Найди врага в своем доме!

Deeoni$

Спецвыпуск: Хакер, номер #048, стр. 048-074-4

Первая особенность говорит сама за себя. Пакеты расходятся по всей сети и зачастую адресуются несуществующим получателям. Рассылка идет постоянно либо через короткие интервалы времени. Соединение устанавливается без доменного имени. Хотя в случае сканирования локальных файлов это не так. Но факт скана легко обнаружить, подкинув вирусу приманку.

Ненормальная сетевая активность часто свидетельствует о паразите. Большинство современных червей распространяются с огромной скоростью, из-за чего исходящий трафик сильно возрастает. Также могут открыться новые порты, о которых ты ничего не знал и которые непонятно кто слушает. Этого, правда, может и не быть, если червь внедрится в низкоуровневый сетевой сервис.

Подозрительные сетевые пакеты могут содержать в себе разнообразные последовательности символов, которые в обычных условиях там не должны иметь место. Например, если цель - web-сервер, то признаками shell-кода могут служить последовательности из трех или более NOP, машинные команды CALL ESP, JMP ESP и другие, имена командных интерпретаторов и библиотек типа admin.dll, бессмысленные последовательности символов, используемые для переполнения буфера. Трафик можно легко анализировать и выявлять подозрительные пакеты. Однако стоит автору вируса слегка закриптовать shell-код, и подобная фильтрация не сработает, хотя размер переполняемого буфера настолько мал, что в дыру очень трудно впихнуть еще и расшифровщик. Анализ можно производить любым удобным снифером, который имеет хотя бы примитивные средства сортировки и просмотра пакетов. Я бы посоветовал EtherSnoop (www.arechisoft.com).

Подозрительные письма можно выявить по наличию в них либо ехе-файла (а также всяких im_nude.jpg.exe), либо скрипта. Бывает, что голова червя приходит в послании в виде VBS-сценария и затем качает хвост из сети в виде программы. Вирус может быть и WSH-кодом. Для защиты от вирусов на WSH достаточно не запускать их и отключить данную опцию в почтовом клиенте, если таковая имеется. The Bat! считается одним из самых безопасных почтовиков из-за того, что не поддерживает скрипты. В Спеце «the XP Files» # 03.04(40) мы довольно подробно писали о защите от WSH-злодейств, поэтому двинемся дальше.

Часто в теле вируса могут быть незашифрованные строки, которые сразу режут взгляд при беглом просмотре в HEX-редакторе. Ищи в дампе адреса сайтов, обращение к которым ты не планировал, ветви реестра, ответственные за автозапуск, имена системных библиотек (в частности, напрямую относящиеся к работе с сетью) и интерпретаторов (могут использоваться интерпретаторы web- и FTP-серверов, различных скриптовых языков типа PHP, Perl и просто cmd.exe), «опасные» команды прикладных протоколов (HELO, GET и т.д.) и ОС. Голова червя обычно находится в секции данных, поэтому ты сразу должен заметить там машинный код.