7.2.08

Как я подхватил троянца

Ну вот и я попался ;-( В один прекрасный день, при запуске "проводника" (explorer.exe) мой Cisco Security Agent "ругнулся" на то, что "проводник" пытается установить соединение с 80-м портом IP-адреса 85.255.118.26. В логе это выглядело следующим образом:

"04.02.08 21:21:05: The process 'C:\WINNT\explorer.exe' (as user xxx) attempted to initiate a connection as a client on TCP port 80 to 85.255.118.26 using interface yyy. The operation was denied."

Ситуация не такая страшная, т.к. Cisco Security Agent (CSA) не дал вредоносной программе (тогда я еще не знал какой) совершить свое черное дело. Меня смутило другое - установленный у меня антивирус McAfee, работающий в реальном времени, ничего не показал. Причем уже не первый раз. В отличие от CSA, который ловит почти все (правда не говорит, что поймал). В сентябре антивирус не словил попытку подсадить мне троянца через сайт издательства "Бином" (подробнее тут) - только CSA защитил меня от этой напасти.

И вот в данном инциденте меня эта ситуация малость напрягла, т.к. сам антивирус обновляется регулярно и автоматически. Чтобы посмотреть, не пропускает ли что-нибудь его онлайновый движок, я запустил сканирование всего диска и процессов в памяти. Прошло 3 часа (все-таки 100 тысяч файлов на диске) - результата ноль. Но CSA каждый раз ругается на explorer.exe. И вот в тот же день "заглючил" также регулярно обновляемый и корректно настроенный Internet Explorer. При клике на некоторые линки он либо перекидывал меня на "левые" сайты, либо просто открывал новые окна IE и пытался показать мне какую-то рекламу. Это меня стало напрягать еще сильнее.

Тогда я решил прошерстить свой ноут другим антивирусом. Т.к. ставить на свой комп нелицензионный софт я не мог, да и возможны были конфликты антивирусных движков, я пошел по старинке на сайт Symantec и запустил Symantec Security Check. Это антивирусный онлайн-сканер, который работает путем установки на компьютер ActiveX-компонента, который и сканирует мой жесткий диск и другие ресурсы. После двух часов работы результат был таков - был найден один adware, который я самостоятельно и удалил. Но ситуацию это не изменило - CSA ругался, а IE открывал подозрительные сайты. Тогда я установил на свой комп свободно распространяемое ПО - "Spybot - Search & Destroy". Он нашел у меня еще тройку adware, удалил их, но... троянца, на которого ругался CSA, так и не обнаружил ;-(

Параллельно с установкой Spybot я включил резидентный контроллер TeaTimer, который отслеживал и блокировал доступ IE к вредоносным сайтам. И он это делал достаточно эффективно:

"04.02.08 22:10:50 Запрещено (based on user decision) value "SpybotSD TeaTimer" (new data: "") удалено in System Startup user entry!"

Отрицательным моментом в работе резидента Spybot является его постоянное вопрошение пользователя "Что делать? Разрешить или запретить?". Учитывая число таких запросов могу предположить, что в какой-то момент пользователь ответит "Да" и "Больше меня не спрашивать" со всеми вытекающими отсюда последствиями.

Но дважды блокировав потенциальную утечку информации, источник проблемы остался невыясненным. Я поставил на лэптоп очередную бесплатную утилиту по поиску подозрительных вещей - HiJackThis от TrendMicro. Сразу надо сказать, что утилита очень интересная и она действительно нашла у меня трояна, но... я об этом так и не узнал бы, т.к. сам по себе HiJackThis не говорит вам, что конкретно у вас плохо. Он подсказывает вам подозрительные места, где могут скрываться проблемы. А могут и не скрываться. Во-первых, он показывает запущенные процессы, например:

"C:\Program Files\Cisco Systems\VPN Client\vpngui.exe C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE"

а также всяческие BHO-компоненты (Browser Helper Object), за которыми часто скрывается шпионское ПО, ключи реестра, тулбары, программы в "загрузке при старте", сервисы и т.д. Например:

"O3 - Toolbar: Yandex.Bar - {91397D20-1446-11D4-8AF4-0040CA1127B6} - C:\WINNT\Downloaded Program Files\yndbar.dll
O4 - Global Startup: VPN Client.lnk = C:\Program Files\Cisco Systems\VPN Client\vpngui.exe O4 - HKCU\..\Run: [xmldial] "C:\WINNT\xmldial.exe" -m
O23 - Service: Altiris Agent (AeXNSClient) - Altiris, Inc. - C:\PROGRA~1\Altiris\ALTIRI~1\AeXNSAgent.exe".

Среди таких же записей лога HiJackThis затесалось и доказательство наличия трояна у меня на компе:

"O2 - BHO: (no name) - {AE1F5DEC-78CD-49C0-9F4C-929DFBD2F6D9} - C:\WINNT\system32\cdra.dll"

Эта запись, наряду с десятком других, у меня сразу вызвала вопросы и я решительно нажал кнопку AnalyzeThis, надеясь, что лог попадет в TrendMicro и ее специалисты помогут мне с идентификацией потенциальных проблем. Но увы ;-( Я попал на страницу, на которой мне было предложено самостоятельно задать интересующий меня вопрос на нужном языке (исключая русский) на трех-четырех десятках различных форумов. Справедливости ради надо сказать, что я зашел на один из таких форумов, где попытался закачать свой лог для анализа его антивирусными специалистами. Безуспешно. Процедура была более чем нетривиальная и требовала значительных временных усилий (не считая обязательной регистрации на форуме и ожидания ответа от энтузиастов). Я не дошел до конца процедуры и бросил это дело. Предполагаю, что также поступят и большинство остальных пользователей, решивших последовать предложению утилиты HiJackThis от TrendMicro.

