Признаки присутствия вредоносных программ - Безопасность - Каталог статей

Компьютерный вирус — это небольшая программа, способная без ведома пользователя и вопреки его желанию самопроизвольно размножаться (саморепликация) и распространяться, нарушая работоспособность программного обеспечения компьютера.

Уголовный кодекс Российской Федерации впервые в отечественной практике установил уголовную ответственность за создание, использование и распространение вредоносных программ для ЭВМ (ст. 273).

Наказуемым является «создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами».

Сам термин «Компьютерный вирус» в окончательную редакцию УК РФ не попал, хотя он присутствовал в проекте УК, отклоненном Президентом РФ.

На сегодняшний день известно очень много компьютерных вирусов.

Существует много разных версий относительно даты рождения первого компьютерного вируса. Однако большинство специалистов сходятся на мысли, что компьютерные вирусы, как таковые, впервые появились в 1986 году, хотя исторически возникновение вирусов тесно связано с идеей создания самовоспроизводящихся программ.

Одним из «пионеров» среди компьютерных вирусов считается вирус «Brain», созданный пакистанским программистом по фамилии Алви. Только в США этот вирус поразил свыше 18 тысяч компьютеров. В начале эпохи компьютерных вирусов разработка вирусоподобных программ носила чисто исследовательский характер.

Вирусы действуют только программным путем. Они, как правило, присоединяются к файлу или проникают в тело файла. В этом случае говорят, что файл заражен вирусом. Вирус попадает в компьютер только вместе с зараженным файлом. Для активизации вируса нужно загрузить зараженный файл, и только после этого, вирус начинает действовать самостоятельно.

Некоторые вирусы во время запуска зараженного файла становятся резидентными (постоянно находятся в оперативной памяти компьютера) и могут заражать другие загружаемые файлы и программы. Другая разновидность вирусов сразу после активизации может быть причиной серьезных повреждений, например, форматировать жесткий диск. Действие вирусов может проявляться по-разному: от разных визуальных эффектов, мешающих работать, до полной потери информации.

Большинство вирусов заражают исполнительные программы, то есть файлы с расширением .EXE и .COM. В последнее время наибольшую популярность приобретают вирусы, распространяемые через систему электронной почты.

Неспециалисты к компьютерным вирусам иногда причисляют и другие виды вредоносных программ, такие как трояны, программы-шпионы и даже спам.

В данной статье речь пойдет о вредоносных программах.

В идеале обнаружением присутствия вредоносных программ на компьютере должны заниматься антивирусы — специальные программы, способные быстро и эффективно не только обнаруживать, но и обезвреживать вредоносные программы. Однако известно, и тому есть объективные причины, что ни один антивирус не обеспечивает полную защиту от всех вредоносных программ. Следовательно, хоть и маловероятно, но возможно заражение компьютера, даже если на нем установлено антивирусное программное обеспечение. При отсутствии последнего, вероятность проникновения на компьютер вредоносных программ многократно возрастает.

Если компьютер заражен неизвестным вирусом, обычной практикой является самостоятельное обнаружение подозрительных файлов и отправка их на исследование в одну или несколько антивирусных компаний, как правило, в ту, антивирус которой установлен на компьютере. Там эти файлы анализируют и при выявлении действительно неизвестного вируса или модификации вируса, выпускается обновление антивирусных баз, позволяющее обнаруживать и удалять этот вирус.

Но чтобы отправить подозрительные файлы на анализ, нужно сначала эти файлы найти. А чтобы всерьез заняться поиском, нужно иметь основания для подозрений в том, что компьютер заражен. Для этого нужно знать, какие особенности функционирования компьютера могут быть проявлениями вредоносных программ.

Виды проявлений

Не все вредоносные программы стремятся скрыть свое присутствие на компьютере. Некоторые ведут себя весьма активно: выводят на экран сообщения, открывают страницы веб-сайтов и т.п. Такие проявления логично назвать явными.

Другие вредоносные программы специальных сообщений не выводят, но могут провоцировать разного рода сбои в работе компьютера или прикладных программ. Например, одним из признаков попытки проникновения червя «Sasser» является появление на экране сообщения о сбое в процессе lsass.exe, в результате чего система будет перезагружена. Сейчас для примера спровоцируем данное событие:

Сообщение будет отличаться, а именно в нем будет фигурировать lsass.exe, но смысл останется прежним, система будет перезагружена. На сохранение и завершение работы компьютера отводится минута времени.

Справочная информация: Компьютерный вирус Sasser — почтовый червь, эпидемия которого началась 30 апреля 2004 года.

В течении нескольких дней вирус «заразил» порядка 250 тысяч компьютеров по всему миру 3-ий по величине банк Финляндии вынужден был закрыть на несколько часов 120(!) своих офисов, пока в системе устанавливали заплаты. Когда червь проникал в машину, он сканировал интернет для поиска других компьютеров с незакрытой «дырой» и рассылал им вирус. Но особого вреда вирус не причинял — он только перезагружал компьютер. (И всего-то…)

К поиску червя подключилось специальное кибберагенство ФБР. А главная жертва корпорация Microsoft назначила цену 250.000$ за «голову» злоумышленника. Им оказался ученик средней школы Свен Яшан из немецкого города Роттенбурга. Его поймали прямо за компьютером, на жестком диске которого и оказался вирус. Правда через несколько часов появилась новая версия вируса Sasser. ФБР утверждает, что Свен Яшан действовал не один. По делу Яшана возбуждено уголовное дело…

…19-летний житель немецкого города Ротенбург Свен Яшан по итогам завершившихся судебных слушаний приговорен к условному тюремному сроку в 1 год и 9 месяцев, сообщает BBC News. Как известно, Яшан обвиняется в создании нескольких компьютерных вирусов, которые стали причиной целого ряда глобальных эпидемий, нанесших мировой экономике ущерб на многие миллионы долларов. Наибольшую известность получили вирусы Sasser и NetSky, видоизмененные варианты которых до сих пор циркулируют в Сети и занимают места в верхних позициях вирусных рейтингов.

Суд признал Яшана виновным в промышленном саботаже и неправомерном модифицировании программных продуктов. От тюрьмы его спасло только то, что на момент совершения преступлений, в которых он ранее чистосердечно признался, ему было 17 лет, то есть он являлся несовершеннолетним.

Как известно, в свое время за информацию об авторах Sasser и NetSky компания Microsoft, производящая ОС Windows, «дыры» в которой эксплуатировали эти вирусы, назначала награду в 250 тысяч долларов. Предположительно, это помогло полиции выйти на Яшана и задержать его :) В ходе расследования, не дожидаясь суда, Яшана взяла на работу специализирующаяся на компьютерной безопасности немецкая фирма Securepoint.

Далее, многие вредоносные программы пытаются отключить или полностью удалить антивирус, другие блокируют доступ к веб-серверам антивирусных компаний, чтобы сделать невозможным обновление антивирусных баз. Соответственно, если антивирус вдруг ни с того, ни с сего перестал запускаться, либо перестали открываться сайты антивирусных компаний при том, что в целом доступ в Интернет работает нормально, это могут быть проявления вирусов. Такого рода проявления будут называться косвенными.

Наконец, есть вирусы, которые никак не выдают своего присутствия на компьютере, не выводят сообщений и не конфликтуют с другими приложениями. Их проявления незаметны на первый взгляд и могут состоять в наличии дополнительных процессов в памяти, в сетевой активности, в характерных изменениях системного реестра Windows. Такие проявления будут называться скрытыми.

Таким образом, проявления вредоносных программ можно условно разбить на три группы по тому, насколько легко их обнаружить:

Явные — вредоносная программа самостоятельно проявляет заметную активность.

Косвенные — другие программы начинают выводить сообщения об ошибках или вести себя нестандартно из-за присутствия на компьютере вируса.

Скрытые — ни явных, ни косвенных проявлений вредоносная программа не имеет.

Обсудим все три группы проявлений подробнее и на конкретных примерах.

ЯВНЫЕ ПРОЯВЛЕНИЯ

Характерны для троянских и в особенности для рекламных программ. Это и понятно, т.к. основным признаком вирусов и червей является способность к заражению, для реализации которой необходимо время. Если сетевой червь при проникновении на компьютер сразу же себя обнаружит, пользователь сможет отключить компьютер от сети, воспрепятствовав дальнейшему распространению вредоносной программы.

Напротив, троянские программы пишутся для выполнения какой-то конкретной вредоносной функции и скрытность им нужна в большей степени на этапе проникновения. Впрочем, все зависит от типа «трояна». С рекламными модулями все совсем просто: их основная цель — привлечение внимания к объекту рекламы (веб-сайту, программе и др.), а привлечь внимание, значит обнаружить свое присутствие.

Справочная информация: Троянская программа (она же «троян», она же «троянец», она же «троянский конь», она же «трой») — вредоносная программа, проникающая на компьютер под видом безвредной — кодека, скринсейвера, хакерского ПО и т.д.

«Троян» не имеют собственного механизма распространения, и этим отличаются от вирусов, которые распространяются, прикрепляя себя к безобидному ПО или документам, и «червей», которые копируют себя по сети. Впрочем, троянская программа может нести вирусное тело — тогда запустивший «троянца» превращается в очаг «заразы».

Троянские программы крайне просты в написании: простейшие из них состоят из нескольких десятков строк кода на Visual Basic или C++.

Название «троянская программа» происходит от названия «троянский конь» — деревянный конь, по легенде, подаренный древними греками жителям Трои, внутри которого прятались воины, впоследствии открывшие завоевателям ворота города. Такое название, прежде всего, отражает скрытность и потенциальное коварство истинных замыслов разработчика программы.

В настоящее время явные проявления, как правило, так или иначе связаны с сетью Интернет. Перечислим явные проявления:

Изменение настроек браузера

Изменение стартовой страницы браузера, изменение стандартной страницы поиска, несанкционированное открытие новых окон, ведущих на определенные сайты — все это может быть следствием присутствия в системе вредоносной программы.

Иногда к аналогичным эффектам может приводить выполнение вредоносного скрипта на одном из посещенных сайтов. В таком случае новые программы на компьютер не проникают, а настройки браузера с большими или меньшими усилиями можно восстановить и полностью решить проблему. Во всяком случае до следующего посещения сайта с вредоносным скриптом.

Если же после восстановления настроек они снова меняются при следующем запуске браузера или после перезагрузки компьютера, значит причина изменений — наличие на компьютере вредоносной программы.

Подобное поведение характерно для рекламных модулей, принудительно завлекающих пользователей на сайт, рекламирующий какую-либо продукцию. А также для троянских программ, которые направляют пользователя на сайты, содержащие другие вредоносные программы.

Всплывающие и другие сообщения

После установки в системе троянская или рекламная программа выводит на экран сообщения о том, что на компьютере обнаружены вредоносные или рекламные программы. Такие сообщения обычно сделаны похожими на стандартные служебные сообщения Windows и снабжены гиперссылками или кнопками для перехода на веб-сайт, с которого якобы можно загружать программу для обнаружения и удаления нежелательных модулей.

Несмотря на то, что проявления достаточно явные — сообщения на экране, в силу их маскировки под служебные сообщения, пользователь не всегда догадывается, что это результат работы вредоносных программ и в результате попадает на те же рекламные или вредоносные сайты, но уже сам.

Несанкционированный дозвон в интернет

Не так давно получили распространения особые вредоносные программы — утилиты дозвона. Эти утилиты без санкции пользователя и игнорируя настройки пытаются установить модемное соединение с интернетом через дорогую телефонную линию или дорогого провайдера. В результате владелец компьютера получает счет на внушительную сумму.

Следовательно, признаком заражения может быть несанкционированные попытки компьютера соединиться с интернетом по модему.

КОСВЕННЫЕ ПРОЯВЛЕНИЯ

В отличие от явных проявлений, косвенные проявления отнюдь не всегда являются преднамеренными и нередко вызваны ошибками, допущенными автором вредоносной программы.

Блокирование антивируса

Обычно вредоносная программа проникает на защищенный антивирусом компьютер либо если антивирус был отключен, либо если это сравнительно новая вредоносная программа, для которой еще не было записи в антивирусной базе. Понятно, что в скором времени антивирус будет включен, либо вирус будет внесен в антивирусную базу, и антивирус сможет его обнаружить и обезвредить. Чтобы воспрепятствовать этому, многие вредоносные программы небезуспешно пытаются выгрузить антивирус из памяти или даже удалить файлы антивируса с дисков компьютера.

Поэтому внезапное завершение работы антивируса вполне может являться поводом для беспокойства.

Блокирование антивирусных сайтов

Поскольку выгрузка или удаление антивируса все же достаточно заметны, некоторые вредоносные программы идут другим путем и нейтрализуют только возможность обновления антивирусных средств. Если антивирусная база не будет обновляться, антивирус не сможет обнаруживать новые вирусы и станет неэффективным.

При этом вредоносные программы не блокируют доступ в Интернет целиком — это было бы слишком заметно, а только доступ к сайтам и серверам обновлений наиболее известных компаний — производителей антивирусов. В среднем, пользователи не часто заходят на сайты антивирусных компаний, а сообщения антивируса о невозможности обновиться могут списывать на проблемы у провайдера или на самих серверах обновления. Таким образом, вирус может длительное время оставаться незамеченным.

Сбои в операционной системе или в работе программ

Очень часто причиной сбоев в работе программ пользователи считают присутствие на компьютере вирусов. И хотя большинство подобных случаев на поверку оказывается ложной тревогой, вирусы действительно иногда могут быть причиной сбоев.

Кроме уже рассмотренного примера с червем «Sasser», можно еще упомянуть червь «MyDoom», вызывавший похожее сообщение об ошибке, но не в службе LSASS, а в службе DCOM/RPC.

Справочная информация: «MyDoom» (известен также как «Novarg») — почтовый червь для Microsoft Windows и Windows NT, эпидемия которого началась 26 января 2004.

Распространялся по электронной почте и через файлообменную сеть «Kazaa». Файл-носитель червя имеет размер около 28 килобайт и содержит текстовую строку «sync-1.01; andy; I’m just doing my job, nothing personal, sorry».

При заражении компьютера «MyDoom» модифицирует операционную систему, блокируя доступ к сайтам многих антивирусных компаний, новостным лентам и различным разделам сайта компании Microsoft. В период с 1 по 12 февраля «MyDoom.A» проводил DDoS-атаку на сайт Microsoft, а «MyDoom.B» — на сайт SCO Group.

За несколько дней до того SCO Group заявила, что подозревает в создании червя сторонников операционной системы GNU/Linux, в которой якобы использовался принадлежавший SCO код, и объявила награду в 250.000$ (какая-то популярная цифра у них там видимо :) за информацию, которая поможет поймать создателей MyDoom.

Кстати, Microsoft тоже 250 тысяч вечнозеленых предлагала, итого 500.000$.

Справочная информация: DDoS-атака — сокращение от Distributed Denial of Service Attack. Особенностью данного вида компьютерного преступления является то, что злоумышленники не ставят своей целью незаконное проникновение в защищенную компьютерную систему с целью кражи или уничтожения информации. Цель данной атаки — парализовать работу атакуемого веб-узла.

Первые сообщения о DDoS-атаках относятся к 1996 году. Но всерьез об этой проблеме заговорили в конце 1999 года, когда были выведены из строя веб-серверы таких корпораций, как Amazon, Yahoo, CNN, eBay, E-Trade и ряда других, немногим менее известных. Спустя год, в декабре 2000-го «рождественский сюрприз» повторился: серверы крупнейших корпораций были атакованы по технологии DDoS при полном бессилии сетевых администраторов. С тех пор сообщение о DDoS-атаке уже не являются сенсацией. Главной опасностью здесь является простота организации и то, что ресурсы хакеров являются практически неограниченными, так как атака является распределенной.

Схематически DDoS-атака выглядит примерно так: на выбранный в качестве жертвы сервер обрушивается огромное количество ложных запросов со множества компьютеров с разных концов света. В результате сервер тратит все свои ресурсы на обслуживание этих запросов и становится практически недоступным для обычных пользователей.

Циничность ситуации заключается в том, что пользователи компьютеров, с которых направляются ложные запросы, могут даже не подозревать о том, что их машина используется хакерами. Программы, установленные злоумышленниками на этих компьютерах, принято называть «зомби». Известно множество путей «зомбирования» компьютеров — от проникновения в незащищенные сети, до использования программ-троянцев. Пожалуй, этот подготовительный этап является для злоумышленника наиболее трудоемким.

Но вернемся к основному материалу статьи, другой пример косвенных проявлений, троянская программа Backdoor.NTHack, результатом присутствия которой на компьютере может быть сообщение об ошибке, возникающее при загрузке компьютера:

STOP 0x0000001e KMODE_EXCEPTION_NOT_HANDLED in win32k.sys

или

STOP 0xC000021A {Fatal System Error}

The Windows Logon Process terminated unexpectedly.

Более детальную информацию о подобных критических ошибках ОС Windows, Вы сможете получить, прочитав статью «Синий экран смерти».

Почтовые уведомления

Если компьютер заражен и рассылает инфицированные почтовые сообщения, они могут быть обнаружены на одном из серверов в Интернете и антивирус на сервере может отправить уведомление отправителю зараженного сообщения. Следовательно, косвенным признаком присутствия вируса может быть получение почтового сообщения о том, что с почтового адреса пользователя компьютера был отправлен вирус.

