Пакет для удаления вредоносных программ Malware Removal Starter Kit

Планирование мер реагирования

Опубликовано 10 июля 2007

Планирование реагирования нельзя считать полным, пока вы не приготовитесь к худшему. Если все ваши средства защиты подвержены риску атак, нужно быть уверенным, что ваши сотрудники знают, что делать. В случае серьезной атаки способность быстрого реагирования играет очень важную роль.

При планировании реагирования важно отдавать себе отчет, что чрезмерная реакция на действия вредоносной программы может привести почти к тем же разрушениям, что и в результате реального вторжения. Планирование должно предусматривать быстрое реагирование, но с учетом того, чтобы свести к минимуму влияние на работу сотрудников.

На этой странице

Создание плана реагирования на происшествия Подготовка пакета для выполнения проверки в автономном режиме

Создание плана реагирования на происшествия

Создание плана реагирования на происшествия, описывающего порядок действий в организации при подозрении на присутствие вредоносной программы, является важным подготовительным этапом. Этот план должен предусматривать обучение всех сотрудников, чьи компьютеры могут быть подвержены атакам, необходимым действиям в случаях вторжения вредоносной программы. Целью такого плана должно быть сведение к минимуму воздействия атаки и объявление документированных указаний по реагированию на происшествие, которым должны следовать сотрудники. Хорошо составленный план должен предусматривать управление последовательностью событий в стандартных случаях, примеры которых приведены ниже.

1. При появлении на экране компьютера каких-либо необычных признаков сотрудник обращается к внутреннему ресурсу поддержки.

2. Сотрудник внутреннего ресурса проверяет компьютер и звонит в службу поддержки.

3. Специалист техподдержки выполняет быструю диагностику и затем либо ликвидирует последствия, либо переустанавливает систему в зависимости от уровня угрозы.

Весь процесс может занять многие часы, поэтому следует составить план снижения риска дальнейшего распространения вредоносной программы, пока процесс реагирования не будет полностью завершен. Например, при начальном реагировании можно исключить возможность заражения других компьютеров, если сотрудник ресурса техподдержки после запуска антивирусного ПО на подозрительном компьютере отключит его от сети до прибытия специалиста техподдержки.

При планировании реагирования на происшествия необходимо рассматривать два типичных сценария.

• Отдельное заражение. Это наиболее распространенный сценарий, когда вредоносная программа заражает один компьютер.

• Массовое заражение. К счастью, это менее типичный сценарий. Массовое заражение может привести к серьезным нарушениям в работе организации. Как правило, этот сценарий применяется только после того, когда сотрудники сообщают о большом числе отдельных заражений с похожими симптомами.

План реагирования на происшествие может учитывать оба сценария, так как действия при массовом заражении являются продолжением действий при отдельном заражении. Обычно реагирование при эпидемии подразумевает временное изолирование сети организации, чтобы предотвратить дальнейшее распространение атаки и дать время сотрудникам поддержки на очистку зараженных компьютеров. В некоторых случаях, возможно, потребуется изменение настроек брандмауэра и маршрутизатора, прежде чем снова подключить к сети компьютеры организации. Это должен сделать администратор сети или лицо, выполняющее эту роль. Например, если для заражения компьютера вредоносная программа использует отельный сетевой порт, блокирование этого порта может предотвратить повторное заражение и в то же время позволяет другим компьютерам продолжить работу в сети.

Важно!

Если после применения пакета для очистки компьютера вредоносная программа продолжает себя обнаруживать, рекомендуется выключить компьютер и не использовать его в течение 5-10 рабочих дней, пока поставщик антивирусного ПО не выпустит обновление с учетом сигнатуры этого вируса. Затем можно использовать пакет для загрузки файлов с последними сигнатурами и более эффективно проверить компьютер для устранения данной конкретной угрозы.

Дополнительные сведения о том, как разработать и систематизировать план реагирования на происшествие, содержатся в следующих публикациях.

• Подробное руководство по защите от вирусов.

• Страница на Microsoft TechNet Принятие мер в связи с происшествиями в сфере безопасности ИТ.

• Глава 3, "Правила управления рисками безопасности" Руководства по безопасности Windows 2000 Server, только информация относительно реагирования на происшествие.

• Раздел Управление происшествиями в функциях управления службами среды Microsoft Operations Framework (MOF).

• Пакет ресурсов безопасности Windows, Microsoft Press, второе издание.

К началу страницы

Подготовка пакета для выполнения проверки в автономном режиме

Этот раздел содержит рекомендации, технические требования к поддержке, краткое описание задач и инструкции, которые можно использовать для подготовки пакета среды предустановки Windows (пакета Windows PE) Затем этот пакет можно использовать вместе со средствами, предназначенными для выявления вредоносного ПО на компьютерах организации в автономном режиме.

