Данная книга была написана под руководством литературного агентства «Сигма+» по заказу Лаборатории Касперского. Однако в дальнейшем, по словам литературного агентства «Сигма+», Лаборатория Касперского «передумала» платить за уже написанную книгу, которая до этого им нравилась. И гонорар мне так и не был выплачен. Как думаете, почему?

Места, где вредоносные программы могут прятаться

Вредоносная программа — это вам не призрак и не привидение. У нее должна быть физическая оболочка под названием «файл». И эта оболочка должна находиться где-то в недрах файловой системы Windows. Поэтому сейчас давайте рассмотрим основные места, в которых любят прятаться вредоносные программы.

Но перед этим обязательно сделайте следующее. Отобразите любое окно проводника, и выберите в раскрывающемся списке УПОРЯДОЧИТЬ панели инструментов пункт СВОЙСТВА ПАПОК И ПОИСКА. Перед вами отобразится диалог СВОЙСТВА ПАПКИ, в котором откройте вкладку ВИД (рис. 3.43), и снимите флажки напротив следующих пунктов списка:

• СКРЫВАТЬ ЗАЩИЩЕННЫЕ СИСТЕМНЫЕ ФАЙЛЫ — скрывать файлы, для которых одновременно установлены атрибуты СКРЫТЫЙ и СИСТЕМНЫЙ;
• СКРЫВАТЬ РАСШИРЕНИЯ ДЛЯ ЗАРЕГИСТРИРОВАННЫХ ТИПОВ ФАЙЛОВ — не показывать расширения для всех файлов, которые известны операционной системе (для которых она знает программу, которой файл открывается);
• а также установите в положение ПОКАЗЫВАТЬ СКРЫТЫЕ ФАЙЛЫ И ПАПКИ переключатель СКРЫТЫЕ ФАЙЛЫ И ПАПКИ — скрывать файлы и папки, для которых установлен атрибут СКРЫТЫЙ;

Что? Ничего не изменилось? Еще раз откройте вкладку Вид диалога Свойства папки и посмотрите, изменилось ли положение флажков и переключателей? Нет? Не всех? Ну что ж, тогда могу вас поздравить — скорее всего ваш компьютер заражен вирусом. Они очень любят таким образом запрещать отображение скрытых файлов и папок.

И в дальнейшем привыкайте работать именно с такими настройками. Это вам очень поможет в будущем. Так как практически все вредоносные программы делают свой файл скрытым, поэтому по умолчанию вы просто не сможете найти его. И вообще, не стоит уподобляться страусам и прятать свою голову подальше от проблем в песок. Вы должны знать, что именно содержится на вашем компьютере, а не скрывать вредоносные файлы, и делать вид, что все хорошо.

Рис. 3.43. Вкладка Вид диалога Свойства папки

Файловый менеджер

Если говорить откровенно, то проводник Windows — не самое хорошее средство для поиска вредоносных программ в файловой системе компьютера. И дело как раз в том, о чем говорилось в примечании выше. Некоторые вирусы отключают отображение скрытых файлов и не дают пользователю включить его обратно. Поэтому с помощью проводника Windows файлы таких вредоносных программ вы найти не сможете.

В таком случае лучше всего воспользоваться каким-либо сторонним файловым менеджером, который не обращает внимания на атрибуты файлов и папок. Например, Total Commander (нужно только настроить его на показ всех файлов). Что? Вы давно хотели научиться с ним работать? В таком случае у вас появился замечательный повод приступить к его изучению.

Вместо стороннего файлового менеджера можно воспользоваться командной строкой cmd.exe. Однако в таком случае для навигации по файловой системе вам придется использовать команды вида dir каталог /а. Иначе вы по-прежнему не увидите скрытые файлы.

Системные каталоги

Самое удобное место для размножения вредоносных программ — каталог %systemroot%\system32, а также каталог %systemroot%. Связано это с тем, что в этих каталогах и без вредоносных программ можно найти просто огромное количество всевозможных файлов. И верите ли, название каждого второго файла из этих каталогов ну очень подозрительное. И, кроме того, по умолчанию содержимое данных каталогов скрыто, а удалять многие файлы из этих каталогов по умолчанию не могут даже администраторы (если не изменят разрешения на вкладке БЕЗОПАСНОСТЬ диалога СВОЙСТВА файла). В общем, это идеальное место для размножения вредоносных программ, а также для сокрытия других ненужных файлов.

