Жизнь компьютера идет своим чередом, но в один прекрасный момент комп перезагружается, а потом на рабочем столе появляется надпись «У вас вирусы, антивирус качать тут». Кто-то скачивает и ставит, кто-то сносит винду, кому-то везет и его антивирус ловит заразу… А я вам попробую рассказать как решить проблему самому и зачем это нужно.
Начну с того, зачем это нужно. Мотивировка эгоистичная — для того, чтобы узнать что-то новое и интересное, стать умнее и т.д. Мотивировка альтруистичная — помочь сотням и тысячам людей в подобной ситуации. Как — об этом ниже.
Чтобы выловить заразу на компе нам потребуется… Самое главное — не бояться, все реально. Также нужна голова на плечах и минимальная компьютерная грамотность. Третий основной компонент — интернет. Возможно, с другой машины, с LiveCD, но он будет нужен. Подготовились? Начинаем!
Первый шаг — обновление антивирусных баз имеющегося антивируса, загрузка в безопасном режиме и сканирование компьютера из него, причем при отключенной сети. Если невозможно выполнить первые два пункта, сканирование все равно нужно провести. Если зараза найдена и удалена, а проблема исчезла — вам повезло. Для сканирования рекомендую CureIt (брать тут www.freedrweb.com/cureit/?lng=ru). Полноценный антивирусный движок и базы, заточенность под работу на зараженной системе в условиях РЭБ со стороны противника :-) То есть при активном противодействии антивирусам со стороны троянов и прочей дряни.
Антивирус не помог? Бывает, ни один продукт не гарантирует 100% защиты, а выловить неизвестный вирус — это еще сложнее. Значит, придется ручками…
За исключением довольно редких случаев, вирусы и трояны должны быть представлены в виде файла, поэтому ловля заразы — это ловля файла. Все, вроде бы, просто, да только файлов на современном компьютере может быть несколько сотен тысяч. Итак, нам нужен хороший инструмент для работы с файлами. Рекомендую FAR (берется тут www.farmanager.com). Встроенные системные средства не подходят: в случае противодействия со стороны вируса вы не увидите нужный файл.
Проблемы с флэшками/дисками
Если при подключении к вашему компьютеру флэшки на ней начинают появляться левые файлы или диски не открываются по двойному щелчку — вероятен червь из семейства Win32.HLLW.Autoruner. Что делать? Запускаем FAR, лезем в корень всех дисков и ищем там файл autorun.inf Если файл найден, его необходимо открыть в любом текстовом редакторе (в FAR кнопкой F3) и посмотреть на внутренности. Типичный пример содержимого:
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe
То есть запуск программы setup.exe при подключении диска и попытке открыть. Для начала, отключаем автозапуск дисков (тут описано как www.izcity.com/faq/winxp/question1517.html), способ с групповыми политиками мне кажется более правильным. Отключение автозапуска — отличный способ профилактики таких заражений. Как поступить с найденными файлами — смотрите чуть ниже, но важен не столько autorun.inf, а то что в нем прописано. После отключения автозапуска и перезагрузки нужно удалить и autorun.inf и файлы в нем прописанные. С большой вероятностью, это поможет.
Проблемы с IE
Еще типовой вариант проявления заразы: вы по неизвестной причине используете IE и в нем начинает появляться всякая левая реклама, панели, кнопки… В общем, он ведет себя нехорошо.С большой долей вероятности проблема в BHO — Browser Helper Object. BHO это Plugin к эксплореру. Для получения списка BHO можно использовать разные программы. В ближайшем будущем ожидается выход в свет нашей тулзины DwShark, которая будет крайне полезна для поиска заразы. Пока же придется использовать что-то другое. Например, IceSword ( www.antirootkit.com/software/IceSword.htm), но это уже довольно серьезная программа, интерпретировать результаты надо умело и осторожно. И еще IceSword может в некоторых случаях привести к зависанию. В общем, в IceSword выбираете пункт BHO и получаете список из тех, что установлены в системе. Можно использовать HijackThis ( www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis), он формирует лог, в котором все BHO перечислены. Чтобы проверить легальность BHO есть сервис от CastleCops ( www.castlecops.com/CLSID.html), нужно ввести CLSID (строку вида 00000000-0002-53D4-0622-35EA0235778E). Если CLSID не найден по той базе — это серьезный повод для его удаления!
Для профилактики — не использовать IE. И не только для профилактики таких случаев ;-)
Совсем простые и типовые случаи я рассмотрел. Теперь настал черед поиска неизвестно чего и неизвестно где… Процесс этот длительный и сложный. Раз уж у нас есть IceSword — пробегаем по всем вкладкам. На память сейчас не вспомню что там и как, но если в списке процессов что-то помечено красным — этот процесс скрыт, и исполняемый файл этого процесса — кандидат на проверку! В этой же софтине можно посмотреть открытые порты и кому они принадлежат. Крайне мощная штука — Rootkit Unhooker ( www.antirootkit.com/software/RootKit-Unhooker.htm), предназначена для поиска руткитов. Если будете делать ей отчет, снимите галочку с пункта «Files». Под подозрением — любые процессы что-то перехватывающие, скрытые драйвера. Аналог — GMER ( www.gmer.net/index.php). Ну и просмотр логов Хайджека: выполняющиеся процессы, автозапуск, сервисы.
Я нашел странный файл...
Как проверить, вирус это или нет? Есть множество разных способов. Например, посчитать MD5-сумму файла (софта — куча!) и провести поиск по ней у Bit9 ( fileadvisor.bit9.com/services/search.aspx), нужна регистрация. Сервис указывает из каких источников файл был получен. Если файл получен от крупных компаний — он чист наверняка. Еще способ — virustotal ( www.virustotal.com), но у него есть существенные минусы: более 50% антивирусов могут выдать ложные срабатывания, или, наоборот не определить вирус в файле.
Я нашел файл с заразой
Поздравляю! Теперь есть действия, которые просто необходимо выполнить. Вот тут habrahabr.ru/blogs/infosecurity/38149 добрые люди потрудились и составили список адресов антивирусных компаний, куда следует засылать новые вирусы. Пожалуйста, отправьте файл по ним (в архиве с паролем virus, пароль укажите в теле письма). Ну если не по всем, то хотя бы нам, в DrWeb ;-) Если от DrWeb пришел ответ, что это вирус новый, то для лечения нужно сделать следующее: подождать около 2 часов, потом обновить базы или скачать свежий CureIt (заново скачать! Там будут новые базы) и провести сканирование системы. Почему CureIt — см выше, это легковесная бесплатная и мощная софтина. Зараженный файл после отправки, в принципе, можно и удалить. Правда, в некоторых случаях удаление приведет к полной неработоспособности системы, пример — семейство FtpLich/Lich.
Если отправленный вами файл будет добавлен в базу, тем самым вы предотвратите заражение других компьютеров и поможете вылечить уже зараженные. Подумайте о своей карме не только на хабре, о времени других людей.
Если ничего не помогло
Остаются специализированные форумы. Порекламирую, опять-таки наш: new-forum.drweb.com/mod/forum ;-)
Полезные ссылки
www.freedrweb.com/cureit/?lng=ru — CureIt, бесплатный антивирусный сканер на дрвэбовском движке и с его базами.
www.farmanager.com — FAR, хороший файловый менеджер.
www.izcity.com/faq/winxp/question1517.html — отключение автозапуска дисков в винде.
www.antirootkit.com/software/IceSword.htm — IceSword, хорошая утилита мониторинга системы.
www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis — hijackthis, аналогично.
www.castlecops.com/CLSID.html — проверка легальности BHO по его CLSID
www.antirootkit.com/software/RootKit-Unhooker.htm — RootKit Unhooker, крайне полезная штука для ловли руткитов
www.gmer.net/index.php — GMER, аналогично.
fileadvisor.bit9.com/services/search.aspx File Advisor, проверка файла по MD5.
www.virustotal.com — проверка файла множеством антивирусов сразу.
habrahabr.ru/blogs/infosecurity/38149 — адреса для отправки нового вируса антивирусным компаниям
support.drweb.com/sendnew — отправка файла в DrWeb
new-forum.drweb.com/mod/forum — форум DrWeb.