Пакет Windows PE содержит мощные средства для подготовки и установки операционных систем Windows. Windows PE позволяет запускать Windows со съемного диска, на котором находятся средства устранения неполадок в системе Windows на клиентском компьютере. Чтобы получить дополнительные сведения о Windows PE, загрузите Технический обзор среды предустановки Windows.

Неподдерживаемые средства и технологии

Пакет Windows PE не поддерживает следующие средства и технологии.

• Internet Explorer® 7.

• Приложения, использующие установщик Windows (файлы MSI).

Обязательные требования

Для подготовки пакета Windows PE требуются следующие средства и операционные системы.

• Windows Vista® или Windows® XP с пакетом обновлений 2 (SP2).

• Устройство записи DVD и программа записи компакт-дисков.

• 992 МБ свободного пространства на жестком диске компьютера для загрузки файла IMG пакета Windows PE.

  Примечание.

  Дополнительно на диске C компьютера требуется 800 МБ пространства для загрузочного образа при использовании для пакета сценария по умолчанию.

• Microsoft .NET Framework версии 2.0 и MSXML для запуска установщика Windows.

Средства, соответствующие перечисленным требованиям, можно найти на следующих ресурсах.

• Распространяемый пакет Microsoft .NET Framework версии 2.0 (x86).

• Основные службы XML (MSXML) 6.0.

Дополнительные сведения о требованиях к 32- и 64-разрядным системам см. в следующих разделах:

• Обзор среды предустановки Windows.

Обзор задач

Чтобы подготовить пакет Malware Removal Starter Kit для проверки в автономном режиме, выполните следующие задачи.

• Задача 1. Установите пакет автоматической установки Windows (AIK)

• Задача 2. Загрузите средства и служебные программы обнаружения вредоносных программ

• Задача 3. Создайте компакт-диск с пакетом Malware Removal Starter Kit

• Задача 4. Используйте пакет Malware Removal Starter Kit для проверки компьютера

Задача 1. Установите пакет автоматической установки Windows

Чтобы выполнить первую задачу, приобретите пакет автоматической установки Windows. Этот пакет включает Windows PE и другие файлы, которые нужно установить на компьютер. По умолчанию пакет устанавливается как файл образа (IMG) на любом указанном системном диске.

Примечание.

Пакет автоматической установки поддерживает Windows Vista и Windows XP SP2.

Установка пакета автоматической установки на компьютер.

1. Загрузите пакет AIK на странице Пакет автоматической установки Windows (AIK) центра загрузки Майкрософт.

   Примечание.

   Размер файла IMG пакета AIK – 992 МБ. По этой причине загрузка файла может занять продолжительное время, в зависимости от скорости соединения с центром загрузок Майкрософт.

2. Запишите файл IMG пакета AIK на диск DVD.

   Примечание.

   Если используемая программа записи DVD не распознает файл IMG, в диалоговом окне загрузки Сохранить как откройте раскрывающийся список Тип файла измените параметр типа файла на Все файлы, а расширение имени файла .img измените на .iso и затем повторите запись DVD-диска.

3. На созданном диске DVD AIK дважды щелкните файл установки StartCD.exe, чтобы установить пакет AIK на компьютер.

Задача 2. Загрузите средства и служебные программы обнаружения вредоносных программ

Нужно указать средства, которые будут использоваться с пакетом Windows PE для обнаружения вредоносных программ на компьютере. Windows PE не поддерживает средства, которые используют для установки на компьютер пакеты MSI. Кроме того, выбор инструментов проверки может ограничиваться объемом оперативной памяти на компьютере.

Существует несколько бесплатных инструментов противодействия вредоносным программам, которые не требуют установки и запускаются как файл программы в среде Windows PE. Также эти средства можно запустить с устройства USB.

Загрузите средства обнаружения вредоносных программ, которые нужно использовать, во временную папку на компьютере.

Важно!

Для запуска некоторых инструментов противодействия вредоносным программам требуется сетевой доступ. Поэтому при использовании описываемого способа создания компакт-диска с пакетом Malware Removal Starter Kit применяйте только те средства противодействия вредоносным программам, которые поддерживают автономный режим. Рекомендуется прочитать инструкции по установке для всех используемых инструментов проверки в автономном режиме. Некоторые средства поддерживают не все операционные системы Windows.

Ко времени написания данного руководства были доступны следующие средства, совместимые с пакетом Windows PE на компьютере, работающем под управлением Windows XP с пакетом обновления 2 (SP2) или Windows Vista.

