Malware vadászat egy kicsit másképpen

2011. március 02. 16:10 - Csizmazia Darab István [Rambo]

Egy ritka színvonalas és tanulságos posztot olvashattunk a minap attól a Mark Russinovichtól, akinek segédprogramjait az egész világ víruslaboros elemzői használják, csatlakozása a Microsofthoz új időszámítást jelentett a Windows biztonság terén, és akinek azt a bizonyos 2005-ös Sony BMG rootkit leleplezést is köszönhetjük.

Írásában azt mutatja be, hogy kártevő gyanús esetben hogyan lehet apró, de roppant hasznos rendszerdiagnosztikai segédprogramokkal sikeresen Sherlock Holmest és CSI-t játszani. A történet azzal kezdődik, hogy egy amerikai kórházban a Mariofever nevű, hálózaton és hordozható eszközökön egyaránt terjedő kártevőt találnak. A trójai program kísérletet tesz az antivírus programok kikapcsolására is a megfelelő Registry bejegyzések törlésével, hátsó ajtót nyit a rendszerben, adatokat lop el és továbbít távoli szerverre - magyarán egy manapság igencsak jellemző akitivitást vezet elő nekünk.

A dolog a nagyközönségnek ott kezdhet érdekes lenni, hogy ezúttal nem a format C:\ vagy az "hívjunk össze konzíliumot, indítsunk el egy teljes keresést a frissített antiívírusunkkal aztán intubáljunk" módszert vetik be, hanem in medias res, a homo ludens kíváncsian játszani kezd azzal, amije van neki, és az pedig nem más, mint a Sysinternals Listdlls. Ezzel kerül látóterünkbe egy a Winlogon alatt betöltődő DLL, a nvrsma.dll.

Ám egy másik Sysinternals programmal, az automatikusan induló dolgok listázására szolgáló Autoruns listájában ennek érdekes módon még sincs nyoma, így tovább kell ásni ezúttal a Process Monitorral. Nem lőjük le teljesen a poént, tényleg érdemes végigolvasni a lépésről lépésre részletesen bemutatott esetet, mi itt már csak spoilerezünk egy jóízűt, elmondjuk ki tette a nyomravezető lószőrt a bárszekrénybe, és megmutatjuk a gyilkos Sysinternals Stringes képét ;-)

Aki szeretne közelebbről is megismerkedni ezekkel a hasznos és remek eszközökkel, az a Microsoft weboldaláról tudja ezeket a legbiztosabban letölteni, de emellett érdemes lehet néha Mark blogját is felkeresni a hasonló bejegyzések miatt.

8 komment

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr272703360

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Takacsi 2011.03.03. 15:13:23

"az egész világ víruslaboros elemzői használják, "

ne menjünk ilyen messzire :)
szerintem minden informatikus használja őket: kb egy full-full extrás svájci bicskához tudnám hasonlítani a kis progikat!

Egyébként nagyon jó kis nyomozás ez, tényleg tiszta CSI!

Takacsi 2011.03.03. 15:49:44

@Atomot az indexre!: jogos.... na de másra meg nincs is vírus :)

fidesz = házmesterek pártja 2011.03.03. 15:52:31

@Takoca: hááááát... biztosan én vagyok túl paranoid, de még a jogok nélküli linuxos userem alól sem mernék felmenni sok helyre. :-)
Nem beszélve a antivirus.blog.hu/2011/01/24/realitas_lehet_az_androidos_botnet cikkről. Mert ugye az android végeredményben egy linuxos mellékág...

fidesz = házmesterek pártja 2011.03.03. 16:06:04

@Takoca: bocs, akkor félreértettem a smiley-t...

Van_mikrohullámú_sütőtök? 2011.03.03. 16:21:41

Nnna ez igen, ez kérem kártevő irtás! Így kell ezt csinálni kérem szépen.

Persze nem mindenki egy született helyszínelő: nos, nekik ott vannak az okos programok amik megcsinálják ugyanezt.

Azért a dologban benne van az is, hogy 2005 óta lám aki csak és kizárólag eredeti progit használ, nincs neten a gépe, lám az is kaphat rootkitet.