суббота, 27 марта 2010 г.

Новый троян W32.Fakeupver.trojan


Создатели вредоносного программного обеспечения не перестают удивлять своей изобретательностью. Специалисты по компьютерной безопасности из вьетнамской компании Bach Khoa Internetwork Security смогли обнаружить нового троянца, маскирующегося под системы обновления популярных приложений.
Источник опасности, получивший название W32.Fakeupver.trojan, заменяет собой системные процессы, отвечающие за автоматическое обновление программных продуктов Adobe, Java, Deep Freeze и даже Windows. Маскируется троянец весьма искусно: его не выдает ни местонахождение рабочих файлов, ни встроенное описание приложения. Кроме того, некоторые антивирусные приложения пока не научились вычислять опасную программу среди запущенных процессов.
Распространяется фальшивая утилита для обновления стандартно — через электронную почту, мессенджеры и уязвимости операционных систем Windows. Оказавшись на компьютере, троянец устанавливает целый набор программ, позволяющий злоумышленникам удаленно управлять зараженной машиной.
Как известно, практически в любом ПО ежедневно находятся новые ошибки и уязвимости, и компании-разработчики стараются своевременно выпускать «заплатки» и обновления. Специалисты по компьютерной безопасности советуют пользователям регулярно обновлять установленные приложения, чтобы не стать жертвой очередной «дырявой» программы.
Именно этим и воспользовались авторы W32.Fakeupver.trojan: пользователи, привыкшие к многочисленным утилитам для обновления ПО, часто даже не обращают внимания на то, что с одним из нескольких запущенных процессов что-то произошло.
На данный момент нет никаких данных о том, сколько компьютеров пали жертвами нового троянца.
Источник

пятница, 26 марта 2010 г.

AVG выпустила LiveCD на основе Linux


Компания AVG, разработчик популярного антивируса для Windows, объявила о выходе основанной на Linux версии своего продукта, выполненной в виде LiveCD/LiveUSB. Продукт может использоваться для восстановления системы, поврежденной в результате активности вирусов и проведения чистки системы от шпионского ПО (spyware).
В состав образа для лечения компьютеров включены также следующие утилиты:
  • Midnight Commander, популярный двухпанельный менеджер файлов;
  • Редактор реестра для Windows - упрощенная версия для опытных пользователей;
  • TestDisk - мощная утилита по восстановлению поврежденных дисковых разделов и случайно удаленных файлов;
  • Набор полезных утилит и программ для Linux: ping, текстовый редактор vi, сервер SSH, ntfsprogs и другие.
Данный LiveCD является совершенно бесплатным продуктом и может быть свободно загружен с сайта компании. Для его эксплуатации требуется компьютер с минимум 512 Мб оперативной памяти.
Источник

четверг, 25 марта 2010 г.

Шейпинг трафика в Linux

Осуществлять шейпирование трафика будем посредством утилиты tc из пакета iproute2.
Знания без которых нельзя осознать всю полноту управления трафиком в Linux:
Шейпировать можно только исходящий из интерфейса трафик. (в связи с чем возникает проблема с nat, о ней мы поговорим позже). Предположим, что имеется роутер между «интернетом» и абонентом. В роутер воткнуто две сетевые карты: eth0 смотрит на абонента, а eth1 в мир. Для ограничения «скорости скачивания» правила шейпирования описываем на eth0, для ограничения «отдачи» — на eth1.
Необходимо понимать разницу между rate и ceil. Rate — гарантированная полоса пропуская, Ceil — максимальная полоса которую может получить данный класс, rate не может быть больше ceil
Параметры rate и ceil для корневого класса должны совпадать. Таким образом мы определяем общую полосу пропускания.
Сумма Rate'ов классов-потомков, не должна превышать Rate родительского класса. Конечно можно не выполнять этот пункт, но тогда могут возникнуть проблемы с предоставлением «гарантированной полосы пропускания».
Идентификаторы классов указаны в шестнадцатеричной системе, и должны находиться в пределах от 2 до 2^16
Для промежуточных классов необязательно создавать дисциплины и фильтры.
Идентификаторы классов в пределах интерфейса должны быть уникальны.

В простом варианте изложения алгоритм нарезки трафика выглядит так:
1. Создаем корневую дисциплину для интерфейса и указываем класс куда будет попадать не классифицированный трафик.
2. Создаем корневой класс и определяем ширину канала.
3. Создаем дочерний класс для шейпирования абонента.
4. Создаем дисциплину шейпирования для класса абонента.
5. Создаем фильтра позволяющие классифицировать трафик абонента.

четверг, 18 марта 2010 г.

Меняем кодировку в mp3 тэгах

Все сталкивались с тем что кодировка в тэгах mp3 обычно windows-1251, которую плохо понимают многие программы и плееры.
Тэги можно довольно просто преобразовать в UTF-8 при помощи скрипта mid3iconv, входящем в пакет python-mutagen.

Открываем консоль и пишем:
sudo apt-get install python-mutagen


После этого переходим в папку с музыкой cd /home/username/Music
И выполняем:
find -iname '*.mp3' -print0 | xargs -0 mid3iconv -eCP1251 --remove-v1


Вобщем все)

среда, 17 марта 2010 г.

Trojan.Encoder.68 - уничтожить!

