Дело о нерабочей системе

Эта статья продолжает тему борьбы с вредоносным программным обеспечением, которая затронула несколько моих последних публикаций и приурочена к выходу моего романа Zero Day (который состоится сегодня!).

Эта история началась с того, что моя подруга из Microsoft рассказала мне, что у ее соседки был ноутбук, который из-за вредоносных программ стал непригоден для работы, и она попросила меня посмотреть его. Ее подруга была в отчаянии, поскольку там у нее хранились важные файлы, включая документы и фотографии, и у нее не было резервных копий.

В отличие от большинства людей из компьютерной индустрии, которые рассматривают просьбы друзей и родных решить проблему с компьютером как бремя, я принимаю их как вызов. Решение системной проблемы или проблемы, связанной с приложением - это противостояние меня и компьютера, и победа в этом противостоянии всегда приносит удовлетворение и учит чему-то новому. Однако эта победа также в чем-то дело принципа. Борьба с вредоносным ПО является для меня личным делом, когда я выступаю против хакеров, совершающих преступления. Победа над вредоносным ПО является победой добра над злом. Мне нужно сделать футболку с надписью "Yes, I will fix your computer!" ("Да, я исправлю ваш компьютер!"). Я немедленно согласился и мы сделали так, чтобы этот ноутбук оказался в моем офисе.

На следующий день, когда у меня выдалась пара свободных минут, я загрузил ноутбук, вошел в систему и в течении нескольких секунд смотрел на поток сообщений, предупреждающих о том, что компьютер инфицирован вредоносным ПО и он атакован из Интернета:

Я также увидел много предупреждений о том, что различные приложения не были запущены из-за того, что они заражены:

Я не видел столь агрессивных scareware-программ. Спустя минуту появление предупреждений прекратилось и я начал свое расследование. Начав с подключения USB-накопителя с утилитами Sysinternals, я попытался запустить Process Explorer. Однако я обнаружил, что попытка запуска чего-либо, будь это часть Windows или стороннее приложение, заканчивалась появлением того самого диалогового окна "Security Warning", сообщающего о том, что приложение было заражено. Эта система действительно была непригодна для работы.

Зараженная учетная запись была единственной в системе, так что я отказался от попытки произвести очистку из другой учетной записи в надежде, что он мог быть не заражен. Я боялся, что для очистки системы от вредоносного ПО может потребовать обращение к выключенной системе через загрузочный CD с установленным набором программ Microsoft Diagnostic and Repair Toolset (это продукт Microsoft, который является потомком ERD Commander, созданного мной для Winternals Software). Мой CD с MSDaRT был дома и мне пришлось бы записывать новый. Однако, я заметил, что когда я входил в систему до появления первого всплывающего сообщения прошло 5-10 секунд. Если бы вредоносная программа не блокировала запущенные приложения в этот отрезок времени (либо потому, что она только начинала запускаться, либо для того, чтобы позволить нескольким первым приложениям, вроде Explorer, нормально запуститься), то я мог бы запустить Process Explorer и Autoruns до того, как запуск приложений будет заблокирован. Это позволило бы сэкономить мое время и избавило бы от меня от проблем, связанных с запуском. Попытаться стоило.

Перед тем, как выйти из системы, я скопировал Process Explorer и Autoruns на рабочий стол, чтобы было проще к ним обратиться. Затем я заново вошел в систему и быстро сделал двойной щелчок на ярлыках утилит. Спустя короткую паузу оба приложения запустились. Сработало! Я подождал, пока пройдет лавина из предупреждающих сообщений, после чего обратил свое внимание на Process Explorer. Один процесс выделялся из числа прочих - hgobsysguard.exe:

Я рассказывал об основных характеристиках вредоносных программ в моей презентации Advanced Malware Cleaning, и этот экземпляр обладал всеми отличительными признаками:

• Случайно сгенерированное и необычное имя: hgobsysguard.exe выглядит нормально, но я никогда не видел и не слышал о такой программе, и название исполняемого файла не отображало целей приложения или его источника.
• Нет имени компании или описания: легальное программное обеспечение почти всегда включает в себя название компании и описание в исполняемом файле. Вредоносное ПО часто не содержит этих атрибутов, так как большинство пользователей никогда не запускают утилиты, которые показывают эту информацию.
• Установлено в папке, отличной от \Program Files: вы должны добавить программное обеспечение, установленное не в папку \Program Files, в список первых кандидатов на более пристальное исследование. В нашем случае исполняемый файл был установлен в профиль пользователя - еще один признак вредоносного ПО.
• Зашифрованный или сжатый: чтобы избежать обнаружение антивирусом и сделать анализ файла более трудным, авторы вредоносных программ часто шифруют их исполняемые файлы. Process Explorer использует эвристический алгоритм для того, чтобы идентифицировать зашифрованные исполняемые файлы, к которым он обращается как к "запаковынным", и выделяет их фиолетовым цветом, как и в нашем случае.

Я тщательно изучил другие исполняемые файлы, включая службы, работающие в различных процессах Svchost.exe, но больше я не нашел ничего подозрительного. Иногда вредоносные программы используют "метод близнецов", при котором используются два процесса, наблюдающих друг за другом, и если один из них завершается, то другой заново запускает его, делая практически невозможным завершение этих процессов. Когда я сталкиваюсь с такими случаями, я использую функцию Process Explorer по приостановке выполнения процесса, чтобы остановить и убить оба процесса (это звучит как-то даже гуманнее). В данном случае я увидел лишь один вредоносный процесс, и я просто завершил его. Он не появился вновь, что указывало на то, что у него не было близнеца, скрывающегося в другом процессе как DLL. Затем я перешел в установочную папку вредоносной программы и удалил ее файлы.

После того, как я разобрался с процессом и исполняемыми файлами, следующим шагом было определение того, как вредоносное ПО активируется, и удаление его записи из автозапуска. Я переключился на Autoruns, который тем временем закончил сканирование системы, и определил две записи, указывающие на исполняемый файл вредоносной программы. Обе записи имели случайно сгенерированные имена, что указывало на типичную malware-программу:

Я удалил эти записи, просмотрел остальные элементы списка на случай, если были другие, менее очевидные записи, и, раз уж я все равно был там, провел стандартную очистку на предмет ненужных приложений. Я перезагрузил ноутбук и заново вошел в систему, что удостовериться в том, что она была очищена. На этот раз не было никаких всплывающих окон, я мог спокойной запускать приложения, и ни Process Explorer, ни Autoruns не указывали на другие возможные проблемы. В целом я потратил около пяти минут и получил некоторое удовольствие, обманув вредоносную программу без необходимости совершать очистку системы без загрузки ОС. Дело закрыто.


Источник: http://blogs.technet.com/mark_russinovich
Перевод: Dazila