SDA
02.04.2005, 23:28
Я приведу слова одного известного эксперта в области компьютерных вирусов: "Даже если вы будете обновлять антивирусные базы ежечасно, вы все равно находитесь под угрозой заражения!". Антивирус должен быть установлен обязательно, а еще лучше, если он будет работать в паре с файерволлом. Но все же лишние знания еще ни кому не повредили, к тому же у антивирусов тоже бывают осечки.
Тактика и стратегия вирусов
Предположим, что вы стали жертвой вируса, то есть запустили его. Первым делом, этот паразит пытается себя размножить – сделать множество копий, заразить своим телом большое количество файлов или разослать свои копии пользователям из вашей адресной книги и т.п., что, несомненно, приводит к потери производительности компьютера.
Главная цель любой зловредной программы, будь то троянский конь или вирус – убедить пользователя запустить себя! Пока вы этого не сделаете, вирус не причинит никакого вреда, разве что займет драгоценные килобайты на вашем винчестере Собственно разработчики вирусов ставят перед собой две цели: 1) Реализовать поставленные задачи, используя минимум кода с минимумом ошибок 2) Постараться замаскировать вирус так, чтобы пользователь с радостью запустил его Для реализации второй поставленной цели, используется маскировка вируса под игры, изображения, порнографию, прикольную анимацию и т.п.
К сожалению, не всегда очевидно, произошло заражение вирусом, или нет. Так что в оставшейся части статьи мы попытаемся определить, действительно ли система заражена, и я приведу несколько советов о том, как же все-таки "вылечить" компьютер, не используя антивирус.
Резидентная память
Вирусы, использующие резидентную память (резидентные вирусы) могут быть помещены и оставаться в оперативной памяти зараженной системы сразу после запуска. Резидентный вирус обычно состоит из двух частей - рабочей части и резидентной части. Резидентная часть постоянно находится в оперативной памяти и при определенных действиях пользователя, запускает рабочую часть вируса, которая в свою очередь совершает вредные деяния.
Чтобы выяснить, находится ли резидентная часть вируса в памяти компьютера, вам нужно воспользоваться такой системной утилитой, как Task Manager (Менеджер Задач) в NT-подобных системах. В Windows 9x вы можете нажать CTRL+ALT+DEL, после чего появится окно, содержащее все активные процессы в памяти. Теперь у вас есть полная картина всех запущенных процессов и вам остается только проверить, есть ли среди них вирус.
Это сложно и в тоже время опасно. Завершение резидентной программы, которую использует система, может привести к нежелательным результатам, таким как вывод Синего Экрана Смерти (Blue Screen of Death) или перезагрузка системы. Желательно проверить, является ли конкретная резидентная программа чужеродной или нет. Вы можете просмотреть help/manual по вашей операционной системе или поискать эту программу в интернете, используя поисковые машины. Если поиск не дал результатов, или не выявил отношение процесса к какой-либо зловредной программе, то его лучше не трогать.
Подмена имени процесса (Spoofed Process Names)
У современных вирусов появилась тенденция использовать имена процессов, которые очень похожи на реальные процессы. Например, WSOCK32.DLL и WSOCK33.DLL - с виду очень похожи, но первый – это обычный процесс в памяти, который отвечает за обработку библиотек сокетных функций, а второй – не что иное, как вирус. Другой пример – KERNE132.dll (заметьте, что буква L в KERNEL на самом деле цифра 1) можно спутать с KERNEL32.DLL. Иногда даже имена идентичны, но пути оказываются разными. KERNEL32.DLL всегда находится в директории \Windows\System32, но когда вы находите этот файл, скажем, в директории \Windows\System, это наводит на подозрении о существовании вируса в вашей системе.
Есть еще способы, чтобы подтвердить инфекцию. Например, вы можете проверить, находится ли недавно запущенная и уже завершенная программа все еще в памяти. Если да, то в вашей системе, скорее всего, имеется зловредная программа.
