Dezynfekcja: systemy skryptowe

[picasso]

Systemy skryptowe wbudowane w narzędzia:

• Avenger
• BlitzBlank
• Catchme
• AVZ Antiviral Toolkit / AVZ Help File
• Kaspersky Virus Removal Tool 2011

Zostaną tu podane tylko i wyłącznie informacje publiczne, które mogą być udostępnione. Temat będzie miał także dysproporcję, tzn. ekspozycję instrukcji dla użytkownika oczekującego pomocy, lecz nie instrukcji eksperckich.

 

 

Copyright @picasso fixitpc.pl Powielanie tej pracy zabronione.

[picasso]

 

The Avenger

 

Strona domowa

 

Platforma: Windows 2000/XP/Vista 32-bit (x86)

Licencja: freeware do zastosowań niekomercyjnych

 

 

 

The Avenger - Narzędzie sterownikowe trybu kernel, dedykowane usuwaniu szczególnie opornych obiektów malware i rootkitów. Umożliwia szeroką pulę operacji zarówno na obiektach dyskowych jak i w rejestrze: kasowanie / podmiana plików, folderów, wartości oraz kluczy w rejestrze. Akcje te są wykonywane podczas resetowania komputera. Pomimo datowania programu na rok 2008 narzędzie jest nadal aktualne i używane na wspieranych platformach do usuwania infekcji.

Avenger jest programem skryptowym i do prowadzenia akcji wymaga wskazania pliku skryptu "TXT" z zestawem specyficznych komend. Za produkcję takich skryptów w oparciu o przedstawiane logi systemowe odpowiadają tutaj na forum Moderatorzy działu Malware.

 

Narzędzie jest niskopoziomowe i wykonuje silne instrukcje, dlatego nie powinno być stosowane całkowicie bezmyślnie przez użytkowników początkujących lub pseudo ekspertów do likwidowania plików czy wpisów rejestru, które nie wymagają wszczynania tak silnej procedury. To narzędzie w polskim klimacie dotknęła podobna choroba jak narzędzie ComboFix, zaczęto go używać do bzdur oraz absurdalnych zadań! Nieprawidłowe użycie programu grozi odcięciem dostępu do Windows i uszkodzeniami.

 

 

 

 

PODSTAWOWA OBSŁUGA PROGRAMU / OPIS OPCJI:

 

Uruchomienie programu podaje wstępny komunikat ostrzeżeniowy o braku 100% bezpieczeństwa stosowania:

 

 

Po zatwierdzeniu komunikatu załaduje się główne okno programu:

 

 

Opcje ładowania skryptu są trzy:

 

Load Script from File... - Wskazanie pliku skryptu (*.TXT) z dysku.

 

Load Script from Internet URL... - Wskazanie pliku skryptu (*.TXT) na serwerze. Wpisujemy URL (adres musi mieć prefiks http://).

 

Paste Script from Clipboard - Wklejenie ze schowka systemowego komend podanych na forum.

 

 

Te wszystkie opcje są dostępne też z menu Load Script:

 

 

 

 

1. Rzeczą podstawową jest wskazanie skryptu wykonującego zadania dezynfekcyjne. Skąd wziąźć skrypt? Każdy na forum go dostanie na podstawie przedstawionych logów. Po otrzymaniu takiego należy opcją kontekstową tła programu Paste przekleić go z posta na forum do okna.

 

2. Po wskazaniu skryptu (obojętną z wybranych metod) należy go uruchomić poprzez wybór opcji Execute. Pojawi się pytanie "czy na pewno chcecie tego dokonać" .... co zatwierdzacie. To właśnie w tym momencie Avenger tworzy swoją losową usługę i plik *.bat.

 

3. Otrzymacie kolejne okno potwierdzające ustawienie Avengera na resetowanie komputera z pytaniem o zatwierdzenie resetu ... co potwierdzacie a komputer się zresetuje.

 

4. W trakcie procesu resetowania zostaną wykonane wszelkie zadania kasacyjne zaprojektowane do wykonania w Avengerze. Na chwilę mignie czarne dosowe okno będące znakiem wykonywania się pliku *.bat.

 

5. Zostanie wygenerowany i auto-wyświetlony log przebiegu całości operacji. Zlokalizowany na dysku w postaci pliku C:\Avenger.txt. Log ten należy pokazać na forum. Przykładowy log:

 

Logfile of The Avenger Version 2.0, (c) by Swandog46

http://swandog46.geekstogo.com
 

Platform: Windows Vista
 

*******************
 

Script file opened successfully.

Script file read successfully.
 

Backups directory opened successfully at C:\Avenger
 

*******************
 

Beginning to process script file:
 

Rootkit scan active.

No rootkits found!
 

File move operation "C:\atapi.sys|C:\Windows\System32\drivers\atapi.sys" completed successfully.
 

Completed script processing.
 

*******************
 

Finished! Terminate.

