Template by:
Free Blog Templates

среда, 29 августа 2007 г.

История одной охоты


Статья #2 в июньском номере журнала "На Здоровье" (стр. 42-43)
История одной охоты
У меня на оффисном компьютере завелся Троян. Такой маленький и безобидный, но противный, сволочь! Каждый раз, когда я открывал Интернет, начинали выскакивать рекламные окошки (pop-ups) с вполне благопристойными рекоммендациями. Компания, ответственная за это безобразие, и не пыталась прятаться. Гордая идентификация OuterInfo высвечивалась на каждом рекламном окне. Страничка компании была обнаружена без труда: http://www.outerinfo.com/. Выглядела профeссионально: приведена возможность убрать программу, если пользователь в ней не заинтересован, и предложен необходимый софт и подробное руководство по выполнению этой операции. Пять раз я упрямо пытался следовать инструкциям, но все оказалосьбезуспешно. Кстати, на Интернете я нашел несколько свидетельств, что некоторым эта операция действительно помогла. Так что, выходя на охоту, все-же стоит начать с самого простого и очевидного.
Небольшое лирическое отступление: а что же такое на самом деле эти трояны? Многие понимают под словом "Троян" нечто вроде вируса, но, на самом деле, это вовсе не вирус. Троян позволяет манипулировать удаленным компьютером, получать чужие интернет-аккаунты по почте, вести логи (logs) на удаленном компьютере и многое другое, но, вообще-то, в нем изначально нет разрушающих функций. Трояны делятся на несколько типов (Mail Senders, BackDoor, Log Writers и др.). Они могут располагаться в вашем компьютере достаточно долгое время без всякой видимой для вас вредоносной активности. Их трудно обнаружить и обезвредить потому что их авторы могут легко ввести в заблуждение пользователя, называя инсталлируемые файлы вполне безобидными именами, например, winrun32dll.exe или win32.ехе. Конечно же, файл win32.exe вызывает доверие, и нужны серьезные основания, чтобы его удалить.
Возмущенный до глубины души коварством противника, я начал готовить крупно-масштабную операция. Во-первых, врага нужно знать в лицо. Троян, сидящий в моем компьютере, оказался типа Spyware с достаточно низкой степенью опасности. Он занимался тем, что собирал информацию о тех страничках, которые я посещал, и подбрасывал специально отсортированную рекламу по моим интересам. Спасибо, конечно, но эту услугу я не заказывал.
Перед тем, как запустить профессиональные программы для охоты на Троянов, я почистил компьютер, чтобы облегчить и ускорить поиски, используя бесплатную портативную программу ATF Cleaner (http://www.atribune.org/content/view/25/2/). Далее, я создал новую резервную копию Операционной Системы (restore point) на случай, если в результате моих действий что-либо будет повреждено. В Windows XP это операция выполняется достаточно просто: Start→All Programs→Accessories→System Tools→System Restore→Create a restore point.
После выполнения этой подстраховочной операции, я продолжил чистку компьютера. Сначала запустил встроенную программу очистки: Start→All Programs→Accessories→System Tools→Disk Cleanup. Потом вычистил все предыдущие резерные копии, так как источник заражения мог скрываться в восстановительном архиве: Start→All Programs→Accessories→ System Tools→Disk Cleanup→More Options. В подразделе System Restore выбирается Clean Up опция. Нужно подтвердить намерение стереть все предыдущие точки резервного копирования, кроме последней.
А теперь, когда пришло время применить специальные программы по вылавливанию троянов, я хотел бы подчеркнуть, что доверять можно далеко не всем. На волне троянного и вирусного засилья расплодилось множество программ и компаний, обещающих решить за вас все проблемы. Не верьте! Некоторые «помощники» только ухудшат ваше положение. Примеры программ, которые надо избегать: Spywarebot, Spy Falcon, Spy Sheriff, Spyware Quake.
