Защити свою "ИНФУ"
Методическое пособие - Компьютеры, программирование
Другие методички по предмету Компьютеры, программирование
?правления ->Администрирование->Журнал событий). Нас интересуют уведомления о запущенных службах и главное уведомления об ошибках. Уже как два года черви лезут через ошибку в DCOM сервере, поэтому любая ошибка, связанная с этим сервером уже есть повод полагать о наличие вируса в системе. Чтобы точно убедится в наличии последнего, в отчете об ошибке надо посмотреть имя и права пользователя допустившего ошибку. Если на этом месте стоит "пользователь не определен" или что-то подобное то радуйтесь, вы заражены! и вам придется читать дальше.
Если действовать по логике, а не по инстинкту, то первым делом вы должны закрыть дыру в системе для последующих проникновений, а потом уже локализовывать вирусы. Как я уже говорил, такие вирусы обычно лезут через tftp.exe, поэтому просто удаляем его из системы.
Для этого сначала удаляем его из архива %WINDIR%Driver Cachedriver.cab затем из папок обновления ОС, если таковые имеются, после этого из %WINDIR%system32dllcache и уже потом просто из %WINDIR%system32.
Возможно, ОС скажет, что файлы повреждены и попросит диск с дистрибутивом, не соглашайтесь! А не то он восстановится и опять будет открыта дыра. Когда вы проделаете этот шаг можно приступать к локализации вируса. Посмотреть какие приложения используют сетевое подключение, помогает маленькая удобная программа TCPView, однако некоторые черви имеют хороший алгоритм шифрации или хуже того, прикрепляются к процессам либо маскируются под процессы. Самый распространенный процесс для маскировки - это, несомненно, служба svhost.exe, в диспетчере задач таких процессов несколько, а что самое поразительное, можно создать программу с таким же именем и тогда отличить, кто есть кто, практически невозможно. Но шанс есть, и зависит от внимательности. Первым делом посмотрите в диспетчере задач (а лучше в программе Process Explorer) разработчика программ. У svhost.exe это как не странно MS, конечно можно добавить подложную информацию и в код вируса, однако тут есть пара нюансов. Первый и, наверное, главный состоит в том, что хорошо написанный вирус не содержит ни таблицы импорта, ни секций данных. Поэтому ресурсов у такого файла нет, а, следовательно, записать в ресурсы создателя нельзя. Либо можно создать ресурс, однако тогда появится лишний объем файла, что крайне нежелательно вирмейкеру. Еще надо сказать про svhost.exe, это набор системных служб и каждая служба - это запущенный файл с определенными параметрами.
->,svhost.exe,svhost.exe,,().,,,MSDN,-.,.,,,.,,,5,,.,:">Соответственно в Панели управления -> Администрирование -> Службы, содержатся все загружаемые службы svhost.exe, советую подсчитать количество работающих служб и процессов svhost.exe, если не сходиться, то уже все понятно (только не забудьте сравнивать количество РАБОТАЮЩИХ служб). Надо так же отметить, что возможно и среди служб есть вирус, на это могу сказать о?/p>