Компания "Доктор Веб" сообщает о распространении злоумышленниками новой версии троянца-шифровальщика - Trojan.Encoder.68.
Троянец шифрует только некоторые типы документов и файловые архивы, расположенные на дисках компьютера. Для ограничения доступа к пользовательским файлам вредоносная программа архивирует их в ZIP-архивы с паролем длиной 47 символов. Конкретный пароль уникален для каждой заражённой системы.
В папки с зашифрованными документами Trojan.Encoder.68 помещает текстовый файл такого содержания:


Цитата:
"ID: ???-???-???

ИНСТРУКЦИЯ: «КАК ВЕРНУТЬ ВАШИ ФАЙЛЫ»
ЧИТАЙТЕ ВНИМАТЕЛЬНО, ЕСЛИ НЕ ПОНЯТНО, ЧИТАЙТЕ ЕЩЕ РАЗ.

Это автоматический отчет созданный программой зашифровавшей ваши файлы.
При просмотре нелегального порнографического материала, ваш компьютер подвергся
атаке троянской программы шифрующей данные. Все ваши документы, текстовые файлы,
базы данных, фотографии, зашифрованы в rar архивы, с очень длинным паролем. Подбор
пароля невозможен, так как его длинна более 40 символов. Взлом архивов невозможен,
так как для шифрования используется надежный алгоритм AES. Программы для восстановления
удаленных файлов вам не помогут, потому что оригиналы файлов удалены без возможности
восстановления. Искать в системе программу, которая зашифровала ваши файлы - бессмысленно.
Программа уже удалена с вашей системы. Обращаться за помощью к кому-либо бессмысленно.
Они не знают пароль, поэтому ни чем вам не помогут.

Но если вам действительно нужны ваши файлы, вы можете заплатить нам 2000р и вернуть свои файлы.
В течении суток после оплаты, мы вышлем вам пароль. Вам останется только скачать и
запустить программу, которая автоматически расшифрует все ваши файлы.

Для получения пароля отправьте письмо на ????-????-????@gmx.com или ????????@gawab.com
В теме письма напишите: "ID: ???-???-???"

Программу для автоматической расшифровки вы можете скачать по ссылкам:
http://depositfiles.com/files/?????????
http://www.sharemania.ru/???????
http://webfile.ru/??????????"
К имени зашифрованных файлов добавляется дополнительное расширение _crypt_.rar.
Специалисты компании "Доктор Веб" оперативно разработали утилиту, позволяющие подобрать пароль к архивам, созданным троянцем Trojan.Encoder.68. Форма для получения пароля расположена на специальной странице сайта компании "Доктор Веб". http://www.freedrweb.com/aid_admin/decode+encoder/
До восстановления файлов не рекомендуется использовать средства восстановления системы и файлов из резервных копий, т.к. при этом может потеряться информация, необходимая для восстановления исходного состояния зашифрованных файлов.
Использовать утилиты, ссылки на которые даны в тексте от злоумышленников, крайне не рекомендуется по соображениям безопасности.

Источник

Релиз музыкального проигрывателя Amarok 2.3

Представлен релиз музыкального проигрывателя Amarok 2.3, построенный с использованием библиотеки Qt4 и технологий KDE4. Из представленных в новой версии новшеств можно отметить:

  • Новая панель инструментов (toolbar), допускающая перетаскивание композиций мышью в режиме обособленного использования (см.видеодемонстрацию);
  • Полностью переписанный интерфейс управления файлами, рассчитанный прежде всего на операции поиска и проигрывания музыки, а не на работу в роли полноценного файлового менеджера. Отныне файловый браузер полностью интегрирован в Amarok и не выглядит как внешняя надстройка;
  • Значительные улучшения в поддержке проигрывания подкастов, добавлен новый конфигурационный диалог, в котором можно определить индивидуальные параметры, такие как периодичность опроса источника или директория для сохранения загруженных подкастов;
  • Подкасты и сохраненные списки воспроизведения теперь группируются по источнику, доступны для перетаскивания мышью и поддерживают режим объединенного просмотра, примерно также как это сделано ранее для локальных коллекций. При доступности новых подкастов или источников плейлистов Amarok переключается в режим объединенного просмотра и показывает сворачиваемый список новых источников;
  • Поддержка работы с USB-хранилищами и MP3-плеерами;
  • В контекстное меню для элементов списка воспроизведения добавлена опция "show in media sources", позволяющая в дальнейшем упростить поиск похожей композиции в режиме работы с коллекцией, при необходимости осуществить операции по редактированию, перемещению или удалению файла.
  • Улучшено оформление апплета для работы с Wikipedia, внутренние ссылки теперь открываются в том же апплете, а для внешних запускается web-браузер;
  • Возможность быстрого переключения плеера в вид, удобный для работы на устройствах с небольшим экранным разрешением. Три панели можно свернуть и работать с ними как с вкладками (табами).



Кроме того, после полутора лет неактивности, вышел новый номер электронного журнала для пользователей и разработчиков Amarok - Amarok Insider - Issue 14. Выпуске рассказано о новшествах последних релизов Amarok, опубликовано интервью с Марком Кретчманом (Mark Kretschmann), основателем проекта Amarok. Главная ссылка на новость

вторник, 16 марта 2010 г.

Dr.Web 6.0: новые возможности, новые компоненты, новые продукты

Компания «Доктор Веб» – российский разработчик средств информационной безопасности – объявляет о релизе антивирусных продуктов Dr.Web версии 6.0 для защиты рабочих станций и файловых серверов Windows. Новая версия, номер которой присваивается Антивирусу Dr.Web для Windows и Dr.Web Security Space (для 32- и 64-битных платформ), а также Dr.Web для файловых серверов Windows (для 64-битных платформ) включает в себя ряд ключевых изменений по сравнению с 5.0. Вместе с тем продуктовая линейка расширяется за счет появления продуктов, в состав которых входит брандмауэр: Антивирус Dr.Web Pro и Dr.Web Security Space Pro.

