В практике довольно часты случае, когда некая побочная возможность какой-либо системы имеет даже большее значение, чем основной функционал. Или не совсем целевое использование того или иного приложения приносить больше выгоды, чем штатный режим работы.
Для ограничения и контроля доступа к периферийным устройствам (съемные накопители USB, CD/DVD-приводы, пр.) мы используем соответствующее, специально для этого предназначенное, ПО. Функциями этого ПО (далее Система) являются: предоставление доступа к устройствам в соответствии с политикой использования, назначенной для конкретного пользователя/группы пользователей (система полностью интегрируется с MSActiveDirectory ) и централизованное ведение журналов – т.е. имеется некий интерфейс из которого администратор Системы может посмотреть какие файлы были успешно или неуспешно записаны с или на устройство, а также, какой процесс операционной системы это сделал.
Последние время мы наблюдаем огромное количество различного вредоносного ПО, распространяющегося через автозапуск со съемных носителей и, соответственно, заражающие другие съемные носители. Приведу несколько примеров, далеко не все, – W32/Autorun-AK , PWS-LegMir.gen.k , PWS-WoW , Troj/Shuckbot-A , W32/Autorun.worm.u , пр. К сожалению, наш антивирус, развернутый на рабочих станциях пользователей не всегда успешно обнаруживает и лечит эти вирусы (обновления антивирусных баз жестоко отстают). Здесь и приходит на помощь анализ журналов Системы контроля доступа к периферийным устройствам. Алгоритм такой:
- Формируем отчет по записи файлов .exe, .comна носитель,
- Анализируем отчет: ищем записи файлов с подозрительными именами в корень носителя (в некоторых случаях ситуация совсем смешная – «процесс kesha.exe записал файл E: kesha.exe»). Понимание того, что такое «подозрительное» имя приходит с опытом, по началу, можно просто обращать внимание на файлы, записанные в корень тома. Опыт показывает, что бывают легитимные (не вирусы) файлы .exe, со странными именами, записанные в корень, но не попадался ни один легитимный файл .com, не являющийся вирусом.
- Подозрительные имена просто проверяем в Интернет . Пример для Recycler.exe . Полезно то, что Система регистрирует не только имя файла, но и его размер, что позволяет его проверять.
- Убедившись, что данный подозрительный файл, вероятнее всего вирус – включаем на антивирусе забирать файл в карантин по имени (вообще, система обладает функцией теневого копирования, что позволяет настроить забор файлов и на самой системе, но мы ее не используем, поскольку теневое копирование не работает для данного имени файла). Конечно, лучше забирать в карантин и по имени и по сумме MD5 (сумма берется из описаний, найденных в Интернете), но, например, наш антивирус умеет забирать только по имени – что ж, все лучше, чем ничего.
- Пойманный вирус анализируется альтернативными движками, например - http://www.virustotal.com/ . Такая проверка должна увеличить уверенность, что данный образец – действительно нежелательное ПО.
- Если опасения подтвердились – направляем отчет с http://www.virustotal.com/ и образец файла-вируса (взятого из карантина) в поддержку антивируса.
По опыту поддержка антивируса выпускает патч в этот же день. Остается только применить его по всем рабочим станциям пользователей.
