Дело о загадочных перезагрузках

Этот случай начался с того, что опытный пользователь Sysinternals, который работает системным администратором в крупной корпорации, получил от своего друга сообщение о том, что его ноутбук вышел из строя. Всякий раз, когда он подключал его к сети, его ноутбук перезагружался. Когда наш опытный пользователь получил в свои руки этот ноутбук, он первым делом проверил его работу, подключив его к беспроводной сети. Система незамедлительно перезагрузилась, сначала в безопасный режим, потом обратно в стандартный режим Windows. Он попытался загрузить ноутбук напрямую в безопасном режиме, надеясь на то, что в этом режиме проблемы не возникнет, вне зависимости от ее причины, однако попытка войти в систему приводила к автоматическому завершению сеанса работы. Вернувшись в стандартный режим, он заметил, что на ПК был установлен Microsoft Security Essentials (MSE), и он попытался запустить этот антивирус. Однако, двойной щелчок по иконке приложения ни к чему не привел, а двойной щелчок по соответствующей записи в разделе Programs and Features в панели управления привел к появлению следующего сообщения об ошибке:

Всплывающая подсказка, появляющаяся на значке MSE при удержании на нем курсора, объяснила происходящее: ссылка указывала на поддельное расположение, вероятно, созданное вредоносной программой:

Поскольку он не мог получить доступа к сети, он не мог легко восстановить поврежденную установку MSE. Задавшись вопросом, могли ли инструменты Sysinternals ему помочь, он скопировал Process Explorer и Autoruns на USB-носитель, и затем скопировал их на ноутбук, который, по его убеждению, был заражен. Запустив Process Explorer, он увидел следующее дерево процессов:

На моей презентации на конференции Blackhat, "Zero Day Malware Cleaning with the Sysinternals Tools", я представил список характеристик, который обычно свойственны вредоносным процессам. Среди них отсутствие значка, названия компании или описания, расположение в директориях %Systemroot% или %Userprofile%, а также наличие сжатия или шифрования. Хотя есть класс вредоносного софта, у которого эти свойства отсутствуют, большинство вредоносных программ отвечают этому описанию. Этот случай - прекрасный пример такой программы. Process Explorer ищет подписи общеупотребимых инструментов сжатия исполняемых файлов, таких как UPX, а также эвристики, который содержат в себе метку Portable Executable, используемую системами сжатия, и выделяет найденные совпадения специальным цветом, установленным в настройках для подобных файлов (по умолчанию это цвет фуксии). Этим цветом обычно выделилось около дюжины процессов. На скриншоте снизу видно, что у каждого такого процесса отсутствовало описание и название компании (хотя у некоторых из них были значки).

Названия многих из них либо совпадают, либо очень похожи на названия системных исполняемых файлов Windows. На скриншоте снизу выделен один такой процесс, название которого соответствует имени исполняемого файла Windows Svchost.exe, однако у него есть значок (позаимствованный у Adobe Flash) и он находится в нестандартной директории (C:\Windows\Update.1):

У другого процесса, чье имя хоть и не совпадало ни с одним исполняемым файлом Windows (Svchostdriver.exe), но было весьма похоже на их имена, что могло ввести в заблуждение неопытных пользователей Windows, были открыты сокеты TCP/IP на прослушивание соединений:

Не осталось никаких сомнений в том, что компьютер серьезно заражен. Autoruns показал, что вредоносные процессы использовали несколько другие точки активации, что объясняло, почему даже безопасный режим с командной строкой не работал должным образом, поскольку поддельный исполняемый файл с именем Services32.exe (еще одно имя, подобное имени настоящего системного файла) зарегистрировался как Safe Mode AlternateShell (альтернативная оболочка безопасного режима), каковой по умолчанию является cmd.exe (командная строка):

В качестве моей первой рекомендации по очистке системы от вредоносного софта я советую запустить антивирусные утилиты, если это возможно. Подобное ПО могло бы удалить некоторые или даже все заражения, так почему бы этим не воспользоваться? Однако данная система не могла подключиться к Интернету, делая невозможным простое восстановление установки MSE или загрузку другого антивирусного приложения, такого как Microsoft Malicious Software Removal Tool (MSRT). Наш опытный пользователь видел, как я использовал Process Explorer на конференции для приостановки вредоносных процессов, поскольку в случае их завершения они могли перезапускать друг друга. Может быть, если бы он приостановил все процессы, которые выглядели подозрительно, то он смог бы подключиться к сети и система не перезагрузилась бы? Стоило попытаться.

Щелкая правой кнопкой мышки на каждом вредоносном процессе, он выбирал Suspended из контекстного меню, чтобы приостановить его:

Когда он это сделал, дерево процессов стало выглядеть следующим образом (серым цветом выделены приостановленные процессы):

Теперь настало время посмотреть, сработал ли этот трюк: он подключился к беспроводной сети. Бинго, никаких перезагрузок! Теперь с подключением к Интернету он загрузил MSE, установил его и выполнил полное сканирование системы. Антивирусный движок заработал, выдавая сообщения об обнаруженных заражениях. Когда сканирование закончилось, он обнаружил четыре разных вредоносных программы: Trojan:Win32/Teniel, Backdoor:Win32/Bafruz.C, Trojan:Win32/Malex.gen!E, и Trojan:Win32/Sisron:

После перезагрузки, которая прошла заметно быстрее, чем прежде, он без проблем подключился к сети. В качестве заключительной проверки он запустил Process Explorer, чтобы посмотреть, остались ли какие-либо вредоносные процессы. К его облегчению, дерево процессов выглядело чистым:

Еще один случай разрешен с помощью утилит Sysinternals! Новое издание Windows Sysinternals Administrator’s Reference за авторством Аарона Маргозиса (Aaron Margosis) и моим собственным подробно описывает все утилиты и их функции, предоставляя вам инструменты и техники для решения проблем, связанных с низкой производительностью, непонятными сообщениями об ошибках и сбоями приложений. И если вы интересуетесь кибербезопасностью, обратите внимание на мой техно-триллер Zero Day.


Источник: http://blogs.technet.com/mark_russinovich
Перевод: Dazila