Итак, я закрыл все окна на компьютере и приступил к сканированию. Первой я запустил бесплатную программу Ad-Aware (http://www.adaware.ru/adaware_personal.htm). За ней - тоже бесплатную программу Spybot Search and Destroy (http://spybot.info/ru/index.html). Каждая из них нашла своих кандидатов на удаление из компьтера. Следующее сканирование было осуществлено с помощью очень сильной и тоже бесплатной программы AVG Anti-Spyware (http://free.grisoft.com/doc/20/lng/us/tpl/v5). Напоследок я просканировал диск, используя еще парочку разных программ, но они уже ничего нового обнаружить не смогли.
Я с облегчением вздохнул, расправил плечи, и перезапустил компьютер. При запуске Internet Explorer я вынужден был признать, что «воз и ныне там». Веселые pop-ups по-прежнему продолжали издеваться надо мной. Я перезапустил компьютер еще раз и подключился в режиме Safe Mode, чтобы свести количество задействованных драйверов до минимума. Для этого при запуске нужно быстро нажать кнопку F8 до появления соответствующего меню. В Safe Mode я прогнал еще раз все те же анти-трояновские программы, но, к сожалению, они ничего криминального не обнаружили.
Что-же, на этом этапе самое время было обращаться к специалистам. На Интернете есть множество информационных досок (message boards), где вы можете получить рекомендации по очистке определенных троянов, если вы опубликуете список установок и процессов, задействованных на вашем компьютере. Пример одной из таких страничек – Geeks to Go (http://www.geekstogo.com/forum/Malware_Removal_HiJackThis_Logs_Go_Here-f37.html. Для этого нужно сперва создать log file, используя бесплатную портативную программку HiJackThis (http://www.merijn.org/programs.php). К сожалению, для меня этот выход был неприемлен, так передача базовой информации с корпоративного компьютера третьей стороне неэтична и нелегальна. Пришлось продлолжить охоту самостоятельно.
Так как троян проявлял себе только при запуске Internet Explorer, я решил просто обойти его, и стал пользоваться бесплатной портативной версией альтернативного браузера Mozilla Firefox (http://www.mozilla-russia.org/products/firefox/). Эта программа гораздо легче знаменитого Internet Explorer, и по многим показателям опережает его, особенно в области безопасности. Она не требует инсталляции и может быть запущена с вашей USB флэшки или жесткого диска.
Проблема была решена, противные pop-ups перестали выскакивать, и в принципе, можно было бы расслабиться. Однако, мысль, что где-то на жестком диске все еще сидит зараза, не давала покоя. И я продолжил охоту. Так как верные испытанные софтины не смогли обнаружить зловредный троян, пришлось прибегнуть к новым программным продуктам. Осторожно перепробовав несколько из них, наконец, я нашел программу, которая показала мне врага в лицо: AdwareAway (http://www.adwareaway.com/). Эта программа небесплатна, но позволяет бесплатно сканировать жесткий диск и определять проблемные процессы. А мне, собственно, больше ничего и не нужно было. Программа указала на подозрительный файл под названием Notepad.exe, располагающийся в одной из системных директорий Windows наряду с оригинальным запускающим файлом текстового редактора. Так как файл использовался в тот момент операционной системой, пришлось перезагрузиться и удалить его в режиме Safe Mode. После очередной перезагрузки компьютера проблема, наконец, была решена.
Давайти подумаем вместе, какие уроки можно извлечь из этой «охотничьей истории»:
1. Удалить трояны и вирусы непросто. Попытайтесь не допустить их появления с помощью различных анти-вирусных, анти-троянных программ, и Firewall.
2. Не настраивайте программу чтения почты на автоматические действия по отношению к присоединенным файлам. Внимательно следите за их типом по расширению.
3. Не доверяйте рекламе. Остерегайтесь пользоваться незнакомыми программами, как привлекательно не было бы их описание.
4. Всегда храните свежую резервную копию с вашего жесткого диска на DVD или USB Drive. В крайнем случае, вы можете все переинсталлировать за час (Norton Ghost).
5. Будьте терпеливы. Охота на трояны и вирусы требует выдержки.