Важнейшим изменением, обусловившим появление новой версии продуктов Dr.Web, стало кардинальное обновление файлового монитора SpIDer Guard. Благодаря ему не только была обеспечена поддержка 64-битных ОС Windows, но и повысились быстродействие и эффективность антивируса. Это стало возможно вследствие улучшения взаимодействия файлового монитора с антивирусным ядром. Теперь все компоненты антивируса работают через сервис Scanning Engine.

Радикально обновлен почтовый антивирусный монитор Dr.Web SpIDer Mail. Улучшен модуль управления антивирусом – SpIDer Agent, который теперь имеет два режима работы – пользовательский и административный.

Усовершенствованный модуль обновления (апдейтер) позволяет пользователям получать продленные ключевые файлы, не предпринимая для этого никаких действий, а партнерам компании – предоставлять услуги по продлению лицензий на антивирусные продукты Dr.Web.

Требования к операционным системам остаются прежними. Антивирус Dr.Web для Windows и Dr.Web Security Space для 32-битных версий устанавливаются на все ОС Windows, начиная с 2000 SP 4 + Rollup 1, для 64-битных версий – начиная с Windows XP SP2; Dr.Web для файловых серверов Windows – 2003/2008 (64-бит).

Эти же требования предъявляются к компьютерам для установки продуктов Dr.Web, включающих брандмауэр– Антивирус Dr.Web Pro и Dr.Web Security Space Pro. Брандмауэр располагает пакетным фильтром и фильтром приложений, которые позволяют контролировать сетевые соединения как по определенным протоколам, портам или адресам, так и по конкретным пользовательским приложениям. С его помощью пользователь может создавать постоянные правила для всех процессов, запрашивающих сетевые соединения. Подробнее о брандмауэре в составе продуктов Dr.Web можно прочитать здесь.


вторник, 9 марта 2010 г.

Альфа-тестирование Fedora 13


Вышла первая альфа версия Linux-дистрибутива Fedora 13. Финальный релиз намечен на 11 мая, а бета-версия на 6 апреля.
Новые возможности для пользователей:
  • Автоматическая установка драйверов печати с помощью RPM и PackageKit. Теперь, при подключении к компьютеру принтера, Fedora автоматически предлагает установить необходимые драйверы, если они требуются для функционирования устройства.
  • Добавление yum плагина, который автоматически устанавливает языковые пакеты в соответствии с выбранным пользователем родным языком.
  • Переработан интерфейс управления учетными записями пользователей - теперь для новых пользователей предлагается указать стойкий пароль, выбрать пиктограмму или картинку, благодаря использованию тестовых версий пакетов accountsdialog и accountsservice, и поменять данные старых пользователей.
  • Добавлена возможность использования цветовых профилей для всех поддерживающих их устройств, таких как мониторы, принтеры и сканеры. Возможность реализована при помощи пакета gnome-color-manager.
  • В NetworkManager улучшены средства для настройки сетевых соединений, добавлена возможность создания и настройки всех без исключения типов подключения, таких как dialup, wifi или даже выход в сеть через сотовый телефон, соединение с которым организовано через Bluetooth. Также поддерживается создание интерфейсов через командную строку.
  • В экспериментальном драйвере для видеокарт NVIDIA Nouveau добавлена поддержка 3D-ускорения. Также обновлёны открытые драйверы для видеокарт ATI. Для тестирования новых возможностей этих драйверов требуется установить пакет mesa-dri-drivers-experimental.

Новые возможности для разработчиков:
  • Добавление поддержки статичных проверок (static probes) в пакет SystemTap (аналог DTrace), что позволяет проводить мониторинг высокоуровневых языков программирования, таких как Java, Python и Tcl, а также приложений, использующих СУБД PostgreSQL. В будущем будет добавлена поддержка ещё большего круга приложений.
  • Улучшены возможности отладки для приложений Python - добавлена возможность работы со смешанными библиотеками (Python и C/C++) для получения более полной информации в отладчике GDB.
  • В Fedora 13 можно параллельно к существующему Python 2.6.4 установить новую ветку Python 3.1.1.
  • В комлект включена среда разработки NetBeans 6.8, которая впервые стала полностью поддерживать полную спецификацию Java 6 Enterprise Edition.

