- •I. Введение
- •II. Работа с инструментами диагностики и лечения
- •Описание HiJackThis и работа с ней
- •Вступление
- •Предупреждение
- •Назначение
- •Начало работы
- •Раздел Misc Tools.
- •Описание avz и работа с ней
- •Ключевые компоненты avz
- •Главное окно программы
- •Меню «Файл»: avz как единый инструмент
- •1. Функции анализа и восстановления
- •2. Функции скриптового движка
- •3. Обновление баз
- •4. Функции карантина
- •5. Отложенное удаление файла
- •Меню «Сервис»: диспетчеры и менеджеры avz
- •1. Общие характеристики диспетчеров и менеджеров avz
- •2. Подсистемы поиска
- •3. Прочие инструменты
- •AvzGuard
- •Boot Cleaner
- •III. Основы диагностики
- •1. Подготовка
- •2. Протокол hjt
- •3. Протоколы avz
- •Чтение протоколов HiJackThis
- •Анализ лога
- •Чтение протоколов avz
- •1. Цветовая схема
- •2. Состав таблиц
- •1) Список процессов (данные Диспетчера процессов)
- •2) Модули пространства ядра (данные одноименного диспетчера)
- •3) Службы (данные Диспетчера служб и драйверов, часть 1)
- •4) Драйверы (данные Диспетчера служб и драйверов, часть 2)
- •5) Автозапуск (данные Менеджера автозапуска)
- •6) Модули расширения Internet Explorer (bho, панели…) (данные Менеджера расширений ie)
- •7) Модули расширения проводника (данные Менеджера расширений проводника)
- •8) Модули расширения системы печати (данные Менеджера расширений системы печати)
- •9) Задания планировщика задач Task Scheduler (данные Менеджера планировщика задач Task Scheduler)
- •10) Настройки spi/lsp (данные Менеджера Winsock spi)
- •11) Порты tcp/udp (данные диспетчера «Открытые порты tcp/udp»)
- •12) Downloaded Program Files (данные Менеджера Downloaded Program Files)
- •13) Апплеты панели управления (cpl) (данные Менеджера апплетов панели управления)
- •3. Общие сведения
- •4. Поиск RootKit и программ, перехватывающих функции api (в соавторстве с Олегом Зайцевым)
- •1.1 Поиск перехватчиков api, работающих в UserMode
- •1.2 Поиск перехватчиков api, работающих в KernelMode
- •1.2 Поиск перехватчиков api, работающих в KernelMode
- •1.3 Проверка idt и sysenter
- •1.4 Поиск маскировки процессов и драйверов
- •1.4 Поиск маскировки процессов и драйверов
- •1.4 Поиск маскировки процессов и драйверов
- •5. Проверка памяти
- •2. Проверка памяти
- •6. Сканирование дисков
- •3. Сканирование дисков
- •7. Проверка Winsock Layered Service Provider
- •4. Проверка Winsock Layered Service Provider (spi/lsp)
- •4. Проверка Winsock Layered Service Provider (spi/lsp)
- •8. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские dll)
- •5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские dll)
- •9. Поиск открытых портов tcp/udp, используемых вредоносными программами
- •6. Поиск открытых портов tcp/udp, используемых вредоносными программами
- •10. Эвристическая проверка системы
- •7. Эвристичеcкая проверка системы
- •11. Поиск потенциальных уязвимостей
- •8. Поиск потенциальных уязвимостей
- •8. Поиск потенциальных уязвимостей
- •12. Мастер поиска и устранения проблем
- •9. Мастер поиска и устранения проблем
- •9. Мастер поиска и устранения проблем
- •Критерии вредоносности файла
- •Зоны особого внимания
- •Примечание
- •Дополнительная диагностика
- •Работа со списком заподозренных файлов
- •Извлечение файлов и их анализ
- •Если файл не удается поместить в карантин
- •1) Попытаться выполнить карантин в безопасном режиме.
- •3) Попробовать применить специализированный антируткит (например, IceSword, позволяющий копировать скрытые и защищенные файлы).
- •Vms@drweb.Com
- •Virus_malware@avira.Com
- •IV. Лечение
- •Лечение с помощью HiJackThis
- •Лечение с помощью avz
- •1. Удаление файлов
- •2. Восстановление системы и исправление ошибок
- •1. Настройки spi/lsp
- •1) Ручной.
