Опытные мелочи-9, или «Вы больны! Как лечить будем?»

Продолжение «опытных мелочей». Предыдущие части можно почитать тут.

Время от времени у каждого системного администратора возникает необходимость проверить «подозрительный» компьютер на предмет вредоносного ПО. Или странный трафик с него идет, или странные окошки вылезают, или того хуже какой-нибудь WinLock словили. Я расскажу о простой, почти пошаговой экспресс-методике, которую мы предлагаем нашим саппортерам-новичкам. Кому-то, возможно, она покажется неполной или слишком простой, тем не менее многие проблемы с ее помощью определить можно. А понять проблему — уже половина решения. В любом случае, буду рад прочитать в комментариях ваши дополнения и полезные советы по этому вопросу.


Вообще, исследовать компьютер на предмет «поиска заразы», это занятие увлекательное, но неблагодарное. Часто время, которое вы потратили на поиски и лечение, значительно больше того времени, которое вы потратили бы на полную переустановку компьютера с сохранением данных.
Пристально исследовать компьютер, можно только ради собственного образования\удовольствия, или в ситуации, когда на нем стоит непереносимое ПО (ПО, настройки которого никто не знает как перенести на новый компьютер, или это очень затратно по времени\ресурсам). Учитывая это, мы постарались чтобы методика проверки была максимально быстрой и малозатратной. Если по ней понять проблему не получается, то компьютер чаще всего переустановливается, либо в особо важных случаях, отдается старшим админам на более пристальное изучение.

Еще один важный момент: чтобы малоопытный саппортер мог корректно «проверять» зараженный компьютер, нужно в первую очередь обучить его понимать что в нем «нормально» а что нет, для этих целей мы в начале даем им свежеустановленный, чистый компьютер с примерным набором нашего внутреннего ПО, и они на нем тренируются. Тупо прогоняют все тесты, и смотрят что получается. Нарабатывают т.н. «шаблон чистого компьютера». Своими глазами видят срабатывания проверочных утилит на рядовые вещи, которые присутствуют даже на заведомо чистых компьютерах (например AVZ жутко ругается, если на компьютере стоит Symantec Endpoint Protection, и т.д.). В дальнейшем при проверках уже в реальных условиях настоящие «отклонения» довольно легко замечаются.

1. Запустить на машине AVZ со свежими базами. В параметрах поставить: Эвристика — макс, Расширенный анализ, Блокировка пользовательских руткитов — в зависимости от важности машины. Вообще, лучше для начала просто запустить проверку и посмотреть на результат, ничего не блокируя. Проверить настройку SPI, открытые порты TCP\UDP с помощью того-же AVZ. Изучить результат, навскидку сравнить с выводом с чистой машины, отсеять известные программы дающие эффект срабатывания (антивирусы, перехватчики а-ля PuntoSwitcher и т. п.). Проанализировать разницу, если она есть.
2. «Для фанатов» можно пройтись по пунктам меню СЕРВИС в AVZ. Поискать серые (неопознанные) строки по Program Files, Documents And Settings, Windows. Попытаться понять что это и для чего. На важных компьютерах лучше смотреть ВСЕ пункты (Менеджеры…, диспетчеры… и т.д.) меню СЕРВИС.
3. Запустить Autoruns от Sysinternals. Включить в опциях параметр Verify Code Signature. Проанализировать результат на предмет «странности», обращать внимание на пути, названия, описания в столбцах Publisher и Description.
4. Проверить уже исполняемые задания, с помощью Process Explorer от Sysinternals. Обращать внимание на путь к запускаемой программе (нужно включить дополнительно в меню View — Select Columns

Выполнение описанных процедур и внимательный анализ полученных результатов позволяет принять решение о том что делать дальше: чистить компьютер или пускать на переустановку. Процесс очистки системы почти всегда нешаблонный, творческий. Иные заразы довольно сложно вывести, они глубоко прописываются в службах, следят за удалением себя из авторан-путей, заменяют шелл и т.д. В конце концов существуют руткиты. Будьте готовы к тому, что окончательный путь очистки скорее всего придется хорошенько поискать, самый простой способ, скорее всего, будет неполным. Если все же решились, то чистить систему можно, например, так:

1. Отключите службу Восстановления системы. проверьте, что все точки восстановления очистились. Традиционно это любимое «бомбоубежище» для разного рода заразы.
2. Очистите все возможное с помощью AVZ (обязательно включите режим AVZ-Guard (в нем AVZ блокирует запуск стороннего софта и позволяет запускать ПО только из его интерфейса), запускать все что нужно из AVZ, мастер поиска и устранения проблем-чистка системы, отложенное удаление файлов, блокировка руткитов и т.д.)
3. После (!) блокировки руткитов с помощью AVZ, в режиме AVZ-Guard запустите и внимательно изучите вывод утилиты Autoruns от Sysinternals. Зловреды обычно либо пишутся в «запускаемые ветки реестра», либо подменяют собой shell. Тут поможет опыт, зоркий глаз и «шаблон чистой машины»
4. Очистите вручную в профиле зараженного пользователя:
   • Временные папки (%User%\Local Settings\Temp)
   • Кэш браузера (%User%\ Local Settings \Temporary Internet Files\Content.IE5)
   • Историю браузера (%User%\Local Settings\History\History.IE5)
   • Сбросьте настройки internet explorer на дефолтные (сервис-свойства обозревателя-дополнительно-сброс)
   • В Internet Explorer проверьте надстройки (сервис-свойства обозревателя-программы-надстройки). Лишнее отключить\удалить.
   • (Учтите, что после этих действий у текущего пользователя пропадет история посещений, сохраненные пароли, куки и т.п.)
   • аналогично прошерстите профили сторонних браузеров, если пользователь их использует
5. Проверьте системные переменные (в командной строке наберите SET), особенно обратите внимание на PATH, при необходимости почистите, но будьте аккуратны, не удалите нужное. Здесь поможет тренировочный «шаблон чистой системы».
6. Проверить SYSTEM-LOG от последней загрузки (журнал системы от события 6009-6005). Обращать внимание на ошибки при старте служб и запуске драйверов.
7. Можно запустить портативные версии популярных антивирусов, например DrWeb Cure IT (он бесплатен только для личного использования, помните это) или версию от Лаборатории Касперского. Такие антивирусные утилиты обновляются регулярно, и каждый раз скорее всего придется качать их заново со свежими базами. Проверять ими можно не все, а только папки Documents And Settings, Program Files, Windows
8. Если результат неудовлетворительный, загрузитесь с любого live-CD (Bart-pe, Alkid-LiveCD, Hiren BootCD и т.п.), и проверьте теми же антивирусными утилитами.
9. Проверьте файлы в папках Windows и Windows\System32 на предмет их дат. Особое внимание обратите на файлы, которые изменены в день или за день до заражения. Если они имеют правильные названия, и на первый взгляд, нужны для работы системы — замените их аналогичными с соседней системы (учтите только что делать это можно с одинаковыми системами, которые хотя бы примерно похожи. Нельзя менять файл userinit.exe от WinXPSp2 на такой же файл от WinXPSP3 и т.д.

Если все равно не удалось вылечить машину, попробуйте обратиться в профильные ветки форумов, например Virusinfo, а если и там не помогли — серьезно подумайте о переустановке системы, т.к. троян вы может быть и вылечите, но время потратите очень много, и гарантий на полное излечение скорее всего не будет. А потраченное на это занятие время, вы могли бы потратить с гораздо большей пользой.

Upd: Для большей ясности дополню: машины которые исследуют таким образом УЖЕ отключены от сети, с них забрали данные (если их можно забрать). Эта экспресс-методика была написана для обучения личного состава, чтобы быстро и минимальными усилиями, неопытным саппортерам принимать решение: стоит ли лечить комп или пускать его на переустановку.

Продолжение следует