Новые возможности для системных администраторов:
  • Проект boot.fedoraproject.org позволяет установить по сети самую свежую версию Fedora, имея в распоряжении только маленький загрузочный образ (который умещается даже на дискете 1.4MB).
  • Демон "Сервисов безопасности для системы" (SSSD - System Security Services Daemon) предоставляет расширенные возможности входа в управляемые домены, включая кэширование параметров входа для offline-аутентификации. Таким образом пользователи, работающие на ноутбуках, смогут работать даже при отсутствии связи с локальной сетью организации.
  • Переход на использование NFSv4 по умолчанию (вместо NFSv3) и поддержка монтирования NFS поверх IPv6.
  • Впервые представлено программное обеспечение для организации совместной работы группы людей - Zarafa Groupware, которое является Open Source заменой для сервера Microsoft Exchange. Zarafa включает управление почтой через веб-браузер, календарь-планировщик, совместную работу и задачи. Также поддерживается почта по протоколам IMAP/POP, возможность работы с календарём по протоколам iCal/CalDAV, родная поддержка сотовых телефонов и интеграция с существующими почтовыми серверами. Имеется также расширенный набор API, включая удобный интерфейс и использование современных технологий, таких как Ajax.
  • Добавлена поддержка лёгковесных снимков файловой системы Btrfs, которые могут быть смонтированны по выбору в том числе и в режиме только для чтения. Снимки создаются по технологии COW (copy-on-write) поэтому информация об неизменных файлах в снимках не дублируется. Такая возможность позволяет пользователям и администратам тестировать новые версии ПО, не боясь повредить систему или её целостность, предоставляя возможность легко откатиться на любую предыдущую версию файловой системы.
  • Добавление в комплект VoIP-сервера sipwitch, разработанного в рамках проекта GNU Telephony. В итоге, для пользователей Fedora будет подготовлена полностью свободная альтернатива системе VoIP телефонии Skype, работающая в режиме точка-точка, т.е. для прямого соединения абонентов;

Новые возможности, связанные с виртуализацией:
  • Hostinfo - возможность получения информации о состоянии хост-системы из гостевого окружения
  • Возможность назначения неизменных адресов для PCI устройств в гостевых KVM окружениях
  • Поддержка совместного использования виртуальными окружениями одного физического сетевого интерфейса
  • VhostNet - акселерация сетевых функций KVM на уровне ядра
  • VirtAppliances - улучшение средств управления образами для развертывания в виртуальных окружениях
  • VirtAuthorization - возможность настройки надежной авторизации для управления удаленными виртуальными сервисами
  • VirtVNCResourceTunnel - позволяет получить доступ к ресурсам гостевой системы, таким как последовательный порт или вывод звука, через проброс в VNC клиента
  • VirtioSerial - возможность создания одновременно нескольких virtio-консолей
  • Средства для автоматического преобразования виртуальной машины Xen в KVM представление
  • Включение в поставку Xen dom0 (host) ядра, которое отсутствует со времен Fedora 8

суббота, 6 марта 2010 г.

Обнаружение и удаление вирусов вручную


Пока что я не знаю никого, кто бы прямо или косвенно не пострадал от действий компьютерных вирусов. Антивирусные компании много хотят за свои продукты, которые так и не обеспечивают надлежащей защиты. Спрашивается, зачем вообще тогда покупать антивирусное ПО? Все что создано человеком может быть уничтожено, это относится как к антивирусам, так и к вирусам. Человека обмануть намного сложнее, чем программу. Поэтому эта статья посвящена описанию методики обнаружения и деактивации вирусного программного обеспечения без антивирусного продукта. Запомните есть только одна вещь, ценность которую невозможно обойти/сломать/обмануть - это Знание, собственное понимание процесса. Сегодня я расскажу на реальных примерах как обнаружить и поймать у себя на компьютере Интернет-червей и шпионское ПО. Конечно есть еще много видов, но я взял самые распространенные и решил написать про то, что было у меня на практике, дабы не сказать чего лишнего. Если повезет в поиске расскажу про макро-вирусы, бэкдоры и руткиты. Итак перед тем как приступись, отмечу, в данной статье рассматриваю только операционную систему семейства NT, подключенную к интернету. У меня самого стоит Win2000 SP4, вирусы ловлю на WinXP PE. Итак перейдем к беглому, а затем и детальному анализу системы на предмет червей и шпионов. Беглым осмотром мы просто обнаружаем наличие программы и локализуем ее, детальный анализ уже идет на уровне файла и процессов. Там я расскажу о прекрасной программе PETools, впрочем всему свое время.

[Обнаружение системы]

Логично, что для того чтобы обнаружить и обезвредить вредоносную программу необходимо существование таковой программы. Профилактика остается профилактикой, о ней поговорим позже, однако надо первым делом определить есть ли на компьютере вообще вирусы. Для каждого типа вредоносных программ соответственно есть свои симптомы, которые иногда видны невооруженным глазом, иногда незаметны вовсе. Давайте посмотрим, какие вообще бывают симптомы заражения. Поскольку мы ведем речь о компьютере, подключенном к глобальной сети, то первым симптомом является чрезмерно быстрый расход, как правило, исходящего трафика, это обуславливается тем, что очень многие интернет-черви выполняют функции DDoS-машин или просто ботов. Как известно , при DDoS атаке величина исходящего трафика равна максимальной величине трафика за единицу времени. Конечно, на гигабитном канале это может быть и не так заметно если проводится DdoS атака шириной с диалап соединение, но как правило бросается в глаза заторможенность системы при открытии интернет ресурсов (Еще хотелось бы отметить, что речь пойдет о вирусах, которые хоть как то скрывают себя системе, ведь не надо объяснять ничего если у вас в папке Автозагрузка лежит файл kfgsklgf.exe который ловится фаерволлом и т.д.). следующее по списку, это невозможность зайти на многие сайты антивирусных компаний, сбои в работе платных программ типа CRC-error, это уже обусловлено тем, что достаточно многие коммерческие протекторы поддерживают функцию проверки четности или же целости исполняемого файла (и не только протекторы, но и сами разработчики защит), что сделано для защиты программы от взлома. Не будем говорить об эффективности данного метода против крякеров и реверсеров, однако сигнализацией к вирусному заражению это может сработать идеально. Плата начинающих вирмейкеров за не убиваемые процессы, то что при выключении или перезагрузке компьютера идет длительное завершение какого нибудь-процесса, или же вообще компьютер зависает при завершении работы. Думаю про процессы говорить не надо, а так же про папку автозагрузка, если там есть что-то непонятное или новое, то, возможно, это вирус, однако про это попозже. Частая перезагрузка компьютера, вылет из интеренета, завершение антивирусных программ, недоступность сервера обновления системы microsoft, недоступность сайтов антивирусных компаний, ошибки при обновлении антивируса, ошибки вызванные изменением структуры платных программ, сообщение windows, что исполняемые файлы повреждены, появление неизвестных файлов в корневом каталоге, это лишь краткий перечень симптомов зараженной машины. Помимо прямых вредоносных программ существует так называемое шпионской программное обеспечение, это всевозможные кейлоггеры, дамперы электронных ключей, нежелательные "помощники" к браузеру. Честно говоря, по методу обнаружения их можно разделить на два противоположных лагеря. Допустим кейлоггер, присоединенный динамической библиотекой к оболочке операционной системы обнаружить на лету крайне сложно, и наоборот, невесть откуда взявшийся помощник (плагин, строка поиска и т.д.) к internet Explorer'у (как правило) бросается в глаза сразу же. Итак, я думаю, настало время оставить эту пессимистическую ноту и перейти к реалистичной практике обнаружения и деактивации вредоносного программного обеспечения.

