Відстеження завантаження шпигунських програм в системі Windows

Трофименко А.В.

Останнім часом в Інтернеті часто зустрічаються
питання про те, що при використанні Internet Explorer
відбувається зміна стартової сторінки, при завантаженні за посиланням
відкриваються зовсім інші сторінки. Я сам зіткнувся з
цим і тому вивчав проблему на собі. Перше, що
радили, це скористатися спецпрограма типу Ad-aware
і Антивірус Касперського з новими базами. Це правильно і на
якийсь час вирішує проблему, але потім знову все
повторюється. Я ж вирішив з'ясувати вручну де прописується
шпигун і як мені здається з'ясував це. Я не письменник і не
журналіст, стиль моєї писанини прошу не критикувати, пишу
тому що сам не знайшов в одному місці докладного опису як
і що відбувається і вирішив заповнити це. Може кому буде
цікаво.

Отже, зустрівшись з тим, що ваш Internet
Explorer став завантажувати не ті посилання, перше що можна
порадити – це поставити Ad-aware і Антивірус Касперського
з новими базами і просканувати комп'ютер. Але якщо ви хочете
самі вирішити цю проблему, то моя стаття для Вас. Також я
постараюся описати свої дії докладно, може кому з
початківців стане в нагоді як методики пошуку шпигунів.
Фахівцям це може буде зайво. Вони і без мене це
знають, тому я адресую статтю в першу чергу для
початківців.

Для спостережень я використовував два комп'ютери:
на роботі Windows XP без сервіс паків і вдома спочатку також
Windows XP без сервіс паків, потім поставив послідовно
SP-1 і SP-2.

Коли я вперше зіткнувся з цією проблемою,
то для з'ясування де ж що грузиться став перевіряти,
по-перше, пункт «Автозавантаження». У мене в ньому варто тільки
завантаження офісу. По-друге, ключі реєстру відповідальні за
автозавантаження програм: це розділ
реєстру
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
а
в ньому підрозділи Run, RunOnce, RunOnceEx,
RunServices, RunServicesOnce. У цих розділах
є рядкові ключі (деякі розділи порожні), що відповідають за
запуск програм. Назва ключа може бути довільним, а в
Як значення у них вказується програма, що запускається,
якщо треба – то з параметрами. Зверніть увагу на розділи, в
назві яких присутня "Once". Це розділи, в яких
прописуються програми, запуск яких треба зробити всього
один раз після наступного завантаження системи. Наприклад, при
установці нових програм деякі з них прописують туди
ключі, що вказують на які-небудь конфігураційні модулі, які
запускаються відразу після перезавантаження комп'ютера. Такі ключі
після свого запуску автоматично видаляються. У
параметрі
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
я
знайшов одну програму з ім'ям з довільного набору букв.
Програма була записана в папці Windows, дата створення
виявилася свіжа. Зрозумівши що це шпигун, вирішив потім з ним
розібратися. Власникам лінійки Win98 рекомендую зазирнути ще
і в файл win.ini в розділ [windows]. У ньому є два
параметра load і run. Якщо в них записані які
то програми, то варто перевірити які саме і чи потрібні вони
Вам. Крім цього в реєстрі є
параметр
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
NT\CurrentVersion\AppInit_DLLs
У ньому можна прописати DLL
які будуть навантажуватися при всіх завантаженнях в усі запускаються
Windows процеси, які використовують бібліотеку User32.DLL. У
мене цей параметр порожній.

Таким чином все перевіривши я знайшов тільки
одного шпигуна в параметрі реєстру, що відповідає за автозавантаження
програм. Після перезавантаження комп'ютера я відразу вивів на екран
диспетчер завдань Windows і спостерігав, як цей процес
завантажившись при старті системи відпрацював кілька хвилин і
вивантажився. Вирішивши що він завантажує DLL в пам'ять і вже потім
вона грає роль шпигуна, я цей параметр вилучив з реєстру та з
папки Windows.

Перевірив ключі реєстру:

1.
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ URL \ DefaultPrefix
Значення
параметра за умовчанням має бути "http://"

2.
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ URL \ Prefixes
Там
повинні бути наступні значення параметрів:

“ftp”=”ftp://”
“gopher”=”gopher://”
“home”=”http://”
“mosaic”=”http://”
“www”=”http://”

і не повинно бути жодних адрес інтернет. У мене там
стояли url, які я і видалив.

