Случай Вредоносного программного обеспечения Sysinternals-блокирования

Друг, которого спрашивают пользователя Sysinternals, чтобы смотреть на систему, что друг, которому верят, был заражен вредоносным программным обеспечением. Запуск и вход в систему заняли много времени, и сканирования вредоносного программного обеспечения с Microsoft Security Essentials никогда не будут завершаться. Пользователь, разыскиваемый необычные процессы в Диспетчере задач, но ничто не выскочило в нем.

Он тогда поворачивался к Sysinternals, пробуя AutoRuns, Procmon, Procexp, и RootkitRevealer1, но каждый сразу вышел после запуска. Как эксперимент, он попытался открыть текстовый файл, названный "Проводник Процесса" с Блокнотом, и это также завершалось сразу же. В этой точке у него было много причины полагать, что система была заражена, но он не знал, как идентифицировать причину, уже не говоря об удаляют это. ¹ RootkitRevealer - rootkit утилита обнаружения, которую я создал несколько лет назад, когда rootkits были все еще относительно неизвестны, и главные поставщики антивредоносного программного обеспечения еще не взяли проблему обнаружения или удаления их. RootkitRevealer был с тех пор удален.

Просматривая остальную часть Комплекта Sysinternals, он заметил утилиту Desktops. Его эксперимент с Блокнотом, предложенным ему, что вредоносное программное обеспечение контролировало заголовки окон программ, которые это не любило. Поскольку перечисление окна возвращает только окна на том же самом рабочем столе как вызывающая сторона, он предполагал, что автор вредоносного программного обеспечения, вероятно, не рассмотрел возможности программ, работающих на рабочих столах не по умолчанию. Конечно же, после рабочих Рабочих столов и переключающийся на второй рабочий стол, он смог запустить Procmon и другие утилиты. (См. рисунок 18-1.) (Для получения дополнительной информации об этих понятиях, см. "Сеансы, Станции Окна, Рабочие столы, и сообщения Окна" в Главе 2, "Windows Core Concepts.")

Рис. 18-1. Выполнение утилит Sysinternals на различном рабочем столе.

Сначала он смотрел на Procexp. Все имена процесса выглядели законными, таким образом, он включал опции Verify Signers и столбцу Verified Signer. Он смог установить, что все основные исполнимые файлы изображений процесса казались допустимыми.

Затем он выполнял Procmon. Он заметил большое действие в процессе Winlogon. Он устанавливал фильтр, чтобы показать только Winlogon.exe действие (показанный в рисунке 18-2) и видел, что это проверяло странный регистрационный ключ однажды каждую секунду.

Рис. 18-2. Procmon, выводящий на экран необычное действие реестра от Winlogon.exe.

Теперь он выполнял Автовыполнения, решив проверить подписи изображения и скрыть записи Windows и Microsoft. С только сторонними и выведенными на экран записями без знака он быстро нашел преступника: DLL без знака со случайно выглядящим именем, зарегистрированным как пакет уведомления Winlogon

Вредоносное программное обеспечение главы 18 429

это загружает DLL в процесс Winlogon. (См. рисунок 18-3.) Он удалил запись в Автовыполнениях, но нашел, что она вернулась, когда он повторно отсканировал.

Рис. 18-3. Автовыполнения, идентифицирующие вредоносное программное обеспечение, зарегистрированное как пакет уведомления Winlogon.

В этой точке он вернулся в Microsoft Security Essentials и направил это, чтобы отсканировать только случайно названный DLL. (См. рисунок 18-4.) После очистки он смог удалить запись. Система, возвращенная к нормальному.

Обнаруженные potenbal угрозы Основ Безопасности Microsoft, которые могли бы поставить под угрозу Вашу конфиденциальность или повредить Ваш компьютер. Доступ Vw к этим элементам может быть приостановлен, пока Вы не предпринимаете меры - CSck 'Выставочные детали', чтобы изучить пятнышко. Точка <франк аккуратный jfot Igvgl; rnggn?