Как я боролся с вирусом, который не находил ни один из известных мне антивирусов.
Итак троян. Исходные данные: Windows XP, много приложений: игры, архитектурные программы, программы для интернета, графичнеские и офисные пакеты. Весь комп забит под завязку. Набор программ достаточно часто обновляется. Вот мой Symantec Antivirus начал с периодичность в несколько минут выдавать сообщения что в папке с временными появляются файлы с вирусом Generic.Packpage.256. Эти файлы - результат действия вируса, который сидит где то в Системе. Но никак не сам вирус. На сайте Symantec описание достаточно общее - результатов не дает. Понятно одно: сидит троян, который генерирует код вируса и пытается его запустить. Ладно. Скачиваю из интернета другие антивирусы и делаю полную проверку компа этими антивирусами - результат 0. Комп, якобы, чист... Логика мышления следующая: файлы вирусов должен генерировать какой то процесс. Провожу анализ процессов - все процесса, которые выполняются системой ликвидные: необходимые службы, запущенные приложения - все известное и подписанное сертификатами. Значит, процесс вируса внедрен в виде исполняемого потока в нормальный ликвидный процесс. Каким образом это можно сделать? 1. Зарегистрировать сервис и запустить под процессом svchost. 2. Запустить DLL под ликвидным процессом. Анализ зарегистрированных сервисов ничего подозрительного не выявил. Значит DLL под ликвидным процессом. Самый простой способ запустить DLL это воспользоваться вполне ликвидной функцией Windows - запуск rundll32.exe в качестве параметра передается имя этой библиотеки. В первую очередь следует проверить основные точки запуска процессов: 1. в реестре Windows \\HKLM\Software\Microsoft\Windows\CurrentVersion\Run и \\HKCU\Software\Microsoft\Windows\Run - здесь у меня было все чисто. 2. папка автозагрузка меню "Пуск" для текущего пользователя и для всех пользователей - тоже было все чисто. 3. в каталоге Windows\System32 файл userinit.cmd и ему подобные. если этих файлов нет, то и не нужно. - тоже все чисто. И вот дальше одна фишечка - в реестре есть ключик, который запускает оболочку Windows при входе пользователя. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell - там должно быть значение Explorer.exe. Но я не стал сразу анлизировать эту ветку, хотя ответ в решении проблемы был именно в ней. Про эту точку просто забыл. Пошел другим путем более длительным, и рекомендавал бы читателем в случае возникновения проблем подобного плана идти по нему. Осуществить поиск по всем файлам дисков компьютера и по всем разделам системного рееста на наличие строки rundll.exe после которой находится символ " " (пробел). Провести анализ найденых строк. В первую очередь должны заинтересовать те найденные строки, которые сожержат после rundll.exe имя файла. Проверить каждый из файлов, который указан в качестве параметра этой команды. Обращаем внимание на файлы с расширениями отличающимися от "dll" и не содержащими информации о версии. В моем случае я HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell команду Explorer.exe rundll32.exe с параметром hxxjv.xro hfdds. Посмотрев файл, который был указан в параметре, обнаружил что нет информации о версии, изготовителе и размер небольшой. Изготовители вирусов часто не указывают информацию о вирусе. Для меня было понятно однозначно - троянская программа... Хорошо маскируют. Удалив значение реестра, файл с вирусом перегрузил комп. Больше вирус не появлялся. Надеюсь, что информация не будет полезной. Если возникла проблема - пишите. Попробуем вместе разобраться...