PS. Надеюсь, кому-то прогодится. Дополнения приветствуются.
PPS. Обсуждать тут конкретные случаи заражения не буду — вэлкам на форум.
Начну с того, зачем это нужно. Мотивировка эгоистичная — для того, чтобы узнать что-то новое и интересное, стать умнее и т.д. Мотивировка альтруистичная — помочь сотням и тысячам людей в подобной ситуации. Как — об этом ниже.
Чтобы выловить заразу на компе нам потребуется… Самое главное — не бояться, все реально. Также нужна голова на плечах и минимальная компьютерная грамотность. Третий основной компонент — интернет. Возможно, с другой машины, с LiveCD, но он будет нужен. Подготовились? Начинаем!
Первый шаг — обновление антивирусных баз имеющегося антивируса, загрузка в безопасном режиме и сканирование компьютера из него, причем при отключенной сети. Если невозможно выполнить первые два пункта, сканирование все равно нужно провести. Если зараза найдена и удалена, а проблема исчезла — вам повезло. Для сканирования рекомендую CureIt (брать тут www.freedrweb.com/cureit/?lng=ru). Полноценный антивирусный движок и базы, заточенность под работу на зараженной системе в условиях РЭБ со стороны противника :-) То есть при активном противодействии антивирусам со стороны троянов и прочей дряни.
Антивирус не помог? Бывает, ни один продукт не гарантирует 100% защиты, а выловить неизвестный вирус — это еще сложнее. Значит, придется ручками…
За исключением довольно редких случаев, вирусы и трояны должны быть представлены в виде файла, поэтому ловля заразы — это ловля файла. Все, вроде бы, просто, да только файлов на современном компьютере может быть несколько сотен тысяч. Итак, нам нужен хороший инструмент для работы с файлами. Рекомендую FAR (берется тут www.farmanager.com). Встроенные системные средства не подходят: в случае противодействия со стороны вируса вы не увидите нужный файл.
Проблемы с флэшками/дисками
Если при подключении к вашему компьютеру флэшки на ней начинают появляться левые файлы или диски не открываются по двойному щелчку — вероятен червь из семейства Win32.HLLW.Autoruner. Что делать? Запускаем FAR, лезем в корень всех дисков и ищем там файл autorun.inf Если файл найден, его необходимо открыть в любом текстовом редакторе (в FAR кнопкой F3) и посмотреть на внутренности. Типичный пример содержимого:
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe
То есть запуск программы setup.exe при подключении диска и попытке открыть. Для начала, отключаем автозапуск дисков (тут описано как www.izcity.com/faq/winxp/question1517.html), способ с групповыми политиками мне кажется более правильным. Отключение автозапуска — отличный способ профилактики таких заражений. Как поступить с найденными файлами — смотрите чуть ниже, но важен не столько autorun.inf, а то что в нем прописано. После отключения автозапуска и перезагрузки нужно удалить и autorun.inf и файлы в нем прописанные. С большой вероятностью, это поможет.
Проблемы с IE
Еще типовой вариант проявления заразы: вы по неизвестной причине используете IE и в нем начинает появляться всякая левая реклама, панели, кнопки… В общем, он ведет себя нехорошо.С большой долей вероятности проблема в BHO — Browser Helper Object. BHO это Plugin к эксплореру. Для получения списка BHO можно использовать разные программы. В ближайшем будущем ожидается выход в свет нашей тулзины DwShark, которая будет крайне полезна для поиска заразы. Пока же придется использовать что-то другое. Например, IceSword ( www.antirootkit.com/software/IceSword.htm), но это уже довольно серьезная программа, интерпретировать результаты надо умело и осторожно. И еще IceSword может в некоторых случаях привести к зависанию. В общем, в IceSword выбираете пункт BHO и получаете список из тех, что установлены в системе. Можно использовать HijackThis ( www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis), он формирует лог, в котором все BHO перечислены. Чтобы проверить легальность BHO есть сервис от CastleCops ( www.castlecops.com/CLSID.html), нужно ввести CLSID (строку вида 00000000-0002-53D4-0622-35EA0235778E). Если CLSID не найден по той базе — это серьезный повод для его удаления!