Впрочем, в последнее время многие вирусы подменяют адрес отправителя и получение описанного уведомления не обязательно означает, что компьютер заражен. Из-за того, что формальный адрес отправителя, указанный в почтовом сообщении, может не иметь никакого отношения к зараженному компьютеру, антивирусные программы часто вообще не отсылают уведомлений отправителям зараженных сообщений.

СКРЫТЫЕ ПРОЯВЛЕНИЯ

В отсутствие явных или косвенных проявлений о присутствии вируса можно судить, например, по необычной сетевой активности, когда ни одно сетевое приложение не запущено, а значок сетевого соединения сигнализирует об обмене данными. Другими признаками могут служить незнакомые процессы в памяти или файлы на диске.

Однако в настоящее время на компьютерах обычно установлено так много различных программ, что большинство файлов и процессов неизвестны обычному пользователю. В то же время поиск скрытых проявлений это уже фактически поиск тех самых подозрительных файлов, которые нужно отправить на анализ в антивирусную компанию.

Где искать «подозрительные» файлы?

Как видно, ни косвенные, ни даже явные проявления не могут служить основанием для уверенности в том, что компьютер заражен. Всегда существует вероятность, что наблюдаемый эффект не является результатом действий вируса, а вызван обычными ошибками в используемых программах или же вредоносными скриптами, которые не оставили никаких файлов на компьютере.

Для того чтобы подозрения переросли в уверенность нужно произвести дополнительный поиск скрытых проявлений вредоносных программ, имея конечной целью обнаружение файлов вредоносной программы.

Скрытые проявления включают в себя:
— наличие в памяти подозрительных процессов;
— наличие на компьютере подозрительных файлов;
— наличие подозрительных ключей в системном реестре Windows;
— подозрительная сетевая активность.

Ключевым признаком во всех случаях является атрибут «подозрительный». Что это означает? Это означает, что пользователю неизвестно назначение данного процесса, файла или ключа, и более того, информации о подозрительном объекте нет ни в документации к операционной системе, ни в открытых источниках сети Интернет.

Но прежде чем судить о подозрительности файлов и процессов, нужно сначала их выделить из общего числа и на этом имеет смысл остановиться более подробно.

1. Подозрительные процессы

Процесс — это фактически запущенный исполняемый файл. Часть процессов относится к операционной системе, часть к запущенным программам пользователя.

Чтобы получить список процессов, нужно вызвать «Диспетчер задач Windows» — стандартное средство ОС для управления процессами. В операционных системах Windows NT/2000/XP/2003 для вызова диспетчера задач нужно нажать комбинацию клавиш <Ctrl+Shift+Esc> или вызвать контекстное меню в системной панели «ПУСК» и выбрать пункт Диспетчер задач.

На закладке «Процессы» в колонке «Имя образа» содержатся имена файлов, которым соответствуют запущенные процессы. Найти информацию о неизвестном процессе можно в сети Интернет.

В Windows 98 «Диспетчер задач Windows» вызывается нажатием клавиш <Ctrl+Alt+Del> и выглядит иначе.

Вместо стандартного диспетчера задач Windows рекомендуем воспользоваться программой «Process Explorer»

«Process Explorer» — компактная, но мощная программа с удобным интерфейсом для мониторинга в режиме реального времени происходящих в системе процессов.

Выдает подробнейшую информацию обо всех запущенных процессах, включая владельца, использование памяти, задействованные библиотеки и т.д. Имеет мощную систему поиска, позволяющую искать процессы, открывающие специфический дескриптор или загружающую определенную DLL.

Кроме этого, «Process Explorer» допускает изменение приоритетов процессов и их «убийство». Работает без инсталляции, поддерживает ОС: 98/2K/XP/Vista, язык: Английский.

2. Автозапуск

Отличительным признаком большинства червей и многих троянских программ является изменение параметров системы таким образом, чтобы файл вредоносной программы выполнялся автоматически при каждом запуске компьютера. Поэтому наличие незнакомых файлов в списке файлов автозапуска также является поводом для пристального изучения этих файлов.

Где находится информация об автоматически запускаемых файлах? В множестве разных мест, и поэтому имеет смысл рассмотреть их по отдельности.

2.1. Автозагрузка в меню «ПУСК»

Наиболее известный источник файлов автозапуска — это папка Автозагрузка в меню Программы, доступном при нажатии кнопки Пуск. Ярлыки, находящиеся в этой папке соответствуют запускаемым программам. Собственно имя запускаемого файла, можно определить через свойства ярлыка.