[Обнаружение на лету]

Первым делом мы научимся обнаруживать и уничтожать интернет-черви. Про почтовые черви я рассказывать не буду, алгоритм он один для всех, однако метод распространения почтовых червей настолько банален, что если вы умудрились запустить файл из аттача, то эта статья вам не поможет все равно. Для наглядности приведу пример из жизни, как обнаружил недектируемый ни одним антивирусом (до сих пор) IRC-bot, на уязвимой машине. Принцип распространения таких червей довольно прост, через найденную уязвимость в операционной системе. Если подумать головой то можно понять, что основным способом забросить себя на уязвимую машину является вызов ftp-сервера на этой машине. По статистике уязвимостей это печально известный tftp.exe (который, кстати, я не разу не использовал и думаю, что и создан он был только для вирусописателей). Первый симптом таких червей это исходящий трафик и не только из-за DDoS атак, просто вирус, попадая на машину, начинает поиск другой уязвимой машины в сети, то есть попросту сканирует диапазоны IP-адресов. Далее все очень просто, первым делом смотрим логи в журнале событий ОС, что находится по адресу Панель управления->Администрирование->Журнал событий. Нас интересуют уведомления о запущенных службах и главное уведомления об ошибках. Уже как два года черви лезут через ошибку в DCOM сервере, поэтому любая ошибка, связанная с этим сервером уже есть повод полагать о наличие вируса в системе. Чтобы точно убедится в наличии последнего, в отчете об ошибке надо посмотреть имя и права пользователя допустившего ошибку. Если на этом месте стоит "пользователь неопределен" или что-то подобное то радуйтесь, вы заражены! и вам придется читать дальше. Я именно так и обнаружил своего первого вируса на специальной сборочной машине (просто компьютер подключенный к сети с win2000, безо всяких пакетов обновление, экранов и т.д. специально для сбора таких программ =)). Если действовать по логике, а не по инстинкту, то первым делом вы должны закрыть дыру в системе для последующих проникновений, а потом уже локализовывать вирусы. Как я уже говорил, такие вирусы обычно лезут через tftp.exe, поэтому (если он вам действительно не нужен! если никогда его не видели, значит, не нужен) просто удаляем его из системы. Для этого сначала удаляем его из архива

