Найдем и обезвредим!

Докучаев Дмитрий aka Forb

Спецвыпуск Xakep, номер #035, стр. 035-094-5

А теперь заострим внимание на том, что зараза может называться служебным именем и даже может быть видна в таблице процессов. При этом пользователь даже не догадается, что этот процесс является трояном. Чтобы определить, какие в данный момент библиотеки юзает приложение, существует приложение lsof (ftp://lsof.itap.purdue.edu/pub/tools/unix/lsof). Без параметров оно покажет тебе всю активность приложений. Если отфильтровать его ответ по отдельной задаче, получаем список библиотек, используемых определенным процессом. Например:

[root@forbik root]# lsof | grep httpd

httpd 441 root cwd DIR 3,6 440 2 /

httpd 441 root rtd DIR 3,6 440 2 /

httpd 441 root txt REG 3,6 607140 128187 /usr/www/bin/httpd

httpd 441 root mem REG 3,6 68088 179 /lib/ld-2.2.6.so

httpd 441 root mem REG 3,6 36404 197 /lib/libnss_files-2.2.6.so

httpd 441 root mem REG 3,6 12744 25425 /lib/libnss_dns-2.2.6.so

httpd 441 root mem REG 3,6 1147144 187 /lib/listen31337.so

Из таблицы видно, что бинарник httpd заражен и использует в своей работе библиотеку listen31337.so. Ее название весьма условно, но отражает ситуацию в полном объеме.

На каждое действие есть противодействие!

Под Linux также существуют свои антивирусы. Среди них опять же самые популярные - DrWeb и AVP. Они умеют не только проверять системные файлы и перехватывать заразу "на лету", но и работать совместно с почтовыми серверами, оберегая юзеров от лишних проблем =).

Рассмотрим простейший DrWeb (ftp://ftp.drweb.ru/pub/unix/4.29.5/drweb-4.29.5-glibc.2.2.tar.gz). После его установки необходимо зарегистрировать копию. Ключи будут находиться в специальном файле drweb.ini. Найти его можно на кряк-поисковике, например на http://astalavista.box.sk/. Затем набери команду man drweb и узнаешь полную информацию о параметрах запуска антивируса.

Помни, что вирусы могут находиться в оперативной памяти и заразить сам DrWeb. Поэтому в нем встроена защита - программа автоматически выгружается при попытке заражения. Иногда приходится запускать антивирь из нестандартных каталогов, которые вири просто не обрабатывают (я сам восстанавливал систему из каталога /dev после атаки вируса). Вообще, для полного представления о вире, с которым имеешь дело, полезно заглянуть на сайты по вирусологии.

Помимо антивирусов существует множество программ, нацеленных на обнаружение всяческих изменений в системе, в том числе md5-суммы файлов. Именно с помощью такого софта пользователь может определить замену бинарного файла или задетектить наличие виря в системе. Наиболее распространенной софтиной подобного рода является tripwire (http://download.sourceforge.net/tripwire/tripwire-2.3.1-2.tar.gz). При установке надо запустить скрипт, который создаст первичную файловую базу. Именно с ней ежедневно будут сравниваться все изменения, а рут будет получать несколько килобайт спама на эту тему ;).