хуки используются больше в кейлоггерах, и представляют собой библиотеку, которая отслеживает и по возможности изменяет системные сообщения. Обычно есть уже сама программа и прикрепленная к ней библиотека, поэтому исследуя главный модуль программы, вы ничего интересного не получите.
И, наконец, третий способ это прикрепление своей библиотеки к стандартным программам ОС, таким как explorer.exe. Тут опять же есть пара способов, это прикрепление с помощью BHO и просто внедрение своей библиотеки в исполняемый файл. Разница в том, что Browser Helper Object описано и предложено самой корпорацией MS, и используется как плагин к браузеру, а внедрение библиотек - это уже не столько плагин, сколько как самодостаточная программа, больше напоминающая файловый вирус прошлых лет.
Итак, если у вас не все в порядке с этими ключами, и вы хотите разобраться дальше, то смотрим дальше.
Ищем лучше
Перейдем к следующему, находим и убиваем тулбар. Как известно вирмейкеры гонятся за минимализацией и зашифрованностью кода. То есть ни один тулбар как правило не будет лежать в открытом виде. Во-первых код можно уменьшить, а во-вторых если кто нибудь (чаще даже не антивирус, а конкурент) обнаружит данную библиотеку то ему незашифрованный код легче понять. Поэтому берем PEiD и производим массовое сканирование импортируемых библиотек. Библиотеки от microsoft естественно написаны на visual C++ и, ничем не упакованы, поэтому если мы видим упакованную или зашифрованную библиотеку то 99% это то, что мы искали. Проверит она это или нет очень просто, переместите в безопасном режиме ее и посмотрите результат. Если вы не нашли все-таки упакованную библиотеку, то полезно редактором ресурсов типа Restorator посмотреть версии файла, как я уже говорил у всех библиотек от MS там так и написано. Вот на таких делах прокалываются вирмейкеры. Стыдно должно быть им вообще писать такие вирусы. Напоследок хочу еще заметить, что библиотека *.dll не обязательно может внедряться в процессы. В ОС Windows есть такое полезное приложение, как rundll32.exe, и можно запускать с помощью этого процесса любую библиотеку. И при этом не обязательно в автозагрузке писать rundll32.exe myspy.dll, достаточно прописать это внутри зараженного файла. Тогда вы будете видеть только свои зараженные файлы, которые маловероятно будут детектироваться антивирусом, и процесс rundll32.exe, и больше ничего. Как быть в таких случаях? Здесь уже придется углубляться в структуру файла и ОС. Shturmovik www.gh0sts.org
Часть II. Внутренняя защита: антивирусы
Несмотря на то, что межсетевые экраны успешно блокируют ряд вирусов, зондирующих сетевые порты, и задерживают некоторые попытки их массового саморазмножения по электронной почте, в системе все равно необходим антивирусный сканер, который бы останавливал большинство инфекций, попадающих в компьютер через электронную почту и файлы, скачиваемые из интернета. Обезвредить эту инфекцию может только антивирусный сканер. Кроме сканеров, входящих в состав описанных выше пакетов по обеспечению безопасности, мы рассмотрели два самостоятельных продукта: Grisoft AVG Anti-Virus Professional и Eset NOD32.
Все эти продукты удовлетворяют минимальным требованиям по "отлову" основных злонамеренных программ, встречающихся в интернете - тех, что хотя бы дважды упоминаются членами WildList Organization (www.wildlist.com), всемирным обществом разработчиков антивирусных программ. Ведь далеко не каждым вирусом действительно можно заразиться через Сеть: из примерно 100000 существующих вирусов в настоящее время всего около 250 встречаются в "диком" интернете; остальные существуют только в "лабораторных" условиях. Оказалось, что качество работы разных сканеров чувствительно зависит от типа вирусов. Например, все отобранные для обзора продукты хорошо справляются с вирусами и червями, действующими в 32-разрядной среде Windows - наиболее распространенным сегодня типом сетевой "инфекции". В этом случае качество распознавания очень высоко - от 90,4 до 100%.
Однако с троянскими программами, которые распространяются не сами по себе, а посредством других программ, в том числе вирусов и "червей", дело обстоит похуже: если сканеры McAfee и Norton задерживают соответственно 99% и 95% "троянцев", то AVG - всего 23,5%, что вряд ли можно считать достаточной защитой. Кроме того, троянские программы не включаются в список WildList, отчего за ними труднее следить. Наконец, очень желательно, чтобы антивирусный сканер не поднимал ложную тревогу, подозревая в наличии вируса обычные файлы. В этом смысле лучше всего обстоят дела у PC-cillin, где тест прошел без ложных срабатываний; на другом конце шкалы - Eset NOD32, с 32 из 20000 файлов. Конечно, это настолько мало, что даже не стоит пересчитывать в процентах, но и одного такого случая достаточно, если в результате вместо вируса будет удален нужный файл.
Что делать с новыми "микробами"?
