Nowe superwirusy

Konstanty Młynarczyk

“Strzeżcie się fałszywych proroków, którzy przychodzą do was w owczej skórze, a wewnątrz są wilkami drapieżnymi” – ten biblijny cytat idealnie pasuje do nowych wirusów.

Zabezpieczasz swój system i regularnie go aktualizujesz? Świetnie. Wierzysz, że jesteś teraz odporny na spyware i trojany? Niestety, mylisz się! Jeśli polegasz na darmowym skanerze antywirusowym, możesz mieć jedynie pozorne poczucie bezpieczeństwa: te programy nie potrafią poradzić sobie z najgorszą kategorią “szkodników”, czyli spyware’em. Trzeba jednak przyznać, że nawet wiele płatnych programów i specjalistycznych narzędzi, takich jak Spybot Serach & Destroy czy Ad-Aware, częstokroć przegrywa w bitwie z nowoczesnymi “szkodnikami”.

Jak namierzyć spyware i – co najważniejsze – jak się go pozbyć? Sprawdziliśmy to, umieszczając trzy najbardziej rozpowszechnione “szkodniki” na naszym testowym komputerze. Rezultat okazał się szokujący: za pomocą znanych standardowych narzędzi na ogół nie dawało się ich usunąć. Teraz pomyśl, że “szpiedzy” niemal każdego dnia zmieniają swój kamuflaż – nazwy plików i kryjówki w Rejestrze. Nawet nasz ekspert od wirusów, który zna wszystkie podstępy i sposoby, nie umiał pomóc. “Nie mogę wyłowić tej bestii” – taki był jedyny rezultat prac zespołu. Dopiero tuż przed terminem oddania tekstu do druku udało mu się odnieść sukces i wreszcie usunąć spyware – z wykorzystaniem poniższych trików i narzędzi.

S P Y S H E R I F F

Całkowite usuwanie programów udających antyspyware

Oto jeden z tych przypadków, kiedy perfidny spyware trafia do ciebie jako wilk w owczej skórze, zamaskowany jako… narzędzie do usuwania spyware’u. Dzięki sprytnemu kamuflażowi SpySheriff sprawia, że ofiara dobrowolnie instaluje sobie złośliwe oprogramowanie. Jeśli do tego dopuścisz, czeka cię długa walka z intruzem. Program zachowuje najbardziej bezczelną sztuczkę na koniec: podczas fałszywego skanowania SpySheriff wykrywa masę nieistniejących naprawdę “szkodników” i oferuje ich usunięcie – za co jednak trzeba zapłacić za pomocą karty kredytowej.

Namierzanie antyspyware’u złoczyńcy

Obecność SpySheriffa rozpoznasz po bombardujących cię przypomnieniach: “Ten komputer jest zainfekowany”, i nieustannych przypomnieniach, byś natychmiast kupił pełną wersję programu antyspyware, który on udaje. Ale to często jest tylko czubek góry lodowej. “Szpieg” zachowuje się za każdym razem inaczej: czasami instalowane są tylko elementy fałszywego antyspyware’u, czasami towarzyszy im też trojan. Jedna rzecz pozostaje bez zmian: na pewno nie robi on nic, by zaszkodzić faktycznemu spyware’owi!

Usuwanie SpySheriffa

Zaskakujący może być fakt, że istnieje opcja odinstalowania SpySheriffa. Nie ma jej w menu Start, ale jest w Panelu sterowania pod »Dodaj i usuń programy«. Wykorzystaj tę szansę i odinstaluj SpySheriffa – ale nie poprzestań na tym. Wskazówki, co do tego, gdzie mogą być ukryte części owego złośliwego programu, podaliśmy w “Profilu złoczyńcy” po prawej. Te wpisy i pliki mogą zostać bardzo łatwo usunięte w Windows Explorerze i w Edytorze Rejestru.

Rozegraj to bezpiecznie

W naszym teście różne szkodliwe programy antyspyware’owe mogły być usunięte za pomocą załączonego deinstalatora. Ale w ten sposób usuwany jest zazwyczaj tylko fragment “szkodnika” – pod przykryciem w systemie nadal działa wiele destrukcyjnych elementów. Znając podejrzane biznesowe praktyki SpySheriffa i jemu podobnych, lepiej nie zakładać, że szkodliwy antyspyware nie przeszmuglował też innego robactwa.

Dlatego, mając na uwadze bezpieczeństwo własnego komputera, pamiętaj o naszych poradach i dokładnie przyjrzyj się swojemu systemowi, wykorzystując takie narzędzia, jak HijackThis, Autoruns i Blacklight.

