3

Я был на работе, мне позвонили в службу поддержки по поводу довольно серьезного заражения вредоносным ПО, и это заставило меня задуматься о своем собственном компьютере.

Я использую Windows 7 64-битный RC1 на своем повседневном ноутбуке. Я использую антивирус ESET NOD32, который постоянно обновляется. Я никогда не выключал UAC.

Я также специалист по компьютерам, поэтому у меня есть неплохая идея, когда НЕ нажимать OK в диалоговом окне Windows, которое выглядит мошенническим.

Все это говорит о том, что я думаю, что я чист, но я хотел быть уверенным, поэтому я загрузился в безопасном режиме, загрузил и сделал быстрое сканирование, используя рекомендованный инструмент защиты от вредоносных программ MalwareBytes tool. Он нашел только странную запись в реестре, которую я удалил. Проблем с файлами или папками обнаружено не было. Я перезагрузился, чтобы завершить очистку, как он просил. Я был удивлен этим, потому что все, что он сделал, это очистить запись реестра.

Ах, да ... еще одна вещь запустить профессиональную версию BillP Studio WinPatrol.

После обычной перезагрузки WinPatrol предупредил о новой программе MalwareBytes, которую я ожидал и разрешил. Но, к моему удивлению, он также заставил меня подтвердить установку / настройку userinit (я не помню, был ли это dll или exe), но информация о программе заключалась в том, что это файл, который представляет экран запуска Windows. Я позволил это, но это застало меня врасплох.

Одна последняя вещь. Я также попытался запустить средство обнаружения руткитов и IceSword, чтобы я мог выполнить сканирование руткитов на своем компьютере, и ни один из них не запустился, и я уверен, что это происходит потому, что я использую 64-разрядную ОС.

Итак, вот мои вопросы:

  1. Это нормально для userinit быть "переустановленным" или «re-init» после выполнения сканирования с помощью MalwareBytes? Если нет, почему было предложено разрешить разрешения для этого файла?

  2. Есть ли известный / рекомендуемый способ проверки руткитов в 64-битной системе Windows?

  3. Возможно ли, что на моей машине МЕНЬШЕ, вероятно, возникла проблема с руткитом, ПОТОМУ ЧТО я использую 64-битную ОС. Разве руткит не должен запускаться как 64-битный процесс, и разве не вероятно, что сейчас руткиты не будут записываться для целевой 64-битной системы, поскольку это меньшая целевая аудитория? Моя площадь риска на самом деле меньше?

Заранее спасибо.

Сет

3 ответа3

2

Sophos Anti-Rootkit утверждает, что может сканировать и удалять руткиты в 64-битной Windows 7.

0

Есть ли известный / рекомендуемый способ проверки руткитов в 64-битной системе Windows?

Есть только две программы, которым я доверяю:ComboFix и RegDelNull.

Однако я не уверен относительно поддержки 64-битной версии ComboFix. Но если вы создадите точку восстановления перед ее использованием, вы сможете использовать консоль восстановления для ее восстановления в случае, если что-то пойдет не так.

Но я чувствую необходимость сделать 2 очка здесь:

1. 64-битное увлечение
Мне еще предстоит понять, почему настаивает на использовании 64-битных версий ваших ОС. По всем практическим причинам в этом есть около 0 преимуществ. 64-разрядная ОС полезна только тогда, когда 64-разрядные приложения, использующие новые функции процессора и адресное пространство, становятся массовыми. Это не относится к делу. Очень немногие приложения являются истинными 64-битными, а те, что есть, - только по причинам совместимости. По большей части эти приложения не используют и не используют ни одну из этих функций. И затем, как вы видите, у вас возникают проблемы, когда вы пытаетесь получить специализированное программное обеспечение, которое может не работать под 64-битной версией.

2. методы
Нет четкого способа проверки руткитов. Даже combofix, безусловно, использует свою собственную методологию, которая позволит другим или более новым руткитам обойтись невредимым. Тем не менее, вашими предпочтительными инструментами всегда будут консоль восстановления или загрузка в безопасном режиме, где многие из этих руткитов не будут работать.

При этом некоторые брандмауэры предлагают защиту на системном уровне (я думаю, например, Comodo ), которая позволит вам видеть запросы на системном уровне, информирующие о многих изменениях, происходящих на вашем компьютере.

Кроме того, UAC должен быть включен на самом высоком уровне и работать с учетной записью без прав администратора. Это то, для чего был создан UAC, и больше нет никаких оправданий тому, чтобы не запускать наши машины с Windows под непривилегированной учетной записью. Никакой руткит никогда не сможет обойти то, что на самом деле означает, что вам не нужно беспокоиться о поиске их.

Возможно ли, что на моей машине МЕНЬШЕ, вероятно, возникла проблема с руткитом, ПОТОМУ ЧТО я использую 64-битную ОС. Разве руткит не должен запускаться как 64-битный процесс, и разве не вероятно, что сейчас руткиты не будут записываться для целевой 64-битной системы, поскольку это меньшая целевая аудитория? Моя площадь риска на самом деле меньше?

К сожалению нет. Как уже упоминалось, 64-битные системы позволяют запускать 32-битные приложения на любом уровне. Но внимание! Вы добавляете определенный уровень защиты, поскольку там могут быть руткиты, которые могут выйти из строя под 64-битной ОС по многим причинам; так же, как и многие другие 32-битные приложения, необъяснимым образом или нет, они также имеют тенденцию к сбою в 64-битных ОС. Руткиты не застрахованы от ошибок. Но это все.

Тем не менее, есть также возможность запуска определенных руткитов специально для 64-битных систем. Таким образом, вы действительно нигде не в безопасности.

0

Я регулярно использую combofix на 64-битной Vista. По моему опыту, 64-битная система использует преимущества системных операций независимо от того, работает приложение или нет. Хотя я не согласен с тем, что Vista 64 не содержит руткитов на 100%, получить руткиты на 64-битной ОС намного сложнее. Производителям аппаратного обеспечения все еще сложно создавать драйверы для 64-битных систем, я не думаю, что мы увидим слишком много 64-битных руткитов в течение некоторого времени. И если вам не нравится привыкание к 64-битной системе, нравится вам это или нет, то 4 ГБ оперативной памяти устареет. Когда это произойдет, потребуется 64 бита.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .