2014-02-12
531
В этой части нам нужно распознать программу, которая, попав на компьютер, считывает нужные ей данные (например, ваши пароли) и отсылает их куда-то в Интернет. Поскольку ваши важные данные достаточно небольшого объема: учетные записи, пароли, адреса почтовых ящиков, телефоны dial-up, то передать все это можно очень быстро, особенно если упаковать. Естественно, что все это хранится на диске и все это можно прочитать и посмотреть. Посмотрите хотя бы утилиты MessenPass (https://www.nirsoft.net/utils/mspass.html) или Protected Storage PassView (https://www.nirsoft.net/utils/pspv.html). Первая утилита покажет пароли из любого мессенджера (ICQ, MSN, Trillian и т. д), вторая – из Explorer и Outlook.
Очевидно, что некоторые процессы соединяются с Интернетом на короткое время и нам очень сложно сидеть весь день за программой CurrPorts и следить, кто именно соединяется с Интернетом. Вдобавок, это может быть бесполезным, поскольку некоторые троянские программы соединяются с Интернетом не сами, а «просят» это сделать другую легальную программу, например, Explorer. Это позволяет им скрыться от слежения и вдобавок обмануть ваш персональный firewall. Например, я уверен, что у вас он пропускает все исходящие соединения Explorer.exe на любой адрес по 80 порту. (Если firewall вообще у вас стоит.) Поскольку Internet Explorer экспортирует функции, которыми может пользоваться любое стороннее приложение, то троян может от имени Internet Explorer зайти на сайт, созданный специально для него (например, недавно ставший известным maybeyes.biz), и как параметры строки передаст ваши логины и пароли или скачает свои дополнительные модули. Если хорошо поискать, то можно даже найти исходный текст подобной программы: tooleaky.zensoft.com/tooleaky.zip. Эта программа использует WinExec() для запуска Explorer.
|
|
|
Замечание: сайт maybeyes.biz создан специально для того, чтобы троян Ducky загрузил с этого сайта свою основную часть. Этот троян использует последнюю уязвимость в Windows XP SP1 и Windows 2003, которая позволяет ему загрузиться на ваш компьютер, пока вы просматриваете JPEG(JPG)-картинку. Подробное описание этой уязвимости на сайте Microsoft: MS04-028 (https://www.microsoft.com/technet/security/bulletin/MS04-028.mspx). Обновление, исправляющее эту уязвимость, доступно на сайте Microsoft.
Бороться с таким видом троянов трудно. Персональные firewall не всегда помогают. А точнее, вообще не помогают. В этом можно убедиться, посмотрев список персональных firewall, прошедших leaktests (https://www.firewallleaktester.com/tests.htm). Leaktest – класс программ, реализующий один из видов утечки информации в обход персонального firewall. Как видно, пока нет идеального firewall, блокирующего все leaktests. Пока в лидерах Look’n’stop, но он тоже ловит не все. К сожалению, чтобы грамотно настроить персональный firewall, нужно обладать как минимум знаниями стека протоколов TCP/IP, представлять, как работает операционная система Windows, и быть знакомым с функциональными возможностями конкретного firewall. Но это тоже не всегда помогает, потому как злоумышленники постоянно ищут (и находят) новые методы обхода firewall. Профессионалы на основе накопленного опыта могут закрыть лазейки в операционной системе, которые уже известны. Но что хакеры придумают завтра – никому неизвестно. Поэтому выбора нет и придется повышать свою грамотность в отношении безопасности. Конечно, с ходу профессионалом в этой области стать сложно, но существенно затруднить нехорошим людям выполнение их замыслов вполне возможно.
|
|
|
Существует бесчисленное количество способов попадания трояна на ваш компьютер. Вы можете сами скачать его из Интернета, как «очень интересную программу, которую вы обязательно должны посмотреть», эта программа может прийти вам по электронной почте как «обновление безопасности от Microsoft». Кроме того, вам может послать специально или не специально зараженную программу ваш знакомый по ICQ или MSN, вы можете принести троян или вирус на дискете или компакт-диске. Не стоит думать, что на компакт-дисках не бывает вирусов и троянов. Я видел, как люди параноидально проверяют чистые дискеты из коробки на вирусы, но очень редко встречался с тем, что люди проверяют антивирусом свежекупленные компакт-диски с программным обеспечением или играми. Я видел однажды подобный компакт-диск. На нем была записана компьютерная игра и в довесок вирус.
Кроме того, существовало и существует огромное количество дырок в Windows и приложениях под Windows, которые распространяются без участия пользователя. Как правило, они пользуются отсутствием в исполняемом коде различных компонентов Windows проверок на длину входящих данных или параметров или, короче говоря, переполнением буфера. Например, известный компьютерный червь Blaster (https://support.microsoft.com/kb/826955/RU/) использует переполнение буфера в сервисе RPC. А вот троян Ducky уже использует ошибку в обработке JPEG-картинок (переполнение буфера) для своего запуска на вашем компьютере. Как это ни ужасно, но, просто просмотрев картинку с удаленного сайта через Explorer, вы рискуете заразиться новым трояном. И неизвестно, что нас ждет завтра.
