Боремося з вірусами в Windows XP

Налаштування автоматичного запуску програм

Переважна більшість комп'ютерних вірусів, проникнувши на ваш комп'ютер, насамперед забезпечують умови для подальшого запуску свого програмного коду. Без цього вірусу ніяк не можна. Подобається подібне примус розробнику вірусу чи ні, він все одно зобов'язаний запрограмувати цей фрагмент коду. Якщо його вірус не впишеться в ті чи інші списки автозапуску операційної системи, то гарантовано загине після перезавантаження Windows або вимкнення комп'ютера. Така "обов'язковість" в поведінці вірусів і дозволить нам легко їх відловлювати і припиняти подальшу активацію у вашій системі.


Для того щоб полегшити користувачеві контроль списків автозапуску і при цьому позбавити його від копання в реєстрі, було написано досить багато програм. Про найкращу з них на мій погляд я і збираюся вам сьогодні розповісти. Називається ця програма Autoruns.


Програма Autoruns


Програма написана відомим фахівцем по нутрощах операційних систем Microsoft на ім'я Mark Russinovich у співавторстві з Bruce Cogswell. Програма має розмір менше одного мегабайта, не вимагає інсталяції і абсолютно безкоштовна. Це не закінчений проект, автори постійно його розвивають, доповнюючи своє дітище новими можливостями. Поточною версією на момент написання статті є номер 4.32. Саме про неї і піде у нас мова далі. Від версії до версії програма змінюється досить сильно, тому не дивуйтеся, якщо, скачавши з Інтернет свіжий реліз, ви виявите, що моє оповідання мало схоже на опис наявних у вас програми. Тим не менш, основні можливості Autoruns напевно залишаться тими ж, що і зараз, тому мої рекомендації все одно напевно вам знадобляться.


Отже, після того як ви скачаєте і запустіть програму, відразу сходіть в розділ меню, який називається View, і приведіть його вміст до того виду, що зображений на малюнку. Такі налаштування полегшать вам на перших порах аналіз виведеної цією програмою інформації.




Знявши галочку з пункту Show All Location, ви замаскіруете більшу частину розділів реєстру, відповідальних за екзотичні способи завантаження різних сервісних додатків Windows. На даний момент часу вкрай малоймовірно, що який-небудь з вірусів впишеться в ці списки. Встановивши галку навпроти Only Show Non-Microsoft Entry, ви говорите програмі не показувати вам програми, створені в корпорації Microsoft. Знову-таки, малоймовірно, що ці програми виявляться вірусами. Тим не менш, тримаєте в голові той факт, що в зазначених режимах роботи програми ви бачите не всі наявні місця запуску. У разі появи у вас підозр про те, що у вашій системі таки орудує якийсь вірус, переставте ці дві галки в зворотні положення і на цей раз ретельно вивчіть вже весь доступний вам список. Підлаштовуватися під додатка Microsoft автори вірусів вже давно не намагаються. Фокус тут полягає в тому, що більша частина цих додатків вважається операційною системою критично важливими для її функціонування. Виявивши модифікацію подібних файлів, Windows 2000/XP відновлює їх початковий вміст зі свого архіву або дистрибутивного диска. Таким чином, Windows по простоті душевній самостійно знищує непрошених "імітаторів". Якщо ж автори вірусів не перезаписують оригінальні програми Microsoft, а кладуть віруси в яку-небудь іншу, сусідню папку, то це теж відразу помітно для досвідченого погляду в списку Autoruns або звичайному Диспетчері Завдань. Усі програми з дистрибутива Windows розташовуються у своїх, суворо певних папках. Запуск стандартної програми з "чужої" папки виглядає досить підозріло і відразу кидається в очі.


