Как с помощью Process Explorer определить вирусные программы
В этой статье кратко упомянем несколько индикаторов наличия вредных программ, которые могут вам встретиться при работе с Process Explorer. Эти индикаторы не являются бесспорными признаками инфицирования, но они могут все же послужить неким сигналов тревоги, указывающим на необходимость дальнейшего расследования.
Process Explorer выделяет фиолетовым цветом все процессы, которые имеют упакованные загрузочные модули (packed executables). Если вы видите, что неизвестный процесс имеет упакованный загрузочный модуль, вам следует немедленно заподозрить что-то неладное. Вовсе необязательно, что процесс, выполняемый с упакованным загрузочным модулем является злоумышленным (malicious) по своей природе, но в большинстве случаев, это обычно является основанием для дальнейшего расследования.
Можно перевести Process Explorer в режим проверки подписей (signatures) всех процессов, выбрав пункт Options | Verify Signatures, но это приведет к существенному замедлению работы программы. Выгоднее, если, конечно, вы не подозреваете, что инфицированы, выбирать процессы, заслуживающие дальнейшего расследования индивидуально.
Можно достаточно просто выявить подозрительные незаполненные записи, проверив название компании и/или описание в верхней панели. Затем можно открыть диалоговое окно Properties и проверить образы этих процессов, чтобы узнать верифицированы они или нет. Если нет, нажмите кнопку Verify, давая возможность Process Explorer запросить верификацию подписи.
Часто у процессов-вредителей (malware processes) не заполнено поле названия компании и поле описания, которое выводится в свойствах образа. Иногда, наоборот, такие процессы имеют довольно высокопарное описание в официальном стиле, специально созданное для того, чтобы уменьшить вероятность останова или удаления процесса.
Наиболее часто подменяющиеся системные файлы
Следующие системные файлы часто являются мишенью для удаления или замены троянизированными загрузочными модулями:
- rundll32.exe;
- wmplayer.exe (Windows Media Player);
- MSConfig.exe;
- notepad exe;
- shell.dll;
- SDHelper.dll (Spybot Search & Destroy модуль down Ioad-защиты);
- wininet.dll;
- regedit.exe;
- taskmgr.exe.
В таких случаях, необходимо принять дополнительные меры, чтобы определить, что подозрительный файл действительно является вредителем. Если ущерб является невосстановимым, иногда единственный способ отличить эти файлы от их аутентичных эквивалентов - это проверить контрольную сумму.