На сайте уже была статья о том, как обнаружить руткиты (rootkit) на компьютере с помощью утилиты GMER. Давайте рассмотрим еще один вариант выявления руткитов - утилита Universal Virus Sniffer (далее - UVS), принцип ее работы совсем другой. Утилита GMER пытается найти руткиты в активной среде, а UVS использует другую идею: в активной среде создается файл сверки, в который помещается информация об элементах автозапуска. Затем необходимо загрузиться с LiveCD (например, SV-MicroPE 2k10), запустить UVS и указать ей файл сверки - утилита произведет сравнение информации из файла сверки с информацией об автозапуске, которая получена из неактивной среды. Если информация различается, то утилита сообщит об этом. Логично, что если элемент автозапуска не виден из активной среды, но выявлен при анализе с LiveCD, то можно предположить, что данный файл является руткитом. Главный плюс - это почти 100% вероятность обнаружение руткита. Скачать UVS Запустите UVS с помощью файла start.exe (в Windows версий Vista/7/8 необходимо запускать от имени администратора). Нажмите кнопку "Запустить под текущим пользователем". Выберите Руткиты -> Создать файл сверки автозапуска.
Укажите файл для создания сверки, потом этот файл потребуется указать при загрузке с LiveCD. После создания файла сверки, загрузитесь с LiveCD и запустите утилиту UVS. После запуска UVS, выберите "Выбрать каталог Windows" и укажите папку Windows, которая установлена на проверяемом компьютере. Затем нажмите "Запустить под текущим пользователем".
Выберите Руткиты -> Поиск скрытых и измененных объектов по файлу сверки... Затем потребуется указать файл сверки, который был создан из активной среды. А дальше смотрите, что UVS выявила подозрительного. Если UVS сообщит об подозрительных файлах, то необходимо проанализировать информацию Важно: утилита UVS только помогает выявлять вирусы и трояны, обнаруженные подозрительные файлы могут быть как зловредными, так и полезными (важными). Поэтому удаление подозрительных файлов следует осуществлять только при полной уверенности, что эти файлы зловредны. На свой страх и риск. Допустим, UVS сообщила о возможном рутките c:\windows\system32\drivers\bgfhc.sys
Щелкните левой кнопкой мыши по записи, откроется дополнительная информация о файле. Т.к. ищем руткиты, то смотрите, чтобы была информация "типично для руткитов". После того, как изучите дополнительную информацию о файле, закройте это окно крестиком. Что делать с руткитами? Скопируйте их в ZOO через правую кнопку мыши. Затем сохраните папку ZOO на флэшку и проверьте с помощью Антивирусного сканера Jotti. Причем это следует делать не на исследуемом компьютере, а на другом - здоровом. Если будут вопросы - обращайтесь на форум сайта.
При использовании данного материала, просьба указывать ссылку на http://av.3dn.ru/
|