Чужинці в системних папках, Windows, Операційні системи, статті

Знову у вікні Task Manager (Диспетчер завдань) якісь зайві процеси … Що й казати, приємного мало. Хто їх знає, що вони роблять, а раптом щось шкідливе? І, в будь-якому випадку, на них витрачаються системні ресурси.

На жаль, мало хто з нас знає толком призначення всіх утиліт з папки Windows. Все ж давайте розберемося, як упізнати більшість системних файлів Windows (і виявити зайві файли, якщо вони є), щоб відрізнити своїх від чужих. Заодно подивимось, як простежити, які програми працюють на комп’ютері, не тільки звичайні, але і новий різновид шкідливих програм – приховані rootkit-файли.


Як кажуть, від злодія немає запору: нам, звичайно ж, ніколи не дізнатися, де і коли виявиться чергова дірка в системі захисту, через яку зловмисники намагатимуться завдати шкоди системі або викрасти дані. Навіть при встановленому брандмауері, останньою версією антивірусу і антишпигунського сканера, і при жорсткій дисципліні щодо завантаження файлів з інтернету, в комп’ютері все одно час від часу виявляється якась свіженька інфекція.


Антивіруси та інші засоби забезпечення безпеки ефективні тільки при наявності добре продуманої стратегії регулярного і частого оновлення; вони не в змозі блокувати шкідливу програму, на яку не були заздалегідь запрограмовані. Відповідно, зловмисники пишуть і розсилають свої програми з таким розрахунком, щоб вони потрапляли на комп’ютери жертв в період їх вразливості – наприклад, коли в інтернеті вже з’явився код чергового хробака, але на сайтах антивірусів ще не розміщені нові бази для блокування або усунення цієї інфекції. Такий період може тривати кілька хвилин або днів, і за цей час вірус знаходить свої жертви.


На щастя, після того як шкідливий код розпізнаний, впоратися з ним досить легко, хоча процедура ця і нуднувата.


Збереження даних –  перш за все


Головне в цій справі – пам’ятати, що ми маємо справу з операційною системою. Тому лізти в системні файли, а особливо видаляти їх – вірний шлях до проблем. Подібні дії цілком можуть привести до того, що Windows перестане запускатися.


Потім, на кожному кроці необхідно залишати за собою шлях до відступу. Для цього в Windows XP і Me зручно використовувати функцію System Restore, Яка гарантує повернення в стан, що передує збою. Для цього потрібно клацнути на кнопці Start – Programs (в XP – All Programs) – Accessories – System Tools – System Restore – Create a restore point (Пуск – Програми (в XP – Усі програми) – Стандартні – Службові – Створити точку повернення) і виконати інструкції майстра. Такі точки повернення слід створювати перед кожною зміною.


Деякі системні файли є прихованими і при звичайній налаштування інтерфейсу Windows не відображаються на екрані. Для того щоб їх побачити, відкрийте Explorer (Провідник) або будь-яке вікно папки та виберіть команду Tools – Folder Options – View (Сервіс – Властивості папки – Вид). У вікні, увімкніть режим Show hidden files and folders (Показати приховані файли і папки) і простежте, щоб режими Hide extensions for known file types (Не показувати розширення відомих типів файлів) і Hide protected operating system files (Recommended) (Приховати захищені файли операційної системи (Рекомендується)) були відключені. У відповідь на всі наступні попередження Windows клацайте на кнопці Yes (Так). (Ми ще поговоримо про ці попередження.) Потім запустіть останню версію антивірусної програми і антишпигунського сканера. Якщо виникне необхідність видалити файл, робіть це тільки при повній впевненості, що в ньому міститься зловмисний код. Наприклад, не видаляйте із системних папок старі бібліотеки DLL.


Що працює в системі?


Тепер пора з’ясувати, які програми та служби діють на комп’ютері прямо зараз. У вікні Task Manager (Диспетчер завдань) відображаються не всі працюючі додатки. Тому для вирішення цього завдання краще скористатися безкоштовною утилітою Sysinternals Process Explorer (Www.sysinternals.com). Розпакувавши файл procexpnt.zip і запустивши procexp.exe, ви зрозумієте, що в порівнянні з диспетчером задач Windows Process Explorer – Все одно, що Шерлок Холмс у порівнянні з інспектором Лестрейдом: можливо, не так блискуче виглядає, але діє набагато надійніше й ефективніше. І, до речі, на відміну від приватних детективів, працює безкоштовно.


