Помоги себе сам

Крис Касперски ака мыщъх

Спецвыпуск: Хакер, номер #070, стр. 070-072-3

В далеком прошлом автор написал несложную утилиту, трассирующую вектора прерываний и показывающую всех, кто на них сидит, с указанием способов внедрения (честный резидент или нет). Большой распространенности (по причинам неумелого маркетинга) она так и не получила, а с наступлением эры Windows оказалась и вовсе ненужной, поскольку работала в реальном режиме MS-DOS. Но сама идея не умерла и нашла себе применение в новых, современных утилитах, например, в той же Anti-Spy.Info.

[«амбула»]

Программу Anti-Spy.Info можно бесплатно скачать с сайта www.Anti-Spy.Info, однако без регистрации (стоимость которой равняется $29) проработает всего лишь 30 дней, при этом часть возможностей будет заблокирована. Лекарство можно найти в сети.

Текущая версия имеет номер 1.6.5, но не рекомендуем ей пользоваться, поскольку она упакована ASProtect'ом и при активном soft-ice просто не запустится! Кстати говоря, точно так же ведут себя вирусы/черви/шпионы, обработанные ASProtect'ом, так что soft-ice служит своеобразным средством защиты.

В итоге мы использовали версию 1.1, которая практически ничем не уступает в плане функциональности и нормально уживается вместе с soft-ice. Для получения наиболее полной информации о состоянии системы Anti-Spy.Info рекомендуется запускать с правами администратора, хотя большинство вирусов ловятся и без них.

После запуска видим развернутый на весь рабочий стол экран с именами процессов, служб, драйверов и компонентов IE, отсортированный по степени их опасности, вычисленной на основе некоторых не до конца понятных критериев, в результате чего безобидным программам сплошь и рядом присваивается рейтинг potentially dangerous (потенциально опасная), в то время как далеко не каждому вирусу «удается» преодолеть барьер harmless (безвредный). Но не в рейтингах дело! Главное, что Anti Spy.Info отображает все процессы/библиотеки/компоненты вместе с информацией, которую ей удалось добыть. Наша задача — ее проанализировать.

[работа с Anti-Spy.Info]

В первую очередь следует обращать внимание на появление новых процессов, стартующих вместе с системой (Anti-Spy.Info в большинстве случаев корректно определяет тип запуска), которых не было ранее. И это — самый эффективный способ выявления заразы. Anti-Spy.Info умеет сохранять отчет в html- и txt-форматах, но, к сожалению, не умеет сравнивать их, что является большим минусом. Приходится сравнивать отчеты вручную или писать свою собственную утилиту. На практике же большинство пользователей начинают рвать волосы, только когда работа системы становится тормозной или нестабильной, что в корне не верно. Но как отличить заразу от жизненно-важных системных файлов, после удаления которых некоторые приложения (а то и всю Windows целиком) придется переустанавливать заново? Сейчас проведем короткий тренинг, как это делается.

[проверка на вшивость]

Самой опасной программой, по мнению Anti-Spy.Info, на испытуемом компьютере оказалась динамическая библиотека wmfhotfix.dll, которой был присвоен рекордно высокий рейтинг опасности (целых 82%) на основании следующих критериев: