Как с помощью Process Explorer определить вирусные программы

В этой статье кратко  упомянем несколько индикаторов наличия вредных программ, кото­рые могут вам встретиться при работе с Process Explorer. Эти индикаторы не являются бесспорными признаками инфицирования, но они могут все же по­служить неким сигналов тревоги, указывающим на необходимость дальней­шего расследования.

Process Explorer выделяет фиолетовым цветом все процессы, которые име­ют упакованные загрузочные модули (packed executables). Если вы видите, что неизвестный процесс имеет упакованный загрузочный модуль, вам следует не­медленно заподозрить что-то неладное. Вовсе необязательно, что процесс, вы­полняемый с упакованным загрузочным модулем является злоумышленным (malicious) по своей природе, но в большинстве случаев, это обычно является основанием для дальнейшего расследования.

Можно перевести Process Explorer в режим проверки подписей (signatures) всех процессов, выбрав пункт Options | Verify Signatures, но это приведет к су­щественному замедлению работы программы. Выгоднее, если, конечно, вы не подозреваете, что инфицированы, выбирать процессы, заслуживающие даль­нейшего расследования индивидуально.

Можно достаточно просто выявить подозрительные незаполненные записи, проверив название компании и/или описание в верхней панели. Затем можно открыть диалоговое окно Properties и проверить образы этих процессов, чтобы узнать верифицированы они или нет. Если нет, нажмите кнопку Verify, давая возможность Process Explorer запросить верификацию подписи.

Часто у процессов-вредителей (malware processes) не заполнено поле назва­ния компании и поле описания, которое выводится в свойствах образа. Иногда, наоборот, такие процессы имеют довольно высокопарное описание в официаль­ном стиле, специально созданное для того, чтобы уменьшить вероятность оста­нова или удаления процесса.

Наиболее часто подменяющиеся системные файлы

Следующие системные файлы часто являются мишенью для удаления или замены троянизированными загрузочными модулями:

• rundll32.exe;
• wmplayer.exe (Windows Media Player);
• MSConfig.exe;
• notepad exe;
• shell.dll;
• SDHelper.dll (Spybot Search & Destroy модуль down Ioad-защиты);
• wininet.dll;
• regedit.exe;
• taskmgr.exe.

В таких случаях, необходимо принять дополнительные меры, чтобы опре­делить, что подозрительный файл действительно является вредителем. Если ущерб является невосстановимым, иногда единственный способ от­личить эти файлы от их аутентичных эквивалентов - это проверить контрольную сумму.