AMP-Snort-adds

ночь живых мертвецов —\\ активная защита против малвари\\ /* дополнение к статье */

крис касперски, ака мыщъх, ака nezumi, no email

Лучше всего, конечно, вообще не допускать вторжения малвари на свой компьютер, используя AMP или любую другую достойную IPS, но… даже AMP не дает 100% гарантии и потому время от времени нужно обследовать тачку на предмет наличия заразы. Забьем на антивирусы и пораскинем умом какие мы имеем вектора атаки.

Малварь делится на две больших категории: одна обитает исключительно в оперативной памяти, другая же оседает на диске, либо создавая новые файлы, либо же внедряясь в уже существующие.

Из памяти зараза убивается простой перезагрузкой, а потому нужно именно перезагружаться, а не делать компьютеру suspend. И обновляться! Обязательно обновляться, чтобы не схватить червя еще на стадии загрузки системы.

Как обнаружить малварь на диске? Короткий ответ — никак. Развернутая версия — существует бесчисленное множество векторов атак, и каждый день появляются все новые. Антивирусы (и ревизоры) в основном концентрируются на exe/dll файлах, однако, малварь так же может поражать и расширения Горящего Лиса, винжеты Оперы, плагины Adobe Acrobat/Reader'а да и не только их одних! Дыры в графических библиотеках позволяют размещать вредоносный код в gif/jpg файлах, а дыры в MS Office – в doc, xls, ppt…Короче говоря, ситуация — ласты. Спасает лишь то, что по меньшей мере 90% малвари оседает именно в exe/dll файлах, которые мы и будем искать.

Чтобы нейтрализовать root-kit'ов, необходимо загрузиться либо с LiveCD (например, BartPE – www.nu2.nu/pebuilder), либо с флешки (о том, как установить XP на флешку, мы уже неоднократно писали в «хакере»). Как вариант, можно воспользоваться съемным жестким диском с установленной XP. Тут на вкус и цвет товарищей нет, но LiveCD все-таки предпочтительнее, потому что его никак не заразишь, а вот флешку или съемный жесткий диск — запросто! Бороться же с активными root-kit'ми под их управлением это… пустая трата времени.

ОК, загрузились и что дальше? По хорошему, следовало бы воспользоваться каким-нибудь дисковым ревизором в стиле старого доброго AdInfo. Для малваи это, конечно, хорошо, ибо качественных ревизоров немного, форматы их баз, сохраняемые на жестком диске, давно известны и ничего не стоит их захачить. К тому же, ревизор — он денег стоит. На фиг. Будем действовать руками и головой. Скачаем бесплатную утилиту для подсчета контрольной суммы файлов — http://www.pc-tools.net/win32/md5sums/ и запустим ее for /R X:\ %A in (*.*) do md5sums.exe %A » X-file.txt, где X:\ – буква диска для которого нужно создать текстовой файл X-file.txt с контрольными суммами всех файлов, рассчитанных по алгоритму MD5. После чего остается только загрузить X-file.txt в MS Word, преобразовать текст в таблицу, отсортировать ее по именам файлов и сохранить полученный результат в надежном месте.

При последующих проверках на наличие малвари — повторить данную операцию вновь, сравнивая старый и новый X-file.doc средствами самого Word'а, который покажет появление новых файлов или изменения контрольных сумм ранее существующих. Новоявленные/измененные файлы отправляем прямиком на VirusTotal и смотрим результат. Утомительно? Да, конечно! Надежно? Увы! Во-первых, мы забыли о том, что малварь может скрыть свои файлы, сделав их доступными только определенным пользователям или системе (не администратору!).

Во-вторых, а как же реестр?! Куча программ хранит в нем макросы и другую информацию, предрасположенную к заражению. А какой ревизор реально проверяет реестр?! Правильно — никакой и это приходится делать руками. Дампим реестр в текстовой файл средствами Редактора Реестра и сравниваем «слепки», полученные в разное время, утилитой WinDiff, входящей в MS Resource Kit и комплект штатной поставки MS Visual Studio.

Проблема в том, что реестр уже давно превратился в мусорную свалку и количество обнаруженных изменений очень и очень велико, причем, программы, хранящие свои настройки в бинарном виде (а таких — большинство) весьма затрудняют борьбу с малварью, поскольку, совершенно непонятно, что же конкретно было изменено.

А не плюнуть ли на это мокрое дело и не воспользоваться ли нам автоматической утилитой типа AVZ или Hijackit? Воспользоваться, конечно, можно, только шансы найти малварь невелики. Не нужно считать всех хакеров идиотами. В момент своего появления AVZ/Hijackit работали неплохо, но теперь, как говорят американцы: too known to stay alive, в смысле «известность фраера сгубила». Сегодня с ними не борется только ленивый. Так что лапы, хвост и мозги — единственное _надежное_ орудие поиска!