sponsors:

Ловимо віруси, про які жоден з антивірусів нічого не знає. Human based antivirus "Aspirin".


Про даний метод я вже трохи згадував раніше, навіть створив спеціяльний файл, що досить сильно допомагає мені в роботі, але результатами поділитись - забув.
Час витягувати піврічне неопубліковане, про яке забулось і лінувалось...

Історія почалась дуже давно. В той час я працював на компанію "Квазар Мікро", сервіс інженером. Враховуючи те, що крім банального сервісу та ремонту техніки власного виробництва, регіональні офіси мали можливість самостійного заробляння грошей, і в випадку Львівського офіса - це були договора про обслуговування офісної техніки багатьох компаній інженерами сервісного центру Квазар Мікро.

Насправді це був чудовий маркетинговий і стратегічний хід. Ми перетворювались на "адмінів по виклику" і їздили по рекламним агенціям, туристичним компаніям, дрібним офісам, що не могли собі дозволити постійно діючого системного адміністратора, в той час як оплачувати від вісьми людино-годин їм було в самий раз.
Для компанії, що спеціалізується на впровадженні готових інсталяційних рішень комп'ютерної техніки і мереж - це було як постійний бонус, бо в більшості випадків всі організації, що заключали з нами договора на обслуговування з часом перелазити на техніку нашого ж виробництва.

Viruses killed my computer

В результаті такої співпраці я себе почав називати "Аспірином". Бо потрібно було дуже оперативно вирішувати проблеми

  • з нависаючими користувачами, в яких техніка перестала працювати
  • з директорами і менеджерами, які стояли з $екундоміром за спиною
  • ну і з безпосередньо проблемами вірусів та поломок техніки абсолютно різнопланового виробництва.

В свій час я навіть виробив був практику відновлення роботоздатності робочої станції на час "до кінця дня", щоб користувач не втрачав робочий день, а в кінці дня забирав системний блок або лише жорсткий диск для того, щоб остаточно відновити роботоздатність.

Про цей "до кінця дня" я і хочу розповісти.

Досить часто потрібно було мати справу з різними рішеннями з боку власників техніки. Йдеться мова як про залізну сторону, так і, на чому наголошую, - про програмний набір.

Різні антивіруси, Набір програмного забезпеченя, організація доступу в інтернет, порядність користувачів, піратство - головні проблеми кожного офісу.

В результаті такої роботи у нас виробилось чуття до проблеми "робочої станції", або "сервера" безпосередньо в момент первинного огляду.
Якщо Ви вирішили стати "Аспірином", потрібно виробити в собі відповідні механізми аналізу.
В даній статті я буду робити акцент на робочі станції, які дозволяється перезавантажувати, бо з серверами - це зовсім інша історія і тема не одної статті в майбутньому.

MacBooks are free from viruses except of Windows installed

Важливо мати в своєму запасі зовнішній носій, на який гарантовано ніхто нічого не запише. Я використовую для цього *.iso з необхідним набором інструментів, які підмонтовую як віртуальні диски на зараженій системі. В своєму наборі також потрібно мати окремо в запаролених архівах дублікати всіх інструментів на випадок, якщо система не дозволяє інсталювати програмне забезпечення на себе.
Набір, що я б рекомендував.

Із програмного набору я використовую

  • Безкоштовну інсталяцію утиліти cureit від DrWeb
  • Тестову версію McAfee Enterprise, що роботоздатна протягом певного терміну часу
  • NOD32 антивірус, який НМД є найоптимальнішим рішенням в випадку постійного віикористання (Тут я упереджений по причині того, що я є Сертифікованим Менеджером з продаж цього антивіруса)
  • Regmon.exe - що дозволяє спостерігати за тим, які ж процеси змінюють реєстрові значення, які Ви щойно виправили на правильні.
  • В особливо складних випадках - Filemon.exe, що дозволяє аналізувати хто ж постійно закидує тіла вірусів, які не детектяться антивірусами.
  • Shaman.exe - файловий менеджер, написаний зниклим автором дуже давно ще на Delphi3, що дозволяє проглянути приховані процеси і зняти їх з виконання, а також дозволяє стирати приховані файли
  • В надзвичайно складних випадках, коли недозволено перезавантажувати комп'ютер - використовую віртуальну машину, що дозволяє завантажити гостьову ОС, з якої через фізичний доступ до диска стираю "нєстріраємоє"(давненько таким не користувався)

Яким чином відбувається аналіз.

Сідаючи за станцію, вартує зробити кілька первинних кроків, щоб визначити проблему.
Головне - намагайтесь виконувати все через консоль cmd.exe або через "Пуск->Виконати". Це чи не найважливіший фактор успішного self-лікування безпосередньо з пульта зараженої станції.

  • Перевірка можливості запуску таких програм як regedit.exe, taskmgr.exe, mmc.exe
  • Перевірка запуску команди c:\autorun.inf
  • Перевірка розділів реєстру
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Shell=Explorer.exe, UIHost=LogonUI.exe, System=''
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
    • З часом Ви знайдете їх набагато більше, описувати всі - тут не вистачить місця і формату 8).

  • Неможливість відобразити приховані файли засобами Explorer.exe
  • Наявність "лівих" процесів в списку taskmgr.exe, особливо таких, що запущені з глибоко захованих папок, або папок Temp
  • У випадку 64бітних систем наявність значка *32 біля імені процесу в taskmgr.exe
  • Взагалі по 64бітним системам потрібно буде написати додаткову статтю, так як виявилось, що на сьогоднішній день вони краще захищені від вірусів в порівнянні з 32 бітними.

Список далеко неповний!
Враховуючи велику кількість інформації в даній статті, складні випадки аналізу я залишаю за майбутніми дописами.
Сподіваюсь, що даний текст стане Вам у нагоді при лікуванні і аналізі проблемних інсталяцій.
Успіху Вам!

Далі буде.

Trackback URL for this post:

http://itua.name/en/trackback/525
Share this

Syndicate content Syndicate content

Propeople Expert

Партнери

експерименти

Rambler's Top100