Для початку давайте докладно розберемо інформацію, виведену на екран програмою, і подивимося, як вона допоможе нам оцінити походження тих чи інших автоматично стартують файлів. Інтерфейс програми досить нескладний і стандартний для такого роду утиліт. У центрі екрана розташоване дворівневе дерево. На першому рівні дерева перераховані всі відомі програмі місця, звідки теоретично можливий запуск програм в Windows. У тому випадку, якщо список розташований в реєстрі, як іконки для папки дерева використовується значок реєстру, зовні схожий на вибухає кубик Рубіка. У випадку, якщо відображається список є звичайною текою на диску – наприклад, звична всім папкою автозавантаження, то в ролі іконки і виступає не менш звичний значок папки. Другим рівнем дерева, а саме елементами папки списку автозапуску, виступають самі програми, що стартують з цієї папки. Перед кожною програмою розташований квадратик поля вибору. Ви можете, клацнувши мишею по цьому квадратику, знімати чи ставити в ньому відмітку-галочку. Якщо ви поставите в квадратику галочку, програма, до якої він відноситься, буде автоматично стартувати разом з операційною системою. Якщо зняти галочку з цього поля, програма хоч і залишиться в цьому списку, але автоматично запускатися вже не стане. Якщо ви не впевнені в тому, чи можна без шкоди для операційної системи відключити ту чи іншу програму, спробуйте для початку зняти з неї галочку. Якщо після перезапуску Windows з'ясується, що функціональність відключеною програми вам необхідна, можете повторно запустити Autoruns і дозволити програмі стартувати автоматично, повернувши на місце відноситься до неї галочку.


Наступним елементом за полем тимчасового відключення програми йде її іконка. З її допомогою ви можете швидко оцінити тип програми яку ви запускаєте. За іконкою слідує назва програми. Зверніть увагу: назва програми і назва файлу програми – це зовсім різні речі, хоча вони можуть і збігатися. Назва програми заноситься її розробником у спеціальну структуру всередині виконуваного файлу. Надалі навіть якщо ви можете перейменувати сам файл назва програми залишиться тим самим. У тому випадку, якщо розробник залишив це поле порожнім у момент компіляції програми, вона автоматично отримує ім'я, збігається з іменем її виконавчого файлу. Наступне поле таблиці Autoruns зветься Description. Воно також заповнюється (або не заповнюється) розробником на етапі створення програми. У цьому полі прийнято давати короткий опис призначення програми. Тим не менше, автор програми вільний залишити це поле порожнім або й зовсім написати все, що йому прийде в голову. Чергове поле списку названо Company. Ще одне необов'язкове поле, подібне розглянутому нами вище полю Description. Зазвичай у ньому прийнято писати назву компанії, яка випустила цей програмний продукт.


Останнє не розглянуте ще нами поле у списку автоматично запускаються програм називається IMAGE PATH. У ньому зазначено повний шлях до файлу запускається програми, тобто місце на диску, в якому операційна система шукає програму для того, щоб її запустити. Для нас як користувачів цей параметр особливо важливий. Знаючи місце на диску, де знаходиться зацікавила нас програма, ми можемо перевірити її за допомогою антивіруса, та й просто "сходити" у її папку і на місці "подивитися" на підозрілу програму за допомогою шістнадцяткового редактора. Якщо ця програма виявиться вірусом, ми знаємо, який саме файл слід стерти для того, щоб він нас більше не турбував.


Як я вже говорив вище, назва папки, з якої стартує програма, допоможе нам виявити віруси, що маскуються під стандартні системні утиліти, сервіси та бібліотеки, що входять у комплект операційної системи. Наприклад, WINDOWS EXPLORER, що відповідає за сам інтерфейс користувача Windows, завжди розташований в папці C: WINDOWS. Файл з цією програмою називається EXPLORER.EXE. Якщо ви раптом виявляєте, що у вас на комп'ютері ця програма стартує з папки, скажімо, C: WINDOWS SYSTEM32, то це вже досить серйозний "дзвіночок" про те, що у вашій системі, можливо, діє комп'ютерний вірус. Я б на вашому місці ближче познайомився з таким нововведенням в моїй операційній системі. Про те, як це зробити, у нас піде мова трохи нижче.


Древообразная інтерфейс екрану програми насправді оманливий. У тому випадку, якщо ви клацнете мишкою по гілки цього "дерева", очікуючи, що гілка згорнеться, нічого подібного не відбудеться. Замість цього стартує редактор реєстру і самостійно встановиться на гілку, що відповідає обраному вами списком автозапуску. Ця можливість надана для того, щоб ви в складних випадках могли вручну проаналізувати її вміст і прийняти потрібне рішення. Якщо ви клацнете мишкою по рядку з назвою програми, відкриється конкретний запис у реєстрі, що приводить до запуску цієї програми.


