Издательский дом ООО "Гейм Лэнд"СПЕЦВЫПУСК ЖУРНАЛА ХАКЕР #70, СЕНТЯБРЬ 2006 г.

Помоги себе сам

Крис Касперски ака мыщъх

Спецвыпуск: Хакер, номер #070, стр. 070-072-4


а) может управлять другими программами (и ведь действительно может);

б) окно не видимо (а вот ничего подобного — wmfhotfix.dll не имеет «своего» окна, но отображается на все GUI-приложения, так что окон у нее предостаточно);

в) нет описания программы, то есть не заполнен соответствующий раздел ресурсов, что совсем нехарактерно для коммерческих продуктов, но часто случается с вирусами и программами, написанными на скорую руку;

г) это не системный файл Windows;

д) отсутствует детальное описание (что еще за детальное описание?!).

В общем, как бы сказали в суде, мотивы неубедительны, и за отсутствуем явных доказательств подсудимый отправляется на свободу. Ну, или дело направляется на доследование...

В небольшом окне, расположенном в правом нижнем углу, Anti-Spy.Info показывает все текстовые строки (в формате ASCII), найденные в программе, среди которых присутствуют «Copyright 2006 by Ilfak Guilfanov, ighexblog.com» и «http//ww.hexblog.com». По ним нетрудно догадаться, что это заплатка от дыры в обработчике wmf-файлов, выпущенная легендарным создателем IDA Pro — Ильфаком Гильфановым. Те же, кому это имя ни о чем не говорит, могут воспользоваться следующей уникальной возможностью — поиском в базе описаний файлов. Просто щелкаем по строке «Google it» в контекстом меню — и программа перебрасывает нас на форум поддержки http://www.neuber.com/antispy/file, где пользователи могут оставлять свои комментарии относительно той или иной программы.

Комментарии встречаются самые разные: от технически обоснованных до откровенно пионерских. Тем не менее, некоторое представление о ситуации они все-таки дают, особенно если пользователи оставляют ссылки на авторитетные источники. В нашем случае данным файлом заинтересовались 193 пользователя, 4 из которых оценили его как безвредный, 2 — как неопасный и еще 2 предпочли сохранить нейтралитет. 7 оставленных комментариев в полной солидарности свидетельствуют, что никакой это не вирус, а независимая заплатка для Windows.

А теперь разберемся с динамической библиотекой SSSensor.dll, взявшейся непонятно откуда, не имеющей описания, записывающей клавиатурный ввод («function: record input» в окне «Properties», расположенным внизу посередине) и не включающей в себя никаких осмысленных текстовых строк, но зато импортирующей «интересную» API-функцию UnhookWindowsHookExgSetWindowsHookExA, позволяющую внедряться в чужие программы и следить за ними, в результате чего Anti-Spy.Info оценила рейтинг опасности в 82% (то есть потенциально опасная). Щелкаем по «Google it», идем на форум и видим, что 678 пользователей, обнаружившее у себя этот файл, придерживаются различных точек зрения на предмет его происхождения. Кто-то утверждает, что он входит в состав антивируса Panda, кто-то — в антивирус Bullguard, еще встречаются упоминания персональных брандмауэров VCOM и SyGate Personal Firewall. Зная, что у нас установлен последний, заглянули в его дистрибутив, увидели там SSSensor.dll и успокоились.

Назад на стр. 070-072-3  Содержание  Вперед на стр. 070-072-5