| RSS



Меню

Bookmark and Share


Статистика
Ваш IP: 3.15.223.129
Вы используете: v





Сейчас на сайте:

Тех поддержка ->

Облако тэгов
ОС видио Tor Обратная сторона антенна 4.6 PHP Эксплоит Windows Server 2008 qip Virtual chroot kernel proc sysctl tune FreeBSD bridge Boot Disk Bluetooth GEO game directx Emulator Python Shell DDoS червь Conficker вирус троян Лаборатория Касперского пиратство apple iPhone ИТ-отрасль Щеголев Microsoft экономический кризис Twitter социальная сеть анонимность Лицензия Open Source ASP.NET MVC уязвимость MySQL база данных файлообмен закон франция пират Skype мобильный Deutsche Telekom Хакер киберпреступник Trend Micro кибератака Германия робот утечка данных персональные данные ноутбук интернет Китай цензура ядро Linux Торвальдс Windows Vista Acer Linux патент браузер Firefox Internet Explorer Opera Net Applications Safari Intel Linux Foundation Moblin Oracle патч банкомат кардер HSM IBM X-Force Cofee сша кибервойна Эстония Dell ИТ-специалист хакерские атаки Pirate Bay контроль кибербезопасность язык программирования The Pirate Bay Пиратская партия утечка информации приговор Mozilla Chrome безопасность Госдума СМИ Windows 8 Баллмер взлом Пентагон ботнет Украина Facebook Cisco cloud Windows XP нетбук торрент музыка биометрический nokia ФБР IP-адрес CIPAV Comcast sms RSA java Google CAPTCHA Symantec спам конфиденциальная информация инсайдер Perimetrix антивирус тест Anti-Malware Windows 7 операционная система Windows провайдер авторское право RapidShare UNIX свиной грипп шантаж дети EFF BluWiki копирайт экстремизм Panda Security cloud computing McAfee Cybercrime Response Unit Bottle Domains HTTPS ICANN студент шпионское ПО Норвегия школьник New York Times XSS YouTube Warner Music кибершпионаж КНДР Ubuntu свободное ПО AMD ATI касперский Россия РФ сервер хостинг фальшивый антивирус Comodo CA Wi-Fi D-Link суд пароль блог фишинг Одноклассники медведев контрафакт мошенник штраф Sony GPS по Gumblar JAVASCRIPT хакеры вредоносное ПО Yahoo ФАС компьютер Софт MPAA кибероружие PandaLabs Red Hat Минкомсвязи сбой ASUSTeK Computer мошенничество Доктор Веб ВКонтакте Cyber-Arc исходный код PCI DSS МВД фильтр порнография BREIN свобода слова Казахстан GEMA Autodesk сисадмин Gmail кредитная карта кибермошенник LiveJournal шифрование криптография Deep Purple банк нанотехнологии Wikipedia zero-day ColdFusion выборы кража данных DNS BIND Android BASIC атака Black Hat Mac OS X Click Forensics Clampi домен фсб Прокуратура Уголовное дело icq Barrelfish киберпреступность Sophos AT&T ошибка Electa Gamma Knife OpenBSD DARPA военные Сайт Visual Studio 2010 .NET Framework 4 Chrome OS электронная почта турция конференция спамер FTC полиция российская ОС Koobface Великобритания БЕЛОРУССИЯ грузия BSA Bittorrent облачные вычисления Azure Европа Dr.Web Билл Гейтс спецслужбы Cryzip Живой Журнал Royal Bank of Scotland смартфон Canonical Pwn2Own F-Secure Symbian Hotmail фильм

Главная » Статьи » Общие Статьи

Как я подхватил троянца
Ну вот и я попался ;-( В один прекрасный день, при запуске "проводника" (explorer.exe) мой Cisco Security Agent "ругнулся" на то, что "проводник" пытается установить соединение с 80-м портом IP-адреса 85.255.118.26. В логе это выглядело следующим образом:

"04.02.08 21:21:05: The process 'C:\WINNT\explorer.exe' (as user xxx) attempted to initiate a connection as a client on TCP port 80 to 85.255.118.26 using interface yyy. The operation was denied."

Ситуация не такая страшная, т.к. Cisco Security Agent (CSA) не дал вредоносной программе (тогда я еще не знал какой) совершить свое черное дело. Меня смутило другое - установленный у меня антивирус McAfee, работающий в реальном времени, ничего не показал. Причем уже не первый раз. В отличие от CSA, который ловит почти все (правда не говорит, что поймал). В сентябре антивирус не словил попытку подсадить мне троянца через сайт издательства "Бином" (подробнее тут) - только CSA защитил меня от этой напасти.

