Случай Уничтожающего процесс Вредоносного программного обеспечения

Друг Аарона Пол вызывал и говорил, что ноутбук его сына недавно начал выводить на экран сообщение, что компьютер был заражен и требовательный платеж по кредитной карте, чтобы убрать его. Аарон предположил, что это могло бы только быть вводящее в заблуждение раскрывающееся из нечестного объявления Веб-страницы и что выход из системы мог заставить это уйти. "Нет, Уже попробовал это." "О. Можно принести это?" "Быть тут же."

Когда Пол, запущенный, ноутбук и вводил пароль его сына, полноэкранное, поверх остальных окон окно приняло экран. Это утверждало, что было программой антивредоносного программного обеспечения и перечисляло то, что это сказало, были многочисленные типы вредоносного программного обеспечения, заражающего компьютер. Это тогда потребовало допустимую информацию о кредитной карте прежде, чем это могло удалить "вредоносное программное обеспечение", которое это нашло. Однако, эта программа не была уважаемым брендом антивредоносного программного обеспечения, который Пол купил и установил (все же позволил этой определенной части вредоносного программного обеспечения работать).

Аарон появлялся в CD, содержащем утилиты Sysinternals, и пытался выполнить Procexp, Автовыполнения, и других. Ни один не запустился бы. Думая о "Случае Вредоносного программного обеспечения Sysinternals-блокирования" (ранее в этой главе), он попытался выполнить Рабочие столы, но это было не в состоянии запуститься также. Вредоносное программное обеспечение, позволенное никакой новый процесс, чтобы работать, включая Командную строку, Windows PowerShell, или Диспетчер задач. Самое большее фрейм окна начал бы появляться, и затем сразу исчезать.

Аарон, перезапущенный компьютер в Безопасном Режиме с Командной строкой, которая загружает минимальный набор драйверов и выполнений Cmd.exe вместо Windows Explorer. Это также обрабатывает очень немного ASEPs (описанный в Главе 5, "Автовыполнениях"). Вредоносное программное обеспечение не запускалось в этой точке, указывая, что это зависело от одного из тех ASEPs. Аарон выполнял Автовыполнения, решив проверить подписи и скрыть записи Windows и Microsoft. Он нашел много подозрительных элементов, включая несколько программ обмена файлами, панелей инструментов Internet Explorer, и объектов помощника браузера, каждый из которых он отключил, а не удалил (показанный в рисунке 18-5), в случае, если он передумал позже. Даты на расположениях папки, где эти элементы были установлены обозначенные, что они были там в течение долгого времени и были поэтому не вероятной причиной существующей проблемы.

Рис. 18-5. Автовыполнения в Безопасном Режиме, отключая подозрительные записи.

Преступника было легко идентифицировать: у этого не было никакого описания или издателя, имел неописательное имя "eMpId08200", запущенный от ключа HKCU RunOnce, был установлен под папкой C:\ProgramData, и в довершение ко всему от этого имел тот же самый значок что поддельное выведенное на экран антивредоносное программное обеспечение. Аарон, удаленный ASEP в Автовыполнениях и удаленный его файлы в Cmd.exe. (См. рисунок 18-6.) Для хорошей меры он оставил ненужные программы обмена файлами и расширения Internet Explorer отключенными. Он перезапускал компьютер, который работал без проблемы.

Интересно отметить, что вредоносное программное обеспечение в этом случае никогда, кажется, не использовало административные права. Это устанавливало себя к перезаписываемой пользователем папке и гарантировало, что будет работать снова, сцепляя один из ASEPs пользователя вместо глобального ASEP. Фактически, то же самое вредоносное программное обеспечение компьютер Windows XP тещи зараженного Аарона несколько недель спустя. Поскольку Аарон удостоверился, что она всегда входила в систему со стандартной учетной записью пользователя, Аарон смог убрать инфекцию легко, входя в систему к административной учетной записи, которую вредоносное программное обеспечение не было в состоянии заразить. Оттуда, он выполнил Автовыполнения, выбрал зараженную учетную запись от меню User, и удалил оскорбление запись ASEP. (К сожалению, он был не в состоянии получить любые снимки экрана.) Эти два урока здесь - то, что вредоносное программное обеспечение все более и более в состоянии нанести ущерб, не требуя административных прав, и что такое вредоносное программное обеспечение намного легче убрать чем вредоносное программное обеспечение, которое в состоянии ниспровергать целостность операционной системы.