Анти-spyware.

Доброй ночи.

   Сегодня для начала сообщаю пренеприятное известие (для меня, по крайней мере), нет, к нам не едет ревизор. Мой официальный сайт www.anti-spyware.nm.ru по всей видимости, убит, либо удален админом nm.ru (без каких либо объяснений), либо на портале появилась новая «дыра» и теперь есть возможность забрать себе любой сайт. Так что теперь до выяснения дальнейшей судьбы сайта, рекомендую пользоваться зеркалом сайта на http://www.antispyware.5km.org/ это точная копия старого сайта.
   Теперь после организационных вопросов стоит перейти к делу, в ответ на мою просьбу присылать мне все вирусы которые вам попадались, один из читателей все-таки прислал архив с программой, на которую его AVG весь исхрюкался. Я по началу обрадовался, ну думаю, хоть что для анализа есть, засел за изучение присланного файла.
   Для начала проверил, не запакована ли программа, честно говоря, мой анализатор ничего не смог мне сказать, пришлось действовать на удачу, просто подгрузив файл в дизассемблер. Как ни странно программа оказалась не запакована и написана, по всей видимости, на асме (почему анализатор не смог это распознать не знаю). В дизассемблере я первым делом заглянул в импорт файла, функций там было немного, и большая часть их была мне известна, за исключением парочки. Посмотрев код программы, мне показалось, что я видел нечто подобное, в частности сочетание функций findWindowA и CallnextHookEx, плюс программа еще и подгружала собственную библиотеку со звучным названием hooks.dll. Засунув программу в отладчик, и запустив трассировку, я вспомнил, где я такое уже видел, очень похожий код мне попадался в программке шпионе, не вирусе, а именно шпионе, который вел подробный лог запускаемых программ.
   Эта программа вела себя точно также, для начала заносила себя в реестр windows в раздел HKEY_Local_Machine/Software/Microsoft/current version/run, там создавался ключ Msshelldlls со значением «название программы». Тем самым программа самым дилетантским образом обеспечивала себе автозапуск смешно даже как-то.
   После этого шел код, посредством, которого программа определяла, загружена ли она в память, как я понял за это отвечал вызов функции CreateMutexA этой функции передавалась уникальная строка histUPGrade168 которая служила своего рода семафором, то есть если такой объект найден то программа благополучно загружена в память если нет то программа не загружена. Дальнейшие действия программы предельно просты, она считывала заголовки активных окон, и заносила эту информацию в файл-лог, снабжая эти записи датой и временем, когда программа запущена, когда остановлена. Лог-файл создавался программкой в той же директории, откуда запускалась сама программа. Никаких функций подключения к интернету чтобы передать этот лог я не нашел, да и смысл кому-то воровать такой лог не ясен. Это скорее удобно для желающих знать, кто и над чем работает в его отсутствии на его личном компьютере. В общем, по шкале опасности этой программе можно дать ноль баллов, AVG видимо, чувствителен к перехватам, что эта программа и делает, в результате эта программа подпадает под подозрительную.
   Продолжаю ждать от вас новых и интересных вирусов и программ шпионов, к этому всему предлагаю провести небольшой конкурс, это и вам будет полезно и мне. В качестве материального и осязаемого аргумента заняться этим делом предлагаю услугу- месяц рассылок без рекламы. Приз будет один, а суть конкурса будет такая- кто предложит самую интересную, а главное полезную идею для освещения в рассылке, тот и будет победителем, предложения жду месяц, начиная с этого дня - 02.07.06.

   Предлагаю ваши варианты присылать в форме письма-анкеты:

1. Что вам нравится в моей рассылке?
2. Что совсем не нравится, аж коробит?
3. Что бы вы лично хотели узнать о безопасности из моей рассылки?
4. Как вы оцениваете свой уровень подготовки в вопросах компьютерной безопасности?
5. Что вы рассчитывали получить от моей рассылки, когда подписывались на нее?

   Оценивать в конкурсе я буду письма с анкетами, в которых осмыслено заполнено хотя бы три из пяти пунктов, причем третий пункт обязателен для заполнения.

А теперь вопрос этого выпуска:

Здравствуйте!
Проверял свою Windows XP SP2 с помощью программы "RootkitRevealer v.1.7", которая обнаружила подозрительный раздел в реестре:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg, но ни программа , ни я не смогли удалить этот раздел.
Опасен ли "Cfg", почему он не удаляется?
Ответить

Буду рад вам помочь, все вопросы, которые могли появиться у вас или советы по рассылке посылайте на этот e-mail antispyware@bk.ru, по возможности отвечу на все вопросы и пожелания.