В Интернете широко распространена практика установки на компьютер пользователя определенных программ без его ведома. Иногда их действия просто надоедливы (например, перенаправление стартовой страницы обозревателя на определенные ресурсы Сети в целях рекламы последних), иногда такие программы собирают информацию с локального компьютера и отсылают ее в Сеть (например, о предпочтениях пользователя при посещениях сайтов или передача злоумышленнику данных, вводимых пользователем при работе с сайтами интернет-банков и т. п.).

Часть таких программ обнаруживается системами защиты, и их работа блокируется. Но многие программы не детектируются как вирусы, поскольку их действия часто идентичны типовым операциям пользователя. Обнаружить программы-трояны весьма сложно. Поэтому важно периодически осуществлять контроль запущенного на компьютере программного обеспечения.

Существует специальный класс программ, специализированных на поиске троянов. В качестве примера можно привести Ad-aware от компании LavaSoft, которую можно найти на сайте http ://www.lavasoftusa.com/. Такие программы ориентированы на поиск следов троянов (ключей в реестре, записей на жестком диске и т. п.) и особенно полезны при выезде администратора в другую организацию для осуществления технической поддержки. Объем файлов установки позволяет быстро загрузить их из Сети и оперативно очистить компьютеры клиентов от вредоносных кодов в случае обнаружения непредвиденных действий и т. п.

В качестве превентивных мер можно рекомендовать чаще осуществлять проверку электронных подписей защищенных файлов системы, с помощью групповой политики повысить до максимума уровень безопасности офисных программ и обозревателя, разрешить выполнение только подписанных электронной подписью сценариев и т. п.

Поскольку администраторам достаточно часто приходится самостоятельно заниматься поиском троянских программ, опишем основные способы их автоматического запуска.

Вредоносный код может быть запущен, используя:

файлы autoexec.bat, config.sys: вариант используется нечасто, поскольку новые операционные системы обычно не учитывают параметры этих файлов;

файл win.ini: хотя этот файл сохраняется в целях обратной совместимости, но включение программ в строки run и load позволяет обеспечить их запуск системой;

папку Автозагрузка для всех пользователей и профиля данного пользователя: достаточно просто проверить содержимое данной папки, чтобы обнаружить такую программу;

ключи реестра, описывающие автоматически загружаемые программы1:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce

HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices

HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load

Порядок загрузки программ из этих ключей следующий:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices <Logon Prompt>

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce HKLM\Software\Microsoft\Windows\CurrentVersion\Run HKCU\Software\Microsoft\Windows\CurrentVersion\Run StartUp Folder

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

Администратор домена через групповую политику при старте системы может отключить автоматический запуск программ, определенный в параметрах Run и RunOnce. Для этого используется ветвь Конфигурация компьютера | Административные шаблоны | System | Logon | с параметрами Do not process... и аналогичная ветвь для пользовательской части политики. Одновременно необходимые программы могут быть назначены для автозагрузки через параметр групповой политики. Эти значения записываются на компьютере в ветвях

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

Browser Helper Object (BHO): в Windows имеется возможность встраивать в Internet Explorer специально разработанные программы, призванные расширить функциональность обозревателя. Поскольку данные программы имеют практически неограниченные права доступа к локальной системе, хакеры часто используют эту технологию для отслеживания действий пользователя, для показа рекламы или перенаправления на порносайты и т. п.

Эти программы подключаются через ветвь реестра по их GUID

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Obj ects

Поскольку среди таких программ присутствуют и "полезные" расширения, то при анализе системы необходимо найти в реестре программу, зарегистрировавшую данный GUID. Помочь в быстром поиске BHO могут такие утилиты, как HijackThis (http://www.spywareinfo.com/~merijn/files/hijackthis.zip);

некоторые другие ключи, которые обычно не приводятся при описании возможных вариантов автозапуска программ, однако возможность использования которых также нельзя исключать:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell

HKCU\Software\Policies\Microsoft\Windows\System\Scripts HKLM\Software\Policies\Microsoft\Windows\System\Scripts HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs

Примечание Автору не раз приходилось сталкиваться с ситуациями, когда запуск вредоносного кода тщательно маскировался: зараженная программа создавала ничем не выделяющийся процесс, который и пытался активизировать собственно вирус. В подобных случаях помогут утилиты, отображающие иерархию процессов системы (рис. 9.19).

Программа Process Explorer позволяет увидеть иерархию запущенных в системе процессов

Рис. 9.19. Программа Process Explorer позволяет увидеть иерархию запущенных в системе процессов

запуск программ через назначения в расписании: вариант запуска, легко обнаруживаемый простым просмотром назначенных заданий;

ActiveX - вариант используется не так часто, поскольку в современных ОС для установки ActiveX требуется явное согласие пользователя при наличии у модуля электронной подписи. Кроме того, в любой момент можно просмотреть установленные модули (Свойства обозревателя | вкладка Общие | Параметры | кнопка Просмотр объектов) и удалить ненужные;

службы и драйверы - установленный в виде нового драйвера или службы сторонний код обычно трудно обнаружить, поскольку пользователю системы необходимо точно знать собственную настройку и список драйверов устройств. На пример, таким способом устанавливалась одна из версий защиты компакт-диска от копирования. Кроме того, злоумышленники могут скрыть исполняемый код из отображаемых процессов системы, тем самым не давая повода сомневаться в надежности системы. Обнаружить такой код крайне сложно. Нужно использовать специализированные средства (если программа защиты хоста не блокирует код) по обнаружению руткитов, например, RootkitRevealer - http://technet. microsoft.com/ru-ru/sysinternals/bb897445.

Примечание Руткит (rootkit) - это программа, использующая технологии маскировки своих файлов и процессов. Эта технология широко используется и не только злоумышленниками. Например, антивирусная программа (Kaspersky Antivirus) использует эту технологию для сокрытия своего присутствия при чтении NTFS-данных.

Защита от вторжений | Самоучитель системного администратора | Генерация списка автозагружаемых программ


Самоучитель системного администратора



Новости за месяц

  • Ноябрь
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс