Мой Компьютер, №16, 14.04.2008

До последнего времени на помощь для борьбы с файлами типа autorun использовался любимый антивирус Nod32 ver.2.70.32. На личном опыте убедился, что 90% флэшек, с которыми мне приходилось иметь дело, заражены авторанами — антивирус спасал от них мой компьютер исправно.

Но беда нагрянула с утра, а впереди еще целый день работы. (Кстати, моя работа связана с распечаткой и набором текста в частности, так что народ с флэшками — это мой основной контингент. А с утра словить вирус — кошмар!!! Как потом в глаза смотреть клиентам, которым ты подсунул вирус и стал прямым участником в цепочке его распространения?)

Обнаружил его, когда увидел, что при попытке доступиться к локальному диску последний открывается в новом окошке. Компьютер используется несколькими людьми, поэтому, подумал я, кто-то поставил в настройках Окошек переключатель на открытие каждой папки в новом окне. Проверил: Сервис > Свойство папки — стоит переключатель Открывать папки в одном и том же окне.

Стало понятно, что что-то здесь не так. Обычно подобные вирусы (по моему личному опыту) добавляли новую запись в меню открытия диска (что-то вроде Open (0)). Я иду в контекстное меню, а там — как положено, никаких подвохов.

Захотел убедиться в правильности моих доводов в пользу наличия авторана. Захожу в Сервис > Свойство папки > Вид, ставлю переключатель на Отображение скрытых файлов, снимаю галочку Скрывать защищенные системные файлы (рекомендуется).

Ничего не меняется. Хочу снова переключиться на Отображение скрытых файлов и замечаю, что кто-то или что-то переставляет режим на Не показывать скрытые файлы и папки.

Стало как-то очень интересно. Антивирус пропустил вирус!!!

Умный вирус, отметил про себя. Проверяю список процессов через Ctrl+Alt+Del (taskmgr) и… хм, ничего лишнего вроде бы в процессах не висит.

Проверяю известные пути Автозапуска через regedit.exe. Пуск > Выполнить — набрал regedit. Открывается реестр. Ищу ветви:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

Все чисто!!!

Ну очень мне захотелось посмотреть на скрытые файлы на локальных дисках. Я открыл старый добрый Total Commander. У меня по умолчанию настроена программа на показ всех файлов. Наконец-то! Я увидел собственными глазами autorun.inf и подозрительный командный файл rthrw.com (причем, данные файлы были на всех локальных дисках)!

Для тех, у кого нет Тотала, можно поступить так: Пуск > Выполнить — набрать cmd. В командной строке набрать команду cd (переход в главный каталог). Потом dir c: /а (параметр а означает просмотр файлов со всевозможными атрибутами).

В Тотале решил удалить файл autorun.inf и rthrw.com. Удалив, наблюдаю картину: файлы опять появляются, прямо на глазах. Из этого можно сделать вывод, что данные файлы являются следствием, а причина кроется глубже. Вирус поместил в память процесс, который постоянно следит за сохранностью файлов на локальных дисках. В Интернете нашел только ссылку на польский форум, в котором что-то говорилось об этом вирусе (польским не владею, поэтому информация оказалась для меня неактуальной). Зашел на сайт www.pandasoftware.com, где есть онлайн-проверка на вирусы: http://www.pandasoftware.com/activescan/activescan/ascan_2.asp.

Загрузил (хорошо, что на работе безлимитный Интернет :-), и… никакого эффекта :-(.

Паниковать рано!!! Решил избавиться вручную от вируса. С сайта Мелкософта скачал две интересные программы: Autoruns (программа отображает все возможные места автозапуска программ драйверов и т.д.), оттуда же за компанию для детального анализа решил скачать Process Explorer (показывает детальную информацию об активных процессах) и Process Monitor (следит за действиями всех процессов в системе, такими как обращение к реестру, файловой системе и т.д.). Для начала решил зайти в реестр и вернуть все-таки галочку на Показывать скрытые файлы и папки вручную. Открыл ветвь реестра

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL

CheckedValue и изменил параметры «CheckedValue»=dword:00000001, «DefaultValue»=dword:00000001

Оказывается, на месте 1 стояло 2. Опять ничего не поменялось. Загрузил Process Monitor, настроил фильтр на обращение к реестру и заметил, что процесс Explorer.exe каждые 10 секунд меняет этот параметр в значение 00000002, т.е. изменить его не получится, по крайней мере, пока процесс Explorer.exe активен.

Стало понятно, что этот процесс точно заражен вирусом. Решил покопаться в нем. Запустил Process Explorer и в списке подгруженных к процессу библиотек заметил одну странную библиотеку с названием amv0.dll (странной она мне показалась по следующим причинам: во-первых, на ней отсутствовала подпись «Корпорация Майрософт», во-вторых, название очень странное, amv0 — обычно так называется процесс антивируса, а у меня стоит Nod32, который в процессах отображается как nod32kui.exe)

Через Find Dll в меню ProcessExplorer`a я заметил, что кроме Explorer.exe библиотека также подгружена еще к некоторым процессам. В вирусе стоит хук на создание окна, таким образом он подгружается ко всем «оконным» процессам. Довольно простой и распространенный метод внедрения DLL. Я даже немного разочаровался :-(.

Далее запустил программу Autoruns и в списке загружаемых из разных мест приложений заметил некий файл avpo.exe — ну ясно, почему я его заметил :-). Видимо, это и есть загрузчик библиотеки, который подгружает ее к explorer.exe. На этом, можно сказать, самое интересное закончилось — вирус обнаружен!

Теперь осталось его удалить, а сделать это оказалось совсем не трудно. Во-первых, я все же отключил автозапуск дисков: через Пуск > Выполнить набрал gpedit.msc > Политика «локальный компьютер» > Конфигурация компьютера > Административные шаблоны > Система > Отключить автозапуск.

Далее удалил через программу Autoruns ветку реестра, которая загружала файл amv0.exe. Перезагрузил компьютер, затем через Total Commander удалил autorun.inf и rthrw.com на всех локальных дисках и по следующему пути C:Windowssystem32 — два файла amv0.exe и amvo0.dll. Перезагрузил компьютер, но Explorer так и не захотел показывать мне скрытые файлы. Значит, вирус где-то что-то поменял все-таки.

И тут я вспомнил про те оставшиеся три параметра, которые обновлял вирус через каждые 10 секунд. Эти параметры «регулировали» переключатели Показывать/не показывать скрытые файлы и папки в меню Сервис > Свойства папки > Вид. Я поступил таким же образом, как описано выше. Открыл ветвь реестра HKEY_

LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHidden

SHOWALLCheckedValue

и изменил параметры:

«CheckedValue»=dword:00000001.

Оказывается, на месте 1 стояло 2.

Внимательно посмотрев на весь этот раздел, я был весьма удивлен: как же легко можно запретить Explorer`у отображение скрытых файлов — достаточно поменять значение параметра HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLCheckedValue с 00000001 на 00000002, и все! После этого любые попытки поставить галочку на Показывать скрытые файлы и папки ничего не дадут. Кстати, в настройках корзины у меня изначально стояла галочка Уничтожать файлы сразу после удаления, не помещая их в корзину, но на всякий случай я удалил с помощью Total Commander папку Recycled на всех локальных дисках.

На этом заканчиваю свое маленькое, но, думаю, очень полезное повествование. За своих клиентов я теперь спокоен.

Удачи в борьбе с вирусами!!!

Robo User
Web-droid editor

      

Читайте також