В своей работе антивирусные сканеры опираются в основном на точное соответствие известным злонамеренным программам, сигнатуры которых хранятся в базе данных. Впрочем, иногда они "ловят" и новые вирусы, которых в базе нет, используя эвристические алгоритмы. Строго говоря, слово "эвристический" здесь означает возможность идентифицировать неизвестный вирус на основании неких характерных признаков - например, кода, использующего известную "дыру" в операционной системе или приложении. На практике в эвристических алгоритмах поиска вирусов используются различные "нечеткие" схемы распознавания новых модификаций уже известных вирусов с использованием их общих признаков - например, зная признаки вируса Netsky.gen, можно "отловить" его новые варианты вроде Netsky.R.
По данным тестов, из рассмотренных программ самыми удачными эвристическими алгоритмами обладают McAfee и AVG, идентифицирующие 70,1% и 65,6% файлов, зараженных неизвестными вирусами; худший результат оказался у NOD32 - 41,4%. И в любом случае, это гораздо меньше и медленнее, чем при распознавании известных вирусов, так что основным средством своевременного лечения по-прежнему остается регулярное обновление антивирусных баз. Все программы тестировались в режиме максимально тщательного сканирования. Особый случай представлял собой NOD32: в этой программе предусмотрен повышенный по сравнению с жестким диском уровень эвристического сканирования Advanced Heuristics для электронной почты и веб-трафика, этих основных источников инфекций. Для сканирования жесткого диска этот режим тоже можно использовать, но не средствами графического интерфейса, а с помощью недокументированной команды nod32.exe /AH. В режиме Advanced Heuristics качество сканирования NOD32 возрастает до 53,5%.
К сожалению, все рассмотренные антивирусы успешно распознают новые инфекции только в том случае, если последние принадлежат к уже известным вирусным "семействам", но оказываются бессильны при встрече с совершенно новым вирусом. Например, ни один из сканеров не распознал червя Netsky, пока его сигнатура не была внесена в базу данных. Таким образом, эвристическое распознавание вирусов по-прежнему ненадежно. Приходится опираться на другие уровни защиты, такие как межсетевые экраны и собственный здравый смысл.
Самый удобный сканер
Если бы главным в антивирусном сканере было удобство интерфейса, то лучшим пакетом наверняка был бы признан McAfee. Правда, в остальном у McAfee много недостатков - например, ошибки в сценарии обновления, в результате которых программа сообщает, что сканер уже был обновлен, в то время как на самом деле это не так. Ни одна из рассмотренных программ не прошла гладко тест на удаление вируса CTX, "троянского коня" Optix и червя Mydoom.A. Лучше всех справился с очисткой компьютера PC-cillin - инфекция была полностью удалена, а система не повреждена. После попыток McAfee, NOD32 и Panda удалить CTX (безуспешно) система пришла в негодность.
Самым большим недостатком пакета Norton оказалась его медлительность. Когда в системе установлен этот пакет, она запускается и отключается вдвое медленнее, чем при использовании Panda или NOD32, влияние которых на быстродействие наименее заметно. Norton медленнее всех выполняет полное сканирование жесткого диска - проверка диска со скоростью вращения 5400 об/мин, данные на котором занимают 575 Мб, на компьютере с Windows XP, Pentium III 800 МГц, 256 Мб RAM, длится около 12 мин. Самая быстрая из программ обзора, NOD32, выполняет эту операцию всего за 52 с. (Правда, Norton лучше распознает вирусы.) Следующим по скорости после NOD32 был сканер Panda, справившийся с задачей немногим более чем за 2,5 мин. Лучшим антивирусом обзора был признан пакет Trend Micro PC-cillin Internet Security 2004: эта программа отличается не только качественным сканированием и разумной ценой, но также логичным и понятным интерфейсом.
Часть III. Защитите Ваш компьютер от нового вируса «Beagle»
Если в последние дни вами было получено электронное сообщение от известного вам человека с темой “Hi!” и словом “test” в теле письма - то добро пожаловать в бесконечный мир компьютерных вирусов!
Вы только что столкнулись с первым вирусом, выпущенным в этом году. Вирус называется «Beagle» или «Bagle» и быстро распространяется по всему миру. Пользователей в США ждет настоящая вспышка во вторник 20 января 2004 года, так как в понедельник все учреждения в США были закрыты из-за праздника, посвященного Мартину Лютеру Кингу младшему.
К письму прикреплен файл формата *.exe с произвольным именем, который обозначен той же самой пиктограммой, что и калькулятор Windows. При запуске этого файла начинает действовать программа сбора адресов электронной почты, которая собирает адреса из каждого файла на вашем компьютере и компьютерах, связанных с ним через локальную сеть. Коды данного червя также содержат программу «proxy» сервера электронной почты, которая позволяет сделать ваш компьютер центром рассылки спам-сообщений. Чтобы запутать пользователя при открытии данного файла запускается калькулятор Windows.
Страницы: 1, 2, 3
