Продолжаем охотиться на вирусы с «Пандой»

Мой Компьютер, №11, 10.03.2008

Входим в «зону», всем надеть противогазы!

У каждого мало-мальски уважающего себя пользователя всегда под рукой имеется парочка вирусов, ну так, про запас. Вот и у меня отыскалось несколько экземпляров, на которых я, собственно, и буду проводить опыты, попутно рассказывая о вреде, который они могут причинить. Вообще-то, сказать по правде, с коллекцией вирусов нужно обращаться так, словно вы владелец небольшого мешочка с маленькими змейками, которые хоть и маленькие, но жалят иногда смертельно. Так что предупреждаю сразу: лучше все описанное не повторять на собственном компьютере, поверьте мне на слово. Ведь для того, чтобы извлечь вирус из запароленного архива, антивирус приходится отключать, иначе извлекаемые файлы будут немедленно обезврежены. Но стоит помнить, что есть вирусы, которые могут выполняться даже при их выделении или при вызове их контекстного меню.

Начнем с того, что практически любой современный антивирус имеет в своем составе так называемые монитор и сканер. Монитор — это резидентный модуль, сидящий в памяти и постоянно сканирующий все обращения к накопителям (носителям) информации. Таким образом, если ваш CD с пиратским софтом имеет вирус под автозапуском, то во время старта антивирус заблокирует запуск инфицированного файла, который прописан в строке OPEN=FileName.exe. Это касается и почтовых клиентов, которые при запуске или во время отправки/приема сообщений сканируют трафик и директории с корреспонденцией в поисках заразы. Одним словом — высоко сижу, далеко гляжу.

Давайте проверим, как на практике работает монитор «Панды». В первом примере я разархивирую зараженный файл, и «Панда» мгновенно реагирует на вирус.

Если нажать на вопросительный знак, то нам откроется секрет имени вируса, кои порой бывают как забавными, а порой очень трудными для понимания.

На втором примере мы с вами запустим файл, который я когда-то скачал, увидев ссылку в популярном глянцевом журнале. Программа, по идее, должна была перехватывать пароли дозвонщиков и учетных записей, но внутри сидит троянец, которого «Панда» быстро подхватывает и обезвреживает (лечит).

Вот и доверяй программам, которые якобы помогают забывчивым пользователям вспомнить пароли от учетных записей Интернета! В подобном случае, если ваш антивирус не обнаружит «подарочек», ваши данные «уплывут» его создателю, и он будет пользоваться Инетом «на шару».

Ну, с резидентом разобрались, давайте немного поговорим о сканере. Сканер призван проверять файлы и директории с дисками по вашей команде. Если вы принесли дискетку или CD-ROM и решили вставить в дисковод, не мешало бы проверить все файлы. Но для большей безопасности я все же советую отключить автозапуск накопителей на оптических дисках. Конечно, с флэшками немного тяжелей, они несколько иным способом монтируются в систему, а посему и оградить вас от некоторых «зверушек» антивирус может не во всех случаях, но не будем пессимистами :-). Сделайте правый клик на подозрительном файле (диске, директории) и выберите в контекстном меню команду «Проверить с помощью Panda Internet Security 2008». Если в недрах файла (архива, директории, диска) притаился враг, он будет найден по одному из способов (эвристика или сигнатура). Не спешите нажимать кнопку «ОК», а лучше присмотритесь к его навигационному наполнению.

Так, из выпадающего списка вы можете выбрать действие, которое нужно применить к зараженному файлу, из доступных «Переместить в карантин», «Удалить» и «Игнорировать» (в случае с накопителем типа «только для чтения» пункт «Удалить», естественно, будет недоступен). Непосредственно в этом же окне есть краткое описание вируса, имя и путь дислокации (в моем случае это Dutch_Tiny (99.111)). Чуть ниже есть чекбокс «Применить данную опцию ко всем», который заставит сканер заносить дамоклов меч над головами вражин по единому сценарию. Если в момент проверки вы подключены к сети Интернет, есть возможность узнать подробнее о том, что пробралось к вам на винт — для этого нажмите кнопку «Подробнее» и, подключившись к серверу www.viruslab.ru, узнайте все о вирусе.

