06.02.2008

Как я подхватил троянца

image

Ну вот и я попался ;-( В один прекрасный день, при запуске "проводника" (explorer.exe) мой Cisco Security Agent "ругнулся" на то, что "проводник" пытается установить соединение с 80-м портом IP-адреса 85.255.118.26

Ну вот и я попался ;-( В один прекрасный день, при запуске "проводника" (explorer.exe) мой Cisco Security Agent "ругнулся" на то, что "проводник" пытается установить соединение с 80-м портом IP-адреса 85.255.118.26. В логе это выглядело следующим образом:

"04.02.08 21:21:05: The process 'C:\WINNT\explorer.exe' (as user xxx) attempted to initiate a connection as a client on TCP port 80 to 85.255.118.26 using interface yyy. The operation was denied."

Ситуация не такая страшная, т.к. Cisco Security Agent (CSA) не дал вредоносной программе (тогда я еще не знал какой) совершить свое черное дело. Меня смутило другое - установленный у меня антивирус McAfee, работающий в реальном времени, ничего не показал. Причем уже не первый раз. В отличие от CSA, который ловит почти все (правда не говорит, что поймал). В сентябре антивирус не словил попытку подсадить мне троянца через сайт издательства "Бином" (подробнее тут) - только CSA защитил меня от этой напасти.

И вот в данном инциденте меня эта ситуация малость напрягла, т.к. сам антивирус обновляется регулярно и автоматически. Чтобы посмотреть, не пропускает ли что-нибудь его онлайновый движок, я запустил сканирование всего диска и процессов в памяти. Прошло 3 часа (все-таки 100 тысяч файлов на диске) - результата ноль. Но CSA каждый раз ругается на explorer.exe. И вот в тот же день "заглючил" также регулярно обновляемый и корректно настроенный Internet Explorer. При клике на некоторые линки он либо перекидывал меня на "левые" сайты, либо просто открывал новые окна IE и пытался показать мне какую-то рекламу. Это меня стало напрягать еще сильнее.

Тогда я решил прошерстить свой ноут другим антивирусом. Т.к. ставить на свой комп нелицензионный софт я не мог, да и возможны были конфликты антивирусных движков, я пошел по старинке на сайт Symantec и запустил Symantec Security Check. Это антивирусный онлайн-сканер, который работает путем установки на компьютер ActiveX-компонента, который и сканирует мой жесткий диск и другие ресурсы. После двух часов работы результат был таков - был найден один adware, который я самостоятельно и удалил. Но ситуацию это не изменило - CSA ругался, а IE открывал подозрительные сайты. Тогда я установил на свой комп свободно распространяемое ПО - "Spybot - Search & Destroy". Он нашел у меня еще тройку adware, удалил их, но... троянца, на которого ругался CSA, так и не обнаружил ;-(

Параллельно с установкой Spybot я включил резидентный контроллер TeaTimer, который отслеживал и блокировал доступ IE к вредоносным сайтам. И он это делал достаточно эффективно:

"04.02.08 22:10:50 Запрещено (based on user decision) value "SpybotSD TeaTimer" (new data: "") удалено in System Startup user entry!"

Отрицательным моментом в работе резидента Spybot является его постоянное вопрошение пользователя "Что делать? Разрешить или запретить?". Учитывая число таких запросов могу предположить, что в какой-то момент пользователь ответит "Да" и "Больше меня не спрашивать" со всеми вытекающими отсюда последствиями.

Но дважды блокировав потенциальную утечку информации, источник проблемы остался невыясненным. Я поставил на лэптоп очередную бесплатную утилиту по поиску подозрительных вещей - HiJackThis от TrendMicro. Сразу надо сказать, что утилита очень интересная и она действительно нашла у меня трояна, но... я об этом так и не узнал бы, т.к. сам по себе HiJackThis не говорит вам, что конкретно у вас плохо. Он подсказывает вам подозрительные места, где могут скрываться проблемы. А могут и не скрываться. Во-первых, он показывает запущенные процессы, например:

"C:\Program Files\Cisco Systems\VPN Client\vpngui.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE"

а также всяческие BHO-компоненты (Browser Helper Object), за которыми часто скрывается шпионское ПО, ключи реестра, тулбары, программы в "загрузке при старте", сервисы и т.д. Например:

"O3 - Toolbar: Yandex.Bar - {91397D20-1446-11D4-8AF4-0040CA1127B6} - C:\WINNT\Downloaded Program Files\yndbar.dll
O4 - Global Startup: VPN Client.lnk = C:\Program Files\Cisco Systems\VPN Client\vpngui.exe
O4 - HKCU\..\Run: [xmldial] "C:\WINNT\xmldial.exe" -m
O23 - Service: Altiris Agent (AeXNSClient) - Altiris, Inc. - C:\PROGRA~1\Altiris\ALTIRI~1\AeXNSAgent.exe".

