Продолжая тему определения зловредности файлов. В предыдущем ответ мы использовали пассивный поиск, основаный на некоторых характеристиках\возможностях вирусов. Сейчас мы применим активный поиск вредоносов. Сразу оговорюсь, не все вирусы можно вычислить по описуемому методу, но большинство новых, и даже не известных - точно.
Вопрос.........
Есть ли какие-нибудь 100%-ные признаки вредоносности файлов по которым можно было бы ориентироваться и удалять файл без проверки?
_______________________
Ответ...........
Многие из вас знают, что вредоносные файлы в своей работе обычно "любят" использовать системные процессы, такие как
services.exe,
svchost.exe,
explorer.exe. Как вам известно, у процессов есть свой
PID -
PID -это(сокращение от англ.
Process ID) —
идентификатор процесса, уникальный номер, который система класса назначает каждому активному процессу. Он не постоянен и при перезагрузки у процесса уже может быть другой
PID. Мы используем это себе в помощь. Представим себе обычную картину, есть логи в которых некоторые зловреды используют один из перечисленных процессов, возьмём, например процесс
explorer.exe, как наиболее универсальный. Открыв лог в секции
Процессы мы ищем такой процесс как
explorer.exe, на скриншоте мы видим этот процесс, что он прошёл по базе безопасных, тем не менее вирусы его используют. Посмотрим
PID проводника, его
PID = 1776. Запомним его крепко -
1776.
Запомним несколько ключевых моментов, по которым мы будем определять зловредность файлов.
Проблемный файл имеет следующие признаки:
- Использует тот же самый PID, что у Explorer.exe.
- У такого файла колонка Copyrigth пустая, проще, отсутствует копирайт.
- У такого файла колонка Описание также пустая.
- Также может использовать PID своих "собратьев"-вирусов.
- Количество используемых PID, может варьироваться от 1 до 12 и больше.
Листаем лог до секции
Используемых DLL, названия у секции нет, но она идёт сразу за секцией
Процессы. Как видим на скриншоте, пять файлов, попадают под перечисленные критерии (в списке перечислений используемых PID, один из них равен PID'у процесса Explorer.exe. Количество используемых PID больше одного. У этих файлов отсутствует описание файла и копирайт).
В этом не трудно убедиться, проверив файлы по
MD5:
1. C279395C.DLL
2. HBASKTAO.dll
3. sysmxd.dll
P.S. Некоторые файлы я не включил в проверку по MD5, потому что проверки этих файлов нет, но это тоже вирусы.
P.P.S. Не все файлы можно вот так вычислить, так как некоторые вирусы, могут содержать мало-мальски приемлемое описание и копирайт, от 1-3 символов, до полнолегальной строки
© Microsoft Corporation. All rights reserved
Связано это с тем, что вирусы попросту копируют такие копирайты для себя. Пример такого использования, тот же скриншот и файл с именем
System.exe. Но пусть вас этот момент не смущает.