Дело о нерабочей системе
Эта статья продолжает тему борьбы с вредоносным программным обеспечением, которая затронула несколько
Эта история началась с того, что моя подруга из Microsoft рассказала мне, что у ее соседки был ноутбук, который из-за вредоносных программ стал непригоден для работы, и она попросила меня посмотреть его. Ее подруга была в отчаянии, поскольку там у нее хранились важные файлы, включая документы и фотографии, и у нее не было резервных копий.
В отличие от большинства людей из компьютерной индустрии, которые рассматривают просьбы друзей и родных решить проблему с компьютером как бремя, я принимаю их как вызов. Решение системной проблемы или проблемы, связанной с приложением - это противостояние меня и компьютера, и победа в этом противостоянии всегда приносит удовлетворение и учит чему-то новому. Однако эта победа также в чем-то дело принципа. Борьба с вредоносным ПО является для меня личным делом, когда я выступаю против хакеров, совершающих преступления. Победа над вредоносным ПО является победой добра над злом. Мне нужно сделать футболку с надписью "Yes, I will fix your computer!" ("Да, я исправлю ваш компьютер!"). Я немедленно согласился и мы сделали так, чтобы этот ноутбук оказался в моем офисе.
На следующий день, когда у меня выдалась пара свободных минут, я загрузил ноутбук, вошел в систему и в течении нескольких секунд смотрел на поток сообщений, предупреждающих о том, что компьютер инфицирован вредоносным ПО и он атакован из Интернета:
Я также увидел много предупреждений о том, что различные приложения не были запущены из-за того, что они заражены:
Я не видел столь агрессивных scareware-программ. Спустя минуту появление предупреждений прекратилось и я начал свое расследование. Начав с подключения USB-накопителя с утилитами Sysinternals, я попытался запустить
Зараженная учетная запись была единственной в системе, так что я отказался от попытки произвести очистку из другой учетной записи в надежде, что он мог быть не заражен. Я боялся, что для очистки системы от вредоносного ПО может потребовать обращение к выключенной системе через загрузочный CD с установленным набором программ
Перед тем, как выйти из системы, я скопировал Process Explorer и Autoruns на рабочий стол, чтобы было проще к ним обратиться. Затем я заново вошел в систему и быстро сделал двойной щелчок на ярлыках утилит. Спустя короткую паузу оба приложения запустились. Сработало! Я подождал, пока пройдет лавина из предупреждающих сообщений, после чего обратил свое внимание на Process Explorer. Один процесс выделялся из числа прочих - hgobsysguard.exe:
Я рассказывал об основных характеристиках вредоносных программ в моей презентации
- Случайно сгенерированное и необычное имя: hgobsysguard.exe выглядит нормально, но я никогда не видел и не слышал о такой программе, и название исполняемого файла не отображало целей приложения или его источника.
- Нет имени компании или описания: легальное программное обеспечение почти всегда включает в себя название компании и описание в исполняемом файле. Вредоносное ПО часто не содержит этих атрибутов, так как большинство пользователей никогда не запускают утилиты, которые показывают эту информацию.
- Установлено в папке, отличной от \Program Files: вы должны добавить программное обеспечение, установленное не в папку \Program Files, в список первых кандидатов на более пристальное исследование. В нашем случае исполняемый файл был установлен в профиль пользователя - еще один признак вредоносного ПО.
- Зашифрованный или сжатый: чтобы избежать обнаружение антивирусом и сделать анализ файла более трудным, авторы вредоносных программ часто шифруют их исполняемые файлы. Process Explorer использует эвристический алгоритм для того, чтобы идентифицировать зашифрованные исполняемые файлы, к которым он обращается как к "запаковынным", и выделяет их фиолетовым цветом, как и в нашем случае.
Я тщательно изучил другие исполняемые файлы, включая службы, работающие в различных процессах Svchost.exe, но больше я не нашел ничего подозрительного. Иногда вредоносные программы используют "метод близнецов", при котором используются два процесса, наблюдающих друг за другом, и если один из них завершается, то другой заново запускает его, делая практически невозможным завершение этих процессов. Когда я сталкиваюсь с такими случаями, я использую функцию Process Explorer по приостановке выполнения процесса, чтобы остановить и убить оба процесса (это звучит как-то даже гуманнее). В данном случае я увидел лишь один вредоносный процесс, и я просто завершил его. Он не появился вновь, что указывало на то, что у него не было близнеца, скрывающегося в другом процессе как DLL. Затем я перешел в установочную папку вредоносной программы и удалил ее файлы.
После того, как я разобрался с процессом и исполняемыми файлами, следующим шагом было определение того, как вредоносное ПО активируется, и удаление его записи из автозапуска. Я переключился на Autoruns, который тем временем закончил сканирование системы, и определил две записи, указывающие на исполняемый файл вредоносной программы. Обе записи имели случайно сгенерированные имена, что указывало на типичную malware-программу:
Я удалил эти записи, просмотрел остальные элементы списка на случай, если были другие, менее очевидные записи, и, раз уж я все равно был там, провел стандартную очистку на предмет ненужных приложений. Я перезагрузил ноутбук и заново вошел в систему, что удостовериться в том, что она была очищена. На этот раз не было никаких всплывающих окон, я мог спокойной запускать приложения, и ни Process Explorer, ни Autoruns не указывали на другие возможные проблемы. В целом я потратил около пяти минут и получил некоторое удовольствие, обманув вредоносную программу без необходимости совершать очистку системы без загрузки ОС. Дело закрыто.
Источник:
Перевод: Dazila
Комментарии
Ну это ещё лёгкий случай. Уже не раз случалось лечить компы от подобной заразы. Без утилит Sysinternals даже не знаю что бы я делал... Марк молодец!
Мне кстати как-то приходилось удалять такую фигню, замаскированную под MSE.
Знакомый случай, сколько заразы так переловил. Process Explorer - наше всё!
По теме
- Устраняем конфликт подписей дисков
- Дело о загадочных звуках
- Дело об ооооочень долгом входе в систему
- Дело об ошибке службы установки
- Дело о загадочных перезагрузках
- Дело о зависшей программе запуска игры
- Анализируем вирус Stuxnet с помощью инструментов Sysinternals (ч.3)
- Анализируем вирус Stuxnet с помощью инструментов Sysinternals (ч.2)
- Анализируем вирус Stuxnet с помощью инструментов Sysinternals (ч.1)
- Дело о блокировке утилит Sysinternals вредоносным ПО