Вирішивши, що із шпигуном покінчено, я заспокоївся
і якийсь час працювало все нормально, але через кілька
днів повторилося знову те ж саме, що було відразу помітно
тому що змінювалася стартова сторінка. Вирішивши, що працюючи в
Інтернеті я знову ловлю заразу, я також вручну прибрав з
автозавантаження з'явився файл, в імені якого були вже
інший набір букв, але порівняння файлів з попереднім видавало,
що вони однакові. Видалив файл і виправив ключі реєстру, тому що
там знову прописувалися url. Звичайно можна було відразу накотити
сервіс паки, але я вирішив спостерігати що ж буде далі. Будинки
поставив SP-1. Попрацювавши я став більш уважно стежити і
звернув увагу, що в один день відбулися зміни сторінки
і url в той час, коли я не був підключений до Інтернету.
Зараження так само сталося і на домашньому компі при роботі в
Інтернет. До цього він не був заражений з чого я зробив висновок
що SP-1 не є захистом від використовуваної шпигуном діри.

Висновок: шпигун так і сидів на робочому компі; на
домашньому тільки що відбулося зараження, тільки вносив
зміни він мабуть не відразу, а через кілька днів, мабуть
щоб залучати менше уваги. Якби він відразу вносив
зміни після мене, то я б раніше, що шпигун
продовжує працювати і не припинив би пошуки. А так я втратив
кілька тижнів, думаючи що ловлю шпигуна з Інтернету, в той
час, як він сидів у мене і продовжував працювати.

Перевіряючи комп'ютер, і, в першу чергу,
папку Windows за датою створення файлів, я звернув увагу на
файл qwe7972.ini в папці Windows \ System32. Особливість його
була в тому, що після кожної перезавантаження у нього змінювалася дата
і час створення файлу, тобто при кожному завантаженні якась
програма пише в файл інформацію. Причому інформація у файлі
була нечитана – просто набір символів в рядках. По виду
схожий на інші ini файли, тобто також у файлі
[Розділи], В розділах
параметр = значеніе_параметра, Тільки інформація була
зашифрована. Відразу висновок, що інформацію намагаються від нас
приховати і, природно, таким файлом треба зацікавитися.
Якби це була система, то були б звичайні записи хоча б і
англійською. Відсортувавши файли в папці на ім'я я побачив
файл qwe7972.dll. Природно напрошується висновок що саме
ця бібліотека і пише інфу в файл, з огляду на що у них
однакові імена і дата створення DLL свіжа, а систему я
ставив давно і ніяких оновлень не проводив, у всякому
випадку на робочому компі. Тому файл з такою датою ніяк не
міг потрапити на комп'ютер у результаті моїх дій. Залишилося
розібратися як бібліотека вантажиться. Прибравши шпигуна з
автозавантаження (як я вже писав файл з ім'ям з набору букв) і
перезавантажилась я побачив, що час файлу qwe7972.ini
змінилося, отже бібліотека продовжує завантажуватися і
працювати. Спробував видалити бібліотеку, але система видала,
що об'єкт заблокований, що підтвердило здогад про роботу
бібліотеки в даний момент. Скориставшись програмою
ProcessInfo з Протоколів до книги Ріхтера «Windows для
професіоналів », я подивився які процеси вантажать цю DLL.
Це виявився EXPLORER і тільки він їй користувався (є й
інші проги для проглядання інфи про процеси, але я в той час
читав книгу Ріхтера і для досвіду використовував його проги). Я
порівняв файл EXPLORER з робочого комп'ютера з завідомо справним
файлом з дистрибутива Windows. Виявилося, що вони однакові і
на той момент у мене не виникло версій як же вантажиться
бібліотека, тобто змін в заголовок файлу не вносилися.
Після перезавантаження комп в безпечному режимі я цю бібліотеку видалив.
З антівірусніков на той час я використовував Нортон Антивірус з
новими базами, оновлюваними раз на тиждень, але Нортон на цю
бібліотеку не лаявся. Я поставив Касперського 5 з новими
базами. У копії цієї бібліотеки Каспер побачив шпигуна.

Близько місяця все було нормально поки у мене
не було вирішене одне питання – як же бібліотека вантажилася? Через
місяць на робочому компі я знову побачив проблеми, стартова
сторінка вже так явно не змінювалася, але відбувалися зміни
url в реєстрі і при роботі в IE відкривалися зовсім інші
посилання, а не ті, на які я натискав. Йдучи уторованим шляхом я
виявив у папці Windows \ System32 бібліотеку qweХХХХ.dll, де
замість "ХХХХ" вже інші цифри, а також ini файл з тим же
ім'ям. Що стоїть на компі Каспер вже не бачив у ній шпигуна.

