Компьютерный СМЕРШ

Зайцев Олег (z-oleg.com/secur)

Спецвыпуск: Хакер, номер #060, стр. 060-070-4

Мониторы провайдеры системы печати

Регистрация монитора системы печати является новым словом для разработчиков SpyWare и троянов, так как стандартные утилиты анализа автозапуска не рассматривают монитор печати как элемент автозапуска. Не рассматривают очень зря, поскольку известен ряд шпионов, прописывающих себя монитором печати в ключ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print (далее ключи \Monitors и \Providers). Ничего сложного в создании такого gt; или gt; печати нет - они являются DLL, структура которой описана в MSDN.

BHO и Downloaded Program Files

Многие из известных SpyWare и AdWare прописываются как BHO для Internet Explorer. Это удобно, поскольку автоматически предоставляет контроль над браузером, обмен с Сетью идет из контекста IE и нет процесса, который бы мозолил глаза пользователю. Найти BHO достаточно просто: они прописываются в реестре, необходимо лишь проконтролировать ключи реестра Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects, SOFTWARE\Microsoft\Internet Explorer\Toolbar и Software\Microsoft\Internet Explorer\Extensions.

Кроме анализа, на эти ключи очень полезно установить права доступа, запретив их модификацию абсолютно всем, потому что установка BHO проводится не каждый день, а как мера защиты это не повредит.

В ходе охоты на BHO нужно учитывать два момента:

1. Разработчики SpyWare научились делать "BHO-невидимки", идея которых такова: стандартный BHO очень заметен, и для его обнаружения достаточно проверить перечисленные выше ключи реестра, а для этой нехитрой операции существуют сотни утилит. Но данные ключи проверяются IE только в момент его запуска, следовательно, SpyWare может создавать ключ реестра в момент запуска IE и уничтожать их сразу после загрузки BHO. Известно уже несколько SpyWare, применяющих похожую методику. Они динамически создают ключ, а некоторые внедряют для этих целей в IE свою DLL с перехватчиками. Чтобы не быть голословным, приведу классический пример - Trojan.Win32.Agent.fc. Он содержит библиотеку с именем jaaste.dll (размером 3 Кб), которая экспортирует две функции - Hook и UnHook. Данная DLL устанавливает Hook типа 5 (WH_CBT) и следит с его помощью за событиями создания/разрушения окон. При обнаружении события создания он регистрирует окна с классом "ieframe" в динамике BHO c CLSID {FB153DCE-822E-47ec-8D00-2706E7864B37}, а после инициализации IE - удаляет. Такие SpyWare ликвидируются отловом модификации указанных ключей реестра при помощи RegMon, при этом нужно не забыть "подразнить" перехватчик, несколько раз запустив и закрыв IE.

2. Многие SpyWare проверяют наличие своих ключей (CLSID, регистрация BHO) по таймеру, следовательно, удаление ключей, соответствующих шпионскому BHO, помогает, но на пару секунд. Такой SpyWare ловится аналогично - при помощи RegMon и установки прав доступа к ключам реестра.