Визначення шкідливих програм
У цій статті коротко згадаємо кілька індикаторів наявності шкідливих програм, кото-які можуть вам зустрітися при роботі з Process Explorer. Ці індикатори не є безперечними ознаками інфікування, але вони можуть все ж по-служити певним сигналів тривоги, що вказує на необхідність далекої-шего розслідування.
Process Explorer виділяє фіолетовим кольором всі процеси, що мають справу-ють упаковані завантажувальні модулі (packed executables). Якщо ви бачите, що невідомий процес має упакований завантажувальний модуль, вам слід не-повільно запідозрити щось недобре. Зовсім необов'язково, що процес, ви-конувати з упакованим завантажувальним модулем є зловмисним (malicious) за своєю природою, але в більшості випадків, це зазвичай є підставою для подальшого розслідування.
Можна перевести Process Explorer в режим перевірки підписів (signatures) всіх процесів, вибравши пункт Options | Verify Signatures, але це призведе до су-громадської уповільнення роботи програми. Вигідніше, якщо, звичайно, ви не підозрюєте, що інфіковані, вибирати процеси, які заслуговують на даль-шого розслідування індивідуально.
Можна досить просто виявити підозрілі незаповнені записи, перевіривши назву компанії і / або опис у верхній панелі. Потім можна відкрити діалогове вікно Properties і перевірити образи цих процесів, щоб дізнатися верифіковані вони чи ні. Якщо немає, натисніть кнопку Verify, даючи можливість Process Explorer запросити верифікацію підпису.
Часто у процесів-шкідників (malware processes) не заповнено поле назва-ня компанії і поле опису, яке виводиться в властивості образу. Іноді, навпаки, такі процеси мають досить пишномовне опис в официаль-ном стилі, спеціально створене для того, щоб зменшити ймовірність осту-нова або видалення процесу.
Найбільш часто підміняють системні файли
Наступні системні файли часто є мішенню для видалення або заміни троянізірованнимі завантажувальними модулями:
- rundll32.exe;
- wmplayer.exe (Windows Media Player);
- MSConfig.exe;
- notepad exe;
- shell.dll;
- SDHelper.dll (Spybot Search Destroy модуль down Ioad-захисту);
- wininet.dll;
- regedit.exe;
- taskmgr.exe.
У таких випадках, необхідно вжити додаткових заходів, щоб визна-ділити, що підозрілий файл дійсно є шкідником. Якщо збиток є невідновні, іноді єдиний спосіб від-личить ці файли від їх автентичних еквівалентів - це перевірити контрольну суму.