Найти и уничтожить!

Крис Касперски aka мыщъх

Спецвыпуск: Хакер, номер #048, стр. 048-084-6

Программу тяни с www.softsphere.com/cgi-bin/redirect.pl?Name=ACSHIELD, а русский хелп к ней - с www.softsphere.com/files/acshield.chm.

Мнение эксперта

Я очень люблю задавать вопрос: что обнаруживают антивирусные системы? Обычный и неверный ответ: вирусы или вредоносное программное обеспечение. На самом деле антивирусная система обнаруживает только тот код, который эксперты компании-производителя считают вредоносным. Нередки случаи, когда безобидная программа получает статус страшного вируса (www.security.nnov.ru/articles/antiantivirus2.asp) или, наоборот, троянские программы не обнаруживаются антивирусными системами. К последним относятся написанные под заказ или слабо распространенные троянские программы, а также rootkits.

Кроме того, антивирусные системы относятся к детективным средствам защиты. То есть они, в отличие от превентивных средств, предотвращающих проблему, позволяют ее обнаружить и по возможности скорректировать уже после того, как случилось страшное. Однако что делать, если страшное все же случилось, антивирус молчит, а к тебе в почту стучится «мегахакер», предлагая вернуть за несколько WMZ доступ к твоим файлам или почтовому ящику :). Ты запускаешь TCPView, но не видишь никаких подозрительных соединений, хотя с твоей системой творится что-то неладное. Скорее всего, к тебе на машину установили Rootkit.

Термин «rootkit» пришел из мира *nix, и изначально им обозначался набор инструментов, необходимый злоумышленнику после того, как он получил права суперпользователя (root) в атакуемой системе. Большинство современных rootkit'ов могут прятать от пользователя файлы, папки и ключи реестра, скрывать запущенные программы, системные службы, драйвера и сетевые соединения. Злоумышленник имеет возможность создавать файлы и ключи реестра, запускать программы, работать с сетью, и эта активность не будет обнаружена тобой и антивирусами. Основной ресурс, посвященный rootkist, - www.rootkit.com. Есть ряд утилит, позволяющих находить rootkits в системе. Например, утилита RKDetect (www.seclists.org/lists/fulldisclosure/2004/Sep/0246.html), работающая по сети, или программа RKDetector (www.3wdesign.es/security), сканирующая систему локально.

Но, в любом случае, лучший способ обнаружения троянов – не заносить их в систему!

Большинство вирусов и троянов можно обнаружить и нейтрализовать собственными силами. Достаточно знать их симптомы.

Если троян/вирус не умеет скрывать свой процесс, то он виден через стандартный Диспетчер Задач.

Чаще всего цель трояна/вируса - через сеть переслать какую-либо ценную информацию. Отслеживай подозрительные сетевые соединения.

Идеализированный вариант - грузить систему с CD. Тогда системные файлы не будут доступны для изменения или перезаписи.