С петлей на шее

Анализирующий

Спецвыпуск Xakep, номер #040, стр. 040-084-2

Контрмеры

Как и в любой подобной ситуации, существует множество путей для предотвращения проникновения на компьютер враждебного кода, в данном случае – командного сценария Windows. Рассмотрим некоторые из них.

Следи за собой и будь осторожен

Прежде всего, стоит внимательно изучить список запущенных на машине процессов. Желательно делать это не стандартным «Диспетчером задач», предоставляющим лишь минимум информации и позволяющим менять свое оформление на лету через все тот же реестр, а использовать продвинутые средства. Хорошим примером может послужить программа TaskInfo2000, показывающая не только имя и владельца процесса, но и размещение запущенного файла на жестком диске. Нелишним будет и лог запускавшихся процессов, на случай если программа не висит постоянно в памяти, а вырубается сразу после выполнения поставленной перед ней задачи. Первым признаком подвисшего в памяти скрипта будет запущенный процесс wscript.exe или cscript.exe. В этом случае его дезактивация сводится к простому снятию задачи сервера. Однако взломщик может поступить хитрее. Достаточно скопировать сервер сценариев под другим именем, например svchost.exe, а затем запустить его, указав в качестве параметра имя файла скрипта. Итого – в списке процессов появился еще один svchost.exe, правда его владельцем является не SYSTEM, как это должно быть, а пользователь, под учетной записью которого он был запущен, но на это как раз многие и не обращают внимания. Как потом оказывается – напрасно.

WSH и антивирусные мониторы

Следующим звеном в эшелоне защиты может быть резидентный антивирусный фильтр. Неплохим выбором будет Script Checker из пакета «Антивирус Касперского». Он распознает попытки выполнения подозрительных действий любых, даже неизвестных ему сценариев, и тем самым сводит риск активации заразы к минимуму. Однако не стоит возлагать на подобные средства слишком большие надежды. В Windows XP большинство антивирусных мониторов устанавливаются в качестве службы и, как всякая несистемная служба, могут быть остановлены пред выполнением необходимых действий, а затем вновь запущены. Для пользователя эти действия останутся незаметными.

Методы автозапуска

Для выполнения поставленной задачи зловредная программа должна быть каким-либо образом активизирована. Идеальный вариант – поместить ссылку на нее в какой-нибудь элемент автозагрузки. При выкорчевывании из этих элементов стоит быть предельно внимательным. Сценарий может отслеживать запуск программ контроля и целостность своих ссылок. Для начала следует снять задачу кода, и только потом удалять ссылки.