V U N D O

Pozbywanie się na stałe agresywnego porywacza

“Szkodnik”, którym się zajmiemy, jest bardzo agresywny. W celu zarażenia naszego komputera testowego, za pomocą Google’a szukamy scrackowanego numeru seryjnego jakiejś komercyjnej aplikacji. Robimy tak, ponieważ właśnie strony z tego typu kuszącymi, nielegalnymi ofertami są źródłem zakażenia hijackerami i downloaderami. Choć przeglądarka ostrzegła nas przed potencjalnym zagrożeniem, zignorowaliśmy tę informację i otworzyliśmy kilka ze znalezionych stron. Potem wszystko stało się bardzo szybko – jedna ze stron uruchomiła się, rozpoczął się atak i komputer został zainfekowany. W ten sposób na naszą maszynę trafił downloader Vundo. Ale tego dowiedzieliśmy się dopiero wówczas, kiedy za pomocą 18 różnych skanerów wirusowych przetestowaliśmy podejrzany plik. Jedynie kilka z nich rozpoznało złośliwy program.

Downloader swoją pracę rozpoczął natychmiast. Zaczął ściągać podejrzane oprogramowanie w naszym przypadku był to plug-in do Internet Explorera, któremu “zawdzięczamy” bombardowanie tysiącami reklamowych pop-upów.

W celu zniszczenia “szkodnika” zainstalowaliśmy freeware’owy Ad-Aware 2007. Zidentyfikował on Vundo, ale nie potrafił pozbyć się go całkowicie. Po ponownym uruchomieniu systemu downloader znów tam był. Jeszcze gorzej wypadła próba pozbycia się “szkodnika” za pomocą Spybot Search & Destroy, którego nawet nie mogliśmy zainstalować. Vundo za każdym razem przerywał proces i utrudniał instalację programu do usuwania spyware’u. Nie było innego wyjścia, musieliśmy sięgnąć po większy kaliber, by pozbyć się tej plagi.

Zidentyfikuj złośliwe oprogramowanie

Dopóki chociaż jeden proces groźnego oprogramowania jest aktywny, nie można pozbyć się go z systemu. Dlatego najpierw trzeba zidentyfikować malware i wszystkie jego kryjówki. W tym celu zainstaluj narzędzie Autoruns. Ta freeware’owa aplikacja działa bardzo podobnie do popularnego wśród łowców spyware’u programu HijackThis. Ponieważ, w przeciwieństwie do sytuacji sprzed kilku lat, złośliwe programy umieszczają swoje wpisy nie tylko pod “Run” albo “RunOnce”, Autoruns (inaczej niż HijackThis) tworzy listę wszystkich pozycji w Rejestrze dotyczących autostartu. Posłużymy się przykładem Vundo, który zagnieżdża się w trzech miejscach jednocześnie.

Aby go zlokalizować, uruchom Autoruns, sprawdź opcje »Verify Code Signarure « i »Hide Microsoft Entries«. Każdy plik, który można usunąć, jest wyposażony przez swojego twórcę w nazwę i cyfrową sygnaturę. Tak dzieje się w przypadku wszystkich oryginalnych plików Microsoftu. Używając gotowych ustawień zawartych w programie, odfiltruj te pliki, oszczędzając sobie pracy przy ich sprawdzaniu.

Pliki, które pozostały po filtrowaniu, muszą zostać zweryfikowana ręcznie, w czym jednak również może pomóc ci Autoruns. Zaznacz podejrzaną pozycję prawym przyciskiem myszy i z menu kontekstowego wybierz »Serach online…«. Wyszukiwarka Microsoftu Live.com znajdzie wszelkie informacje związane z nazwą sprawdzanego pliku, dostarczając materiału do stwierdzenia, czy jest niebezpieczny.

W ten sposób zidentyfikujemy pliki wielu znanych “szkodników”. Pozbędziemy się ich poprzez kasowanie i usuwanie odpowiadających im wpisów w Rejestrze.

Unieszkodliwianie szkodników

Niestety, w przypadku Vundo samo usunięcie wpisów w Rejestrze nie wystarczy, ponieważ aktywne komponenty tego “szpiega” po prostu je odtworzą. Jest jednak sposób, żeby i z tym sobie poradzić. Potrzebny będzie program Process Explorer. Uruchom to narzędzie – po krótkim skanowaniu pokaże ono wszystkie aktywne procesy. Trik polega na tym, by dezaktywować pliki spyware, zanim spróbujemy usunąć je z pamięci. Aby to zrobić, kliknij prawym przyciskiem na podejrzany proces i wybierz »Suspens«. Tym sposobem tylko sparaliżujesz proces – dzięki temu kontrolujący sytuację w systemie spyware nie zorientuje się, że szykujesz mu marny koniec. Jesteś już prawie u celu.

