Disassembler

Artificial intelligence is no match for natural stupidity.
23prosinec2011

Nedobrovolný test antivirů


Jednoho krásného dne jsem u sebe na „herním“ PC objevil breberku. Vydávala se za ping.exe a nedělalo jí problém vytížit více jak polovinu procesorových jader na 100%. Normálně žádný antivir nepoužívám a posledních pět let jsem byl úspěšně chráněn zdravým selským rozumem, takže přišla nezvána a ještě k tomu bez varování.

Z bláta do louže


Ne že bych antivir vyloženě nechtěl. Spíše se mi nepodařilo najít takový, který by mi vyhovoval. Antiviry jsou buď rychlé, ale méně účinné, anebo účinnější, ale pomalé jak šnek (a pak je tu ještě AVG, které snoubí oboje dohromady - je pomalé a úplně na prd). Jelikož často pracuji s velkým množstvím souborů, je pro mě utrpení čekat, než se rezidentní modul uráčí mi každý z těch několika desítek tisíc souborů oskenovat a pustit dál a stejně tak mě moc netěší, když je antivirus schopen opakovaně natahovat spuštění aplikace o desítky sekund jen proto, aby zjistil, že ten exáč, s tím samým kontrolním součtem, co už padesátkrát testoval, se fakt nezměnil a z heuristiky fakt nic nového nevypadne. Jelikož ale dlouhá léta doporučuju lidem NOD32, se kterým jsem měl jen ty nejlepší zkušenosti, řekl jsem si, že po pár pokusech na vlastní pěst začnu právě u něj.

Vlastní pěst


Na vrabce není hned potřeba kanón, takže jsem začal hezky po svém - CCleanerem vysypat všechen nepořádek z dočasných umístění a pak se porozhlédnout po standardních „nenápadných“ umístěních typu C:\Temp, C:\Windows\Temp, %LocalAppData%\Temp a tak. Nějaké potvůrky tam byly, takže pryč s nimi. V druhém kroku jsem si na pomoc zavolal úžasnou a nepostradatelnou utilitku Autoruns od Sysinternals. Díky té jsem sice vyházel spoustu nepotřebného balastu (naplánované aktualizace Google Chrome, shell extenze MS Groove a Sharepointu atd.), ale závadného nic. U několika služeb jsem si sice nebyl jist, ale řekl jsem si, že pokud bych je mohl jednouše vygumovat já ručně, tak antivir s aktualizovanou virovou databází to bude umět ještě spolehlivěji. Výše zmíněný NOD32 před nedávnem vyšel ve verzi 5, tak proč jej tedy nevyzkoušet.

Nemocnice na okraji disku


Okno NODu32 oznamující nález infiltrace
Okno NODu32 oznamující nález infiltrace

Stáhl jsem si tedy trial verzi, nainstaloval a.. nenainstaloval, protože těsně před koncem mi byla instalace pod rukama rollbacknuta. Jelikož postižená instalace Windows 7 je již celkem stará, bylo docela možné, že už na ní předtím nějaký NOD byl a něco nekompatibilního tam po sobě zanechal. Vyčistil jsem tedy všechna doporučená umístění

HKCU\Software\ESET
HKLM\Software\ESET
C:\Program Files\ESET
C:\ProgramData\ESET

restartoval, a jal se instalaci opakovat. Ani podruhé však neprošla. Ze zvědavosti jsem zkusil NOD nainstalovat na laptopu. Tam instalace samozřejmě prošla bez problémů. Z chování instalátoru jsem usoudil, že breberka nebude jen tak obyčejné ořezávátko, ale bude se jednat o nějaký aktivně se bránící rootkit. Zkusil jsem tedy jít o verzi níž, na NOD32 4. Jelikož si je čtverka s pětkou dost podobné, co se týká integrace do systému, změnu k lepšímu jsem nepředpokládal, takže mě ani nepřekvapilo, že instalace čtyřky dopadla stejně špatně. Zkusil jsem tedy jít ještě níž a nainstaloval 2.7. U té instalace sice prošla, ale protože ESET s vydáváním aktualizací pro 2.x skončil před docela nezanedbatelnou dobou, nedělal jsem si naděje, že by sken našel něco převratného. Nemýlil jsem se.