Перезавантажити у безпечному режимі я цю
бібліотеку видалив. Все знову стало на місця. Оновив бази
Каспера. Але мені все не давала спокою думка як бібліотека
вантажилася. Я перевіряв всі ключі відповідальні за автозавантаження
програм, там видаляв все підозріле, і, навіть коли там
залишалися тільки необхідні програми, яким я довіряю,
бібліотека все одно вантажилася. Читаючи літературу я зустрів
інформацію, що є і ще можливість завантаження яку я не
перевіряв.

В Internet Explorer вбудована технологія
Browser Object Helper. Дана технологія дозволяє
вбудовувати іншим програмам свої плагіни в IE і виконувати
якісь дії під час його роботи. Так, наприклад,
надходять гойдалки. У мене стоїть FlashGet. Дана технологія
може бути використана і для спостереження за діями
користувача в IE і замість його дій виконувати свої, у тому
числі для завантаження інших сторінок замість тих на які хочемо
перейти по посиланню.

Об'єкти завантажувані через BHO зберігаються в
ключі:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Browser
Helper Objects
де перераховані значення з ім'ям рівним
CLSID завантаження об'єкта. У
ключі
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
знаходимо
по CLSID розділ з ім'ям цього CLSID. У ньому можна подивитися
параметри об'єкта, у тому числі і шлях до завантажується
бібліотеки в параметрі \ InprocServer32 \ (За замовчуванням) = "шлях до
завантажуваного об'єкта ".

Подивившись дані ключі я побачив, що через
них вантажилися ці DLL, і хоча фактично самі файли я видалив,
але ключі відповідальні за завантаження залишилися на місці. Тобто
EXPLORER не змінювався, він залишався саме тим яким і був при
установці WINDOWS, інші проги не вантажили бібліотеки,
використовувалося те, що було вбудовано розробниками. При
завантаженні EXPLORER переглядав ключі реєстру і довантажувати
бібліотеки. Якщо якийсь з них не було, то це просто
пропускалося не виводячи жодних повідомлень.

Таким чином можна вручну розібрати що нам
треба в даних ключах реєстру, а що ні, і видалити шпигуна. А
можна скористатися спецпрограма, наприклад, BHO
Captor
або WinPatrol. Остання мені особливо
сподобалася, тому що крім цього видає багато іншої корисної
інформації з того що запускається на компі. Але перша, що
добре, має в комплекті вихідні тексти на DELPHI. У всякому
випадку, та версія яку я скачав. За оригінал можна
посмотреть використовувані ключі реєстру.

Ось в принципі і все, що я хотів розповісти
у своїй статті. Технологія завантаження BHO для мене була
відкриттям. Якщо про вищеописаних ключах та методах завантаження я
чув раніше і при пошуку шпигуна їх використовував, то BHO я
відкрив для себе вперше, і раніше в загальнодоступних місцях я не
зустрічав опису цього, тому вирішив заповнити пробіл.

Звичайно, якщо використовувати більш нові версії
програм для спостереження за системою і регулярно оновлювати
бази, то ці шпигуни будуть видалені (Каспер також повідомляє, що
об'єкт DLL заражений і видалити його неможливо, тому що він
заблокований. Доводилося перезавантажувати в безпечному режимі і
видаляти вручну), але для мене було цікаво розібратися
самому де це відбувається. Крім того хочеться сказати слово на
користь встановлення сервіс паків: хоча SP-1 дозволяв шпигунові
пролізти в систему, то SP-2, що стоїть у мене вдома, поки не дає
цього зробити. Мабуть дірку, через яку шпигун ліз на
комп'ютер, він закриває. Зараз подумую і на роботі
встановити сервіс паки.

Ще раз повторюся – моя стаття для
початківців, фахівців прошу мене не лаяти. Можливо Вам
це було вже давно відомо, але раніше серед відповідей на рішення
даної проблеми посилання на технологію BHO я не бачив.

Спасибі.

Від редактора: всі описані
у статті розділи реєстру, що відповідають за завантаження програм,
адреси інтернет, завантаження BHO в Internet Explorer, також
перебувають у розділах HKEY_CURRENT_USER і HKEY_USER \. DEFAULT.
Не забувайте перевіряти і їх.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*