Не так давно меня пригласил к себе друг, который с тревогой в голосе сообщил, что на его 120-гиговом винте куда-то пропадает место и машина так тормозит, что словами не передать. Я пришел к нему в гости и обнаружил, что антивирус отсутствует как таковой в принципе, а дискетки, флэшки и сидюки (не всегда с приличным контентом) — довольно частые гости на его машине. Первым делом я загрузил компьютер в безопасном режиме (в этом случае ничего лишнего не запускается и есть шанс получить стабильно функционирующую систему) и установил ему «Панду».

После установки «Панды» с новыми на то время базами сигнатур я перезагрузился — и началось. Вирусы прыгали, как черти на сковородке. Когда ОЗУ было «вычищено», я запустил сканирование дисков (об этом процессе немного позже) и на одиннадцатитысячном вирусе остановил сканер. А дело было вот в чем: абсолютно весь винт был покрыт мелкими файлами, содержащими код вируса. Файлы имели имя вида jswbqyww.t (то есть случайно сгенерированное имя, плюс расширение .t). Все они имели атрибут «Скрытый» и фиксированный размер 16 457 байт.

Перед завершением работы ОС один из этих файлов становился в автозагрузку, таким образом, в ветви Run- я обнаружил пару сотен «мертвых» записей. Внутреннее содержимое этих файлов, как я уже и говорил, имело код вируса. На жестком диске моего друга было обнаружено полмиллиона таких файлов (суммарный объем занимаемого пространства составил без малого 8 Гб). Конечно, доверять их удаление «Панде» я не стал, поскольку это продлилось бы часов десять. Я поступил проще: запустил поиск файлов по F3 и, отыскав их по расширению, удалил, выделяя примерно по 15-20 тысяч (при выделении большего количества утилита поиска просто зависала).

Инфицированные файлы я сразу скопировал в архив с паролем (чтобы его случайно не просканировал антивирус) и забрал для лабораторных работ, а главный модуль, который использовал эти файлы, был найден и уничтожен «Пандой». Теперь для обезвреживания этих файлов на них достаточно сделать правый клик и запустить сканирование — тело вируса будет удалено и файлы (контейнеры) попросту исчезнут. Если вы «натравите» антивирус на незапароленный архив с такими вирусами, то он и там их достанет. Так что для хранения или отправки вирусов в лабораторию обязательно поставьте пароль на архив, иначе почтовые серверы удалят их, не отправив вашего послания в службу поддержки. Когда же антивирус отсылает данные в лабораторию собственными силами, это идет не через SMTP-протокол, а по его личному каналу P2P.

Но есть вирусы, с которыми может справиться только поведенческий модуль. В пример могу привести такой случай: буквально во время написания статьи мне позвонил один из моих клиентов с довольно неординарной проблемой — у его дочери на компьютере вместо имен директорий стали появляться бранные слова. Я пришел и убедился, что так и происходит. Директории, будучи переименованы в нормальный вид, спустя пару минут опять меняли имена на такие матюги, которых я в свои почти тридцать лет и не знал :-). Запустив «старую» «Панду» (Platinum 7.07.01 без поведенческого анализатора), я никаких вирусов не обнаружил. Дальше в ход пошли ручные поиски, которые привели к реестру и его ветви HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun и RunOnce, где были обнаружены ссылки на некогда установленную игру GTA и файл в ее директории csrbat.exe. В дополнение к этому в корне диска «D:» создавался текстовый файл с именем !!!!FOR ИМЯ_УЧЕТНОЙ_ЗАПИСИ!!!! В нем сообщалось: «Поздравляю Вас ИМЯ_КОМПЬЮТЕРА, Вы стали счастливым обладателем антиантивируса AAV1» (прошу обратить внимание на название АнтиАнтивирус). Я, конечно же, удалил ссылку на «вирус», произведенный каким-то начинающим вирусмейкером из пиринговой сети (поскольку принцип действия и внедрения был весьма ламерский, да и в Интернете о нем нет никакой информации, я решил, что «мейкер» действительно начинающий), затем установил новую «Панду» и настроил ее файервол на пиринговый клиент, как положено. Из этого следует вывод, что сигнатурный антивирус может обнаружить далеко не все вирусы.

К сожалению, показать вам на практике эффективность «Панды», сканирующей POP3-трафик, я не смог, так как при отправке почтового сообщения хоть через веб-интерфейс, хоть через почтового клиента, я натыкался на сообщения робота Yandex о том, что мои мессаги содержат вирюгу. Искать альтернативные почтовые серверы для проведения опытов я не стал. За всю мою практику мне неоднократно пытались прислать вирус (помню, «Панда» даже обнаружила зверька в неправильно оформленном теге IFRAME; кажется, это был NetSky-B), но «Панда» всегда отлавливала их и убивала, что называется, в зародыше.