Úzkospektrá antibiotika


Mezitím jsem na druhém počítači zkusil zjistit, kde jsem k nákaze přišel a jak se ta potvora jmenuje. Funkční instalace NODu na nenakaženém počítači mi prozradila, že podle ESETí databáze mám čest s Kryptik.FM. Popis by seděl, takže nebyl důvod NODu nevěřit. Škoda jen, že na 85% skenování disku skener zatuhl, zobrazil 0% progressu a začal se tvářit, že umřel. Už jsem ale věděl, proti čemu stojím a to mi zatím stačilo. Obvykle totiž na různou obtížnější havěť existují cílené removal tooly. Ne však v tomto případě. Kryptik existuje v nepřeberném množství mutací, takže jediné, co se dalo najít, byly sáhodlouhé seznamy souborů a registrů s náhodně generovanými jmény. Na jednom webu jsem našel nějaký freewarový generický odstraňovač Kryptiků, ale když jsem viděl, že si hodlá stahovat 250MB aktualizaci znalostní báze, raději jsem sken ani nepouštěl.

Esence bezpečnosti


MSSE vám o nezvaném hostu řekne více
MSSE vám o nezvaném hostu řekne více

Další v pořadí antivirů, o kterém vím, že má slušný poměr rychlost/efektivita, byl Microsoftí Security Essentials. Když Microsoft přišel s první verzí tohoto nástroje, kolovala spousta vtipů na téma „Vy máte antivir od Microsoftu? Jo, to my taky žádný nemáme“. Od té doby se ale mnohé změnilo a z úplně neschopného rezidentního nástroje je docela účinný zachytávač infiltrací. Ihned po instalaci a stažení aktualizací na mě vyběhl s tím, že našel čtyři závadné soubory. Jeden z nich byl sice falešný poplach, ale pořád lepší než nic. Řekl jsem mu tedy, ať ten nesprávně označený povolí a ostatní, o kterých tvrdil, že se jedná o nástroje vyčmuchávající hesla a přesměrovávající TCP/IP přenosy, smaže. Udělal, jak mu bylo přikázáno, a požádal mě o restart počítače. Vyhověl jsem mu. Po restartu mi vesele hlásil, že našel další dvě infiltrace, shodou okolností úplně stejné jako předtím. I tentokrát jejich vymazání bylo podmíněno restartem. Potřetí už jsem milému MSSE ukázal vztyčený prostředníček a odinstalovávací tlačítko. Musím mu ale k dobru přičíst, že má alespoň velmi jednoduché a blbuvzdorné GUI a že vám o nalezené infiltraci i něco řekne a nejlepší léčbu pouze vybere a její samotné zahájení nechá na vás.

Numero uno


Kouknul jsem na AV-Comparatives, jaký antivir je podle nich nejspolihlevjší. Z ani ne měsíc starého reportu vyplynulo, že nejlépe si vede Bitdefender. Mimo tento fakt jsem také zjistil, že mnou oblibovaný NOD32 je na tom v účinnosti odstraňování hůře než MSSE, což mě trochu zarazilo. Je tedy čas na změnu. Stáhl jsem si trial verzi Bitdefender Antivirus Plus 2012 a zkusím, jestli AV-Comparatives nekecají. Instalace Bitdefenderu ale byla nějak moc zdlouhavá. Nejsem příznivce vlastních úžasných übercool přeplácaných GUI (tedy takových bez jakých se dnešní antiviry prostě neobejdou), takže jsem nevalnou rychlost a rozežranost napřed přikládal právě jemu. Jaké však bylo moje překvapení, když na mě v systray vesele vyskočila bublinka hlásající, že aktualizace systému Windows byly nainstalovány. Nojo, MSSE vám sice dá na výběr, co chcete udělat s infiltrací, ale aktualizace vám nastaví na automatickou instalaci a ani se nezmíní. A když se vám instaluje 350MB update Visual Studia, tak holt ty další instalace prostě nějak nejdou, no. Po „deoptimazaci“ zabezpečení systému tedy konečně může začít další sken. Akorát ten všivej ping.exe se pořád vrací a žere výkon. Naštěstí utilitky od kluků ze Sysinternals umí opravdu zázraky a tak můžu v Process Exploreru záškodnický proces suspendnout, takže mi nebude dál dělat škodu, ale zároveň se nebude spawnovat znovu a znovu.