Понятно, что очень сложно предусмотреть все варианты заражения компьютера, и, более того, неизвестно, какие уязвимости Windows вирусы и трояны будут использовать в будущем, поэтому надо выполнять хотя бы два простых правила:
ü не скачивать и не запускать неизвестные программы из Интернета;
ü включить «автоматическое обновление Windows», чтобы вовремя устранять уязвимости.
Но если троян (или вирус) попал на ваш компьютер, то его задача: закрепиться и остаться на компьютере как можно дольше, а при возможности распространиться дальше. Тут и проявляется ахиллесова пята этих троянов (впрочем, как и любого другого вируса) – им нужно, чтобы их кто-то запускал при следущей загрузке Windows. Если они не могут запуститься, то не могут ничего сделать. Для своего последующего запуска они используют стандартные механизмы Windows: запись в папку автозагрузки и в список программ для автозапуска в реестре, запуск по расписанию, установка как сервис, запись в system.ini и win.ini. Как правило, такие трояны не используют вирусную технологию внедрения непосредственно в сам исполняемый файл, а идут отдельным модулем в виде exe- или dll-файла.
Наша задача свелась к тому, чтобы «поскрести по сусекам» и выявить все процессы, что у нас есть в автозапуске, и опять посмотреть, нужны ли они нам там. Программы, которые помогают это делать, уже написаны. Windows нам предлагает утилиту msconfig.exe, с помощью которой можно посмотреть INI-файлы, сервисы и автозагрузку (рис. 5).
|
|
|
 |
Однако лучшим стандартным средством Windows для просмотра автоматически загружаемых программ является msinfo32.exe (можно запустить через меню Пуск → Программы → Служебные → Сведения о системе) (рис. 6).
Здесь вы увидите более полный список, поскольку получен он из гораздо большего количества укромных мест Windows. Но, к сожалению, отредактировать его эта программа не позволяет.
Ну и последний вариант – это просмотреть реестр Windows, используя утилиту regedit.exe. Например, в HKLM\Software\Microsoft\Windows\CurrentVersion\Run очень много интересного.
Посмотрим, какие варианты есть у сторонних разработчиков. Начну с программы Starter (https://codestuff.tripod.com/features.shtml), которая сама читает данные из реестра и INI-файлов и затем показывает содержимое в удобном виде (рис. 8).
 |
Она просматривает и показывает имена программ, которые будут автоматически выполнены. Чтобы увидеть полную картину, нужно в «Настройках» во вкладке «Разное» поставить галочку на параметре «Элементы» только для экспертов, и тогда имена программ она будет брать из следующих ключей реестра, папок автозагрузки и INI-файлов:
ü HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run;
ü HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce;
ü HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\Scripts;
ü HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run;
ü HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run;
ü HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce;
ü HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx;
ü HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon;
ü HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion \ShellServiceObjectDelayLoad;
ü HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System\Scripts;HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run;
ü HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon;
ü HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run;
ü HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce;
ü папка Current User\Главное меню\Программы\Автозагрузка;
ü папка All Users\Главное меню\Программы\Автозагрузка;
ü папка Default User\Главное меню\Программы\Автозагрузка;
ü файл Win.ini: разделы [Windows].Run, [Windows].Load.
Еще одной ценной особенностью этой программы является то, что она показывает список процессов и подгруженные этими процессами DLL, что позволяет бороться с атаками DLL Injection. Я не буду заставлять вас разбираться еще и в этом. Оставьте работу специалистам по безопасности.
|
|
|
Но эта программа показывает не все места, где может прятаться троян. Еще нужно смотреть на встраиваемые модули (plugins) Explorer, WinAmp, Photoshop, смотреть, какие зарегистрированы ShellExtension (то, что запускается при нажатии правой кнопки на объекте), «Назначенные задания» и наконец сервисы. Давайте попробуем другую программу WinPatrol PLUS (https://www.winpatrol.com).
 |
Программа платная, но даже в незарегистрированном варианте она позволяет узнать много про ваш Windows. Думаю, что самое полезное окошко в программе – это IE Helpers, где показаны дополнительные модули, которые подгружаются при запуске Explorer.
Чаще всего я использую программу Sysinternals Autoruns (https://www.sysinternals.com/ntw2k/freeware/autoruns.shtml) – только она показывает ShellExtensions и другие хитрые компоненты Windows (рис. 10).
Итак, мы посмотрели, что находится в автозапуске, удалили ненужные программы и заодно удалили трояны, которые периодически запускаются для выполнения «нехороших» задач. Самое главное, что одновременно мы навели порядок в Windows.
И напоследок скажу, что если троянская программа при своем запуске удаляет себя из реестра и при завершении Windows добавляет себя снова в реестр, то в этом случае то, что вы читали выше, не работает. Но зато помогает кнопка Reset.