И вот в данном инциденте меня эта ситуация малость напрягла, т.к. сам антивирус обновляется регулярно и автоматически. Чтобы посмотреть, не пропускает ли что-нибудь его онлайновый движок, я запустил сканирование всего диска и процессов в памяти. Прошло 3 часа (все-таки 100 тысяч файлов на диске) - результата ноль. Но CSA каждый раз ругается на explorer.exe. И вот в тот же день "заглючил" также регулярно обновляемый и корректно настроенный Internet Explorer. При клике на некоторые линки он либо перекидывал меня на "левые" сайты, либо просто открывал новые окна IE и пытался показать мне какую-то рекламу. Это меня стало напрягать еще сильнее.

Тогда я решил прошерстить свой ноут другим антивирусом. Т.к. ставить на свой комп нелицензионный софт я не мог, да и возможны были конфликты антивирусных движков, я пошел по старинке на сайт Symantec и запустил Symantec Security Check. Это антивирусный онлайн-сканер, который работает путем установки на компьютер ActiveX-компонента, который и сканирует мой жесткий диск и другие ресурсы. После двух часов работы результат был таков - был найден один adware, который я самостоятельно и удалил. Но ситуацию это не изменило - CSA ругался, а IE открывал подозрительные сайты. Тогда я установил на свой комп свободно распространяемое ПО - "Spybot - Search & Destroy". Он нашел у меня еще тройку adware, удалил их, но... троянца, на которого ругался CSA, так и не обнаружил ;-(

Параллельно с установкой Spybot я включил резидентный контроллер TeaTimer, который отслеживал и блокировал доступ IE к вредоносным сайтам. И он это делал достаточно эффективно:

"04.02.08 22:10:50 Запрещено (based on user decision) value "SpybotSD TeaTimer" (new data: "") удалено in System Startup user entry!"

Отрицательным моментом в работе резидента Spybot является его постоянное вопрошение пользователя "Что делать? Разрешить или запретить?". Учитывая число таких запросов могу предположить, что в какой-то момент пользователь ответит "Да" и "Больше меня не спрашивать" со всеми вытекающими отсюда последствиями.

Но дважды блокировав потенциальную утечку информации, источник проблемы остался невыясненным. Я поставил на лэптоп очередную бесплатную утилиту по поиску подозрительных вещей - HiJackThis от TrendMicro. Сразу надо сказать, что утилита очень интересная и она действительно нашла у меня трояна, но... я об этом так и не узнал бы, т.к. сам по себе HiJackThis не говорит вам, что конкретно у вас плохо. Он подсказывает вам подозрительные места, где могут скрываться проблемы. А могут и не скрываться. Во-первых, он показывает запущенные процессы, например:

"C:\Program Files\Cisco Systems\VPN Client\vpngui.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE"

а также всяческие BHO-компоненты (Browser Helper Object), за которыми часто скрывается шпионское ПО, ключи реестра, тулбары, программы в "загрузке при старте", сервисы и т.д. Например:

"O3 - Toolbar: Yandex.Bar - {91397D20-1446-11D4-8AF4-0040CA1127B6} - C:\WINNT\Downloaded Program Files\yndbar.dll
O4 - Global Startup: VPN Client.lnk = C:\Program Files\Cisco Systems\VPN Client\vpngui.exe
O4 - HKCU\..\Run: [xmldial] "C:\WINNT\xmldial.exe" -m
O23 - Service: Altiris Agent (AeXNSClient) - Altiris, Inc. - C:\PROGRA~1\Altiris\ALTIRI~1\AeXNSAgent.exe".

Среди таких же записей лога HiJackThis затесалось и доказательство наличия трояна у меня на компе:

"O2 - BHO: (no name) - {AE1F5DEC-78CD-49C0-9F4C-929DFBD2F6D9} - C:\WINNT\system32\cdra.dll"

Эта запись, наряду с десятком других, у меня сразу вызвала вопросы и я решительно нажал кнопку AnalyzeThis, надеясь, что лог попадет в TrendMicro и ее специалисты помогут мне с идентификацией потенциальных проблем. Но увы ;-( Я попал на страницу, на которой мне было предложено самостоятельно задать интересующий меня вопрос на нужном языке (исключая русский) на трех-четырех десятках различных форумов. Справедливости ради надо сказать, что я зашел на один из таких форумов, где попытался закачать свой лог для анализа его антивирусными специалистами. Безуспешно. Процедура была более чем нетривиальная и требовала значительных временных усилий (не считая обязательной регистрации на форуме и ожидания ответа от энтузиастов). Я не дошел до конца процедуры и бросил это дело. Предполагаю, что также поступят и большинство остальных пользователей, решивших последовать предложению утилиты HiJackThis от TrendMicro.