Уже зевая, я решился на последний шаг - запустить антивирус Касперского. Исторически так сложилось, что я не очень люблю этот антивирус (около 11 лет назад я сильно залетел из-за качества поддержки KAV в тогда еще фирме "КАМИ"). Но тут я решил попробовать (тем более, что недавно я стал обладателем Kaspersky Mobile для своей Nokia E61i). Я запустил Kaspersky Online Scanner и стал ждать. Неприятной особенностью стала загрузка базы со всеми пятистами с лишним тысяч штаммов вирусов (у Symantec этот процесс прошел гораздо быстрее) - на Skylink это заняло порядочно времени. Но после загрузки (надеюсь, что в следующий раз мне не придется повторно загружать все базы с самого начала) я запустил сканирование т.н. Critical Areas (я пользовался английской версией - не знаю, есть ли русский вариант). Проработав около 40-50 минут сканер выдал мне отчет, который порадовал меня своей информативностью (по сравнению с предыдущими программами). Пример отчета приводится ниже:

"Infected Object Name Virus Name
C:\WINNT\system32\cdra.dll Infected: Trojan-Downloader.Win32.Delf.dyu"

Удалить трояна, он не удалил, но он показал, что мои подозрения в отношении этой библиотеки (если бы HiJackThis умел "говорить" цены бы ему не было) были не напрасны. Подтверждением наличия троянца стало сканирование памяти:

"Infected Object Name
[0] [System Process] => C:\WINNT\system32\cdra.dll
[1772] explorer.exe => C:\WINNT\system32\cdra.dll
[420] IEXPLORE.EXE => C:\WINNT\system32\cdra.dll"

Троянский загрузчик Trojan-Downloader.Win32.Delf.dyu предназначен "для загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки «троянцев» или рекламных систем. Загруженные из интернета программы затем либо запускаются на выполнение, либо регистрируются «троянцем» на автозагрузку в соответствии с возможностями операционной системы. Данные действия при этом происходят без ведома пользователя" (описание взято из вирусной энциклопедии Лаборатории Касперского).

Информация об именах и расположении загружаемых программ скачивается данным троянцем с Web-страницы, а так как Cisco Security Agent блокировал эти попытки, то мне особо страшного ничего не угрожало. Вот так и закончилась моя эпопея с обнаружением и удалением троянца с моей машины.

Какие выводы можно сделать из этого инцидента:

  • Не используйте только антивирус для своей защиты. Сигнатурные подходы уже устарели и требуют дополнения в виде "аномальных" движков, встроенных либо в сам антивирус, либо в сторонний продукт. Идеально, когда используется две системы - одна для поиска вирусов по сигнатурам, вторая - для контроля поведения процессов, приложений и систем (как в моем случае).
  • Если антивирус работает в реальном времени, это еще не значит, что он обнаруживает все вирусы. Обнаруживает он только то, что он знает на момент своей работы. И если вредоносная программа ему неизвестна, он ее пропустит. А к проверенным файлам он не имеет привычки обращаться снова. Значит вы можете заполучить троянца к себе на компьютер, даже не подозревая об этом. Старайтесь регулярно запускать антивирус для проверки всего жесткого (и сетевых) диска.
  • Если вы не нашли ничего с помощью одного антивируса, не обольщайтесь. Пробуйте иногда запускать антивирусы других производителей. Иногда это дает потрясающий эффект. Тем более, что многие вендоры предлагают такие интересные и бесплатные утилиты, как онлайн-сканеры.
  • Не сторонитесь различных нишевых утилит, которые ориентированы на решение конкретных задач в области безопасности. Например, BHODemon или уже упомянутый HiJackThis. Они конечно уступают коммерческим продуктам, но могут сильно помочь в ряде случаев. Правда, надо быть готовым, что они потребуют от вас определенной квалификации и знаний в области безопасности.
  • Есть и другие выводы, но они уже касаются нашей внутренней сисковской кухни ;-)

ЗЫ. Адрес, на который обращался троянец находится на Украине. Диапазон, в который он входит, неоднократно встречается в различных источниках по информационной безопасности. Например, в SenderBase.

9 коммент.:

Анонимный комментирует...

обратно-то снести всё установленное удалось?

Алексей Лукацкий комментирует...

Ну не ставилось оно, чего ж все так к этому прицепились. Через Интернет работало как ActiveX, а не как standalone application

Анонимный комментирует...

Алексей, вы бы не могли объяснить принципиальную разницу между IdM и EnM? Разве последнее не является логическим развитием первого?

Алексей Лукацкий комментирует...

Ну логическое продолжение - это все-таки не тоже самое, что и первоначальный вариант ;-)

Это как IDS и IPS ;-)

Анонимный комментирует...

Это точно.
Просто внедряем IdM и тут оказывается, что это уже аж EnM! :-)

Хорошо что маркетологи вендора еще не знают, что это уже "EnM", иначе система дороже была бы :-)

Алексей Лукацкий комментирует...

IdM - это система, которая отвечает на вопрос "Кто ты?", а EnM на вопрос: "Что вы можете делать?"

Анонимный комментирует...

А почему не была использована отечественная разработка http://z-oleg.com/secur/avz/index.php ? HiJackThis - это, конечно, тоже интересный инструмент, но, ИМХО, AVZ много удобнее и часто полезнее чем даже полноценный антивирусный продукт.

Алексей Лукацкий комментирует...

Я использовал то, что мне подсказал Google ;-) Я же не могу знать все имеющиеся в этой области разработки ;-(

Zuz комментирует...

Ну, тогда рекомендую попробовать.