• avast! Virus Cleaner, продукт компании Alwil Software. Этот инструмент можно использовать в автономном режиме. Файлы с описаниями вирусов для этого инструмента будут соответствовать списку на момент загрузки.

• McAfee AVERT Stinger, автономная программа обнаружения вирусов, выпускаемая компанией McAfee. Этот инструмент можно использовать в автономном режиме. Файлы с описаниями вирусов для этого инструмента будут соответствовать списку на момент загрузки.

• Средство удаления вредоносных программ Windows, продукт корпорации Майкрософт. Этот инструмент можно использовать в автономном режиме. Файлы с описаниями вирусов для этого инструмента будут соответствовать списку на момент загрузки.

• Spybot - Search & Destroy, продукт компании Spybot Search and Destroy.

  Примечание.

  Чтобы использовать этот инструмент, его необходимо установить на компьютер, который требуется проверить, и затем загрузить с веб-узла компании Spybot последнее обновление файлов с описаниями вирусов. После установки этот инструмент по умолчанию запускается из каталога X:\Program Files\Spybot – Search & Destroy\spybotsd, если при установке не был указан другой путь. Файлы с описаниями вирусов для этого инструмента будут соответствовать списку на момент загрузки. Дополнительные сведения об использовании этого инструмента см. на странице Учебник веб-узла Spybot.

Следующие служебные программы предназначены для управления компьютером во время удаления с него вредоносных программ.

• Drive Manager, эта программа доступна на веб-узле Бесплатные служебные программы Алекса Нолана. Этот инструмент определяет различные типы носителей, такие как жесткий диск, компакт-диски и DVD, сетевые диски и проверяет их свойства для анализа. Этот инструмент можно использовать в автономном режиме.

• System Spec – эта программа, доступная на веб-узле Бесплатные служебные программы Алекса Нолана, предоставляет сведения об аппаратных средствах, установленных на компьютер. Этот инструмент может быть полезен, когда необходимо получить подробные сведения об оборудовании во время технического обслуживания компьютера. Этот инструмент можно использовать в автономном режиме.

Задача 3. Создайте компакт-диск с пакетом Malware Removal Starter Kit

Чтобы создать компакт-диск с пакетом Malware Removal Starter Kit, необходимо выполнить следующие действия: создать для этого пакета образ Windows PE, изменить базовый образ Windows PE, добавив к нему средства, изменить размер кэша диска, чтоб обеспечить дополнительное место для оперативной памяти, и затем собрать файл образа ISO, чтобы записать измененный образ на компакт-диск. Периодически потребуется загружать последние обновления сигнатур вирусов, чтобы, насколько возможно, обеспечить максимальную эффективность работы инструментов проверки на компакт-диске при использовании их для обнаружения вредоносных программ в автономном режиме.

Важно!

После начала создания образа Windows PE необходимо выполнить все шаги в этой задаче без перерыва. Если все средства, которые планируется использовать, уже загружены, процесс создания компакт-диска занимает около 30 минут, в зависимости от производительности системы и при условии, что описанная последовательность шагов в этой задаче точно выполняется. Чтобы выполнить эту процедуру, требуется около 800 МБ пространства на диске C. Убедитесь, что обновлены все необходимые ссылки с буквой диска.

Создание компакт-диск с пакетом Malware Removal Starter Kit.

1. Войдите в систему как администратор, нажмите кнопку Пуск, Все программы, выберите Microsoft Windows AIK и затем – Утилиты командной строки Windows PE.

   Примечание.

   Этот шаг выполняется в Windows XP. Если компьютер работает под управлением Windows Vista, щелкните правой кнопкой Утилиты командной строки Windows PE, выберите Запуск от имени администратора, а затем – Продолжить.

2. В командной строке введите следующую команду и нажмите клавишу ВВОД, чтобы создать копию образа x86 пакета Windows PE и рабочий каталог на компьютере:

   copype x86 c:\WinPE

3. В командной строке в новом каталоге c:\WinPE введите следующую команду и нажмите клавишу ВВОД, чтобы подключить образ WinPE.wim и иметь возможность его изменить:

   imagex /mountrw winpe.wim 1 c:\WinPE\Mount

4. В командной строке введите следующую команду и нажмите клавишу ВВОД, чтобы обратиться к следующему подразделу реестра:

   reg load HKLM\_WinPE_SYSTEM c:\WinPE\Mount\windows\system32\config\system

5. В командной строке введите следующую команду и нажмите клавишу ВВОД, чтобы создать на диске кэш оперативной памяти 96 МБ:

   reg add HKLM\_WinPE_SYSTEM\ControlSet001\Services\FBWF /v WinPECacheThreshold /t REG_DWORD /d 96 /f