Уже зевая, я решился на последний шаг - запустить антивирус Касперского. Исторически так сложилось, что я не очень люблю этот антивирус (около 11 лет назад я сильно залетел из-за качества поддержки KAV в тогда еще фирме "КАМИ"). Но тут я решил попробовать (тем более, что недавно я стал обладателем Kaspersky Mobile для своей Nokia E61i). Я запустил Kaspersky Online Scanner и стал ждать. Неприятной особенностью стала загрузка базы со всеми пятистами с лишним тысяч штаммов вирусов (у Symantec этот процесс прошел гораздо быстрее) - на Skylink это заняло порядочно времени. Но после загрузки (надеюсь, что в следующий раз мне не придется повторно загружать все базы с самого начала) я запустил сканирование т.н. Critical Areas (я пользовался английской версией - не знаю, есть ли русский вариант). Проработав около 40-50 минут сканер выдал мне отчет, который порадовал меня своей информативностью (по сравнению с предыдущими программами). Пример отчета приводится ниже:

"Infected Object Name Virus Name
C:\WINNT\system32\cdra.dll Infected: Trojan-Downloader.Win32.Delf.dyu"

Удалить трояна, он не удалил, но он показал, что мои подозрения в отношении этой библиотеки (если бы HiJackThis умел "говорить" цены бы ему не было) были не напрасны. Подтверждением наличия троянца стало сканирование памяти:

"Infected Object Name
[0] [System Process] => C:\WINNT\system32\cdra.dll
[1772] explorer.exe => C:\WINNT\system32\cdra.dll
[420] IEXPLORE.EXE => C:\WINNT\system32\cdra.dll"

Троянский загрузчик Trojan-Downloader.Win32.Delf.dyu предназначен "для загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки «троянцев» или рекламных систем. Загруженные из интернета программы затем либо запускаются на выполнение, либо регистрируются «троянцем» на автозагрузку в соответствии с возможностями операционной системы. Данные действия при этом происходят без ведома пользователя" (описание взято из вирусной энциклопедии Лаборатории Касперского).

Информация об именах и расположении загружаемых программ скачивается данным троянцем с Web-страницы, а так как Cisco Security Agent блокировал эти попытки, то мне особо страшного ничего не угрожало.

Вот так и закончилась моя эпопея с обнаружением и удалением троянца с моей машины.

Какие выводы можно сделать из этого инцидента:

Не используйте только антивирус для своей защиты. Сигнатурные подходы уже устарели и требуют дополнения в виде "аномальных" движков, встроенных либо в сам антивирус, либо в сторонний продукт. Идеально, когда используется две системы - одна для поиска вирусов по сигнатурам, вторая - для контроля поведения процессов, приложений и систем (как в моем случае).
Если антивирус работает в реальном времени, это еще не значит, что он обнаруживает все вирусы. Обнаруживает он только то, что он знает на момент своей работы. И если вредоносная программа ему неизвестна, он ее пропустит. А к проверенным файлам он не имеет привычки обращаться снова. Значит вы можете заполучить троянца к себе на компьютер, даже не подозревая об этом. Старайтесь регулярно запускать антивирус для проверки всего жесткого (и сетевых) диска.
Если вы не нашли ничего с помощью одного антивируса, не обольщайтесь. Пробуйте иногда запускать антивирусы других производителей. Иногда это дает потрясающий эффект. Тем более, что многие вендоры предлагают такие интересные и бесплатные утилиты, как онлайн-сканеры.
Не сторонитесь различных нишевых утилит, которые ориентированы на решение конкретных задач в области безопасности. Например, BHODemon или уже упомянутый HiJackThis. Они конечно уступают коммерческим продуктам, но могут сильно помочь в ряде случаев. Правда, надо быть готовым, что они потребуют от вас определенной квалификации и знаний в области безопасности.
Есть и другие выводы, но они уже касаются нашей внутренней сисковской кухни ;-)


ЗЫ. Адрес, на который обращался троянец находится на Украине. Диапазон, в который он входит, неоднократно встречается в различных источниках по информационной безопасности. Например, в SenderBase.


Категория: Общие Статьи | Добавил: aka_kludge (07.02.2008) | Автор: Алексей Лукацкий
Просмотров: 1977 | Рейтинг: 0.0/0
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]
    Главная      
...
На службе : дней

15:04
Обновить


Пользователи
aka_kludge
qwerty
LeadyTOR
aka_Atlantis
AdHErENt
mAss
Sissutr
hiss
DrBio
tHick

Поиск


Copyright tHR - TeAM 2024 г. admin: aka_kludge (ICQ:334449009) Moderator's: LeadyTOR, ... Яндекс.Метрика