Само лечение сводится обычно к проверке системы с Live CD от Доктора Веба или Лаборатории Касперского. Но эффективность таких проверок сильно зависит от свежести баз (у продуктов на Live CD проблемы с эмулятором) и злостности трояна (у продуктов на Live CD проблемы с работой в реестре хостовой ОС). Да еще этот диск нужно где-то взять. В общем, куда ни кинь - всюду клин. Потому важно, очень важно предупредить заражение, не дать троянцу занять позиции. Для этого пользователи Kaspersky Internet Security 2010 могут использовать уже имеющиеся у них средство - компонент Контроль программ (HIPS).
Настройка - Контроль программ. Нажимаем кнопку "Настройка". На вкладке "Персональные данные" выбираем категорию "Все ресурсы". В категории "Персональные данные" создадим свою категорию "AntiWinLock". Для этого нужно кликнуть на "Добавить категорию" в этом окне и ввести название. Для удобства можно свернуть остальные категории кликом мыши на "+". Теперь добавим ресурсы, которые нужно контролировать. Кликаем на "Добавить" внизу окна и в появившемся списке выбираем "Ключ реестра", как показано на изображении.
- 2010-01-27_1610.png (15.66 Кб) Просмотров: 13378
В появившемся окне вводим название правила. Я ипользовал "WinLock.Shell" для защиты \Winlogon\shell. В принципе, название можно и не указывать, оно вставится само. Но само-собой, нужно внести путь, который должен контролироваться HIPS. На момент написания мне известно 10 мест и их нужно занести. В открытом окне "Пользовательский ресурс" нажимаем кнопку "Обзор" и вставляем:
1. В поле "Ключ": *\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon В поле "Значение": Shell
2. В поле "Ключ": *\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows В поле "Значение": AppInit_DLLs
3. В поле "Ключ": *\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon В поле "Значение": Userinit
4. В поле "Ключ": *\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\*
5. В поле "Ключ": *\SOFTWARE\Policies В поле "Значение": *
6. В поле "Ключ": *\SOFTWARE\Policies\*
7. В поле "Ключ": *\SOFTWARE\Policies\* В поле "Значение": *
8. В поле "Ключ": HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot В поле "Значение": *
9. В поле "Ключ": HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\*
10. В поле "Ключ": HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\* В поле "Значение": *
Пути нужно писать так, как написал их я. Каждый путь добавляется отдельно.
Обратите внимание, что в последнем добавлении на конце есть слеш, но вручную его указывать не нужно; в пунктах 4, 6 и 9 после * его нет.
Итак, HIPS контролирует эти места и что? Они изначально были зашиты и изначально контролировались. Суть в том, что мы запретим любые изменения в этих путях всем программам, которые не входят в группу "Доверенные". Возвращаемся в окно настроек KIS на "Контроль программ". Там жмем кнопку "Настройка правил...".
В появившемся окне выбираем группу "Слабые ограничения" и кликаем "Изменить" внизу (или просто двойнок клик мышью по строке). Появляется окно настроек правил для группы. Нам нужна вкладка "Правила" и "Файлы, системный реестр" в списке выбора. В самом низу находится группа правил с названием AntiWinLock. Для операций чтения, записи, удаления у нее наследована настройка "Запросить действие". Меняем это на "Запретить" (клик правой кнопкой мыши). Запрос действия можно оставить только для "Чтение", да и то не обязательно. Вот что получается в итоге:
- 2010-02-10_1723.png (54.32 Кб) Просмотров: 13378
Повторяем изменение правил для группы "Сильные ограничения". Не нужно трогать "Доверенные" (там наследуется разрешение) и "Недоверенные" (там наследуется запрет).
Теперь защитим средствами HIPS параметры безопасности. Т.е. запретим приложениям, не входящим в группу "Доверенные", изменять:
* Параметры безопасности Internet Explorer
* Зоны Internet Explorer
* Параметры встроенного фаервола
* Ветку политик
* ...и прочее
Это сделать будет еще проще. В окне "Правила для группы программ" (скриншот выше) для группы Слабые ограничения выставляем запреты на ресурс "Параметры безопасности".
После этих действий при любом режиме работы KIS никакое ПО, кроме того, что добавлено по какой-то причине в группу "Доверенные", не с может изменить эти критичные ключи реестра. При этом пользователь не будет получать никаких алертов, никаких балунов. KIS просто молча заблокирует опасное действие и запишет это в отчет.
(c)Мячин Дмитрий, Kaspersky Lab