Однако в связи с тем, что папка Автозагрузка известна большинству пользователей, вредоносные программы редко используют ее для автозапуска, предпочитая менее заметные способы.

2.2. Системный реестр Windows

В последнее время стандартным способом настройки автозапуска для большинства программ является использование специальных ключей реестра Windows.

Системный реестр Windows — это основное хранилище большинства настроек операционной системы и многих приложений. Для доступа к системному реестру используется системная утилита regedit.exe, расположенная в папке операционной системы.

В левой его части находится дерево ключей реестра, ключи изображены в виде папок. В правой части окна отображаются записи, относящиеся к выбранному ключу. В ключе могут находиться и записи — параметры настройки, и другие ключи — группы параметров настройки.

На верхнем уровне реестр делится на несколько веток (пять или шесть, в зависимости от версии Windows). C точки зрения автозапуска наиболее важны две ветки:

HKEY_CURRENT_USER — ветка ключей, относящихся к текущему пользователю, часто сокращенно обозначается как HKCU.

HKEY_LOCAL_MACHINE — ветка ключей, относящихся к компьютеру в целом, сокращается до HKLM.

Для настройки автозапуска в реестре Windows предназначено несколько ключей:

Первая группа находится в ключе HKCU\Software\Microsoft\Windows\CurrentVersion, все ключи, относящиеся к автозагрузке, начинаются с Run. Эти программы запускаются только при входе в систему текущего пользователя. В зависимости от операционной системы это могут быть ключи:

Run — основной ключ автозапуска;

RunOnce — служебный ключ для программ, которым требуется запуститься только один раз;

RunServices — ключ для запуска служб в Windows 98/Me;

Другая группа находится в ключе HKLM\Software\Microsoft\Windows\CurrentVersion, т.е. в аналогичном ключе, но в настройках, относящихся к компьютеру в целом, а значит, ко всем пользователям. Имена ключей такие же:

RunServicesOnce — служебный ключ для служб, которым требуется однократный запуск

Run

RunOnce

RunServices

RunServicesOnce

Каждая запись в ключе автозапуска соответствует одной запускаемой программе. Запись состоит из имени записи, типа записи (для параметров автозапуска тип записи — строковый, обозначается как REG_SZ) и значения, которое и является строкой запуска, т.е. включает имя исполняемого файла и параметры командной строки.

В зависимости от настроек Windows и установленных программ ключи автозапуска могут содержать множество различных строк для запуска различных программ. Поэтому все на первый взгляд подозрительные файлы нужно перепроверять — они могут оказаться вполне обычными программами.

Ни в коем случае не следует изменять настройки системного реестра наугад — это может привести к полной неработоспособности компьютера и необходимости переустанавливать операционную систему. Вносить изменения в реестр можно только будучи абсолютно уверенным в своих действиях и полностью осознавая характер и последствия производимых модификаций.

2.3. Конфигурационные файлы win.ini и system.ini

Настроить автозапуск программ можно и в системных файлах Windows — system.ini и win.ini. Эти файлы используются (преимущественно, использовались) в Windows 3.x, 9x, Me для хранения системных настроек. В Windows NT, 2000, XP аналогичные настройки перенесены в системный реестр, но старые конфигурационные файлы сохранены в целях обеспечения совместимости со старыми же программами, поэтому рассмотрим их более подробно.

Конфигурационные файлы win.ini и system.ini разбиты на секции. Название каждой секции заключено в квадратные скобки, например, [boot] или [windows].

В файле win.ini строки запуска программ выглядят так:

Load=<строка запуска>

Run=>строка запуска>

Анализируя такие строки можно понять, какие файлы запускаются при старте компьютера.

В файле system.ini есть ровно одна строка, через которую чаще всего запускаются вирусы, расположена в секции [boot]:

shell=<имя программной оболочки Windows>

Во всех версиях Windows стандартной программной оболочкой является explorer.exe. Если в строке shell= указано что-то отличное от explorer.exe, это с большой вероятностью вредоносная программа. Справедливости ради, нужно отметить, что существуют легальные программы, являющиеся альтернативными программными оболочками Windows. Такие программы могут изменять значение параметра shell в файле system.ini.

В Windows NT, 2000, XP и 2003 параметры стандартной оболочки задаются в реестре, в ключе HKLM\Software\Microsoft\Windows NT\CurrentVersion\WinLogon в параметре shell. Значение этого параметра также в подавляющем большинстве случаев должно быть explorer.exe.