- •2. Файл hosts
- •3. Эвристическая проверка системы
- •4. Мастер поиска и устранения проблем
- •Восстановление системы по жалобам пользователя
- •3. После лечения
- •Если вредоносное программное обеспечение восстанавливается после удаления
- •1) Убедитесь, что Восстановление системы Windows отключено.
- •Если лечение прошло успешно
- •Чего не следует делать уважающему себя и других антивирусному консультанту
- •3) Выполнять ненужные / бесполезные для обрабатываемого случая операции
- •6) Содействовать поиску и использованию вредоносного и / или взломанного программного обеспечения
- •V. Заключение
12. Мастер поиска и устранения проблем
В последнюю секцию текстового протокола выводятся сообщения о результатах поиска ошибок и проблем безопасности и производительности системы. По преимуществу это некорректные таймауты завершения служб и процессов, нарушения файловых ассоциаций, сообщения о блокировке тех или иных системных функций. Выводимые данные следует принимать к сведению как возможные симптомы инфекции и / или показания к применению восстановления системы, однако, как и в других случаях, не стоит абсолютизировать эту информацию.
В случае отсутствия проблем секция завершается:
9. Мастер поиска и устранения проблем
Проверка завершена
В случае наличия – выводятся предупреждения:
9. Мастер поиска и устранения проблем
>> Нарушение ассоциации COM файлов
>> Нарушение ассоциации PIF файлов
>> Нарушение ассоциации BAT файлов
>> Нарушение ассоциации SCR файлов
>> Internet Explorer - заблокирована настройка домашней страницы
>> Таймаут завершения служб находится за пределами допустимых значений
Проверка завершена
Текстовый протокол закрывается данными о завершении сканирования:
Просканировано файлов: XXX, извлечено из архивов: X, найдено вредоносных программ X, подозрений - X
Сканирование завершено в XX.XX.XXXX XX:XX:XX
Сканирование длилось XX:XX:XX
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам, то Вы можете обратиться в конференцию - http://virusinfo.info
В зависимости от конфигурации выполненного Стандартного скрипта в конец протокола выводятся те или иные дополнительные информационные сообщения.
Совет. Обращайте внимание на дату сканирования: иногда пользователь обращается за помощью с протоколами, подготовленными за несколько дней до обращения.
Критерии вредоносности файла
Теперь, когда вы имеете представление о структуре протокола, можно переходить собственно к диагностике – определению по протокольным данным вредоносного программного обеспечения. Эта задача не из простых, поскольку разработчики вредоносного ПО наблюдают за работой специалистов, изучают методы, при помощи которых консультанты отличают malware от легитимных файлов, и адаптируют свои продукты с целью сделать их сколь возможно более незаметными в протоколе. Вместе с тем все еще существует ряд факторов, которые позволяют судить о вредоносности файла, и мы сейчас их перечислим. При обнаружении объекта, соответствующего двум и более критериям, щелкайте по ссылке «Карантин», чтобы поместить его в список подозрительных файлов.
Ниже мы опишем дальнейшие процедуры верификации объектов.
Итак, критерии возможной вредоносности файла:
1. Отсутствие в базе безопасных объектов AVZ
2. Специфичные имя и адрес:
a) бессмысленное имя, не соотносимое с копирайтом и описанием
б) имитация имени системного файла
в) размещение в системной папке
г) исполняемый файл или библиотека в папке пользовательского профиля
3. Отсутствие описания и копирайта
или имитация их наличия
4. Подозрение на Rootkit или маскировку
>>>> Подозрение на маскировку процесса 2144 c:\windows\system.exe
Комментарий. Подозрение на маскировку может характеризовать процесс, запущенный во время исследования системы, или рабочую активность серверной ОС
5. Детектирование и / или подозрение от сигнатурного сканера AVZ
d:\docume~1\orachin\locals~1\temp\maindll.dll >>>>> Backdoor.Win32.Agent.uu
C:\WINDOWS\system32\nnnmnnn.dll >>> подозрение на AdvWare.Win32.Virtumonde.hs ( 0BBE5154 0169598B 00223F12 00275DAF 26685)
6. Присутствие в результатах эвристической проверки системы
>>> D:\WINDOWS\Downloaded Program Files\popcaploader.dll ЭПС: подозрение на Downloader.PopCapLoader (высокая степень вероятности)
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "D:\WINDOWS\System32\tmp_6f0.dll"