 

Kasowane obiekty zostaną automatycznie zbackupowane przez plik zip.exe do pliku C:\Avenger\backup.zip. Tych kopii należy się po dezynfekcji pozbyć, jeśli zostanie stwierdzone że można to uczynić.

 

 

EKSPERT - BUDOWA SKRYPTÓW:

 

Szczegółowy opis jest zlokalizowany na stronie domowej programu w ustępie: Script Tutorial

[picasso]

 

BlitzBlank

 

Strona domowa

 

Platforma: Windows XP / Vista / Windows 7 / Windows 8 i platformy serwerowe 32-bit (x86) i 64-bit (x64)

Licencja: freeware

 

Aktualizacja: Narzędzie wycofane przez producenta, obecnie powyższa strona linkuje do Emsisoft Emergency Kit. Można je jednak nadal pobrać z serwisu BleepingComputer:

 

 

 

BlitzBlank - Twór znanej i cenionej firmy Emsisoft, narzędzie dedykowane zmaganiom z malware, gdy zawiodą standardowe metody. Alternatywa dla Avenger, ale z pełnym wsparciem dla nowych platform oraz częściową obsługą systemów 64-bit. Narzędzie ma podobną charakterystykę, tzn. wykorzystuje techniki niskopoziomowego dostępu i mechanizmy ochronne utrudniające nowym formom malware ominięcie instrukcji narzędzia. Zadania są wykonywane na etapie przed załadowaniem systemu Windows i wszystkich innych podpiętych programów. BlitzBlank umożliwia: usuwanie lub przenoszenie plików i folderów, usuwanie kluczy rejestru i wartości rejestru, wyłączenie sterowników, zaplanowanie wykonania dodatkowego zadania np. z zewnętrznego pliku BAT. Opcjonalnie usuwane klucze i wartości rejestru oraz wyłączane sterowniki mogą zostać przeniesione do kopii zapasowej. Narzędzie działa w oparciu o poinstruowanie przez skrypt. Skrypt można zaprojektować bezpośrednio w interfejsie narzędzia metodą WYSIWYG lub skonstruować go "z palca" i podać użytkownikowi do wklejenia. Do uruchomienia programu są wymagane uprawnienia administracyjne. Samo narzędzie nie wymaga instalacji, jest to pojedyncze małe EXE.

 

BlitzBlank to narzędzie dla specjalistów, a jeśli ma z niego korzystać użytkownik początkujący, to tylko i wyłącznie z polecenia i pod okiem osoby wykwalifikowanej.

Nieprawidłowe użycie programu czy błąd wykonawczy grozi uszkodzeniem / destrukcją systemu operacyjnego.

 

Systemy 64-bit: BlitzBlank, choć uruchamia się na tych platformach, jest programem 32-bitowym. To oznacza limitowaną widzialność komponentów oraz problem z podpisem cyfrowym sterownika. Bez przeszkód wykona się usuwanie z katalogu emulacji SysWOW64 oraz innych stref poza obszarem katalogu natywnego system32.

 

 

 

 

PODSTAWOWA OBSŁUGA PROGRAMU / OPIS OPCJI:

 

1. Po uruchomieniu programu zgłasza się komunikat ostrzeżeniowy punktujący ogromną rozwagę w użytkowaniu:

 

 

2. Po zatwierdzeniu w/w komunikatu wita nas klasyczny Emsisoft-interfejs, podzielony na dwie główne karty służące projektowaniu skryptów. Przeciętnego użytkownika ten ustęp nie dotyczy. W dziale pomocy skrypty w postaci gotowej zostaną dostarczone każdemu z osobna.

 

Designer

 

 

Script

 

 

 

3. Jeśli o to poprosimy, należy przejść do karty Script i wkleić w oknie podane przez nas instrukcje i rozpocząć wykonywanie ich przez buttonik Execute Now. Narzędzie zgłosi dwa komunikaty, pierwszy pytający o potwierdzenie akcji, drugi zalecający zamknięcie wszelkich prac, gdyż zostanie wykonany restart. Po restarcie, w fazie inicjowania aplikacji natywnych takich jak checkdisk, pojawi się plansza wykonawcza skryptu, tu obraz z Windows 7:

 

 

Po pomyślnym ukończeniu operacji nastąpi zwyczajne zalogowanie do Windows. Narzędzie produkuje plik raportu C:\blitzblank.log, a jego zawartość jest lustrem tego co było widoczne podczas startu systemu:

 

BlitzBlank 1.0.0.29
 

File/Registry Modification Engine native application

MoveFileOnReboot: sourceFile = "\??\C:\malware.exe", destinationFile = "(null)", replaceWithDummy = 0

MoveDirectoryOnReboot: sourceDirectory = "\??\C:\Windows\SysWOW64\Malware", destinationDirectory = "(null)", replaceWithDummy = 0

 

 

EKSPERT - BUDOWA SKRYPTÓW:

 

Zbiór obsługiwanych komend był wcześniej zlokalizowany na stronie domowej programu w ustępie Script Support. Obecnie kopia tej listy jest na stronie BleepingComputer.