Для профилактики — не использовать IE. И не только для профилактики таких случаев ;-)
Совсем простые и типовые случаи я рассмотрел. Теперь настал черед поиска неизвестно чего и неизвестно где… Процесс этот длительный и сложный. Раз уж у нас есть IceSword — пробегаем по всем вкладкам. На память сейчас не вспомню что там и как, но если в списке процессов что-то помечено красным — этот процесс скрыт, и исполняемый файл этого процесса — кандидат на проверку! В этой же софтине можно посмотреть открытые порты и кому они принадлежат. Крайне мощная штука — Rootkit Unhooker ( www.antirootkit.com/software/RootKit-Unhooker.htm), предназначена для поиска руткитов. Если будете делать ей отчет, снимите галочку с пункта «Files». Под подозрением — любые процессы что-то перехватывающие, скрытые драйвера. Аналог — GMER ( www.gmer.net/index.php). Ну и просмотр логов Хайджека: выполняющиеся процессы, автозапуск, сервисы.
Я нашел странный файл...
Как проверить, вирус это или нет? Есть множество разных способов. Например, посчитать MD5-сумму файла (софта — куча!) и провести поиск по ней у Bit9 ( fileadvisor.bit9.com/services/search.aspx), нужна регистрация. Сервис указывает из каких источников файл был получен. Если файл получен от крупных компаний — он чист наверняка. Еще способ — virustotal ( www.virustotal.com), но у него есть существенные минусы: более 50% антивирусов могут выдать ложные срабатывания, или, наоборот не определить вирус в файле.
Я нашел файл с заразой
Поздравляю! Теперь есть действия, которые просто необходимо выполнить. Вот тут habrahabr.ru/blogs/infosecurity/38149 добрые люди потрудились и составили список адресов антивирусных компаний, куда следует засылать новые вирусы. Пожалуйста, отправьте файл по ним (в архиве с паролем virus, пароль укажите в теле письма). Ну если не по всем, то хотя бы нам, в DrWeb ;-) Если от DrWeb пришел ответ, что это вирус новый, то для лечения нужно сделать следующее: подождать около 2 часов, потом обновить базы или скачать свежий CureIt (заново скачать! Там будут новые базы) и провести сканирование системы. Почему CureIt — см выше, это легковесная бесплатная и мощная софтина. Зараженный файл после отправки, в принципе, можно и удалить. Правда, в некоторых случаях удаление приведет к полной неработоспособности системы, пример — семейство FtpLich/Lich.
Если отправленный вами файл будет добавлен в базу, тем самым вы предотвратите заражение других компьютеров и поможете вылечить уже зараженные. Подумайте о своей карме не только на хабре, о времени других людей.
Если ничего не помогло
Остаются специализированные форумы. Порекламирую, опять-таки наш: new-forum.drweb.com/mod/forum ;-)
Полезные ссылки
www.freedrweb.com/cureit/?lng=ru — CureIt, бесплатный антивирусный сканер на дрвэбовском движке и с его базами.
www.farmanager.com — FAR, хороший файловый менеджер.
www.izcity.com/faq/winxp/question1517.html — отключение автозапуска дисков в винде.
www.antirootkit.com/software/IceSword.htm — IceSword, хорошая утилита мониторинга системы.
www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis — hijackthis, аналогично.
www.castlecops.com/CLSID.html — проверка легальности BHO по его CLSID
www.antirootkit.com/software/RootKit-Unhooker.htm — RootKit Unhooker, крайне полезная штука для ловли руткитов
www.gmer.net/index.php — GMER, аналогично.
fileadvisor.bit9.com/services/search.aspx File Advisor, проверка файла по MD5.
www.virustotal.com — проверка файла множеством антивирусов сразу.
habrahabr.ru/blogs/infosecurity/38149 — адреса для отправки нового вируса антивирусным компаниям
support.drweb.com/sendnew — отправка файла в DrWeb
new-forum.drweb.com/mod/forum — форум DrWeb.
PS. Надеюсь, кому-то прогодится. Дополнения приветствуются.
PPS. Обсуждать тут конкретные случаи заражения не буду — вэлкам на форум.