Среди таких же записей лога HiJackThis затесалось и доказательство наличия трояна у меня на компе:

"O2 - BHO: (no name) - {AE1F5DEC-78CD-49C0-9F4C-929DFBD2F6D9} - C:\WINNT\system32\cdra.dll"

Эта запись, наряду с десятком других, у меня сразу вызвала вопросы и я решительно нажал кнопку AnalyzeThis, надеясь, что лог попадет в TrendMicro и ее специалисты помогут мне с идентификацией потенциальных проблем. Но увы ;-( Я попал на страницу, на которой мне было предложено самостоятельно задать интересующий меня вопрос на нужном языке (исключая русский) на трех-четырех десятках различных форумов. Справедливости ради надо сказать, что я зашел на один из таких форумов, где попытался закачать свой лог для анализа его антивирусными специалистами. Безуспешно. Процедура была более чем нетривиальная и требовала значительных временных усилий (не считая обязательной регистрации на форуме и ожидания ответа от энтузиастов). Я не дошел до конца процедуры и бросил это дело. Предполагаю, что также поступят и большинство остальных пользователей, решивших последовать предложению утилиты HiJackThis от TrendMicro.

Уже зевая, я решился на последний шаг - запустить антивирус Касперского. Исторически так сложилось, что я не очень люблю этот антивирус (около 11 лет назад я сильно залетел из-за качества поддержки KAV в тогда еще фирме "КАМИ"). Но тут я решил попробовать (тем более, что недавно я стал обладателем Kaspersky Mobile для своей Nokia E61i). Я запустил Kaspersky Online Scanner и стал ждать. Неприятной особенностью стала загрузка базы со всеми пятистами с лишним тысяч штаммов вирусов (у Symantec этот процесс прошел гораздо быстрее) - на Skylink это заняло порядочно времени. Но после загрузки (надеюсь, что в следующий раз мне не придется повторно загружать все базы с самого начала) я запустил сканирование т.н. Critical Areas (я пользовался английской версией - не знаю, есть ли русский вариант). Проработав около 40-50 минут сканер выдал мне отчет, который порадовал меня своей информативностью (по сравнению с предыдущими программами). Пример отчета приводится ниже:

"Infected Object Name Virus Name
C:\WINNT\system32\cdra.dll Infected: Trojan-Downloader.Win32.Delf.dyu"

Удалить трояна, он не удалил, но он показал, что мои подозрения в отношении этой библиотеки (если бы HiJackThis умел "говорить" цены бы ему не было) были не напрасны. Подтверждением наличия троянца стало сканирование памяти:

"Infected Object Name
[0] [System Process] => C:\WINNT\system32\cdra.dll
[1772] explorer.exe => C:\WINNT\system32\cdra.dll
[420] IEXPLORE.EXE => C:\WINNT\system32\cdra.dll"

Троянский загрузчик Trojan-Downloader.Win32.Delf.dyu предназначен "для загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки «троянцев» или рекламных систем. Загруженные из интернета программы затем либо запускаются на выполнение, либо регистрируются «троянцем» на автозагрузку в соответствии с возможностями операционной системы. Данные действия при этом происходят без ведома пользователя" (описание взято из вирусной энциклопедии Лаборатории Касперского).

Информация об именах и расположении загружаемых программ скачивается данным троянцем с Web-страницы, а так как Cisco Security Agent блокировал эти попытки, то мне особо страшного ничего не угрожало.

Вот так и закончилась моя эпопея с обнаружением и удалением троянца с моей машины.

Какие выводы можно сделать из этого инцидента:

  1. Не используйте только антивирус для своей защиты. Сигнатурные подходы уже устарели и требуют дополнения в виде "аномальных" движков, встроенных либо в сам антивирус, либо в сторонний продукт. Идеально, когда используется две системы - одна для поиска вирусов по сигнатурам, вторая - для контроля поведения процессов, приложений и систем (как в моем случае).
  2. Если антивирус работает в реальном времени, это еще не значит, что он обнаруживает все вирусы. Обнаруживает он только то, что он знает на момент своей работы. И если вредоносная программа ему неизвестна, он ее пропустит. А к проверенным файлам он не имеет привычки обращаться снова. Значит вы можете заполучить троянца к себе на компьютер, даже не подозревая об этом. Старайтесь регулярно запускать антивирус для проверки всего жесткого (и сетевых) диска.
  3.  Если вы не нашли ничего с помощью одного антивируса, не обольщайтесь. Пробуйте иногда запускать антивирусы других производителей. Иногда это дает потрясающий эффект. Тем более, что многие вендоры предлагают такие интересные и бесплатные утилиты, как онлайн-сканеры.
  4. Не сторонитесь различных нишевых утилит, которые ориентированы на решение конкретных задач в области безопасности. Например, BHODemon или уже упомянутый HiJackThis. Они конечно уступают коммерческим продуктам, но могут сильно помочь в ряде случаев. Правда, надо быть готовым, что они потребуют от вас определенной квалификации и знаний в области безопасности.
  5. Есть и другие выводы, но они уже касаются нашей внутренней сисковской кухни ;-)


ЗЫ. Адрес, на который обращался троянец находится на Украине. Диапазон, в который он входит, неоднократно встречается в различных источниках по информационной безопасности. Например, в SenderBase.