2.4. Другие источники

Вместо того чтобы собирать информацию об автоматически запускаемых приложениях из разных источников, можно воспользоваться системной утилитой msconfig.exe. Эта утилита входит в состав Windows 98, Me, XP и 2003 и предоставляет сводную информацию обо всех источниках объектов автозапуска.

На закладке «Автозагрузка» собраны данные о запускаемых программах из реестра и меню Пуск. В колонке Элемент автозагрузки приводится имя записи в реестре или имя ярлыка в меню Пуск. В колонке Команда — строка запуска программы, в колонке Расположение — ключ реестра, в котором расположена соответствующая запись, или Common Startup — для ярлыков меню Пуск.

Данные о настройках файлов system.ini и win.ini расположены на одноименных закладках. Кроме этого имеется закладка «Службы», содержащая информацию о запускаемых службах в Windows XP.

Службы — это служебные компоненты Windows или прикладных программ, которые запускаются при старте компьютера, еще до того, как пользователь вошел в систему. Службы отвечают, например, за вывод на печать, за обнаружение новых устройств, за обеспечение сетевого взаимодействия компьютеров и т.п. Но в качестве служб могут регистрироваться и некоторые вредоносные программы.

В то же время, обращаться со службами нужно не менее осторожно, чем с настройками реестра. Отключение важных служб может привести к тому, что компьютер вообще не загрузится.

3. Сетевая активность

Вредоносные программы могут проявляться не только в виде подозрительных процессов или файлов автозапуска, но и в виде сетевой активности. Черви используют сеть для распространения, троянские программы — для загрузки дополнительных компонентов и отсылки информации злоумышленнику.

Некоторые типы троянских программ специально предназначены для обеспечения удаленного управления зараженным компьютером. Для обеспечения доступа к компьютеру по сети со стороны злоумышленника они открывают определенный порт.

Что такое порт?

Как известно, каждый компьютер обладает IP-адресом, на который этому компьютеру можно передавать данные. Но если на компьютере имеется несколько программ, работающих с сетью, например, почтовый сервер и веб-сервер, как определить, какие данные какой программе предназначены?

Для этого и используются порты. За каждой программой, ожидающей данные из сети закрепляется определенное число — номер порта, а данные, пересылаемые на компьютер, кроме адреса компьютера содержат также и номер порта, чтобы было понятно, какая программа должна получить эти данные.

Как правило, похожие по назначению программы используют одни и те же порты для приема соединений. Почтовый сервер использует порт 25 для приема исходящих писем от почтовых клиентов. Веб-сервер использует порт 80 для приема соединений от браузеров. Впрочем, никаких принципиальных ограничений на использование портов нет, кроме того, что две программы не могут использовать один и тот же порт.

Аналогично почтовому серверу, вредоносные программы для приема команд или данных от злоумышленника используют определенный порт, постоянно ожидая сигналов на этот порт. В таких случаях принято говорить, что программа «слушает порт».

Определить, какие порты «слушаются» на компьютере можно при помощи команды netstat -n. Для ее выполнения сперва нужно запустить командную оболочку. В случае Windows NT, 2000, XP и 2003 она запускается командой cmd.exe, а в Windows 98 и Me — command.com. Для запуска используются команды «Выполнить…» в меню «ПУСК».

После выполнения в командной оболочке команды netstat -a в том же окне отображаются данные об установленных соединениях и открытых портах (тех, которые «слушаются»).

Результатом выполнения команды является список активных подключений, в который входят установленные соединения и открытые порты.

Открытые TCP-порты обозначаются строкой LISTENING в колонке состояние. Часть портов связана с системными службами Windows и отображается не по номеру, а по названию epmap, microsoft-ds, netbios-ns. Порты, не относящиеся к стандартным службам, отображаются по номерам.

UDP-порты обозначаются строкой UDP в колонке «Имя». Они не могут находиться в разных состояниях, поэтому специальная пометка LISTENING в их отношении не используется. Как и TCP-порты, они могут отображаться по именам или по номерам.

Для обмена данными между компьютерами могут использоваться различные протоколы, т.е. правила передачи информации. Понятие портов связано с использованием протоколов TCP и UDP. Не вдаваясь в подробности, стоит отметить, что в большинстве случаев применяется протокол TCP, но UDP также необходим для работы ряда служб и поддерживается всеми современными операционными системами.

Порты, используемые вредоносными программами, чаще всего являются нестандартными и поэтому отображаются согласно их номерам. Впрочем, могут встречаться троянские программы, использующие для маскировки стандартные для других приложений порты, например 80, 21, 443 — порты, используемые на файловых и веб-серверах.