Также вредоносные программы любят помещать себя в следующие каталоги: %systemroot%\system и, конечно, %ProgramFiles%. А также во все каталоги, которые указаны в переменной среды PATH. Отношения у вредоносных программ с этой переменной среды особенно интимные. И сейчас мы рассмотрим, почему.

Список каталогов, которые находятся в переменной среды PATH, можно просмотреть и изменить с помощью области СИСТЕМНЫЕ ПЕРЕМЕННЫЕ диалога ПЕРЕМЕННЫЕ СРЕДЫ (рис. 3.44). Открыть этот диалог можно с помощью кнопки ПЕРЕМЕННЫЕ СРЕДЫ на вкладке ДОПОЛНИТЕЛЬНО диалога СВОЙСТВА СИСТЕМЫ. А также с помощью команды rundll32.exe sysdm.cpl EditEnvironmentVariables.

Также изменить переменные среды можно с помощью программ командной строки setx.exe и path.exe. Последняя команда изменяет переменные среды только в данном сеансе работы системы.

Рис. 3.44. Содержимое системной переменной Path и способ его редактирования

По умолчанию в переменной среды PATH содержится следующее значение: %SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;%SYSTEMROOT%\System32\WindowsPowerShell\v1.0\. То есть, в ней перечисляется набор каталогов операционной системы.

Что это за каталоги? Это каталоги, в которых операционная система ищет файл, который вы запускаете в диалоге ВЫПОЛНИТЬ без указания абсолютного пути к файлу. Если вы более-менее продвинутый пользователь, то вы как раз таким способом и запускаете программы. Например, введя в диалоге ВЫПОЛНИТЬ команду notepad.exe вы запустите БЛОКНОТ. И это происходит именно потому, что есть переменная среды PATH. Операционная система смотрит, какие каталоги указаны в этой переменной среды, и ищет в них программу, которую вы хотите запустить (в нашем случае, программу notepad.exe). И если программа обнаружена, тогда она запускается.

Особенность переменной среды PATH заключается в том, что операционная система ищет программы в указанных в ней каталогах последовательно. Например, программу notepad.exe она ищет сначала в каталоге %SystemRoot%\system32. Если программа найдена, она запускается. Если нет, тогда система выполняет поиск программы в каталоге %SystemRoot%. И так далее.

А теперь обратите внимание, что сначала операционная система ищет в каталоге %SystemRoot%\system32, а потом в каталоге %SystemRoot%. Давайте посмотрим на содержимое каталога %SystemRoot% — как раз в нем и хранится программа notepad.exe, а также несколько других популярных программ. Так вот, если вредоносная программа создаст в каталоге %SystemRoot%\system32 свой исполняемый файл, и присвоит ему имя notepad.exe, тогда при попытке открыть программу notepad.exe с помощью диалога ВЫПОЛНИТЬ будет запущена именно вредоносная программа, а не стандартный БЛОКНОТ.

Альтернативные потоки

В операционной системе Windows Vista есть такое странное явление, как альтернативные потоки.

В мирных целях они используются для того, чтобы хранить дополнительные сведения о файлах (метаданные файла). Также они могут использоваться антивирусными программами для хранения сведений о времени последнего сканирования файла на наличие вирусов.

А вот в немирных целях они могут использоваться вредоносными программами для создания своих исполняемых файлов. Например, вредоносная программа может создать альтернативный поток %systemroot%\system32:msupdate.exe (двоеточие как раз и говорит о создании альтернативного потока). После этого в каталоге %systemroot%\system32 будет создана вредоносная программа. И если знать, как к ней обратиться, тогда ее можно запустить. А если этого не знать (это может знать только сама вредоносная программа), тогда вы вообще не сможете обнаружить файл вредоносной программы. Он просто не будет отображаться в каталоге %systemroot%\system32.

