Найти и уничтожить!

Крис Касперски aka мыщъх

Спецвыпуск: Хакер, номер #048, стр. 048-084-1

Руководство по борьбе с вирусами и троянами

Традиционно для поиска компьютерной заразы используются антивирусы, однако результат их деятельности не всегда оправдывает ожидания, а многие из вирусов зачастую остаются нераспознанными. Но в большинстве случаев зараза может быть обнаружена вручную!

Операционные системы семейства Windows разрослись до невероятных размеров, превратившись в модель настоящего государства в миниатюре. Количество файлов, хранящихся под капотом жесткого диска, вполне сопоставимо с численностью населения какой-нибудь европейской страны наподобие Швейцарии или Польши. Существуют сотни тысяч мест, пригодных для внедрения вируса, и в этих условиях ему ничего не стоит затеряться.

Никто не в состоянии проанализировать все имеющиеся в его распоряжении исполняемые файлы, динамические библиотеки, OCX-компоненты и т.д. Поэтому гарантированно обнаружить зловредный код методом тыка невозможно, особенно на ранних стадиях, когда заражено небольшое количество файлов. Однако стоит вирусу поразить системный файл или специально подброшенную дрозофилу (рано или поздно это сделает), как он тут же выдаст себя с головой! С неразмножающимися троянскими программами дела обстоят намного сложнее. Засевший в укромном месте троян может прятаться годами, ничем не выдавая своего присутствия, а затем в один прекрасный момент неожиданно проснуться и сделать из винчестера винегрет.

Это не означает, что ручной поиск бесполезен. Просто не стоит переоценивать его возможности...

Если вдруг открылся люк

Вирусы и троянские программы чаще всего пишутся начинающими программистами, не имеющими адекватного опыта проектирования и практически всегда допускающими большое количество фатальных ошибок. Из-за этого самочувствие зараженной системы резко ухудшается: появляются сообщения о критических ошибках в самых неожиданных местах, полностью или частично нарушается работоспособность некоторых приложений. Время загрузки операционной системы значительно возрастает. Не удается выполнить проверку диска и/или его дефрагментацию. Производительность падает.

Естественно, все эти признаки могут вызываться волне легальным, но некорректно установленным приложением или аппаратными неисправностям. Не стоит в каждом баге видеть вирус. Вирусофобия – опасная вещь, намного более опасная, чем вирусы, и еще никого она не доводила до добра.

Новые процессы

Троянские программы, сделанные в виде автономного исполняемого файла и никак не скрывающие своего присутствия в системе (а большинство из них именно так и устроено), легко обнаруживаются Диспетчером Задач или любой другой утилитой, отображающей список активных процессов, к примеру, FAR'ом. Причем FAR даже более предпочтителен, поскольку появляется все больше троянцев, удаляющих себя из Диспетчера Задач (грамотный стелс будет невиден и в FAR'е - прим. AvaLANche'а).

Зловредный процесс внешне ничем не отличается от всех остальных процессов, и, чтобы разоблачить его, требуется знать системные процессы своей системы. Свежеустановленная Windows 2000/XP создает следующие процессы: internat.exe (русификатор), smss.exe (сервер менеджера сеансов), csrss.exe (сервер подсистемы Win32), winlogon.exe (программа регистрации в системе и сетевой DDE-агент), services.exe (диспетчер управления сервисами), lsass.exe (сервер защитной подсистемы), svchost.exe (контейнер для служб и сервисов), spoolsv.exe (диспетчер очереди печати), regsvc.exe (регистратор сервисов), mstask.exe (планировщик) и explorer.exe (оболочка - великий и ужасный Проводник).