Просто обнаружить неизвестные системе (и пользователю) порты мало. Нужно еще узнать, какие программы используют эти порты. Команда netstat не позволяет этого сделать, поэтому потребуется воспользоваться сторонними утилитами, например, замечательной утилитой TCP View. Эта утилита отображает более полную информацию о подключениях, включая данные о процессах, слушающих порты.

Как несложно заметить, утилита TCPView отображает те же данные, что и команда netstat -a, но дополняет их информацией о процессах.

Итак, что же делать с результатами поиска?

По результатам анализа процессов, параметров автозагрузки и соединений получен список подозрительных с точки зрения пользователя процессов (имен файлов). Для неопытного пользователя неизвестных, а значит, что подозрительных имен файлов может оказаться слишком много, поэтому имеет смысл выделить наиболее подозрительные из них — те, которые были обнаружены в двух и более источниках. Например, файлы, которые присутствуют в списке процессов и в списке автозагрузки. Еще более подозрительными являются процессы, обнаруженные в автозагрузке и слушающие порты.

Для выяснения природы подозрительных процессов проще всего использовать Интернет. В глобальной сети имеются сайты, собирающие информацию о различных процессах. Данных по всем процессам вредоносных программ на таких сайтах может и не быть, но во всяком случае на них есть информация о большом количестве неопасных процессов и таким образом можно будет исключить из списка те процессы, которые относятся к операционной системе или известным не вредоносным программам. Одним из таких сайтов является:

http://localhost:3232/external/?popup=0&url=http%3A%2F%2Fwww.processlibrary.com

После того, как список подозрительных процессов максимально сужен и в нем остались только те, о которых нет исчерпывающей и достоверной информации, остается последний шаг, найти эти файлы на диске и отправить на исследование в одну из антивирусных компаний для анализа.

В качестве завершения, приведем короткую справку с сайта Microsoft, в которой перечислены основные признаки наличия вирусов на компьютере.

«…

Вот несколько основных признаков того, что компьютер может быть заражен вирусом:

• Компьютер работает медленнее, чем обычно;

• Компьютер перестает отвечать на запросы и часто блокируется;

• Каждые несколько минут происходит сбой и компьютер перезагружается;

• Компьютер самопроизвольно перезагружается и после этого работает со сбоями;

• Установленные на компьютере приложения работают неправильно;

• Диски или дисководы недоступны;

• Не удается выполнить печать;

• Появляются необычные сообщения об ошибках;

• Открываются искаженные меню и диалоговые окна.

…»

Кстати, на сайте Microsoft вы можете скачать средство удаления вредоносных программ Microsoft.

И, напоследок, дополним список признаков:

· вывод на экран монитора компьютера неожиданных сообщений или изображений, не запланированных действиями пользователя или действиями программ работающих в данный момент;

· подача произвольных звуковых сигналов;

· произвольный запуск программ;

· сообщение сетевого экрана, если такой есть в наличии, о несанкционированном обращении незнакомых программ к ресурсам в сети;

· друзья или знакомые сообщают вам о получении писем от вас, которые вы не отправляли;

· друзья или знакомые жалуются, что вы присылаете им письма с вирусами;

· на ваш почтовый ящик приходит много писем без обратного адреса или заголовка;

· на ваш почтовый ящик приходят письма с отчетом о не доставки до адресата, так как такого адреса не существует или ящик переполнен;

· компьютер часто зависает, присутствуют постоянные сбои при работе программ;

· компьютер медленно работает при запуске некоторых программ;

· компьютер зависает на несколько секунд, потом работа продолжается в обычном режиме;

· операционная система загружается долго или вообще не грузится;

· пропадают файлы или каталоги;

· искажается информация в некоторых файлах или каталогах;

· неожиданно появляются файлы или каталоги со странными именами;

· компьютер часто обращается к жесткому диску, хотя ни какие программы не запускались и в данный момент не функционируют;

· постоянное обращение к дисководу (будет слышен характерный «треск»);

· самопроизвольно открывается/закрывается лоток привода CD-ROM;

· без видимых причин перестал открываться «Диспетчер задач Windows»;

· запрет на изменение настроек операционной системы и/или учетной записи администратора;

· интернет-браузер ведет себя странным образом, часто зависает, самостоятельно изменяется стартовая страница, спонтанно открываются несанкционированные страницы, предлагает загрузить файл из Интернета.