Usuwanie napastnika

Kiedy napastnik jest już sparaliżowany, można go za pomocą Process Explorera łatwo usunąć. Najpierw zapisz nazwę i ścieżkę wszystkich plików, które mogą być powiązane z programem szpiegującym. Następnie w Process Explorerze użyj komendy »Kill«, aby zakończyć wszystkie procesy, które wcześniej sparaliżowałeś poleceniem »Suspens«. Teraz za pomocą Autoruns skasuj wszystkie dotyczące “robala” pozycje, które program jest w stanie zidentyfikować. Kliknij prawym przyciskiem myszy podejrzaną pozycję i wybierz »Delete«. W ostatnim posunięciu usuń wciąż groźne pliki, które doprowadziły do zarażenia komputera, po to, by nie zostały kiedyś przez pomyłkę wywołane. Po ponownym uruchomieniu Windows twój pecet powinien już być wolny od wszelkich “szkodników”. Teraz nawet Spybot Search & Destroy i Ad-Aware będą znowu działać. Sprawdź za pomocą tych narzędzi, czy czegoś nie pominąłeś.

Z L O B

Bezpieczne usuwanie niebezpiecznych kodeków wideo

Wykorzystując chwytliwe hasła typu “Paris Hilton nago” czy “Wszystkie bestsellery za darmo”, strony internetowe wabią ludzi, aby przejąć kontrolę nad ich komputerami. Jak osiągają swój cel? Jeśli ktoś chce odtworzyć zdobyty w ten sposób film, musi zainstalować towarzyszący mu kodek – w pakiecie, zupełnie gratis, dostaniecie malware o nazwie Zlob.

Na potrzeby testu ściągamy kopię filmu i nasz komputer zostaje błyskawicznie zainfekowany. Z początku nic nie wskazuje na to, że zostaliśmy zaatakowani, kodek ma nawet funkcję odinstalowania. To oczywiście tylko zasłona dymna: skorzystanie z owej funkcji nie daje żadnych szans na całkowite usunięcie Zloba.

Demaskowanie szkodnika

Pierwsza wskazówka, że mamy do czynienia z podwójną grą, pochodzi z ustawień sieci. Na ogół w sieci domowej nazwy serwerów są rozdzielane przez serwery DHCP. Oznacza to, że ruter DSL zajmuje się alokacją adresów i w komputerach z systemem Windows jest ustawiana opcja »Use the following DNS Server adresses«. Fałszywy kodek instaluje trojana zmieniającego DNS i aktywującego swój własny serwer. Po jego uruchomieniu i automatycznej konfiguracji operator serwera może śledzić każdy krok ofiary w Sieci, a nawet przekierować ją w wybrane przez siebie miejsca. Taka modyfikacja może zostać zidentyfikowana i naprawiona przez narzędzia takie jak Spybot Search & Destroy. Ale sprawca provlemów, rootkit, pozostaje wciąż aktywny – po ponownym uruchomieniu komputera wszystko wraca do normy, czyli jest źle.

Rootkit wychodzi z cienia

Aby zabezpieczyć się przed możliwością wykrycia, zmieniający DNS trojan korzysta ze szczególnie uciążliwego triku – każde zapytanie do systemu plików nie trafia bezpośrednio do systemu operacyjnego, ale jest najpierw manipulowane przez rootkita. Programy zabezpieczające nie mają nawet szansy zobaczyć poszukiwanego złośliwego kodu. Nic więc dziwnego, że Spybot Search & Destroy, Ad-Aware i inne programy antyspyware, stają się kompletnie bezużyteczne. W tej sytuacji pomóc może tylko antyrootkit. Niestety, nie każdy. Omawianego intruza nie będzie w stanie zidentyfikować niezawodny w innych przypadkach Rootkit Revealer firmy Sysinternals. Zadziała natomiast Blacklight firmy F-Secure. Przeskanuj z jego pomocą system, a narzędzie odnajdzie plik EXE, którego nazwa zawiera “kd” i trzy inne przypadkowe litery.

Usuwanie złośliwego kodu

Program firmy F-Secure umożliwia usunięcie zagrożenia. Wybierz tę opcję i ponownie uruchom komputer. W przeciwnym razie trojan wciąż będzie aktywny w pamięci komputera i, w najgorszym wypadku, sam się odtworzy. Po ponownym uruchomieniu systemu musisz natychmiast usunąć pozycję Winlogon w Rejestrze (zobacz “Profil złoczyńcy”). Uruchom Autoruns i przejdź do zakładki »Logon «. Tutaj znajduje się pozycja, którą należy usunąć – możesz zrobić to, klikając prawym przyciskiem myszy i wybierając »Delete«. Gdybyś tego nie zrobił, plik o tej samej nazwie z katalogu “System32” zostanie załadowany po ponownym uruchomieniu komputera.

Teraz każdy malware, który pozostał jeszcze w systemie, może zostać usunięty za pomocą Spybot Search & Destroy albo Ad-Aware. W ten sposób koszmar wreszcie się skończy!