За замовчуванням деякі з найбільш корисних даних, видобутих Process Explorer з системи, приховані. Для того щоб їх переглянути, клацніть правою кнопкою миші на імені стовпця і скористайтеся командою Select Columns (Вибрати стовпці). У вікні, будуть вибрані тільки стовпці Process Name (Процес) і Description (Опис). Виберіть також Company Name (Компанія) і Command Line (Командний рядок). Перейдіть на вкладку DLL, Виберіть стовпець Path (Шлях) і клацніть на кнопці OK. Потім виберіть команду View (Вид) і включите режим Show Lower Pane (Відображати нижню панель). На завершення виберіть команду View – Lower Pane View – DLLs (Вид – Нижня панель – DLL).


Налаштувавши Process Explorer таким чином, можна виділити будь-який активний процес і побачити на нижній панелі список використовуваних ним DLL-бібліотек. У стовпці Command Line (Командний рядок) повідомляється, в якій папці знаходяться працюючі програми, а в разі сервісів (які іноді працюють під управлінням svchost.exe) – який примірник svchost.exe запускає цей сервіс.


У першу чергу під підозру потрапляють процеси, що запускаються з теки Temp. Шпигунські програми люблять встановлюватися в подібних затишних куточках. Те ж саме відноситься до процесів, які посилаються на DLL-бібліотеки, розташовані в папці Temp. “Добропорядні” програми запускаються з папки Temp в єдиному випадку: при інсталяції програми за допомогою InstallShield або іншої утиліти установки. Крім Explorer.exe, в Windows XP, швидше за все, виявляться і інші активні процеси, в тому числі smss.exe, winlogon.exe, services.exe, alg.exe і lsass.exe. Всі вони необхідні для роботи Windows. Не чіпайте їх.


Кілька більш пильної уваги заслуговує інший “законний” Windows – rundll32.exe, якщо він опиниться серед діючих процесів. За цією програмою іноді ховаються шкідливі програми, що розповсюджуються у вигляді DLL-файлів, – вони використовують її як плацдарм для завантаження. У вікні Task Manager (Диспетчер завдань) значиться тільки rundll32, але в Process Explorer, в стовпці Command Line (Командний рядок), відображаються всі DLL-бібліотеки, асоційовані з rundll32. Все ж таки, перш ніж видалити цей процес, переконайтеся, що це дійсно необхідно: адже rundll32 “законно” використовується драйверами деяких пристроїв. У прийнятті цього рішення вам допоможе шлях до файлу DLL.


Пошук непроханих гостей


Крім перерахованих системних файлів, ви, швидше за все, виявите серед активних процесів ще декілька програм Windows – додатків і сервісів, що працюють у фоновому режимі, а також драйверів різних пристроїв. Зазвичай ці програми запускаються одночасно з Windows. Перегляньте вміст стовпців Description (Опис), Company Name (Компанія) і Command Line (Командний рядок) для кожного з них. За цими даними ви, швидше за все, зрозумієте, які процеси відносяться до якої з програм, встановлених на комп’ютері.


Якщо поля Description (Опис) або Company Name (Компанія) пустують або містять незнайомі назви, ймовірно, варто копнути глибше. Клацніть правою кнопкою миші на імені процесу в списку Process Explorer і виберіть команду Properties (Властивості). Якщо вміст вкладки Image (Образ) не прояснить ситуації, перейдіть на вкладку Services (Служби). На цій вкладці перераховуються деякі “легальні” сервіси, які в головному вікні Process Explorer входять в групу services.exe (і не мають описів в поле Description).


Припустимо, наприклад, що ми виявили в Process Explorer два процеси з вільними полями Description (Опис) і Company Name (Компанія): slee81.exe і WLTRYSVC.EXE. При найближчому розгляді на вкладці Services (Служби) з’ясовується, що slee81.exe – це файл Steganos Live Encryption Engine. Користувач, сам встановлював програми Steganos на свій комп’ютер, не здивується, що вони працюють у фоновому режимі. Це не порушення системи захисту, але привід задуматися: якщо ви не використовуєте цю програму, можливо, варто її відключити і звільнити ресурси процесора?


