2018-02-13
171
Следующие два случая были принесены мне Грегом Коттингемом, Старшим Инженером Подъема Поддержки в Microsoft. В сентябре 2010 команда Грега начала получать отчеты от нескольких компаний нового червя, которого в конечном счете вызвали Win32/Visal.b. Грег был присвоен один такой случай и начал свое исследование подозреваемой зараженной рабочей станции, нажимая Ctrl+Shift+Esc, чтобы запустить Диспетчер задач. На первый взгляд ни один из процессов, показанных в Диспетчере задач в рисунке 18-7, не мог бы казаться подозрительным нетренированному наблюдателю. Однако, когда Выставочные Процессы От Всех Пользователей не выбираются, должен быть только один Csrss.exe перечисленный, но Диспетчер задач показал два. (Выставочная опция Processes From All Users Диспетчера задач фактически определяет, обрабатывают ли шоу Диспетчера задач только от текущего терминального сеанса служб или от всех сеансов TS. См. Главу 2 для получения дополнительной информации о сеансах TS.)
Рис. 18-7. Диспетчер задач показывая два экземпляра Csrss.exe в одном терминальном сеансе.
|
|
|
Одно из ограничений Диспетчера задач - то, что он не показывает весь путь исполнимых изображений. Вредоносное программное обеспечение часто скрывает себя позади законных имен такой как Svchost.exe и Csrss.exe но устанавливается в других расположениях, таких как % %windir вместо %windir %\System32, где фактические файлы Windows. Procexp преодолевает это ограничение, показывая весь путь исполнимой программы в подсказке (показанный в рисунке 18-8) или в столбце.
Рис. 18-8. Procexp, устанавливающий путь к "дополнительному" Csrss.exe.
После установления, что "дополнительное" Csrss.exe было в %windir % и не передавало проверку подписи, Грег выполнял Строки на этом, чтобы понять то, что это составило. (См. рисунок 18-9.) Строки показанное доказательство нескольких поведений вредоносного программного обеспечения, включая текст для создания Autorun.inf, чтобы скопировать в съемный диск и обмануть пользователя в рабочее вредоносное программное обеспечение, когда диск был вставлен в другой компьютер, перечисление компьютеров и долей файла, и копирования вредоносного программного обеспечения, чтобы зарегистрировать доли с вводящими в заблуждение именами файла и расширениями.
Рис. 18-9. Строки разоблачающее вредоносное программное обеспечение в фальшивке Csrss.exe.
Грег также диагностировал файлы вредоносного программного обеспечения со Строками, обнаруживая текст, такими как "UPX0" (указание, что файл был упакован), или ссылки на "непрофессиональные" пути к файлам символа PDB, такие как "d:\hack.86" или "c:\mystuff".
Подтвердив, что этот поддельный компонент Windows был действительно злонамеренным, Грег и его команда, работавшая с Microsoft Malware Protection Center, чтобы задокументировать ее поведения и шаги восстановления и обеспечить решение антивредоносного программного обеспечения.
