------------------------------------------
#! /usr/share/doc/defaced/2/tandp/troj.txt
------------------------------------------
======================
Избавление от троянца. [ by -=zip=- ]
======================
Этой статьей я хотел показать:
- Основной принцип работы трояна.
- Логические ошибки при написании трояна.
- Как ненадежен наш мир :-).
Сижу я однажды в мирке стучу по клавишам как заводной :-) И тут кто-то
предлагает скачать XXXsupermegacrekporno.exe (Название вымышленное, на такую
фигню я бы и смотреть не стал :-))скачал… запускаю… как я ее запустил, сразу
понял что это вирус, ну зачем он самоуничтожился и без всяких окошек.
Отсюда вывод - можно без удаления, а вывести сообщение типа: "Отсутствует
Lamer.dll", лично бы я ничего не заподозрил :).
Ни ответа ни привета, думаю - вирус!!! Ааа нет, смотрю в свой фаервол, а он уже
получил права как доверенный и в инет просится, а фиг ему - я взял и запретил
доступ, скачал парочку утилит типа Regmon и Filemon.
(Можно конечно и другими, но эти я считаю лучшими в своем роде :-)), а утром у
меня состоялось рандеву с ним :-).
Утро …
Давай разберусь я с этой заразой. С чего же начать? Да хотя бы с ctrl+alt+del.
Там, разумеется, ничего нет. Так, дай попробую вспомнить как она называлась, а
не помню, помню что xxx*. Ну давай по маске на харде поищем Пуск->Найти->Файлы и
загоняем туда xxx*.* и жмак на кнопке "поиск" найден файл единственный в
директории с:\windows\sustem\ :). Зуб даю он заразный :-), даже название при
автоудалении не сменил!!! (Если троян самоудалился хотя бы в новое место под
другим именем, записался бы, например, как system.exe, то этот трюк меня надолго
бы в раздумья бросил).
Думаю, исследую-ка я подходы к нему. Запускаю Filemon и он через несколько минут
показал только то, что он периодически запускается в моей системе.
===================->
0 C:\WINDOWS\HOSTS NOTFOUND
-------------Всякое барахло------------
58 C:\WINDOWS\HOSTS NOTFOUND
<-===================
Как вы можете понять, из этого я ничего полезного не почерпнул. Так, думаю,
уберу тогда его из реестра (Перед этим все из памяти выгнал чтоб лишних логов не
было), и тут выскочили такие строчки…
===================->
158 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
159 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Winsock2 driver
160 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
161 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
162 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Winsock2 driver
163 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
<-===================
Идем в риестр Пуск->Выполнить пишем regedit.
Редактор реестра запустился и спрятался, думаю что за фигня - там видать такая
защита стоит (Грамотно чел сделал). Помедлив, перезагружаюсь и нажимаю F8. Идем
в "safe mode" и там все работает - regedit открылся.
Хех, давай проверим наши логи :)
Так смотрим в эту строку №158 - сидит там какой-то icq файл - не трогаем его,
пусть живет :-)
Следующие два пункта ссылаются на одну и тоже директорию в реестре.
Ищем дальше. Теперь у нас на очереди строка №161, а в ней приблизительно такая
байда (на разных компах по-разному).
===================->
Mirabilis ICQ "C:\Program Files\ICQ\ICQNet.exe"
XXXsupermegacrekporno "C:\windows\system\"
WinampAgent "C:\PROGRAM FILES\WINAMP\WINAMPa.exe"
и еще куча разного хлама.
<-===================
Догадайся, что я удалил? :-) Правильно!!! Вот этот параметр
XXXsupermegacrekporno. Опять перезагрузка. Проверяем (то есть запускаем Regmon и
Filemon). Никаких упоминаний о нем - победа!!! Перетаскиваю эту дрянь c
c:\windws\system в c:\1\. Теперь вооружаюсь всяким hex-редакторами, дэбугерами,
дизассемблерами и начинаю изучать эту дрянь.
:-)
З.Ы. Обидно только одно - не сохранил экземплярчик для вас :-)
Полезные ссылки:
http://winchanger.narod.ru/reg35.zip - Очень хороший справочник по реестру.
http://www.webhowto.ru/ - частенько пролетают статьи по реестру. (много
подобного рода информации).
http://www.sysinternals.com/files/FILEMON.ZIP - Монитор файлов.
http://www.sysinternals.com/files/regmon95.zip - Монитор реестра.