Крім вищевказаних можливостей, кожен рядок у вікні програм, що запускаються має контекстне меню, яке викликається правою кнопкою миші. Давайте розглянемо призначення містяться в ньому пунктів. Пункт, озаглавлений Delete, призначений для видалення з реєстру запису про автоматично стартує програмі. Сама програма при цьому не видаляється, тому, перш ніж стирати з завантаження згадка про чергове підхоплений у Інтернет вірус, заздалегідь збережете де-небудь інформацію про те, в якому саме файлі він знаходиться. Ви, напевно, мене запитаєте, а чому б вам просто спочатку не стерти сам файл, а вже потім видалити запис про його завантаження. Тут не все так просто. У тому випадку, якщо вірус прописаний у списку автозавантаження вашого комп'ютера, це автоматично означає, що він активний у той момент, коли ви готуєтеся його видаляти. За прийнятим у Windows правилом файли запущених програм блокуються. Їх не можна видалити, тому що система не дасть вам доступу на цю операцію. Існують два простих способи викрутитися з даної ситуації. По-перше, ви можете, натиснувши Ctrl-Alt-Del, викликати Диспетчер Завдань. Переходьте на вкладку Процеси і шукаєте в списку процесів вірус на ім'я його файлі (назва файлу ми подивилися з допомогою Autoruns). Натискаєте Завершити процес, цим самим вивантажуючи з пам'яті активну зараз копію вірусу. Після цього можете спокійно видалити файл на диску. Іноді цей спосіб не проходить, тому що вірус може встигнути відновити себе в пам'яті, поки ви добираєтеся до файлу з його вмістом. Існують віруси, які прописують у списку автозавантаження кілька своїх копій під різними іменами. Кожна з цих копій стежить за здоров'ям своїх "колег", і, якщо з ними щось трапляється, перезапускає їх виконувані файли. Дуель з подібними вірусами досить цікава для професіонала, але настільки ж важке для новачка. Як попутного анекдоту розповім вам історію про попався мені одного разу забавний вірус. Він відстежував запуск програми Regedit і ніяк себе не проявляв до тих пір, поки ви не підбиралися з його допомогою до гілок реєстру, відповідальним за автозапуск додатків. Після цього вірус брав і закривав програми Regedit "a, таким чином не даючи виправити список автозавантаження. Другий пропонований мною спосіб позбутися від активного в системі вірусу куди більш простий і неквапливий. Просто запам'ятовуєте, як називається файл вірусу і папка на диску, в якій він розташований. Видаляєте (або блокуєте) його стартову запис за допомогою Autoruns і перезавантажувати. Після того, як комп'ютер знову стартує, вірус вже не отримує управління, і ви можете спокійно розбиратися "по-свійськи" з хладние трупом його файлу.


Розповідаючи про те, що вам робити з виявленим вірусом, я мало не забув про найголовніше – про те, а як, власне кажучи, вам відрізнити звичайні добропорядні програми, що стартують при кожному запуску Windows, від вірусів, які затесалися в їх стрункі ряди. Давайте прямо зараз на живому прикладі встановленої на моєму комп'ютері операційної системи подивимося: а чи немає чогось зайвого у її списках автозавантаження. На додається ілюстрації зображений екран програми Autoruns, запущеної на ноутбуці, що працює під управлінням Windows XP. Сірим кольором відмічені списки автозапуску Windows XP, в які не занесені будь-які програми. Білим кольором виділені програми, що запускаються на цьому комп'ютері в автоматичному режимі. Таких програм виявилося всього дві. Перша стартує з гілки реєстру HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun. Називається вона TPTRAY. Як бачимо, написана ця програма в фірмі IBM Corp. У її властивості виробником занесений коментар про те, що ця програма є якоюсь "IBM ThinkPad Tray Utility". Розташована вона в папці C: Program FilesThinkPadUtilities, а її виконуваний файл називається TP98TRAY.EXE. За сукупністю даної інформації я легко можу здогадатися, що мова йде про панель управління режимами роботи ноутбука, іконка від якої висить в треї поряд з годинником. Я дійсно ставив цю програму й активно її експлуатую, тому її запуск цілком закономірний і легітимний. Інше питання, що під виглядом цієї утиліти на мій комп'ютер могла б вписатися будь-яка інша програма. Але в цьому випадку в списку автозавантаження були б присутні вже дві копії програми – підроблена і справжня – або я б не побачив іконки поруч з годинником. Додатково переконатися в тому, що програма є саме тією, за яку себе видає, можна викликавши її властивості з контекстного меню списку Autoruns.




Клацаєте правою кнопкою миші по зацікавила вас програмі і вибираєте в меню, що пункт Properties. Перед вами з'явиться стандартне вікно властивостей файлу Windows. Найбільш цінною для вас інформацією в цьому вікні є три наявні тут дати. У всіх трьох дат назви погано відображають те, що вони дійсно означають. Тому я прокоментую їх назви для вас ще раз і більш детально.


