Реестр Windows :: Когда поселился незванный гость...


Когда поселился незванный гость...
Чеботарев Игорь

Бывают ситуации, когда на компьютере без ведома владельца появляются различные вредные программки, пытающиеся осуществлять действия, порой препятствующие нормальной работе и вредящие программному обеспечению. За примерами далеко ходить не надо: интернет просто кишит различными троянцами, некоторые сайты (содержащие порно-ресурсы, крак-хак-странички, халява) норовят поменять начальную страничку, а то и закинуть программу, которая будет вопреки всем вашим действиям постоянно восстанавливать ссылку на свой сайт. Эта тема действительно актуальна, стоит взглянуть хотя бы на вопросы различных форумов и, несмотря на наличие уже одной похожей статьи (Что скрывается в автозагрузке), я решил повторно поднять этот вопрос, но рассмотреть его именно с позиции способов загрузки таких неприятных "гостинцев".
Сперва коротенько пробегусь по самым тривиальным и, пожалуй, известным практически всем местам и методам загрузки программ.
Реестр
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run. Изначально содержит параметры:
- internat.exe - индикатор клавиатуры в System Tray;
- LoadPowerProfile - загрузка пользовательского профиля (общее для всех);
- ScanRegistry - ежедневная проверка и архивация реестра;
- SystemTray - загрузка System Tray;
- TaskMonitor - планировщик заданий (дома я его всегда стираю из автозагрузки, чтоб не занимал место в памяти).
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices:
- LoadPowerProfile - аналогичен параметру с таким же названием в разделе Run, только здесь уже грузится профиль конкретного пользователя (после того, как в систему вошли под чьим-то именем).
Остальные разделы должны быть пустыми! Полный их список вы сможете посмотреть в упомянутой выше статье. Остальные параметры в этих разделах были добавлены другими программами, установленными на вашем компьютере. Как правило, по названию параметра легко догадаться о том, какую программу он запускает. Если вы сомневаетесь в правомерности нахождения здесь какого-либо параметра, экспортируйте этот кусочек реестра в reg-файл, затем сотрите подозрительный параметр, перезагрузите компьютер и проанализируйте, что изменилось: не исчезла ли какая-нибудь полезная программа, которая до этого всегда грузилась, не пропала ли проблема, подтолкнувшая вас на эксперименты.
Следующий пункт нашей программы: файлы win.ini, system.ini. Проверьте раздел [windows], параметры run, load. Там должно быть пусто. Некоторые интернет-черви и троянцы используют именно эту лазейку, чтобы каждый раз стартовать при загрузке. Так, в system.ini изначально отсутствует раздел [windows], однако если создать его, то внутри него можно прописать параметр load=имя_файла и с помощью этого запустить нужную программу. И если о загрузке в win.ini знают многие, то system.ini частенько остается за кадром, чем и пользуются различные троянские программы. Один раз ради эксперимента я заразил свой компьютер каким-то из этих вирусов (имя сейчас я вспомнить не могу), так он прописал свою загрузку во всех разделах реестра и файлах win.ini и system.ini. Так что если вы нашли где-то одну запись, не успокаивайтесь на достигнутом, а проверьте все возможные места загрузки.
Это были самые простые и общеизвестные способы загрузки программ, пора перейти к нетривиальным.
Проверьте, а у вас в меню Пуск->Программы->Автозагрузка есть ссылки на офисовские примочки? А ведь возможно просто подменить запускаемую с помощью них программу таким образом, чтобы грузился троянчик, а уже из него запускать требуемую программу. Я думаю, далеко не каждый сообразит поискать там причину всех проблем.
Следующий способ - это не совсем автозагрузка, но некоторые вирусы используют его, чтобы незаметно запускаться на компьютере. В разделе HKEY_CLASSES_ROOT\exefile\shell\open\command в параметре (По умолчанию) стоит команда обработки ехе-файлов. Там должно быть "%1" %*, но возможно запускать здесь какую-то программу, передавая ей в качестве параметра ехе-файл, который надо запустить. Программа запустит его, а затем выполнит свою вредоносную миссию.
Конечно, описанные способы весьма редки, но если не удается найти виновника проблем в других местах, то надо проконтролировать и эти возможности.
Теперь хотелось бы описать действительно редкие, но и наиболее тяжело идентифицируемые способы загрузки программ. Эта информация была почерпнута из журнала Хакер № 11.01. Эти способы загрузки были найдены при разработке известного трояна Donald Dick.
Для операционных систем Windows 9x возможно загружать программу с помощью драйвера VxD. Полный список загружаемых драйверов находится в разделе HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD. В Windows NT/2000 нет VxD драйверов, но в разделе HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SessionManager в параметре BootExecute можно прописать программу, которая будет грузиться еще до загрузки графической оболочки и сервисов. Есть и более хитрые способы, но они еще более экзотические. Вызывает серьезные сомнения возможность отловить "диверсантов", загружаемых такими способами, вручную. Лучше доверить это специалистам, то есть AVP, DrWeb и другим антивирусам, так как этими способами грузятся только их непосредственные клиенты.
Конечно, написанное выше, не охватывает АБСОЛЮТНО всех способов автозагрузки, но 95% перекрывает наверняка. По крайней мере, большинство возникающих по этой теме вопросов статья должна разрешить. Главное, не бойтесь думать и экспериментировать, и все у вас получится.

читать еще по теме