Дело о загадочных перезагрузках
Этот случай начался с того, что опытный пользователь Sysinternals, который работает системным администратором в крупной корпорации, получил от своего друга сообщение о том, что его ноутбук вышел из строя. Всякий раз, когда он подключал его к сети, его ноутбук перезагружался. Когда наш опытный пользователь получил в свои руки этот ноутбук, он первым делом проверил его работу, подключив его к беспроводной сети. Система незамедлительно перезагрузилась, сначала в безопасный режим, потом обратно в стандартный режим Windows. Он попытался загрузить ноутбук напрямую в безопасном режиме, надеясь на то, что в этом режиме проблемы не возникнет, вне зависимости от ее причины, однако попытка войти в систему приводила к автоматическому завершению сеанса работы. Вернувшись в стандартный режим, он заметил, что на ПК был установлен
Всплывающая подсказка, появляющаяся на значке MSE при удержании на нем курсора, объяснила происходящее: ссылка указывала на поддельное расположение, вероятно, созданное вредоносной программой:
Поскольку он не мог получить доступа к сети, он не мог легко восстановить поврежденную установку MSE. Задавшись вопросом, могли ли инструменты Sysinternals ему помочь, он скопировал
На моей презентации на конференции Blackhat,
Названия многих из них либо совпадают, либо очень похожи на названия системных исполняемых файлов Windows. На скриншоте снизу выделен один такой процесс, название которого соответствует имени исполняемого файла Windows
У другого процесса, чье имя хоть и не совпадало ни с одним исполняемым файлом Windows (Svchostdriver.exe), но было весьма похоже на их имена, что могло ввести в заблуждение неопытных пользователей Windows, были открыты сокеты TCP/IP на прослушивание соединений:
Не осталось никаких сомнений в том, что компьютер серьезно заражен. Autoruns показал, что вредоносные процессы использовали несколько другие точки активации, что объясняло, почему даже безопасный режим с командной строкой не работал должным образом, поскольку поддельный исполняемый файл с именем Services32.exe (еще одно имя, подобное имени настоящего системного файла) зарегистрировался как Safe Mode AlternateShell (альтернативная оболочка безопасного режима), каковой по умолчанию является cmd.exe (командная строка):
В качестве моей первой рекомендации по очистке системы от вредоносного софта я советую запустить антивирусные утилиты, если это возможно. Подобное ПО могло бы удалить некоторые или даже все заражения, так почему бы этим не воспользоваться? Однако данная система не могла подключиться к Интернету, делая невозможным простое восстановление установки MSE или загрузку другого антивирусного приложения, такого как
Щелкая правой кнопкой мышки на каждом вредоносном процессе, он выбирал Suspended из контекстного меню, чтобы приостановить его:
Когда он это сделал, дерево процессов стало выглядеть следующим образом (серым цветом выделены приостановленные процессы):
Теперь настало время посмотреть, сработал ли этот трюк: он подключился к беспроводной сети. Бинго, никаких перезагрузок! Теперь с подключением к Интернету он загрузил MSE, установил его и выполнил полное сканирование системы. Антивирусный движок заработал, выдавая сообщения об обнаруженных заражениях. Когда сканирование закончилось, он обнаружил четыре разных вредоносных программы:
После перезагрузки, которая прошла заметно быстрее, чем прежде, он без проблем подключился к сети. В качестве заключительной проверки он запустил Process Explorer, чтобы посмотреть, остались ли какие-либо вредоносные процессы. К его облегчению, дерево процессов выглядело чистым:
Еще один случай разрешен с помощью утилит Sysinternals! Новое издание
Источник:
Перевод: Dazila
Комментарии
Я для этих целей пользую SysInspector(бесплатная программа от создателей NOD32).
Прекрасный иструмент именно для такого сценария.
Да, Process Explorer очень удобен. Нехватает как у AnVir загрузки диска и попыток выйти в интернет допустим. Было бы ещё удобней!
Без утилит Sysinternals как без рук. Я уже на куче компьютерах выловил заразу с помощью Process Explorer, Process Monitor и Autoruns. Самые незаменимые программы, уникальные в своём роде.
alexgorby Мне статьи лениво писать, да и "писать ради стать" не хочеться. Всё очень просто. Закрываем все что можно закрыть(). Запускаем программау, она выдаёт список процессов, и проверяет ХЭШ и цифровую подпись. Условно разделяя все процессы на хорошии и плохии. И естественно всё сразу видно. Также всякую другую полезную инфу.
Замечу что все эти способы(включая Process Explorer) не дают 100% гарантии что вы увидите вирус
По теме
- Устраняем конфликт подписей дисков
- Дело о загадочных звуках
- Дело об ооооочень долгом входе в систему
- Дело об ошибке службы установки
- Дело о зависшей программе запуска игры
- Анализируем вирус Stuxnet с помощью инструментов Sysinternals (ч.3)
- Анализируем вирус Stuxnet с помощью инструментов Sysinternals (ч.2)
- Анализируем вирус Stuxnet с помощью инструментов Sysinternals (ч.1)
- Дело о нерабочей системе
- Дело о блокировке утилит Sysinternals вредоносным ПО