%WINDIR%\Driver Cache\driver.cab
затем из папок обновления ОС, если таковые имеются, после этого из %WINDIR%\system32\dllcache\ и уже потом просто из
%WINDIR%\system32\
Возможно, ОС скажет, что файлы повреждены и попросит диск с дистрибутивом, не соглашайтесь! А не то он восстановится и опять будет открыта дыра. Когда вы проделаете этот шаг можно приступать к локализации вируса. Посмотреть какие приложения используют сетевое подключение, помогает маленькая удобная программа TCPView, однако некоторые черви имеют хороший алгоритм шифрации или хуже того, прикрепляются к процессам либо маскируются под процессы. Самый распространенный процесс для маскировки - это, несомненно, служба svhost.exe, в диспетчере задач таких процессов несколько, а что самое поразительное, можно создать программу с таким же именем и тогда отличить, кто есть кто практически невозможно. Но шанс есть и зависит от внимательности. Первым делом посмотрите в диспетчере задач (а лучше в программе Process Explorer) разработчика программ. У svhost.exe это как не странно M$, конечно можно добавить подложную информацию и в код вируса, однако тут есть пара нюансов. Первый и наверное главный состоит в том, что хорошо написанный вирус не содержит не таблицы импорта, не секций данных. Поэтому ресурсов у такого файла нет, а, следовательно, записать в ресурсы создателя нельзя. Либо можно создать ресурс, однако тогда появится лишний объем файла, что крайне нежелательно вирмейкеру. Еще надо сказать про svhost.exe, это набор системных служб и каждая служба - это запущенный файл с определенными параметрами. Соответственно в Панели управления -> Администрирование -> Службы,
содержатся все загружаемые службы svhost.exe, советую подсчитать количество работающих служб и процессов svhost.exe, если не сходиться , то уже все понятно (только не забудьте сравнивать количество РАБОТАЮЩИХ служб). Подробнее в приложении А.
Надо так же отметить, что возможно и среди служб есть вирус, на это могу сказать одно, список служб есть и на MSDN и еще много где в сети, так что просто взять и сравнить проблемы не составит. После таких вот действий вы сможете получить имя файла, который возможно является вирусом. О том, как определять непосредственно вирус или нет, я расскажу чуть дальше, а сейчас оторвемся от рассуждений и посмотрим еще несколько моментов. Как вы, наверное, уже знаете, для нормальной работы ОС необходимо всего 5 файлов в корневом каталоге, поэтому все остальные файлы вы можете смело удалять, если конечно вы не умудряетесь ставить программы в корневой каталог. Кстати файлы для нормальной работы, вот они: ntldr
boot.ini
pagefile.sys
Bootfont.bin
NTDETECT.COM
Больше ничего быть не должно. Если есть и вы не знаете, откуда оно там появилось то переходите к главе [Детальный анализ].Приаттачивание к процессам мы так же рассмотрим в главе [детальный анализ], а сейчас поговорим про автозапуск. Естественно вирус должен как-то загружаться при старте системы, как правило. Соответственно смотрим следующие ключи реестра на предмет подозрительных программ. (А если вы уже нашли вирус, то ищите имя файла везде в реестре и удаляйте):
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\SharedTaskSchedulerHKLM\
SOFTWARE\Microsoft\Windows\CurrentVersion\ShellSer viceObjectDelayLoad
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Это все было сказано про детектирование простых червей. Конечно, вычислить хороший скрытый вирус сложно. Обнаружение этого червя и его деативация заняли у меня около 10 минут времени, конечно, я знал, где искать, это упростило задачу. Однако допустим на обнаружение хорошего бэкдора, кейлоггера, стелс-вируса, или же просто вируса, в котором используется перехват вызовов API-функций файловой системы (тогда вирус получается действительно невидимым), потокового вируса, в общем, есть еще ряд нюансов, однако таких творений действительно мало, мало настоящих вирмейкеров в наши дни. Огорчает... Постараюсь рассказать о них в следующих статьях. теперь перейдем к шпионским программам, или, как их называют буржуи SpyWare. Объяснять буду опять же на примерах шпионов, которых я ловил сам лично, чтобы мои слова не казались пустой фантазией.

Начну я свой рассказ с самых распространенных шпионов. В одном небезызвестном журнале один хороший программист правильно назвал их блохами ослика. Простейший шпион очень часто скрывается за невинным на вид тулбаром. Знайте, что если у вас, вдруг, откуда не возьмись, появилась новая кнопка или же строка поиска в браузере то считайте, что за вами следят. Уж очень отчетливо видно, если у вас вдруг изменилась стартовая страница браузера, тут уж и говорить нечего. Конечно, прошу простить меня за некоторую некорректность в терминах. Вирусы, меняющие стартовые страницы в браузере вовсе не обязательно будут шпионами, однако, как правило, это так и поэтому позвольте здесь в этой статье отнести их к шпионам. рассмотрим пример из жизни, когда я пришел на работу и увидел на одном компьютере странного вида строку поиска в браузере, на мой вопрос откуда она взялась я так ничего и не получил. пришлось разбираться самому. Как вообще может пролезть шпион в систему? Есть несколько методов, как вы уже заметили речь идет про Internet Explorer, дело в том, что самый распространенный метод проникновения вируса в систему через браузер - это именно посредством использование технологии ActiveX, саму технологию уже достаточно описали и зацикливаться я на ее рассмотрении не буду. Так же заменить стартовую страницу, к примеру, можно простым Java-скриптом, расположенным на странице, тем же javascript можно даже закачивать файлы и выполнять их на уязвимой системе. Банальный запуск программы якобы для просмотра картинок с платных сайтов известного направления в 98% случаев содержат вредоносное ПО. Для того чтобы знать, где искать скажу, что существует три наиболее распространенных способа, как шпионы располагаются и работают на машине жертвы.
Первый - это реестр и ничего более, вирус может сидеть в автозагрузке, а может и вообще не присутствовать на компьютере, но цель у него одна - это заменить через реестр стартовую страницу браузера. В случае если вирус или же скрипт всего лишь однажды заменил стартовую страницу, вопросов нет, всего лишь надо очистить этот ключ в реесре, если же после очищения, через некоторое время ключ снова появляется, то вирус запущен и постоянно производит обращение к реестру. Если вы имеете опыт работы с отладчиками типа SoftIce то можете поставить точку останова на доступ к реестру (bpx RegSetValueA, bpx RegSetValueExA) и проследить, какая программа, кроме стандартных, производит обращении к реестру. Дальше по логике уже. Второй - это именно перехватчики системных событий, так назваемые хуки. Как правило, хуки используются больше в кейлоггерах, и представляют собой библиотеку, которая отслеживает и по возможности изменяет системные сообщения. Обычно есть уже сама программа и прикрепленная к ней библиотека, поэтому исследуя главный модуль программы вы ничего интересного не получите.
Подробнее об этом и следующем способе смотрите ниже в главе детальный анализ.

И, наконец, третий способ это прикрепление своей библиотеки к стандартным программам ОС, таким как explorer.exe и iexplorer.exe, проще говоря написание плагинов к этим программам. Тут опять же есть пара способов, это прикрепление с помощью BHO (об самом способе прикрепления писал Gorlum, пользуясь случаем привет ему и почет) и просто внедрение своей библиотеки в исполняемый файл. разница, какой понимаю ее я в том что Browser Helper Object описано и предложено самой корпорацией M$, и используется как плагин к браузеру, а внедрение библиотек - это уже не столько плагин, сколько как самодостаточная программа, больше напоминающая файловый вирус прошлых лет.