Стандартные возможности по работе с альтернативными потоками Возникает законный вопрос — как же можно узнать, имеются ли у файла или каталога альтернативные потоки? Стандартными способами в операционной системе Windows Vista это сделать не очень просто. Но, все же, возможно.

• Каждый альтернативный поток имеет имя, которое указывается после имени файла через двоеточие (например, tst.txt:testmy). Если вы знаете имя потока, вы сможете просмотреть его содержимое. Для этого достаточно воспользоваться командой вида more < файл:поток. Например, more < c:\tst.txt:testmy. Или же, командой more < файл:поток > новый_файл, чтобы поместить содержимое альтернативного потока в отдельный файл.
• Чтобы узнать, есть ли у файлов каталога дополнительные потоки, можно воспользоваться командой вида dir каталог_или_файл /R. Она отобразит перед вами все файлы, которые находятся в каталоге, а также их альтернативные потоки. Отличить обычный файл от альтернативного потока можно по двоеточию (рис. 3.45).
• Создать альтернативный поток для файла можно с помощью команды вида echo текст > файл:поток. Например, echo mytst > c:\tst.txt:testmy.

Рис. 3.45. Поиск файлов, имеющих альтернативные потоки

Удаленное сканирование портов

Мы с вами рассмотрели уже многие способы поиска вредоносных программ. Но что греха таить, не будем скрывать — они могут вам помочь в поиске вирусов, троянских и рекламных программ, но против многих руткитов и пакетных червей они не всегда дадут положительный результат.

Все большее количество руткитов сейчас обитают только в оперативной памяти. Они не записывают себя на диск. Не изменяют параметров реестра. Не создают новых процессов (внедряются в адресное пространство уже существующих). И даже не открывают новых портов (перехватывают входящий трафик с помощью сырых сокетов или внедряются в сетевые драйверы). И вот такие руткиты поймать вручную просто невозможно.

Раньше руткиты можно было обнаружить с помощью удаленного сканирования открытых портов вашего компьютера. Ведь руткит может сокрыть свой порт, и ввести в заблуждение только то, что находится на локальном компьютере. А с другой стороны баррикады руткит сделать ничего не может, и поэтому порт, открытый руткитом, может быть не виден брандмауэром или другими программами на локальном компьютере, но удаленный компьютер порт руткита увидит невооруженным глазом.

Сейчас же отдельные руткиты научились использовать уже открытые другими программами порты, и не открывают свой порт. Поэтому метод удаленного сканирования портов не действует. Единственный способ поиска таких руткитов — доскональный анализ сетевого трафика. Но для домашнего пользователя это не выход — вряд ли домашний пользователь разбирается в строении сетевых пакетов и способен определить, какие данные передаются в отдельном пакете. Да и данный способ обнаружения руткитов также неидеален — руткит может зашифровать свои данные, и вы увидите в сетевых пакетах лишь мусор.

Вердикт

Ну и как вам перспективы ручного поиска и обезоруживания вредоносных программ? Не радуют? Тогда скорее устанавливайте его. Нашего спасителя: Бэтмена и Супер Мена в одном лице и дистрибутиве.

Пока еще не слишком поздно…

Заключение

Наконец-то вы это сделали. Наконец-то вы установили на свой компьютер антивирусную программу и брандмауэр. Теперь можно спать спокойно. Теперь я будут спать спокойно, зная, что ваш компьютер в безопасности.

Уверен, что последний раздел данной главы, посвященный поиску и обезвреживанию вредоносных программ без помощи антивирусов, достаточно вас напугал. И теперь вы понимаете, что антивирусные программы позволяют до безобразия упростить то, что без их помощи было бы практически невыполнимым.

Но перед нами стоит еще одна нерешенная проблема — как защитить корпоративную сеть и все компьютеры корпорации, в нее входящие? О ужас — еще одна проблема на нашу голову. Нужно решить ее как можно скорее. Иначе уснуть спокойно так и не получится. Скорее читатель. Скорее в следующую главу, которая поможет нам защитить не только себя и собственный компьютер, но и наше окружение.

Продолжение следует