Компьютерный СМЕРШ

Зайцев Олег (z-oleg.com/secur)

Спецвыпуск: Хакер, номер #060, стр. 060-070-3

Другой метод самовосстановления немного сложнее и применяется, в частности, для защиты компоненты SpyWare.BetterInternet с именем nail.exe. Этот самый nail (кстати, nail в переводе – "гвоздь", "пригвоздить") создает в explorer.exe пару своих потоков. У потоков имеется буфер, хранящий в себе nail.exe (он небольшой по размеру). Потоки с некоторой периодичностью проверяют, есть ли этот файл на диске, и если нет, то создают его. Как говорится, просто и эффективно. Убийство этого файла осуществляется всего-то после загрузки с системного диска или остановки/удаления потоков, отвечающих за восстановление файла (причем проще прибить процесс explorer.exe, а не искать в нем левые потоки).

3. RootKit-принцип - перехват нескольких функций для маскировки файла или блокирования операций с ним.

Автозапуск

После разбора процессов следующий шаг - это анализ автозапуска. Про стандартные виды автозапуска до меня говорили и писали сотни раз, так что стоит вспомнить лишь несколько нестандартных методов.

Расширения Winlogon (Winlogon Notify)

Этот метод очень популярен среди современных троянских программ и некоторых SpyWare (из применяющих такую технологию SpyWare наиболее мерзопакостным является Look2me, который, кроме того, известен множеством модификаций). Их регистрация производится в ключе Software\Microsoft\Windows NT\CurrentVersion\Winlogon.

Расширения проводника

Расширения проводника загружаются процессом explorer.exe и применяются как plugin для увеличения количества его функций. Естественно, такой метод может применяться для запуска вредоносной DLL. Так как модулей расширения множество (у меня на XP их обнаружилось 186 штук), среди них непросто обнаружить один-два троянских. В данной ситуации могут помочь утилиты, которые отсеивают безопасные файлы на основании цифровой подписи MS или собственной базы безопасных файлов. В случае анализа вручную нужно изучить ключ реестра SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved, для каждого модуля расширения там указан CLSID и смысловое имя модуля.

Скрипты в элементах рабочего стола и файлах, управляющих внешним видом папки

Этот метод применяют SpyWare, трояны и вирусы. Идея метода проста: рабочий стол может содержать web-элементы, являющиеся полноценными html-страницами (со скриптами и прочими элементами расширения), так что этим можно активно пользоваться. Простейший пример - встраивание в рабочий стол невидимой web-страницы, которая при помощи скрипта периодически выводит рекламу. Идея оригинальна тем, при использовании этого метода в памяти отсутствуют посторонние процессы и DLL и в автозапуске отсутствует что-либо подозрительное. Аналогичный метод основан на модификации файлов, хранящих настройки вида папки, - проводник считывает эти настройки из файла desktop.ini, а из него, как правило, делается ссылка на HTA-скрипт, который в свою очередь выполняет некие вредоносные действия, например запускает некоторые программы. Один из примеров реализации этого метода есть в Email-Worm.Win32.Rays.