Алексей Лукацкий
или введите имя

CAPTCHA
Страницы: 1  2  3  4  5  6  7  8  9  10  
я
06-02-2008 11:00:06
а вот нефиг было Internet Explorer из под админа запускать... я решился на последний шаг - запустить антивирус Касперскогодля справедливости можна было бы параллельно и drweb запустить... а то так это смахивает на PR...
0 |
07-02-2008 14:49:04
Сколько читаю таких статей - уже невольно жду, когда появится этот антивирь. С точки зрения автора немного зло, поместить его почти в конец статьи - почти всю статью просидел в напряжении - когда же будет написано, что именно Он, Самый Лучший, а не разные поделки, смог исправить ситуацию.
0 |
09-02-2008 07:46:49
лолчто?? безобразие, быдло-куны заполонили все интернеты T_T убейте себя как Рика http://ru.youtube.com/watch?v=M7S4WfQEbF0
0 |
54816
13-01-2009 13:56:40
для тех, кто не понял: это PR отнюдь не каспера...это пиар Cisco Security Agent (и других решений Cisco)
0 |
06-02-2008 11:25:25
Не понял про чо статья-то. про то как афтор поццепил трояна? А потом его удалил. Ешьте, гости дорогие.
0 |
06-02-2008 12:50:41
Да, честно говоря, я был о Лукацком более высокого мнения! То что здесь описано, похоже на сочинение школнега "Как я убивал трояна".
0 |
07-02-2008 00:01:52
Не сотвори себе кумира
0 |
1
04-09-2008 14:31:28
чего непонятного, статья о рекламе Касперского.
0 |
06-02-2008 11:42:47
Yankel Статья описывает один из вариантов действий, при выявлении нестандартного поведения. И перед тем как говорить что статья ни о чем - задумайтесь о целевой аудитории сайта. Кроме гуру, здесь есть и новички, согласитесь... Автору - можно было бы чуть продолжить список действий. Определить провайдера, написать Abuse репорт. Не сложно ведь. Не факт что поможет,но...
0 |
06-02-2008 23:44:02
Взаимодействие с правоохранительными органами Украины было осуществлено - я не стал про это писать. ЗЫ. Статья изначально писалась для моего блога - поэтому литературно я ее не причесывал - писал как есть.
0 |
06-02-2008 12:00:18
Infected Object Name Virus Name C:\WINNT\system32\cdra.dll Infected: Trojan-Downloader.Win32.Delf.dyu 1. не надо лазить по инету из под админской учетки 2. чем устраивать на своем компе зоопарк из разных антивирусов и средств защиты (которые надо еще и осваивать) лучше разобраться с возможностями самой винды
0 |
06-02-2008 23:57:10
не надо лазить по инету из под админской учетки Какими привилегиями наделили, такими и пользуюсь
0 |
06-02-2008 23:58:26
чем устраивать на своем компе зоопарк из разных антивирусов и средств защиты Читай внимательней - один антивирус, один Cisco Security Agent установлен. Остальное - через Интернет
0 |
07-02-2008 00:00:58
которые надо еще и осваивать Осваивать средства защиты - не задача рядового пользователя. Безопасность должна быть для него прозрачной. лучше разобраться с возможностями самой винды Мне платят зарплату не для того, чтобы я тратил рабочее время на настройку винды. У нас для этого ИТ-департамент есть.
0 |
08-02-2008 10:47:38
Мне платят зарплату не для того, чтобы я тратил рабочее время на настройку винды. У нас для этого ИТ-департамент есть. Всех разогнать!
0 |
11-02-2008 18:59:18
Какими привилегиями наделили, такими и пользуюсь Без коментариев. Еще можно было написать - какое ПО запустилось на компе, то и работает. Читай внимательней - один антивирус, один Cisco Security Agent установлен. Остальное - через Интернет На "Вы", если не возражаете. Если настроить правильно винду, то не надо ни антивируса ни агента. Стандартные задачи решаются штатными средствами. Мне платят зарплату не для того, чтобы я тратил рабочее время на настройку винды. У нас для этого ИТ-департамент естьВам платят зарплату за то чтобы вы тестировали антивирусы разных производителей, на задачах которых при правильной конфигурации КОРПОРАТИВНОГО рабочего места возникать в принципе не должно ?
0 |
06-02-2008 12:02:17
Немножко удивлен тем, что в инет гуляете напрямую..хотя может быть просто не критично..
0 |
07-02-2008 00:01:21
Напрямую - это как?
0 |
07-02-2008 15:30:14
Я имел ввиду, что доступ в интернет сделан через проксю или нат...а не через терминальный сервер или X клиент
0 |
07-02-2008 14:02:44
не напрямую - там же сказано
0 |
Страницы: 1  2  3  4  5  6  7  8  9  10