Розпізнати другий файл, WLTRYSVC.EXE, Ще простіше – по вмісту поля Services (Служби). Оскільки ім’я процесу (WLTRYSVC service) мало інформативно, знаходимо файл WLTRYSVC, розташований рівнем нижче, і виявляємо, що процес WLTRYSVC запускається іншим додатком – BCMWLTRY.EXE. Цей файл ідентифікується як Broadcom Wireless Network Tray Applet – Ще один додаток, встановлене на комп’ютері.


Таким чином “прочісуємо” всі активні служби і фонові програми. Складніше за все вирішити питання з тими з них, які не ідентифікуються і на вигляд не виконують будь-якої корисної функції. Імена таких “Темних конячок” варто пошукати в інтернеті – можливо, їх діяльність вам не сподобається.


Онлайн-досьє


Де шукати інформацію про непроханих прибульців з Мережі? Підозрілі DLL в першу чергу варто перевірити в базі даних Microsoft DLL Help Database, де є можливість пошуку DLL по імені. При підозрі, що файл має відношення до шпигунським програмам, можна відвідати сайт Computer Associates Spyware Information Center (Http://www3.ca.com/securityadvisor/pest/). Ще один хороший ресурс – Pest Encyclopedia (Http://research.pestpatrol.com/), де є інформація більш ніж про 27 000 формах шкідливих програм.


Якщо з приводу програми все ще залишаються підозри, її можна повірити по списку Task List Programs на сайті AnswersThatWork.com, де є список звичайних програм, шпигунських утиліт і вірусів. Можна також скористатися постійно діючими локальними засобами, такими як WinPatrol (www.winpatrol.com) і WinTasks 5 Professional (www.liutilities.com/products/wintaskspro/). Обидві ці програми підключаються до розміщеної в інтернеті базі даних, де є інформація про тисячі DLL-бібліотек та програм. Крім того, WinTasks веде ще “чорний список” небажаних процесів, не допускаючи їх повторного запуску.


Ті, для кого пошук шкідливих програм – постійне заняття, можуть скористатися програмою Security Task Manager (www.neuber.com / taskmanager), яка перевіряє всі виконувані файли, драйвери і DLL незалежно від того, активні вони чи ні.


І останнє. Пошук інформації про фото в інтернеті не повинен бути поверховим. Чим більше відомостей ви отримаєте, тим вища ймовірність того, що ви не видалите помилково корисну програму або DLL-бібліотеку.


Увага: rootkit


Порівняно недавно з’явилася нова порода шкідливих програм – rootkit-файли, що працюють на рівні ядра операційної системи. Ці засоби дозволяють хакерам приховувати сліди своїх файлів (і самі файли) на інфікованому комп’ютері. На щастя, існують програми, що дозволяють виявити і видалити цю інфекцію.


Хакери використовують rootkit-програми для управління і атак, а також для збору інформації з систем, на які вдалося встановити rootkit – звичайно разом з вірусом або шляхом злому.


Звичайні rootkit-програми, як правило, після інсталяції працюють непомітно, у фоновому режимі, але легко виявляється шляхом перегляду активних процесів, обміну даними з зовнішнім середовищем і перевірки встановлюються програм.


Однак rootkit-програми, що діють на рівні ядра операційної системи, змінюють саме ядро ​​або компоненти ОС. Крім того, їх набагато важче виявити.


Зокрема, деякі rootkit втручаються в системні запити, що передаються ядру операційної системи, і скасовують ті з них, що стосуються rootkit-програм. Зазвичай це призводить до того, що відомості про програму або апаратної конфігурації стають невидимими для адміністратора або утиліт пошуку шкідливого ПЗ.


Вперше rootkit-програми з’явилися і набули поширення в Linux і UNIX. Як випливає з їхньої назви, вони дозволяють хакеру отримати доступ на рівні root – вищий рівень адміністративних привілеїв. Найнебезпечніший вид rootkit – кошти перехоплення натискань клавіш, що дозволяють дізнаватися реєстраційні дані і паролі користувачів.


