Найти и уничтожить!

Крис Касперски aka мыщъх

Спецвыпуск: Хакер, номер #048, стр. 048-084-3

Операционные системы Windows 2000/XP оснащены специальными средствами проверки целостности исполняемых файлов, автоматически выполняющимися при всяком обращении к ним и при необходимости восстанавливающими искаженный файл. По умолчанию резервные копии хранятся в каталогах WINNT\System32\Dllcache и WINNT\ServicePackFiles.

У вируса есть два пути: либо отключить SFC (за это отвечает ключ реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SFCDisable), либо единовременно поразить и сам заражаемый файл, и все его резервные копии, так что надежность автоматической проверки весьма сомнительна и лучше всего запускать SFC (sfc.exe) вручную с ключом /PURGECACHE. Тогда она очистит файловый кэш и затребует дистрибьютивный компакт-диск для его реконструкции, после чего выполнит сканирование системных файлов на предмет поиска несоответствий. Но если после первой инсталляции в систему добавлялись те или иные пакеты обновлений, утилита SFC либо вообще откажется перестраивать файловый кэш, либо выдаст большое количество ложных срабатываний, приводя обновленные файлы в их первозданный вид, что явно не входит в твои планы. Поэтому всегда приобретай Windows с интегрированным Service Pack'ом самой последней версии (именно интегрированным, а не просто записанным в отдельную директорию, чем славится большинство пиратов) – там этих проблем нет.

Также можно и нужно использовать и более продвинутые антивирусные средства, такие, как ADInf или AVP Disk Inspector, а если их нет – утилиту посимвольного сравнения файлов FC.EXE, входящую в штатный комплект поставки любой версии Windows. Только не запускай все эти программы непосредственно из самой запускаемой системы! Stealth-вирусов под Windows с каждым днем становится все больше, а методика их - маскировки все изощреннее.

Вопреки расхожему мнению Windows может загружаться и с CD. Прежде всего, на ум приходит Windows-PE – слегка усеченная версия Windows XP, официально распространяемая только среди партнеров Microsoft и в центрах сервисного обслуживания. В открытую продажу она до сих пор не поступала, и, если тебе претит кормить пиратов (многие из которых к тому же и хамы :), воспользуйся бесплатным Bart's PE Builder'ом (www.danilpremgi.com/nu2/pebuilder3032.zip), автоматически формирующим загрузочный диск на основе любой версии от Windows 2000 SP1 и старше.

Кстати говоря, при желании можно и вовсе изъять жесткий диск из компьютера, разместив систему и все необходимые для работы приложения на CD-ROM. Для записи временных файлов сгодится виртуальный диск - вполне удачное решение для игровой платформы. Теперь ни вирусы, ни обрушения операционной системы не страшны! Аналогичным путем можно модернизировать и офисные компьютеры. Обрабатываемые файлы в этом случае придется либо централизованно хранить на сервере (наиболее перспективный и экономичный путь), либо записывать на дискету, zip или CD-RW (чисто хакерский путь).

Ненормальная сетевая активность

Редкий троян может удержаться от соблазна передать награбленное добро по сети или установить систему удаленного администрирования. При этом на машине открываются новые порты или появляются соединения, которые ты не устанавливал.