Ранее я уже рассказывал о первой серьезной атаке "троянского коня" на мою машину, в результате которой на ноутбуке с Windows XP Service Pack 2 (SP2) застряло что-то вроде самокопирующегося кода. После подробного разбора атаки я получил более двухсот писем, авторы которых давали мне советы, как справиться с захватчиком. Словами не передать то чувство благодарности, которое я испытываю по отношению к этим читателям. Огромное всем спасибо за помощь!
Итак, я потратил около недели, пытаясь понять, как можно уничтожить "троянца", не повредив систему. Эту тактику я называю "взрывом извне" по аналогии с классическим блокбастером 1986 года "Чужие".
Я было уничтожил часть вируса, но через неделю все началось заново. Несмотря на это, я считаю своим долгом разобраться, почему машину не удается вылечить. На то есть две причины. Во-первых, решение проблемы может помочь другим пользователям (а, судя по полученным письмам, подобные атаки весьма распространены). Во-вторых, это будет полезно для разработчиков Microsoft, так как сейчас они готовят ориентированный на средства безопасности релиз XP SP2, который не предлагает реального средства против подобной угрозы (хотя, конечно, Windows Firewall изначально мог бы сдержать распространение вируса). Мне хочется помочь компании найти решение, но, полагаю, трудно будет устранить эту проблему удаленно, а я не хочу, если вдруг дело зайдет слишком далеко, запаковывать машину и везти ее в Редмонд.
К сожалению, я не могу сказать, что достиг значительного прогресса за эту неделю, хотя испробовал почти все, что только можно. Трудно объяснить, насколько эта проблема мешает нормально работать, хотя, судя по письмам читателей, многие сталкивались с чем-то подобным. Что интересно, некоторые пользователи имели дело с похожими неполадками, не связанными с упомянутыми мною файлами, настройками регистра или другими признаками. Это говорит о том, что в моем случае имеет место нечто большее, нежели обычная атака "троянца".
Есть, правда, тусклые лучики надежды. Юджин Керран рекомендовал мне отличный продукт Tiny Software's Tiny Personal Firewall (TPF; http://www.tinysoftware.com), который смягчает последствия действия вируса, но не удаляет сам вредоносный код. Пока TPF действует, регистр не регенерирует ссылку TV Media (tvm.exe) после удаления вручную, а домашняя страница Microsoft Internet Explorer не "оккупируется" узлом http://www.allaboutsearching.com, т.е. отсутствуют два основных симптома "заболевания". Но когда я отключаю или деактивирую TPF, проблемы возобновляются. TPF позволяет в той или иной степени работать на машине, пока я жду ремонта, но враг все еще прячется где-то на моем компьютере, и это меня беспокоит. Однако файла Tvm.exe не существует, так что скрытый код не может ничего сделать.
Вот почему я считаю, что TPF - полезный продукт: Последняя версия, TPF 5.5 build 1332, включает новую уникальную возможность, которая, по словам представителей компании, создает надежную защиту от всех неизвестных вирусов. Принцип работы данной технологии основан на механизме работы этих вирусов (т.е. на внедрении кода в приложения, которые не вызывают у вас подозрений). Кроме того, в отличие от Windows Firewall, работающего только с входящими данными, TPF является двухсторонним брандмауэром, благодаря чему не позволяет "троянцу" отправлять информацию после внедрения в систему. К сожалению, в SP2 Windows Firewall подобная возможность отсутствует.
Используя различные методы, мне удалось ликвидировать часть последствий действия вируса. Ссылки на POLL EACH исчезли из регистра и более не появляются. Загадочной панели инструментов "blehdefyreal" в IE также больше нет, хотя было бы неплохо, если бы Microsoft предоставила автоматизированное средство для удаления подобных дополнительных панелей в составе нового пакета Manage Add-on tool for IE 6.0, которое пока может лишь включать и отключать (но не удалять) дополнения к IE. Однако ссылки на TV Media (но не файл tvm.exe) и проблема подмены домашней страницы IE, описанные ранее, остаются до сих пор.
Я не понимаю, почему невозможно обнаружить скрытый процесс, который вносит изменения в систему. Какие бы программы мониторинга и антивирусные утилиты я ни использовал, процесс все-таки должен быть достаточно открытым, чтобы его можно было обнаружить и прервать. Однако мне не повезло.
Поэтому придется отложить подведение итогов этой печальной истории еще на некоторое время: несколько экспертов в Microsoft сейчас изучают проблему, и я надеюсь получить более конкретное заключение и, возможно, в скором времени пошаговое руководство по устранению подобных проблем. Еще раз спасибо всем, кто мне написал: я очень ценю вашу помощь.
Пользователи и администраторы
В связи с моими проблемами некоторые читатели в своих письмах выражают надежду, что я не работал на ноутбуке под учетной записью уровня Администратор. К сожалению, на необслуживаемой машине с ХP невозможно работать без привилегий администратора. В отличие от UNIX и подобных систем вроде Linux и Mac OS X компании Apple Computer, Windows не очень удобна для работы под неадминистративной учетной записью, в основном из-за того, что многие приложения были написаны только для работы на административном уровне. Это доставляет много проблем дома, ведь неполноценная запись с ограниченными правами в XP Home Edition, разработанная для детей и начинающих пользователей, практически бесполезна. У меня на всех машинах, конечно, стоит XP Professional Edition, но, тем не менее, в сети наблюдается тот же эффект. Пока Microsoft не поменяет механизм работы локальных пользователей и не пригласит специалистов для разработки приложений и драйверов, невозможно будет сделать защищенными необслуживаемые системы Windows, не наделяя их при этом полным набором возможностей.
Для сравнения рассмотрим, как выполняются простые задачи в Mac OS X. Даже если вы вошли как администратор, некоторые задачи, например запуск Software Update Services (SUS) или установка приложений, требуют повторного ввода пароля, интерактивно, в ходе работы. Подобный запрос - простой и достаточно эффективный путь убедиться в том, что вы имеете право выполнить операцию, которая поменяет настройки системы или может повредить ей. В Windows существует элементарная функция Run As, фактически скрытая в контекстном меню, вызываемом правой кнопкой мыши, о котором обычные пользователи даже не подозревают. Это, согласитесь, слабая замена. Недостаточность антивирусных средств, настоящий двухсторонний брандмауэр - в общем, Microsoft есть над чем работать.
Поль Тюрро - Редактор новостей в Windows & .NET Magazine. Готовит еженедельные выпуски Windows & .NET Magazine UPDATE (http://www.win2000mag.net/email), а также ежедневные выпуски новостей WinInfo (http://www.wininformant.com/). С ним можно связаться по адресу: thurott@win2000mag.com.