Издательский дом ООО "Гейм Лэнд"СПЕЦВЫПУСК ЖУРНАЛА ХАКЕР #48, НОЯБРЬ 2004 г.

Найди врага в своем доме!

Deeoni$

Спецвыпуск: Хакер, номер #048, стр. 048-074-1


(arustamovv2000@mail.ru), ICQ 982622

Обнаружение злого софта без использования антивируса

Полифаги в состоянии определить вирус, известный их владельцу. Однако слегка видоизмененный и перекомпилированный вирус (или троян) намертво перестает выявляться и лечиться. Написать такой троян, который не будет определять антивирус, под силу даже школьнику.

Простые пользователи боятся вирусов как огня. Обвешав себя антивирусными программами, они надеются, что беда обойдет их стороной. Но зачастую больше помогают мозги, чем специализированное ПО (никогда жизни не пользовался антивирусами, кроме веб-сервисов проверки отдельных файлов: грамотно настроенный фаервол и прямые руки стоят больше, чем пожизненный ключ от AVP ;) - прим. AvaLANche'а). В этой статье мы расскажем о том, как самостоятельно обнаружить факт инфицирования машины и постараться уничтожить опасность.

Конь в пальто

По принципу действия трояны разделяют на две основные группы: онлайн и оффлайн. Способы появления и закрепления их в системе схожи, разница только в функциях (однако в любом случае коник должен иметь доступ к сети – для живущих в чуме с чукчами эта опасность не страшна).

Симптомы того, что ты стал коневодом, просты и предсказуемы. Прежде всего, это угон мыла, аськи или пароля на FTP. Если автор трояна – приколист, то компьютер может себя странно вести: мышка бегает по рабочему столу как сумасшедшая, самопроизвольно открывается/закрывается CD-ROM, появляются левые окошки и много чего еще. Троян всегда открывает порты для связи с боссом, следовательно, появляется левый трафик. Если лампочки мигают, трафик на счетчиках растет, а ни одна программа для работы в инете не запущена, есть повод всерьез призадуматься. Конечно, это дело может быть просто в какой-нибудь службе, но лишний раз проверить не повредит, особенно если размеры отправленных данных не поддаются критике.

Лошадь на твоем компьютере можно попробовать обнаружить на двух стадиях: когда программа еще под подозрением и во время работы. В первом случае надо просмотреть попавший к нам в руки файл в HEX-редакторе (после декомпрессии файла, т.к. обычно .exe'шники сжимают - прим. ред.) и проверить его на предмет наличия e-mail-адресов, доменных имен, настораживающих имен и расширений файлов типа .pwl. Также можно взглянуть на директорию импорта (структуру, которая содержит необходимую для работы программы информацию о системных функциях Windows). Если пришедший к тебе в письме .ехе’шник не предназначен для работы с сетью (например, сказано, что это навороченная демка), но почему-то активно использует сетевые API, то это, скорее всего, и есть наш клиент. Здесь прекрасно подойдет W32Dasm (www.expage.com/page/w32dasm). Он показывает все функции, которые использует прога. В крайнем случае, можно воспользоваться любым текстовым редактором и просмотреть подозреваемого на наличие подозрительных имен API. Это не дает 100%-ной гарантии, но в какой-то степени повышает надежность анализа. Подозрительные на этот счет функции можно видеть на врезке.

При уже активном троянчике способы детектирования достаточно банальны. Первое, что делает любой пользователь, это смотрит ключи реестра, отвечающие за автозапуск, и список процессов на предмет инородных тел. В большинстве случаев это дает положительный результат. Желательно также просканировать порты и послушать активные соединения. Для дифференцировки злой проги и стандартных видовых файлов поможет дата создания. Коник будет отличаться по данному критерию от системного файла (хотя не факт). Из дополнительного софта могу посоветовать Trojan Remover (www.simplysup.com), он специализируется на отлове подобных тварей. Для реестра имеется NBG Clean Registry (dialupprof.newmail.ru/nbgcleanr.htm) - в него встроен монитор обращений к объекту его работы. Для проверки портов можно юзать Languard, Advanced Administrative Tools, SuperScan и XSpider. Они проверят порты, обычно занимаемые троянами, и сообщают о наличии левой активности. В частности, тулза с ламерской приставкой «супер», как ни странно, очень хороша, поскольку имеет краткое описание многих портов, и ты, даже при большом желании, не перепутаешь какой-нибудь сервис с троянцем.

Содержание  Вперед на стр. 048-074-2