AMP-Snort-adds
ночь живых мертвецов —\\ активная защита против малвари\\ /* дополнение к статье */
крис касперски, ака мыщъх, ака nezumi, no email
борьба с малварью\\ в искривленном пространстве времени
Лучше всего, конечно, вообще не допускать вторжения малвари на свой компьютер, используя AMP или любую другую достойную IPS, но… даже AMP не дает 100% гарантии и потому время от времени нужно обследовать тачку на предмет наличия заразы. Забьем на антивирусы и пораскинем умом какие мы имеем вектора атаки.
Малварь делится на две больших категории: одна обитает исключительно в оперативной памяти, другая же оседает на диске, либо создавая новые файлы, либо же внедряясь в уже существующие.
Из памяти зараза убивается простой перезагрузкой, а потому нужно именно перезагружаться, а не делать компьютеру suspend. И обновляться! Обязательно обновляться, чтобы не схватить червя еще на стадии загрузки системы.
Как обнаружить малварь на диске? Короткий ответ — никак. Развернутая версия — существует бесчисленное множество векторов атак, и каждый день появляются все новые. Антивирусы (и ревизоры) в основном концентрируются на exe/dll файлах, однако, малварь так же может поражать и расширения Горящего Лиса, винжеты Оперы, плагины Adobe Acrobat/Reader'а да и не только их одних! Дыры в графических библиотеках позволяют размещать вредоносный код в gif/jpg файлах, а дыры в MS Office – в doc, xls, ppt…Короче говоря, ситуация — ласты. Спасает лишь то, что по меньшей мере 90% малвари оседает именно в exe/dll файлах, которые мы и будем искать.
Чтобы нейтрализовать root-kit'ов, необходимо загрузиться либо с LiveCD (например, BartPE – www.nu2.nu/pebuilder), либо с флешки (о том, как установить XP на флешку, мы уже неоднократно писали в «хакере»). Как вариант, можно воспользоваться съемным жестким диском с установленной XP. Тут на вкус и цвет товарищей нет, но LiveCD все-таки предпочтительнее, потому что его никак не заразишь, а вот флешку или съемный жесткий диск — запросто! Бороться же с активными root-kit'ми под их управлением это… пустая трата времени.
ОК, загрузились и что дальше? По хорошему, следовало бы воспользоваться каким-нибудь дисковым ревизором в стиле старого доброго AdInfo. Для малваи это, конечно, хорошо, ибо качественных ревизоров немного, форматы их баз, сохраняемые на жестком диске, давно известны и ничего не стоит их захачить. К тому же, ревизор — он денег стоит. На фиг. Будем действовать руками и головой. Скачаем бесплатную утилиту для подсчета контрольной суммы файлов — http://www.pc-tools.net/win32/md5sums/ и запустим ее for /R X:\ %A in (*.*) do md5sums.exe %A » X-file.txt, где X:\ – буква диска для которого нужно создать текстовой файл X-file.txt с контрольными суммами всех файлов, рассчитанных по алгоритму MD5. После чего остается только загрузить X-file.txt в MS Word, преобразовать текст в таблицу, отсортировать ее по именам файлов и сохранить полученный результат в надежном месте.
При последующих проверках на наличие малвари — повторить данную операцию вновь, сравнивая старый и новый X-file.doc средствами самого Word'а, который покажет появление новых файлов или изменения контрольных сумм ранее существующих. Новоявленные/измененные файлы отправляем прямиком на VirusTotal и смотрим результат. Утомительно? Да, конечно! Надежно? Увы! Во-первых, мы забыли о том, что малварь может скрыть свои файлы, сделав их доступными только определенным пользователям или системе (не администратору!).
Во-вторых, а как же реестр?! Куча программ хранит в нем макросы и другую информацию, предрасположенную к заражению. А какой ревизор реально проверяет реестр?! Правильно — никакой и это приходится делать руками. Дампим реестр в текстовой файл средствами Редактора Реестра и сравниваем «слепки», полученные в разное время, утилитой WinDiff, входящей в MS Resource Kit и комплект штатной поставки MS Visual Studio.
Проблема в том, что реестр уже давно превратился в мусорную свалку и количество обнаруженных изменений очень и очень велико, причем, программы, хранящие свои настройки в бинарном виде (а таких — большинство) весьма затрудняют борьбу с малварью, поскольку, совершенно непонятно, что же конкретно было изменено.
А не плюнуть ли на это мокрое дело и не воспользоваться ли нам автоматической утилитой типа AVZ или Hijackit? Воспользоваться, конечно, можно, только шансы найти малварь невелики. Не нужно считать всех хакеров идиотами. В момент своего появления AVZ/Hijackit работали неплохо, но теперь, как говорят американцы: too known to stay alive, в смысле «известность фраера сгубила». Сегодня с ними не борется только ленивый. Так что лапы, хвост и мозги — единственное _надежное_ орудие поиска!