It's not a bug, it's a feature


Bitdefenderův Rescue Mode
Bitdefenderův Rescue Mode

Můj systémový disk má kapacitu pouhých 250 GB, takž předpokládám, že sken Bitdefenderu nezabere nijak závratně dlouho. Jsem příjemně překvapen, když mi oznámí, že za hodinu a půl bude doskenováno. Po pěti a půl hodinách, když sken konečně skončil, mi bylo oznámeno, že se na mém systému nachází rovných 99 nakažených souborů. Detailní průzkum odhalil, že se ve skutečnosti jedná 98krát o tentýž soubor, který je vždy po smazání virem obnoven, a jeden, který je virus sám. Tedy prakticky totožný výsledek jako u MSSE, jen jsem si na něj musel počkat o pět hodin déle. Výborně, zkusíme tedy, zda Bitdefender dokáže záškodníka vyhnat. Ve výběru akcí, které je možno s odhalenými breberkami provést, je mimo uložení do karantény a smazání ještě všeříkající možnost „take proper actions“. Co tahle možnost dělá, vám ale předem nikdo neřekne, takže si se svými soubory můžete zahrát ruskou ruletu. Po provedení proper actions Bitdefender ještě jednou zkontroluje, jestli je vše v pořádku. Odhadovaný čas druhé kontroly: 13 minut. Po ukončení kontroly, tedy o další dvě a půl hodiny později, mi bylo řečeno, že mám smůlu, a že bez použití "Rescue Mode" se té potvory nezbavím. Dobře tedy. Bitdefender mi poslal počítač do restartu a nastartoval Rescue Mode - tj. miniaturní linux-based konzolku s antivirovým jádrem. To už vypadalo slibně, protože pokud je rootkit nějakým způsobem zahlodán v instalaci Windows, tohle jej určitě vyžene. Jo, vyhnalo. Ale že bych z toho byl dvakrát nadšen, to zrovna ne. Tak nějak mě ta BSOD hlásající

STOP: c0000135 The program can’t start because %hs is missing from your computer.
Try reinstalling the program to fix this problem.

radostí nenaplňovala. Nemusím asi říkat, že Windowsovské obnovení ani ruční dokopírování smazané knihovny ze zdravého systému problém nevyřešilo. Díky Bitdefendere. Za osm hodin jsi dokázal to, co bych manuálně zvládl za... hm... tři minuty?

Rozuzlení


Naštěstí se nejednalo o produkční systém. Jediná data, o která jsem mohl přijít, byly uložené pozice v asi třech hrách, které jsem měl v té době rozehrané. Ó hrůzo. Po dni stráveném odčervováním s nepříliš valným výsledkem, jsem se tedy rozhodl systém konečně přeinstalovat. Lenošnej se nejvíc nadře. Místo dvou hodin přeinstalovávání systému a aplikací jsem strávil dvanáct hodin nějakými pochybnými akcemi jen proto, abych přeinstalovávat nemusel, a nakonec jsem stejně musel. A to se vyplatí! A když už jsem chtěl nový systém, řekl jsem si, že si udělám radost, když jsou ty vánoce, a nadělil jsem si místo starého a pomalého HDD nové a rychlé SSD Kingston 120GB HyperX, a když už jsem byl u těch moderních technologických vymožeností, Windows jsem na něj nainstaloval s podporou UEFI. Antiviry nadále používat nehodlám ani jako prevenci (Profesionála i milisekundy zdržují ;) ) ani jako on-demand skenr, protože když už se mi do počítače dostane svinstvo, které nedovedu odstranit ručně, nedovede jej, jak jsem se přesvědčil, odstranit ani antivirový nástroj. Nejspolehlivějším antivirem se v mém nedobrovolném testu tedy stala kombinace zdravého selského rozumu a důkladného zálohování. A i kdybych měl přeinstalovávat jednou za půl roku, pořád mi to vyjde časově i finančně lépe. Ostatním stále doporučuji NOD32. Pokud se tedy zrovna nezasukuje, je jako rezidentní ochránce jeden z nejrychlejších a z toho, že se proti němu moje nákaza aktivně bránila, usuzuji, že se jej bála a že by ji asi byl schopen úspěšně odstranit.