-

A Vírusok Varázslatos Világa 7.: Bigyó felügyelő

|

Cikkünkben a Windows és a kártevők azonos nevű folyamatainak megkülönböztetéséről írunk. Ebben is segít az ESET SysInspector.

Az új NOD32 3.0 és az ESS (ESET Smart Security) komplett védelmi csomagja mellé érkezett még egy további újdonság is: egy SysInspectornak nevezett és jobbára hozzáértőknek ajánlott diagnosztikai program, amely ugyancsak érdekes dolgokra képes.

 

A program segítségével nemcsak az egyszerű felhasználók tudnak diagnosztikai vizsgálatot végezni, de a gyanús esetek kivizsgálásánál a szakértő kezében is aranyat ér. Hamarosan megjelenik végleges angol nyelvű változata.

 

A 32 és 64 bites Windows rendszerekhez készült, és telepítés nélkül, azonnal futtatható a SysInspector.exe állomány indításával, majd a gép teljesítményétől függően egy-két perces várakozás (tesztelési ciklus) után egy szép, Vista stílusú ablak jelenik meg. Ez az adott rendszer szoftver- és hardverkörnyezetéről minden részletre kiterjedő információkat jelenít meg egy fastruktúrában, az alábbi csoportosítás szerint:

 

Első helyen a futó folyamatokat (Process) láthatjuk: ez a csomópont részletesen kibontja a gépen futó összes folyamat és alkalmazás listáját. Ebben a hivatkozott DLL-könyvtárak is fel vannak tüntetve.

 

A következő csoport neve hálózati kapcsolatok (Network Connections); itt kapunk egy listát azokról az alkalmazásokról, amelyek TCP vagy UDP protokollon keresztül hálózati forgalmat bonyolítanak le, valamint ellenőrizhetjük az aktuális DNS- (Domain Name System) szerverbeállításokat is.

 

Létfontosságú kategóriák

Külön kategóriát képeznek a rendszerleíró adatbázis fontosabb bejegyzései (Important Registry Entries). Ezek közül elsőként az automatikus végrehajtással kapcsolatos (autostart) részek szerepelnek, hiszen számos kártevő igyekszik ezek manipulálásával gondoskodni arról, hogy a kártékony kód a gép újraindítása után automatikusan lefusson. Ezen a listán találhatók még a szintén lehetséges támadási felületet adó belépéssel (Winlogon), valamint a BHO-val, azaz a böngésző-segédobjektumokkal (Browser Helper Object) kapcsolatos információk, és természetesen a támadások kedvelt célpontját jelentő Internet Explorerre vonatkozó adatok sem maradhattak ki.

 

A Windows saját futó folyamatai természetesen az 1-es kategóriában eveznek

 

A következő csoportban a szervizfolyamatok (Services) kaptak helyet: itt minden rendszerszolgáltatásként futó folyamatot megjelenít a program. A Microsoft Windows futó folyamatai például az 1-es kategóriában szerepelnek. Itt érdemes egy konkrét kártevőt is megemlíteni, legyen például a december havi statisztikában is előkelő helyen szereplő Win32/Jeefo.A vírus.

 

Ezt a kórokozót 2003 nyarán észlelték először, és érdekessége, hogy megtévesztésül egy svchost.exe nevű állományt hoz létre a Windows könyvtárában. Az igazi svchost az operációs rendszer hasznos és integráns része (eredeti nevén Generic Host Process for Win32 Services), és mindig Windows/System32 mappában található. A Jeefo.A a fertőzés alkalmával elkódolja az állományokat, illetve egyes esetekben a fertőzött fájlban hasznos területeket is felülír, így az működésképtelenné is válhat, tehát elég veszélyesnek ítélhetjük. Ha esetleg számítógépünkre nincs megfelelő vírusfigyelő program telepítve, akkor a Feladatkezelőben (TaskManager) laikus számára nehéz feladat lehet a többféle svchost.exe folyamat között átlátni a helyzetet, de a SysInspector ilyenkor is segíthet.

 

Szintén megtaláljuk a számítógépre telepített eszközök meghajtóprogramjait (Drivers) is. Ez a fül kilistázza az összes szoftver- és hardverillesztő programot, részletes verziószámmal, gyártóval, dátummal és egyéb adatokkal.

 

Korábban már említettük a Registry AutoRunnal kapcsolatos bejegyzéseit, de nem árt tudni, hogy az újraindítás utáni beavatkozások nem csak a rendszerleíró adatbázissal végzett trükközés révén befolyásolhatók, hanem léteznek olyan nevezetes, kritikus Windows-állományok (Critical Files), amelyek védelme külön szót, illetve védelmet érdemel. Ebbe a csoportba a win.ini, system.ini és a hosts fájlok tartoznak. A Win.ini és a System.ini megváltoztatásával például az AutoStart folyamatokat lehet manipulálni, míg a hosts állomány módosításával elérhető, hogy bizonyos weboldalak ne működjenek. Az ilyen átirányításokkal egy támadó például megakadályozhatja a biztonsági programok frissítéseit, de az adathalászok is előszeretettel szokták a hosts mérgezését alkalmazni arra, hogy egy megbízható webhely helyett egy másik URL-re térítsék az áldozat böngészőjét.

 

Itt a felügyelő kissé ráncolja a homlokát, mert a StartupMonitor fontos rendszerváltozókkal kerül kapcsolatba, és az alkalmazás egyelőre ismeretlen számára

 

Az adott számítógép feltérképezését segíti a részletes rendszerinformáció (System Information) menüpont is. Itt az operációs rendszer adatait, környezeti változóit, a telepített szoftverek és frissítési csomagok listáját, valamint a bejelentkezett felhasználók adatait és jogosultságait szemrevételezhetjük.

 

Ugyancsak külön kiemelve látjuk viszont a fontosabb fájlokat (File Details). Ebben a csoportban pedig a főbb rendszerfájlok, a telepített végrehajtható állományok részletes információit találjuk.

 

Többféle szűrési lehetőséggel is élhetünk az adatok megjelenítésekor: a teljes adatmennyiséget a Full módban, egy közepes információhalmazt a Medium, míg egy szűk összefoglalót a Basic módban kaphatunk. Emellett a különféle bejegyzések eltérő, egy kilencfokozatú veszélyességi skálán szereplő értékhez tartozó számot viselnek. A százszázalékosan ismert, közismert és megbízható állomány, folyamat, elem kapja az 1-es besorolást, a biztonságosnak tűnő, de a program számára jelenleg ismeretlen az 5-ös számmal van jelölve, míg az ismert, de kártékony objektumok a nagyon veszélyes, 9-es csoportba kerülnek. Ezt a kilenc csoportot is ki lehet listázni, vagyis vadászhatunk a különféle veszélyeztetettséget jelentő elemekre is. Emellett természetesen ott van a szabad szavas keresés, ahol egy beírt keresőszó minden előfordulását vizsgálhatjuk.

 

 

A különféle bejegyzések eltérő, egy kilencfokozatú veszélyességi skálán szereplő értékhez tartozó számot viselnek

 

A fejlesztők természetesen a parancssori futtatást kedvelő képzett felhasználókat és a rendszergazdákat sem felejtették ki a számításukból: a program grafikus felület (GUI) nélkül, a parancssorból is indítható egyedi kapcsolókkal, sőt XML- vagy ZIP-állományba képes különféle tartalmú riportokat generálni. Ezeket utólagosan is lehet elemezni, hiszen magába a SysInspectorba a külső riportok egyetlen kattintással beolvashatók. Természetesen az is nagy előny, hogy egy ilyen riportot probléma esetén könnyen el tudunk küldeni a technikai támogatást végző support munkatársnak további vizsgálatra.

 


A parancssori futtatásnál a /privacy kapcsoló segítségével visszatarthatjuk a bizalmas személyes információkat, illetve riportot is készíthetünk közvetlenül egy csomagolt ZIP-állományba

 

Szinte minden egyben

Régóta léteznek már hasonló programok, hogy csak az ismertebbeket említsük: a Sysinternals Autoruns, Process Monitor és Process Explorer alkalmazásai, valamint a Startup Monitor, a HijackThis, a System Information for Windows (SIW). Mindenesetre az ESET SysInspector egy jól összeállított és hadra fogható univerzális eszköznek látszik a kártevők ellen folytatott harcban.

 

A SysInternals által készített AutoRuns segédprogram is jó szolgálatot tehet egy alapos ellenőrzés során

 

A SysInspector futtatásához valóban minimális rendszerkövetelmények társulnak: 32 vagy 64 bites Intel vagy AMD processzor, NT-alapú Microsoft (2000, XP, Vista, Server 2003) operációs környezet, 35 megabájt szabad memória, illetve 2 megabájt szabad hely a merevlemezen. A program cikkünk írásakor egyelőre még béta-állapotban van, de várhatóan hamarosan megjelenik a végleges angol nyelvű változata, amelyet az ESET vásárlóinak ingyenesen bocsát a rendelkezésére.

 

 

A HijackThis program tapasztalt felhasználók kezében hasznos segítség az indító bejegyzések és hasonló kényes területek ellenőrzésében

 

*

Kérjük kedves olvasóinkat, ha a témában kérdésük, hozzászólásuk van, juttassák el hozzánk (velemeny@pcworld.hu).

 

Csizmazia István, vírusvédelmi tanácsadó

Sicontact Kft., a NOD32 antivírus magyarországi képviselete

antivirus.blog.hu

 

 

 

 

 

 

Hirdetés

Úgy tűnik, AdBlockert használsz, amivel megakadályozod a reklámok megjelenítését. Amennyiben szeretnéd támogatni a munkánkat, kérjük add hozzá az oldalt a kivételek listájához, vagy támogass minket közvetlenül! További információért kattints!

Engedélyezi, hogy a https://pcworld.hu értesítéseket küldjön Önnek a kiemelt hírekről? Az értesítések bármikor kikapcsolhatók a böngésző beállításaiban.