Предоставлю вам для общего обучения ключи реестра, куда могут прописаться недоброкачественные товары, в виде тулбаров, кнопок и стартовых страниц браузера.

Стартовая страница
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main параметр StartPage.
HKEY_USERS\S-1-5-21-....\Software\Microsoft\Internet Explorer\Main параметр StartPage (S-1-5-21-.... этот ключ может быть разный на разных машинах)

Регистрирование объектов типа кнопок, тулбаров и т.д.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\
Вот тут регистрируется все "помошники" и если у вас таковых нет то ключ должен быть пуст, если не пуст, то удаляйте.

Итак, если у вас не все в порядке с этими ключами, и вы хотите разобраться дальше, то смотрим дальше.

[Ищем получше]

Поскольку к моменту написания данной статью я хотел сделать ее понятной всем, то эта глава может и показаться некоторым людям непонятной, но я старался упростить все как мог. Я не буду объяснять вас архитектуру PE-файла, хотя мы будем к ней обращатся. Подробнее есть множество мануалов в сети, а про PE-файлы хорошо было написано Iczelion'ом. Может быть, когда ни будь, да опишу тоже.
Итак, приступая к детальному анализу нам потребуются некоторые инструменты, я использую в этом случае и советую использовать PETools by NEOx и PEiD (Можно вообще обойтись одним Soft Ice'ом, но лучше побольше инструментов да попроще, для реверсеров отмечу, что сейчас пойдет речь о просмотре таблицы импорта и упакованности файла, поэтому пропустите мимо ушей то извращение, которое вы сейчас увдите)
Значит, как я уже говорил, был такой случай, что в браузере появилась непонятно откуда строка поиска и стартовая страница. Проверив реестр, я не нашел изменения статовой страницы, а так же не нашел регистрации плагинов в браузере. При детальном осмотре оказалась, что данная строка поиска (тулбар проще) появляется во всех окнах ОС. Это уже немного меняло суть дела. Я предположил, что занимаются этим два независимых друг от друга шпиона и именно методом внедрения динамической библиотеки. При этом надо различать, что если тулбар был бы только в браузере, значит, внедрился он в процесс iexplorer.exe, но у нас был он везде, следовательно, проверять надо было в explorer.exe. Я начал проерять браузер. Для этого я запустил PETools и просто посмотрел, какие библиотеки использует браузер. Мне подвернулась удача в лице нерадивого вирмейкера, на фоне системных библиотек из %SYSTEMROOT% красовалась некая smt.dll с путем, уходящем, куда то в TEMP. Перезагрузка в безопасном режиме и удаление этой библиотеки, и все в норме, шпион убит. Осталось только опять вызвать PETools, кликнуть правой кнопкой мыши на нашем процессе и произвести пересборку файла. Это самый простой случай в моей практике. Перейдем к следующему, находим и убиваем тулбар. Тем же образом я посмотрел процесс explorer.exe и ничего бросающегося в глаза, не нашел. Из этого следует два варианта, либо я не знаю наизусть всех библиотек, и тулбар затерялся среди них, либо мне не дано по знаниям его обнаружить. К счастью вышло первое. Но как же тогда отличить настоящую библиотеку от подложной. я скажу, а вы уже поймете сами. Как известно вирмейкеры гонятся за минимализацией и зашифрованостью кода. То есть не один тулбар как правило не будет лежать в открытом виде, во-первых код можно уменьшить, а значит нужно, и во-вторых если кто нибудь (чаще даже не антивирус, а конкурент) обнаружит данную библиотеку то ему незашифрованный код легче понять. Поэтому берем PEiD и производим массовое сканирование импортируемых библиотек. Библиотеки от microsoft естественно написаны на visual C++ и ничем не упакованы, поэтому если мы видим (а я как раз увидел подозрительную seUpd.dll упакованную UPX) упакованную или зашифрованную библиотеку то 99% это, то, что мы искали. Проверит она это или нет очень просто, переместите в безопасном режиме ее и посмотрите результат. Конечно, можно было бы распаковать, посмотреть дизасм листинг и подумать, что же она делает, но не бдем в то углубляться. Если вы не нашли все-таки упакованную библиотеку, то полезно редактором ресурсов типа Restorator посмотреть версии файла, как я уже говорил у всех библиотек от M$ там так и написано. Вот на таких делах прокалываются вирмейкеры. Стыдно должно быть им вообще писать такие вирусы. На последок хочу еще заметить, что библиотека *.dll не обязательно может внедрятся в процессы. В ОС Windows есть такое полезное приложение, как rundll32.exe, и я могу запускать с помощью этого процесса любую библиотеку. И при этом не обязательно в автозагрузке писать rundll32.exe myspy.dll, достаточно прописать это внутри зараженного файла. Тогда вы будете видеть только свои (зараженные файлы, которые маловероятно будут детектироваться антивирусом) и процесс rundll32.exe, и больше ничего. Как быть в таких случаях? Здесь уже придется углубляться в структуру файла и ОС, поэтому оставим это за рамками данной статьи. Насчет упакованности/зашифрованности вируса относится не только к библиотекам, но и ко всем системным файлам. На этой приятной ноте я хочу закончить главную часть статьи, написано было много, однако это только 1% всех способов обнаружения. Мой способ пускай и не лучший, но я им пользуюсь сам и довольно продуктивно (хорошо только не на своем компьютере). По возможности если получится, напишу продолжение про макро-вирусы, кейлоггеры и бэкдоры, словом про то, что я уже ловил.