Засоби боротьби з rootkit


Більшість програмних детекторів, в тому числі антивіруси, антишпигуни і IDS (Intrusion Detection Sensors – датчики вторгнень) нездатне виявити rootkit-програми ядра.


Стратегій розпізнавання rootkit ядра на інфікованому комп’ютері мало, так як кожен rootkit веде себе по-своєму і по-своєму замітає сліди.


Іноді вдається виявити rootkit ядра, перевіряючи інфіковану систему з іншого комп’ютера по мережі. Ще один метод – перезавантажити комп’ютер з Windows PE, Скороченої версією Windows XP, що запускається з компакт-диска, і порівняти профілі чистою і інфікованої операційних систем.


У Windows з rootkit-файлами добре справляється безкоштовна утиліта RootkitRevealer (www.sysinternals.com), яка відшукує файли і ключі системного реєстру, які можуть мати відношення до rootkit. Однак програма RootkitRevealer не захищена “від дурня”: далеко не всі знайдені нею об’єкти є шкідливими. Для того щоб ефективно використовувати RootkitRevealer, необхідно правильно трактувати надану нею інформацію.


RootkitRevealer не видаляє і не блокує виявлені rootkit, і навіть не може точно сказати, чи є виявлений файл частиною rootkit. Але якщо програма виявила щось, чого на цьому місці бути не повинно, і антивірус не в змозі це видалити – висока ймовірність, що ви знайшли те, що шукали.


RootkitRevealer повинна працювати в повній самоті: користувачеві рекомендується відключити всі інші програми, у тому числі фонові і ті, що включаються автоматично, такі як хранитель екрану, відкласти мишку, відійти від комп’ютера і дозволити RootkitRevealer зробити свою справу.


Якщо паралельно з RootkitRevealer на комп’ютері буде працювати щось ще, системного збою не відбудеться, але пошук буде порушений, і результати можуть бути неточними.


Результатом роботи RootkitRevealer є список файлів, в число яких потрапляють метадані NTFS для кожного розділу диска. Ці файли створюються при нормальній роботі Windows, і не завжди є ознакою наявності rootkit. Деякі розбіжності цілком допустимі. Наприклад, перші 10-20 результатів можуть мати вигляд звичайних ключів системного реєстру, але навпаки них має стояти Access denied. Це звичайні результати для нормальної системи, незалежно від наявності в ній rootkit.


Але файли з позначкою Hidden from Windows API, – це привід для занепокоєння. Такі файли можуть перебувати в тимчасових папках, папці Windows або ще де-небудь на диску. Якщо вам зустрінуться такі файли, спробуйте перейти до них за допомогою Windows Explorer (Провідника) і перевірити: видимі чи вони там? Втім, і це не можна вважати прямою доказом. Наприклад, технології приховування файлів використовують такі корисні програми, як антивірус Касперського.


Набагато підозріліше програми з довгими іменами файлів, що складаються з довільного набору букв і цифр. При виявленні таких файлів рекомендується оновити антивірус і виконати якомога більш ретельну перевірку комп’ютера.


Менш досвідчені користувачі можуть вдатися до допомоги антивірусного сканера F-Secure BlackLight (www.f-secure.com/blacklight), який виявляє і знешкоджує rootkit-файли. Незважаючи на спартанський дизайн, це досить серйозна програма.


Якщо ж усунути rootkit ядра не вдається, залишається останній засіб – форматування інфікованого диска і переустановка операційної системи.


На закінчення відзначимо, що, хоча вперше rootkit з’явилися в Linux і UNIX, сьогодні їх найулюбленіша середу – Windows. Такий популярностостью вона зобов’язана не тільки широкому розповсюдженню, але і наявності в ній потужних API (Application Programming Interfaces – програмних інтерфейсів програми), завдяки яким легко замаскувати справжню поведінку системи. Популярний Web-браузер Internet Explorer тільки спрощує задачу проникнення в систему хакерів, вірусів і електронних черв’яків, які часто є носіями rootkit-коду.


                                                                                        PC World

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*