Как я подхватил троянца

Ну вот и я попался ;-( В один прекрасный день, при запуске «проводника» (explorer.exe) мой Cisco Security Agent «ругнулся» на то, что «проводник» пытается установить соединение с 80-м портом IP-адреса 85.255.118.26. В логе это выглядело следующим образом:

«04.02.08 21:21:05: The process ‘C:WINNTexplorer.exe’ (as user xxx) attempted to initiate a connection as a client on TCP port 80 to 85.255.118.26 using interface yyy. The operation was denied.«

Ситуация не такая страшная, т.к. Cisco Security Agent (CSA) не дал вредоносной программе (тогда я еще не знал какой) совершить свое черное дело. Меня смутило другое — установленный у меня антивирус McAfee, работающий в реальном времени, ничего не показал. Причем уже не первый раз. В отличие от CSA, который ловит почти все (правда не говорит, что поймал). В сентябре антивирус не словил попытку подсадить мне троянца через сайт издательства «Бином» (подробнее тут) — только CSA защитил меня от этой напасти.

И вот в данном инциденте меня эта ситуация малость напрягла, т.к. сам антивирус обновляется регулярно и автоматически. Чтобы посмотреть, не пропускает ли что-нибудь его онлайновый движок, я запустил сканирование всего диска и процессов в памяти. Прошло 3 часа (все-таки 100 тысяч файлов на диске) — результата ноль. Но CSA каждый раз ругается на explorer.exe. И вот в тот же день «заглючил» также регулярно обновляемый и корректно настроенный Internet Explorer. При клике на некоторые линки он либо перекидывал меня на «левые» сайты, либо просто открывал новые окна IE и пытался показать мне какую-то рекламу. Это меня стало напрягать еще сильнее.

Тогда я решил прошерстить свой ноут другим антивирусом. Т.к. ставить на свой комп нелицензионный софт я не мог, да и возможны были конфликты антивирусных движков, я пошел по старинке на сайт Symantec и запустил Symantec Security Check. Это антивирусный онлайн-сканер, который работает путем установки на компьютер ActiveX-компонента, который и сканирует мой жесткий диск и другие ресурсы. После двух часов работы результат был таков — был найден один adware, который я самостоятельно и удалил. Но ситуацию это не изменило — CSA ругался, а IE открывал подозрительные сайты. Тогда я установил на свой комп свободно распространяемое ПО — «Spybot — Search & Destroy». Он нашел у меня еще тройку adware, удалил их, но… троянца, на которого ругался CSA, так и не обнаружил ;-(

Параллельно с установкой Spybot я включил резидентный контроллер TeaTimer, который отслеживал и блокировал доступ IE к вредоносным сайтам. И он это делал достаточно эффективно:

«04.02.08 22:10:50 Запрещено (based on user decision) value «SpybotSD TeaTimer» (new data: «») удалено in System Startup user entry!«

Отрицательным моментом в работе резидента Spybot является его постоянное вопрошение пользователя «Что делать? Разрешить или запретить?». Учитывая число таких запросов могу предположить, что в какой-то момент пользователь ответит «Да» и «Больше меня не спрашивать» со всеми вытекающими отсюда последствиями.

Но дважды блокировав потенциальную утечку информации, источник проблемы остался невыясненным. Я поставил на лэптоп очередную бесплатную утилиту по поиску подозрительных вещей — HiJackThis от TrendMicro. Сразу надо сказать, что утилита очень интересная и она действительно нашла у меня трояна, но… я об этом так и не узнал бы, т.к. сам по себе HiJackThis не говорит вам, что конкретно у вас плохо. Он подсказывает вам подозрительные места, где могут скрываться проблемы. А могут и не скрываться. Во-первых, он показывает запущенные процессы, например:

«C:Program FilesCisco SystemsVPN Clientvpngui.exe C:Program FilesNetwork AssociatesVirusScanSHSTAT.EXE«

а также всяческие BHO-компоненты (Browser Helper Object), за которыми часто скрывается шпионское ПО, ключи реестра, тулбары, программы в «загрузке при старте», сервисы и т.д. Например:

«O3 — Toolbar: Yandex.Bar — {91397D20-1446-11D4-8AF4-0040CA1127B6} — C:WINNTDownloaded Program Filesyndbar.dll
O4 — Global Startup: VPN Client.lnk = C:Program FilesCisco SystemsVPN Clientvpngui.exe O4 — HKCU..Run: [xmldial] «C:WINNTxmldial.exe» -m
O23 — Service: Altiris Agent (AeXNSClient) — Altiris, Inc. — C:PROGRA~1AltirisALTIRI~1AeXNSAgent.exe«.

Среди таких же записей лога HiJackThis затесалось и доказательство наличия трояна у меня на компе:

«O2 — BHO: (no name) — {AE1F5DEC-78CD-49C0-9F4C-929DFBD2F6D9} — C:WINNTsystem32cdra.dll«

Эта запись, наряду с десятком других, у меня сразу вызвала вопросы и я решительно нажал кнопку AnalyzeThis, надеясь, что лог попадет в TrendMicro и ее специалисты помогут мне с идентификацией потенциальных проблем. Но увы ;-( Я попал на страницу, на которой мне было предложено самостоятельно задать интересующий меня вопрос на нужном языке (исключая русский) на трех-четырех десятках различных форумов. Справедливости ради надо сказать, что я зашел на один из таких форумов, где попытался закачать свой лог для анализа его антивирусными специалистами. Безуспешно. Процедура была более чем нетривиальная и требовала значительных временных усилий (не считая обязательной регистрации на форуме и ожидания ответа от энтузиастов). Я не дошел до конца процедуры и бросил это дело. Предполагаю, что также поступят и большинство остальных пользователей, решивших последовать предложению утилиты HiJackThis от TrendMicro.

Уже зевая, я решился на последний шаг — запустить антивирус Касперского. Исторически так сложилось, что я не очень люблю этот антивирус (около 11 лет назад я сильно залетел из-за качества поддержки KAV в тогда еще фирме «КАМИ»). Но тут я решил попробовать (тем более, что недавно я стал обладателем Kaspersky Mobile для своей Nokia E61i). Я запустил Kaspersky Online Scanner и стал ждать. Неприятной особенностью стала загрузка базы со всеми пятистами с лишним тысяч штаммов вирусов (у Symantec этот процесс прошел гораздо быстрее) — на Skylink это заняло порядочно времени. Но после загрузки (надеюсь, что в следующий раз мне не придется повторно загружать все базы с самого начала) я запустил сканирование т.н. Critical Areas (я пользовался английской версией — не знаю, есть ли русский вариант). Проработав около 40-50 минут сканер выдал мне отчет, который порадовал меня своей информативностью (по сравнению с предыдущими программами). Пример отчета приводится ниже:

«Infected Object Name Virus Name
C:WINNTsystem32cdra.dll Infected: Trojan-Downloader.Win32.Delf.dyu«

Удалить трояна, он не удалил, но он показал, что мои подозрения в отношении этой библиотеки (если бы HiJackThis умел «говорить» цены бы ему не было) были не напрасны. Подтверждением наличия троянца стало сканирование памяти:

«Infected Object Name
[0] [System Process] => C:WINNTsystem32cdra.dll
[1772] explorer.exe => C:WINNTsystem32cdra.dll
[420] IEXPLORE.EXE => C:WINNTsystem32cdra.dll«

Троянский загрузчик Trojan-Downloader.Win32.Delf.dyu предназначен «для загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки «троянцев» или рекламных систем. Загруженные из интернета программы затем либо запускаются на выполнение, либо регистрируются «троянцем» на автозагрузку в соответствии с возможностями операционной системы. Данные действия при этом происходят без ведома пользователя» (описание взято из вирусной энциклопедии Лаборатории Касперского).

Информация об именах и расположении загружаемых программ скачивается данным троянцем с Web-страницы, а так как Cisco Security Agent блокировал эти попытки, то мне особо страшного ничего не угрожало. Вот так и закончилась моя эпопея с обнаружением и удалением троянца с моей машины.

Какие выводы можно сделать из этого инцидента:

• Не используйте только антивирус для своей защиты. Сигнатурные подходы уже устарели и требуют дополнения в виде «аномальных» движков, встроенных либо в сам антивирус, либо в сторонний продукт. Идеально, когда используется две системы — одна для поиска вирусов по сигнатурам, вторая — для контроля поведения процессов, приложений и систем (как в моем случае).
• Если антивирус работает в реальном времени, это еще не значит, что он обнаруживает все вирусы. Обнаруживает он только то, что он знает на момент своей работы. И если вредоносная программа ему неизвестна, он ее пропустит. А к проверенным файлам он не имеет привычки обращаться снова. Значит вы можете заполучить троянца к себе на компьютер, даже не подозревая об этом. Старайтесь регулярно запускать антивирус для проверки всего жесткого (и сетевых) диска.
• Если вы не нашли ничего с помощью одного антивируса, не обольщайтесь. Пробуйте иногда запускать антивирусы других производителей. Иногда это дает потрясающий эффект. Тем более, что многие вендоры предлагают такие интересные и бесплатные утилиты, как онлайн-сканеры.
• Не сторонитесь различных нишевых утилит, которые ориентированы на решение конкретных задач в области безопасности. Например, BHODemon или уже упомянутый HiJackThis. Они конечно уступают коммерческим продуктам, но могут сильно помочь в ряде случаев. Правда, надо быть готовым, что они потребуют от вас определенной квалификации и знаний в области безопасности.
• Есть и другие выводы, но они уже касаются нашей внутренней сисковской кухни 😉

ЗЫ. Адрес, на который обращался троянец находится на Украине. Диапазон, в который он входит, неоднократно встречается в различных источниках по информационной безопасности. Например, в SenderBase.