6. В командной строке введите следующую команду и нажмите клавишу ВВОД, чтобы выйти из этого подраздела реестра:

   reg unload HKLM\_WinPE_SYSTEM

7. Создайте каталог для инструментов обнаружения вредоносных программ в папке Mount (для этого каталога можно использовать, например, имя Tools).

   mkdir c:\WinPE\mount\Tools

8. Скопируйте файлы инструментов, которые были загружены в задаче 2, в только что созданный каталог Tools. Пример:

   copy <каталог_инструментов_задача_2> c:\WinPE\mount\Tools.

9. В командной строке введите следующую команду, нажмите клавишу ВВОД и затем введите Yes и нажмите снова клавишу ВВОД, чтобы продолжить процесс:

   peimg /prep c:\WinPE\Mount

10. В командной строке введите следующую команду и нажмите клавишу ВВОД, чтобы сохранить изменения:

    imagex /unmount c:\WinPE\Mount /commit

11. В командной строке скопируйте следующую команду, нажмите клавишу ВВОД и затем введите Yes, чтобы перезаписать существующий файл:

    copy c:\WinPE\WinPE.wim c:\winpe\ISO\sources\boot.wim

12. В командной строке введите следующую команду и затем нажмите клавишу ВВОД, чтобы создать файл ISO образа Windows PE:

    oscdimg -n -bc:\WinPE\etfsboot.com c:\WinPE\ISO c:\WinPE\WinPE_Tools.iso

13. Запишите на компакт-диск файл ISO, расположенный в c:\WinPE\WinPE_Tools.iso, и проверьте, что образ Windows PE правильно запускает все средства обнаружения вредоносных программ.

    Примечание.

    Чтобы протестировать образ, можно также использовать среду Microsoft Virtual PC 2007.

Компакт-диск с пакетом Malware Removal Starter Kit готов к использованию. Если требуется более часто обновлять сигнатуры вирусов для имеющейся среды, рекомендуется выполнить сборку выбранных инструментов проверки на устройстве USB, чтобы загружать последние обновления.

Задача 4. Используйте пакет Malware Removal Starter Kit для проверки компьютера

Теперь можно использовать образ Windows PE и выбранные средства для проверки компьютера и обнаружения вредоносных программ.

Использование компакт-диска Windows PE и инструментов для проверки компьютера.

1. Поместите компакт-диск в устройство чтения компакт-дисков или DVD-дисков в компьютере и затем укажите его в качестве первого устройства для загрузки компьютера.

   Альтернатива: вставьте устройство USB в слот компьютера и затем укажите его в качестве первого устройства для загрузки компьютера.

   Примечание.

   Дополнительные сведения о запуске компьютера с загрузочного компакт-диска Windows PE см. раздел Обзор среды предустановки Windows на веб-узле Microsoft.com. Этот ресурс содержит сведения о конфигурации в BIOS порядка загрузки компьютера и других настройках BIOS, с помощью которых можно изменить порядок загрузки с устройства чтения компакт-дисков.

2. Запустите выбранные средства обнаружения вредоносных программ. Если для сборки образа Windows PE использовались настройки задачи 3 по умолчанию, средства будут находиться в папке X:\Tools. Перечисленные средства можно запустить, введя имя файла программы для каждого инструмента в командной строке.

   Альтернатива: если используется устройство USB (чтобы иметь возможность обновления инструментов и сигнатур вирусов), а буква диска, используемая устройством USB, неизвестна, эту букву диска можно определить с помощью служебной программы Drive Manager, расположенной в каталоге X:\Tools.

   Примечание.

   Чтобы запустить программу Spybot, обратитесь к инструкции по установке Spybot и убедитесь, что файл программы определения запускается после установки этого инструмента на компьютер.

Внимание!

Выполнение инструментов обнаружения вредоносных программ на зараженном компьютере может препятствовать нормальному запуску системы. Если вредоносной программой заражены основные загрузочные файлы, процесс очистки может остановить работу операционной системы. Поэтому следует регулярно выполнять резервное копирование всех важных файлов данных на компьютере. Кроме того, после восстановления этих файлов из резервной копии рекомендуется повторно проверить компьютер на присутствие любых вредоносных программ, которые могли сохраниться в резервных копиях файлов.

Загрузка

Получить Malware Removal Starter Kit

Уведомления об обновлениях

Подписка на уведомления об обновлениях и новых выпусках

Обратная связь

Отправить замечания или предложения

К началу страницы