Антивирусная защита компьютера
информация для профилактики компьютера от вирусов и атак

mastertalk.ru


Бесплатные антивирусные программы >>

Анализ деятельности вируса.

Сегодня я покажу на примере как узнать немного информации о том подозрительном файле, который скинул вам ваш сосед, клятвенно убеждая вас что никакой заразы в этом файле нет. Но мы же не будем верить всем на слово? Как говорится «доверяй, но проверяй!». Вот мы и проверим.

Предыстория

Начну рассказ собственного с того, как ко мне попал такого рода файлик. А закинул мне его мой друг Kotyara. Он сразу же мне поведал мне о типе файла (типо вирус), но о том что он делает и как работает не было сказано ни слова. Что ж разберёмся сами

Поверхностный анализ

Меня сразу же смутил размер файла в 117 кб. Первым вопросом в моей голове был о языке программирования, на котором написан файл. Недолго думая, я полез доставать свой PEid. PEid радостно намекнул мне на Delphi, но на Delphi файл такого объёма получить невозможно(если конечно писать не на чистом WinAPI). Но всё же какой-никакой ответ на первый вопрос был получен, хотя и не совсем меня устраивал.

Разбираемся с функционалом

Осталось выяснить что делает программа. Я завершил работу со всеми документами, сделал точку восстановления винды, перекрестился и запустил файл(ставить виртуальную машину не было времени, Кот требовал от меня результата теста его нового вируса). Но ничего не произошло. Тогда я полез в «Диспетчер задач Windows», но и там ничего не нашёл(может плохо искал?). Надо было что-то делать. Решив что это файл может либо что-то оставить в реестре, либо в файлах на компе — я решил попробовать это отследить. Начал я с файлов. Запустил FileMon и стал настраивать фильтр, чтобы в логах была деятельность только подопытной программы, а то там чёрт ногу сломит. В поле include вписываем название программы + расширение. Итак, запустив монитор и подопытную программу, я стал копаться в логах. Листаем в самый низ. Смотрим на пути, в которых произошли изменения. Что мы видим?
C:путь_к_программе1.exe — в папке с программой она ничего менять и делать не будет
C:docume~1 — в настройках одного пользователя тоже нет резона что-то делать, т.к. смена пользователя обезвредит вирус
А чуть выше мы видим такую строчку:
C:WINDOWSsystem32driversetchosts.
Открываем и видим новые строчки в этом файле, которые совсем ни к чему. Например:
79.174.68.50 mail.ru
Текстовый адрес сайта не соответствует IP-адресу. Чистим ненужные строки.

Итоги:

— мы научились пользоваться Filemon?ом
— научились узнать дополнительную информацию о файле.
Вопросы, которые остались без ответа
Так на чём же был написан этот вирус? После отсчёта о тестировании, кот мне рассказал что собрал программу обычным конструктором инсталляторов Smart Install Maker. Почему же Peid указал на Delphi? Может быть Smart Install Maker написан на Delphi? Тогда всё понятно. Мне просто некогда это было проверить, т.к. прогу я не качал, но это можешь сделать ты сам.

По теме:
→ скачать бесплатный антивирусник RemoveIT Pro v4- SE



© «Русский ДРАККАР», 2005 - 2012 г.
Информация на сайте защищена законом об авторском праве, копирование запрещено.

Россия, г. Москва, Телефон: +7 (495) 944-44-89

Скачать бесплатно антивирус, антивирусная программа, антивирус бесплатный,
фаервол, антишпион, удаление вирусов,
антивирусные программы скачать бесплатно


Создание сайтов
89055847997