[Благодарности]

Хотелось бы высказать благодарности всем с кем я общаюсь за то, что они есть.

А так же людям, кто оказал на меня влияние и хоть как нибудь направил на путь истинный меня:
1dt.w0lf, MozgC, Mario555, c0Un2_z3r0, _4k_, foster, etc.

[Приложение А]
Список системных служб svhost.exe (WinXP)

DHCP-клиентsvchost.exe -k netsvcs
DNS-клиент svchost.exe -k NetworkService
Автоматическое обновление svchost.exe -k netsvcs
Вторичный вход в систему svchost.exe -k netsvcs
Диспетчер логических дисков svchost.exe -k netsvcs
Запуск серверных процессов DCOM svchost -k DcomLaunch
Инструментарий управления Windows svchost.exe -k netsvcs
Клиент отслеживания изменившихся связей svchost.exe -k netsvcs
Модуль поддержки NetBIOS через TCP/IP svchost.exe -k LocalService
Обозреватель компьютеров svchost.exe -k netsvcs
Определение оборудования оболочки svchost.exe -k netsvcs
Рабочая станция svchost.exe -k netsvcs
Сервер svchost.exe -k netsvcs
Служба восстановления системы svchost.exe -k netsvcs
Служба времени Windows svchost.exe -k netsvcs
Служба регистрации ошибок svchost.exe -k netsvcs
Службы криптографии svchost.exe -k netsvcs
Справка и поддержка svchost.exe -k netsvcs
Темы svchost.exe -k netsvcs
Уведомление о системных событиях svchost.exe -k netsvcs
Удаленный вызов процедур (RPC) svchost -k rpcss
Центр обеспечения безопасности svchost.exe -k netsvcs
Диспетчер авто-подключений удаленного доступа svchost.exe -k netsvcs
Протокол HTTP SSLsvchost.exe -k HTTPFilter
Расширения драйверов WMI svchost.exe -k netsvcs
Служба загрузки изображений (WIA)svchost.exe -k imgsvc
Служба обеспечения сетиsvchost.exe -k netsvcs
Служба серийных номеров переносных устройств мультимедиа
svchost.exe -k netsvcs
Совместимость быстрого переключения пользователей
svchost.exe -k netsvcs
Съемные ЗУsvchost.exe -k netsvcs
Узел универсальных PnP-устройствsvchost.exe -k LocalService
Управление приложениямиsvchost.exe -k netsvcs
Фоновая интеллектуальная служба передачиsvchost.exe -k netsvcs
Диспетчер подключений удаленного доступаsvchost.exe -k netsvcs
Сетевые подключенияsvchost.exe -k netsvcs
Система событий COM+svchost.exe -k netsvcs
Служба обнаружения SSDP svchost.exe -k LocalService
Служба сетевого расположения (NLA)svchost.exe -k netsvcs
Службы терминаловsvchost -k DComLaunch
Телефонияsvchost.exe -k netsvcs
Windows Audiosvchost.exe -k netsvcs
Доступ к HID-устройствамsvchost.exe -k netsvcs
Маршрутизация и удаленный доступsvchost.exe -k netsvcs
Оповещатель svchost.exe -k LocalService
Планировщик заданийsvchost.exe -k netsvcs
Служба сообщений svchost.exe -k netsvcs
------ Итого шесть процессов при работе всех служб -------

пятница, 5 марта 2010 г.

Редизайн Ubuntu. Часть 2

Обновил сегодня свою систему - был приятно удивлен. Конечно это еще даже не бэта, но уже присутствует явный закос под "сами знаете какую ОС":

Лично я - с нетерпением жду релиза.

четверг, 4 марта 2010 г.

Редизайн Ubuntu

Команда дизайнеров Canonical в связке с Art community представила свое виденье развития главного бренда компании - дистрибутива Ubuntu!
Изменения затронули: основные принципы существования бренда, логотипы, темы оформления и т.д.


Краткий перевод вики-странички и несколько скринов:
«В основу нового стиля Ubuntu заложена тема „Легкости“. Мы (команда дизайнеров, прим. переводчика) разработали концептуальный набор визуальных принципов и указаний, которые отражают идею стиля, и представили обновления ключевых объектов, таких как, например, логотипы. Новая тема будет использоваться начиная с Ubuntu 10.04 LTS и определит внешний вид и дух системы на несколько следующих лет.»












вторник, 2 марта 2010 г.

Продливаем "легальную" жизнь Windows 7 RC

С 1 марта 2010 года Release Candidate версии Windows 7 стал перегружаться каждые 2 часа. 
Будем исправлять:
1. Компьютер > Свойства > Защита системы > Настроить > Отключить защиту системы
2. Устанавливаем Shutdown Guard (добавляем в автозагрузку)
3. Запрещаем автоматическое завершение приложений при ребуте 
Жмем Win+R > наберите gpedit.msc 
Находим раздел Конфигурация компьютера > Административные шаблоны > Система > Параметры завершения работы 
Выключаем параметр «Отключить автоматическое завершение работы приложений» (двойной клик > Включить > OK).
Ребут, и пользуемся виндой дальше. :)
Lugansk Linux User Group

установка кода sape