Вирус: "Откуда бы мне запуститься?"

Чаще всего вирусу для работы, а точнее, для выполнения своих прямых деструктивных обязанностей, необходимо запускаться не один раз, а постоянно. И здесь вирусам настоящее раздолье, т.к. ассортимент мест запуска очень велик. Если вы подозреваете, что заразились (тот, с кем вы общались, был недостаточно чистоплотен), а сыворотки (антивируса:) под рукой нет или старенький он, то можно попробовать просмотреть на предмет подозрительного основные места автозагрузки.

Кое-что из этого можно использовать не только для поиска автозапуска вирусов, но и для избавления от всяких назойливых программ или напоминателей о том, что пора бы зарегистрироваться.


Реестр

Большинство троянских лошадей любят вскакивать в память на полном ходу именно из реестра. Чаще всего их конюшня находится по адресу HKLM\Software\Microsoft\Windows\CurrentVersion в разделах: \Run, \RunOnce, \RunServices, \RunServices Once, HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit, а также в HKCU\Software\Microsoft\Windows\CurrentVersion в разделах \Run, \RunOnce, \RunServices, \RunServicesOnce и HKCU\Software\Microsoft\WindowsNT\CurrentVersion\Windows.

Внимательно просмотрите все ключи. Если в чем-то сомневаетесь, сделайте экспорт этой ветки реестра в файл и смело удаляйте подозрительный ключ. Если удалили что-то не то, всегда будет возможность восстановить реестр из файла, который вы экспортировали.

Следующим по списку будет пункт "Изменить" (Edit) в контекстном меню командных файлов. Например, если выбрать любой bat-файл, кликнуть его правой кнопкой и выбрать "Изменить", по умолчанию запускается notepad.exe. Это задается в HKCR\batfile\shell\edit\command. Таким образом, ничто не мешает присвоить этим параметрам C:\WINDOWS\troyan. exe %1, что будет запускать troyan.exe всегда, когда редактируется bat-файл. Однако можно назначить команду не только для редактирования, но и для запуска bat-файла в HKCR\batfile\shell\open\command, а также в HKLM\Software\CLASSES\batfile\shell\open\command. Данной болезнью могут страдать не только командные файлы, но и .exe-, .com-, .hta-, .pif-файлы. Это задается в HKCR\exefile\shell\open\command, HKCR\comfile\shell\open\command, HKCR\htafile\Shell\Open\Command, HKCR\piffile\shell\open\command, и в HKLM\Software\CLASSES в разделах, \comfile\shell\ open\command, \exefile\shell\open\command, \htafile\Shell\Open\Command, \piffile\shell\open\command.


ICQ

Тетя Ася - тоже хорошая мишень для вирусописателей. В разделе HKCU\Software\Mirabilis\ICQ\Agent\Apps\ указываются приложения, которые запускаются, когда ICQ чувствует своим чутким носиком соединение с такой сильно и приятно пахнущей вещью, как интернет.


Автозапуск CD

Чаще всего это встречается, когда вставляешь CD в дисковод, однако это возможно и для локального жесткого диска. Ответственен за это небольшой файл autorun.inf, содержащий следующее:

[autorun]
OPEN=AUTORUN.EXE

Запускается файл, находящийся на CD, то есть autorun.exe... Переправить строку с autorun.exe на troyan.exe не составит труда. Предположим, что злоумышленник (или шутник:) имеет доступ к какому-либо диску (но не к флопику). Он закидывает туда autorun.inf, троянчика и ждет, пока кто-нибудь не зайдет на этот диск.

Решение: для отключения автозапуска программ при загрузке CD нужно поставить ключ реестра в значение 0: HKCU\SYSTEM\CurrentControlSet\Services\CDRom\Autorun

Если нужно избежать запуска программ с конкретного CD, то просто при его загрузке надо удерживать Shift.

С локальным диском еще проще: нажимаем правую кнопку и кликаем "Проводник".


Автозагрузка

C:\windows\start menu\programs\startup, а также в профилях каждого из пользователей.

В этом месте можно указать, какие программы надо запускать вместе с системой. Здесь фантазия безгранична: можно положить просто трояна, создать lnk-файл на него или reg-файл, который сам добавится к определенной ветке реестра.

Решение: при загрузке системы удерживать клавишу Shift. Если это не работает, нужно в реестре поставить ключ реестра в значение 0: HKLM\Software\Microsoft\WindowsNT\Current Version\Winlogon\IgnoreShiftOveride.


Назначенные задания

С помощью этой утилиты можно запустить что угодно и как угодно часто. Я всегда отключаю ее сразу после установки Windows (только память занимает). Сделать это можно следующим образом в окне самой программы: дополнительно/остановить планировщик.

Аналог для WinNT. Команда AT и Scheduler:

Чтобы запускать программу в определенное время, можно использовать AT.

c:\> at 20:00 <команда>

Решение проблемы: отключение Schedule в апплете Services или через командную строку c:\>net stop schedule

c:\Autoexec.bat

Для отключения анализа autoexec.bat при загрузке нужно поставить ключ реестра в значение 0: HKCU\Software\Microsoft\Windows NT\ CurrentVersion\Winlogon\ ParseAutoexec

c:\windows\Win.ini

Здесь любят прописываться не только принтеры HP.

[windows]
load=troyan.exe
run=troyan.exe
c:\windows\System.ini
Shell=Explorer.exe file.exe

Помимо того, что указывается используемая оболочка Explorer (Windows9x) или Progman.exe (Windows3.x) здесь можно случайно запустить файлик.

c:\windows\winstart.bat

Запускается всегда без исключений.

c:\windows\wininit.ini

Этот файл запускается один раз невидимо для пользователя и стирается. Используется для установки различными инсталляторами:

[Rename]
NUL=c:\windows\troyan.exe

Explorer.exe

WindowsNT/2000 по умолчанию ищут на ощупь explorer.exe в корневом каталоге диска - видимо, не могут без поводыря. И если злоумышленник имеет доступ к корню, он кладет туда трояна с именем explorer.exe.

Решить проблему можно, установив патч. Дополнительная информация www.microsoft.com/TechNet/security/bulletin/fq00-052.asp

Похожая проблема есть и в Windows95/98. Правда, название файла win.com.

Это практически все места, откуда что-либо может самостоятельно запуститься. А так как это практически все места, используйте антивирусы, а также достаточно часто их обновляйте, и будете здоровы.

Максим ШИМАНСКИЙ,
[email protected]

Версия для печатиВерсия для печати

Номер: 

19 за 2001 год

Рубрика: 

Software
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!