Перша дата, що називається Створений, насправді означає дату інсталяції програми – ту саму, коли ви вперше встановили додаток на диск. "Створено" з точки зору Windows означає створення програми на підвідомчій їй території, а не створення самого файлу програмістом. Друга дата під назвою Змінено і означає реальну дату створення файлу програмістом. "Змінено" в даному контексті означає дату зміни внутрішнього змісту файлу. Тобто програміст откомпилирован додаток, файл змінився, дата змінилася слідом за ним. Якщо вірус змінить цей файл, вписуючись в його тіло, він також змінить цю дату.


Втім, якщо автор вірусу досить грамотний програміст, то в момент зараження він спочатку запам'ятовує вихідну дату програми, вписує код свого вірусу в її тіло, а потім відновлює вихідну дату. Тому особливо довіряти цією ознакою не можна, хоча слід його враховувати при аналізі. Я вам розповідаю про цей нюанс з датами модифікації файлу тому, що у своїй переважній більшості автори вірусів грамотними програмістами не є. Вони часто забувають (або взагалі не думають) про те, що слід пам'ятати про такі "дрібниці", на чому і благополучно "горять". Як влучно зауважив хтось із древніх, увага до дрібниць – основа будь-якої магії. Третя дата, що називається Відкрито, означає час останнього запуску програми, тобто час, коли ця програма стартувала на вашому комп'ютері в останній раз. Аналізуючи значення цієї дати, слід враховувати, що ця функція стеження за доступом до файлів може бути відключена користувачем, тому що постійний контроль даного параметра уповільнює дискові операції Windows NT/2000/XP/2003. Крім дат файлу, уважно пропустять на цій закладці опис програми, подивіться, чи має ця програма свою іконку. Потім перейдіть на сусідню закладку, що називається Версія. Там вивчіть наявну інформацію про авторські права, реальному назві програми та її версії. Мало хто з авторів вірусів утрудняє себе заповненням цих полів у своїх творах. Та й взагалі підробка вірусу під конкретне застосування зустрічається досить рідко. Як ви розумієте, утиліта управління ноутбуками IBM, запущена на вашому домашньому комп'ютері, виглядала б досить дивно і напевно відразу привернула б вашу увагу. Тому програми-віруси як правило "знеособлені", і зазначені поля у них не заповнені.


Давайте підведемо міні-підсумок нашому приватному розслідування походження програми в моєму прикладі. Згідно зібраної нами інформації, програма TP98TRAY.EXE створена 25 липня 2001 р., встановлена мною на комп'ютер чотири дні тому і запущена системою півгодини тому. Всі три дати виглядають цілком реалістично і приблизно відповідають даті випуску програми та часу її встановлення на мій комп'ютер. Згідно полях властивостей виконуваного файлу, ми маємо справу з утилітою, що управляє режимами роботи ноутбуків IBM. Всі разом схоже на правду, але в тому випадку, якщо ви все одно маєте сумнів у її походження, побайтово порівняйте виконуваний файл, що знаходиться в папці, з якої стартувала досліджувана програма, з однойменною файлом, що знаходяться в дистрибутиві драйверів IBM. Для цього можна скористатися командою fc / B [ім'я першого файлу] [ім'я другого файлу]. Якщо обидва файли однакові, ви отримаєте стовідсоткову гарантію того, що програма не підроблена.


Розібравшись з першою програмою, що стартує на моєму ноутбуці, давайте тепер подивимося, що собою представляє друга. Згідно з інформацією Autoruns, ми маємо справу з командним файлом, що лежить у корені диска D (а саме D: setupxppower.cmd). Запуск цього файлу здійснюється зі звичайної для користувача папки автозавантаження C: Documents and SettingsGermanStart Menu ProgramsStartup за допомогою ярлика setupxppower.lnk. У цьому випадку все набагато простіше. Командний файл (розширення. Cmd) зсередини являє собою звичайний текстовий файл, який при бажанні можна переглянути в Блокноті. У мене такого бажання немає, так як я і так добре пам'ятаю, як я його писав і ставив в папку автозавантаження. На моєму ноутбуці IBM ThinkPad 760ED цей файл відключає режим Standby під Windows XP, так як під цією операційною системою він працює не дуже добре.


Таким чином, я перевірив автоматично завантажуються на моєму комп'ютері програми і вірусів серед них не виявив. А на вашому комп'ютері як йдуть справи?

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*