CIM- вирусы в Windows : методика и инструмент обнаружения

1. CIM-вирусы в Windows: методика и инструмент обнаружения А.В. Попов, Е.А. Шикин Мордовский госуниверситет, кафедра технологий программирования, Саранск, 2005 E-mail: wmi_popov@mail.ru «Технологии Microsoft в теории и практике программирования», Москва, 17-18 февраля 2005

2. План доклада • Стандартный механизм действия вирусов • Репозиторий CIM как универсальная объектно-ориентированная БД • Механизм действия CIM-вирусов • Пример CIM-вируса • Опасность CIM-вирусов • Утилита ScanCIM.hta • Заключение

3. Стандартный механизм действия вирусов • Запуск исполняемого кода (самим пользователем или через лазейку в ОС) • Сохранение вредоносного кода на диске: • отдельные файлы (исполняемые файлы, ресурсы или библиотеки, сценарии WSH) • Внедрение в офисныедокументы (макровирусы) • Модификация системного реестра: • ассоциации файлов (HKCR) • разделыавтоматическойзагрузки (HKLM\…\Run и RunOnce, HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon) • списокзапускаемыхслужб (HKLM\System\CurrentControlSet) • … • Вирус запускается при каждой загрузке системы или открытии документа

4. Общая схемаWMI УПРАВЛЯЕМЫЕ РЕСУРСЫ Системный реестр (Registry) Журнал событий (Event Log) ... Подсистема Win32 Registry API Event Log API Win32 API Провайдер реестра (Registry provider) Провайдер журнала событий (Event Log provider) Провайдер подсистемы Win32 (Win32 provider) ЯДРО WMI ... Репозиторий CIM (CIM repository) WMI API WMI API WMI API CIMOM(служба WMI) Библиотека поддержки сценариев WMI (WMI Scripting Library) WMI COM API WMI ODBC Adapter УПРАВЛЯЮЩИЕ ПРОГРАММЫ Сценарии WMI Приложения Win32 Приложения БД

5. Репозиторий CIM как универсальная объектно-ориентированная БД CIM–универсальное иерархическое хранилище классов и объектов модели компьютерной системы постоянные фильтры и потребители событий

6. Событие произошло? Обработка событий с помощью WMI Применение фильтра событий (WQL-запрос) Нет Да Запуск потребителя событий … LogFileEventConsumer Запись в текстовый файл ActiveScriptEventConsumer Запуск cценария WSH

7. Механизм действия CIM-вирусов • Запускается исполняемый код (самим пользователем или через лазейку в ОС) • Настраиваются постоянные фильтры и потребители событий WMI (WMI API, WMI Scripting Library или компиляция MOF-файла) • Вредоносный код помещается в репозиторий CIM • Вирус запускается при наступлении определенного системного события

8. Пример CIM-«вируса» Создание файла c:\klop.js с вредоносным кодом (LogFileEventConsumer) Инициирующее событие (Фильтр 1) Запуск сценария c:\klop.js (ActiveScriptEventConsumer) Появление файла c:\klop.js (Фильтр 2) Удаление файла c:\klop.js (ActiveScriptEventConsumer)

9. Опасность CIM-вирусов • Исполняемый код сценария хранится внутри репозитория CIM(антивирусным программам тяжело опознать деструктивный код) • Реестр и системные файлы не изменяются (нет признаков инфицированности) • В Windows отсутствует удобные стандартные средства для работы с репозиторием CIM

10. Утилита ScanCIM.hta

11. Заключение • Репозиторий CIM является потенциальной целью вирусов • CIM-вирусы тяжело обнаружить с помощью стандартных средств • Необходимы проверять, какие постоянные фильтры и потребители событий зарегистрированы на компьютерах • Желательно иметь в составе Windowsудобную утилиту для работы с репозиторием CIM