На зачистку становись!

Для более масштабной проверки хорошо бы отметить сразу несколько объектов. Можно, конечно же, сделать правый клик по диску в Проводнике, но ведь после этого придется делать клики и по другим объектам (CD-ROM, локальные диски, флоппик). Для большего удобства запустите главное окно «Панды» (правый клик по мордочке в трее) и переключитесь во вкладку «Проверка». Откроется главное окно в котором можно будет произвести нужные вам установки проверки и запустить любую из имеющихся. Нажимаем кнопку «Установки» и открывается окно настроек.

В принципе, здесь нас интересует только самая первая вкладка, на которой и расположены самые основные настройки; другие вкладки имеют точно такие же опции, которые мы с вами уже рассматривали. Здесь присутствуют сжатые файлы, файлы почтовых программ, радиокнопка выбора файлов по расширению (например, в моем примере запросто можно было отключить все расширения, кроме «*.t»). Также присутствует возможность выбора проверки на типы вирусов (дозвонщики, шутки или руткиты), ну, и в самом низу — эвристический анализатор, который, к слову сказать, зачастую поднимает ложную тревогу.

Наиболее гибкие настройки можно найти в меню списка «Проверить прочие объекты». Самое первое меню запускает сканирование оперативной памяти, следующее меню запускает проверку дисковода гибких магнитных дисков, после него идет локальный диск «С:», который, в принципе, можно проверить из контекстного меню в Проводнике. Следом за диском «C:» пойдут оптические приводы и другие разделы (их имена и количество зависят от вашей системы), далее на очереди почтовики, поддерживаемые «Пандой», и директории, где хранится корреспонденция. Пункт «Папки» запускает диалоговое окно, в котором вы можете вручную указать те директории, которые нужно проверять. То же самое и с нижним пунктом «Файлы»: указываете в окне файлы, которые стоит проверять.

После проверки, как всегда, отчет о проделанной работе.

Прошу заметить, что антивирус «Панда» очень лоялен к производительности машины во время сканирования, и на конфигурации Barton 2500+; nForce 2 Ultra 400; 1024 PC-3200 Dual;

WD-400BB можно продолжать работу, не замечая сканера. Загрузка процессора при этом составляет от 6 до 70% (интеллектуальная система контроля коэффициента производительности распределяет процессорное время самостоятельно). Хотя, признаться честно, IS 2008 кушает немного больше ресурсов из-за TruPrevent; это еще более справедливо для Panda Antivirus Platinum.

Черпаем аргументы

Одной из самых насущных проблем при использовании антивируса считается его обновление, иначе какой толк его использовать, вирусы-то ведь пишут каждый день, и правила с сигнатурами тоже нуждаются в обновлении. Во многих антивирусных пакетах процесс обновления устроен настолько сложно, что после переустановки операционной системы нет возможности начать обновление именно с того места, на котором вы остановились. И если учесть, что эти самые обновления весят довольно прилично, то и по карману это может ударить самым непосредственным образом. Также далеко не каждый антивирус умеет производить докачку баз при обрыве линии (Dial-Up все еще в обиходе), в этом случае закачка базы размером в несколько десятков мегабайт может стать настоящей каторгой. Чем мне всегда нравилась концепция антивируса «Панда», так это простотой его обновления. Все сигнатуры хранятся в одном единственном файле pav.sig, который перед переустановкой Винды может быть сохранен на винт и после инсталляции возвращен обычным копированием в директорию со свежеустановленным антивирусом. Для этого даже не требуется перезагрузка или какие-либо пляски с бубном. К тому же антивирус «Панда» имеет полноценный тридцатидневный триал-период, во время которого он будет честно выполнять все свои обязанности, а по окончании срока всего лишь прекратит обновляться через Интернет. Все остальные функции при этом будут работать в нормальном режиме.

Если вирус офигел — мы его по печени

Что делать, если вас пригласили на фирму, дабы реанимировать компьютер, а ваше чутье подсказывает, что дело в зараженных системных файлах? Проще простого — переустановить Виндовс, скажет половина из нас. В принципе, неплохой выход, но если компьютер корпоративный, на нем «крутится» база данных, да и софта настроенного столько, что даже подумать страшно. Тогда установим еще одну Винду на второй раздел, и из-под нее наведем марафет, скажет другая половина. Это тоже вариант, но вот что делать в том случае, если раздел один (да, бывает и такое) или места для установки системы и антивируса просто не хватит? Выход очевиден — сдаваться :-). У антивируса Панда и на этот счет есть козыри в рукаве, давайте прибегнем к их использованию. Для этого нам потребуется чистый CD/DVD диск, немного терпения и только что обновленный антивирус.

Самые смекалистые пользователи догадались, о чем речь. Конечно же, о загрузочном диске. Приготовить его можно как из главного меню антивируса, так и через меню «Пуск». Давайте прибегнем ко второму варианту. Зайдите в меню «Пуск» — Panda Internet Security 2008 — Аварийные диски. Запустится мастер создания загрузочных дисков и предложит вам заготовить либо 21 дискетку :-), либо один CDDVD диск. Вставляем чистый диск в привод и нажимаем кнопку «Далее». Произойдет прожиг диска, который впоследствии поможет нам обезвредить вирусы на жестком диске. В следующем окне вам нужно будет выбрать из списка пишущий привод, на котором будет производиться запись, также нам доступно создание iso-образа (образ очень удобно иметь с собой на флэшке). Если на вашем компьютере нет пишущего привода, то вам будет предложено лишь сохранить iso-образ на диск. По окончании прожига диска смело перезагружайте с него машину.

Если открыть диск и посмотреть, что же у него «внутри», то мы обнаружим pav.sig, который собственно и делает образ таким «увесистым», и несколько загрузочных файлов. За «загрузочность» нужно отдать должное платформе Linux, именно на ней базируется аварийный диск «Панды». Но мне кажется, что куда разумнее было сделать загрузочную платформу на диске/флэшке, а к pav.sig обращаться на жесткий диск. Ну, или хотя бы сделать это как вариант.

Когда загрузочные файлы будут скопированы в память компьютера, перед вами появится окно, с выбором локали, выбирайте. После этого откроется окно, в котором можно нажать клавишу «C» и запустить проверку всех разделов, но, по моему скромному мнению, целесообразно будет нажать клавишу «А» и, открыв детальный выбор разделов для сканирования, выбрать только системный раздел.

Постараюсь объяснить, почему я так считаю. Дело в том, что на работу операционной системы в большинстве случаев влияют файлы с диска «С:». Конечно, если ваша система не установлена на другом разделе (то есть директория WINDOWS). Если вы запустите сканирование всех дисков разом, то такая операция продлится гораздо дольше, нежели из-под Винды. Но решать вам. Пробелом отмечайте те разделы, которые хотите проверять, и нажимайте клавишу «С» для начала проверки.

После проверки и дезинфекции зараженных файлов запускайте операционную систему и радуйтесь результатам. Несомненно, в ряде случаев вместе с вирусом могут быть повреждены важные системные файлы, которые можно оживить только запуском восстановления системы при помощи диска с дистрибутивом.

Для тех, кто сильно радуется, нашлось несколько «грабель». Так, если на разделах FAT32 создатели научили «Панду» искать и обезвреживать файлы, то с NTFS все не так радужно. Вирусы-то она находит, и даже сообщает нам об этом, но вот обезвредить (точнее, удалить) не может.

Вывожу

Чего тут выводить? Каждый пользуется тем антивирусным пакетом, который ему больше по душе, споры на эту тему неблагодарны и не имеют под собой даже мало-мальски устойчивой почвы, ведь тестирование антивируса на «производительность» и эффективность — дело весьма спорное и трудновыполнимое. А если приплюсовать к этому еще и то, что любой антивирус нужно уметь правильно настроить и правильно им пользоваться, станет еще понятней, откуда возникают споры и пересуды на форумах. Одним словом, если вам нужен легконастраиваемый, шустрый и «условно» бесплатный антивирус, присмотритесь к Панде — возможно, вы с ней подружитесь и останетесь друзьями на долгие годы.

P.S. Если у кого-то есть опыт по «ручной» борьбе с нестандартными вирусами и, самое главное, есть желание поделиться этим опытом с юзерами, милости просим в «Беседку» или на форум МК.

Максим ДЕРКАЧ aka Astra

Robo User
Web-droid редактор

     

Читайте також