Наконец, если после закрытия всех приложений и проверки использования памяти, вы обнаружите, что память используется, да еще и в больших количествах, то у вас это должно вызвать подозрение.
Получение контроля
До того, как вирус попадет в резидентную память, его нужно запустить. Первый запуск вируса – только начало. Зловредная программа использует другие средства, чтобы убедиться, что запуск вируса происходит, во время каждого старта системы. Разработчики вирусов не думают, что пользователь каждый раз при загрузке системы будет вручную запускать вирус. Поэтому в специальных местах оставляются ссылки на вирус, чтобы тот стартовал вместе с системой.
Есть множество мест, где вирус может использовать эту методику. Один из первых способов – было заражение командного интерпретатора, больше известного как command.com. После заражения этого файла, можно было со стопроцентной уверенностью сказать, что вирус будет стартовать каждый раз вместе с системой. Ссылки на вирус могут быть также оставлены в autoexec.bat или config.sys. Эти конфигурационные файлы используют как DOS, так и Windows.
Реестр
Современные вирусы, а точнее их создатели, нашли новое место, где очень удобно оставлять ссылки на вирус. Это место – Системный Реестр. Системный Реестр – склад настроек конфигурации системы, который также содержит ссылки на программы, которые должны запускаться при старте Windows. Это прекрасное место для вирусов и других паразитов.
Чтобы получить доступ к реестру, кликните "Пуск" -> "Выполнить" и около надписи "Открыть:" введите "Regedit" (без кавычек). Откроется редактор Реестра. Изменение или удаление некоторых записей в реестре может привести к неприятным последствиям. С того времени, как Реестр стал хранилищем настроек системы, незначительное изменение некоторых параметров может привести к серьезным последствиям: могут перестать загружаться какие-то программы.
В редакторе системного реестра, вы будете видеть ключи Системного Реестра в системе File/Folder. По этому адресу (\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cu rrentVersion) находится 3-6 папок, которые являются папками Автозагрузки:
"Run"
"RunOnce"
"RunOnce\Setup"
"RunOnceEx"
"RunServices"
"RunServicesOnce"
Как только система загрузится, Windows запустит все программы, находящиеся в этих папках. Те же 3-6 папок Автозапуска могут находиться по адресу: \HKEY_CURRENT_USER\Software\Microsoft\Windows\Curr entVersion
Вероятно, вам придется ознакомиться со всеми ключами реестра в данных папках. Количество ключей на каждой системе разное, но оно обычно пропорционально числу значков в Системном Трее. Системный Трей обычно находится в правом нижнем углу экрана, слева от системных часов.
Эти приложения – обычно исполняемые файлы, которые имеют расширение .EXE, что нам говорит о возможности посмотреть Свойства Файла, как у обычных исполняемых файлов Windows. Вы можете посмотреть свойства всех файлов, которые находятся в папках Автозагрузки в реестре, через любой менеджер файлов, например Windows Explorer. Посмотрите поля "Version" (версия), "Company" (компания) и "Product Version" (версия продукта). Программы, ссылки на которые в реестре не имеют полного пути, находятся в папках: Windows, Windows\System, или в Windows\System32. Имейте в виду, что у некоторых вирусов атрибут файла установлен как "Hidden" (скрытый). Если дело обстоит именно так, то вам нужно заставить Windows Explorer показывать скрытые файлы (Tools -> Folder Options, кликните по закладке "Вид", затем выберите "Показывать скрытые файлы и папки").
Если папка содержит файлы с подозрительными свойствами, например: название компании с грамматической ошибкой, это дает вам повод обратить внимание на этот файл и исследовать его. Проверьте документацию или обратитесь к услугам поисковой машины. Если подтвердилось, что этот файл содержит зловредный код, то вы смело можете начинать удалять ссылки на него. Дай-ка я еще разок напомню, что необдуманное удаление заведомо важных ключей реестра, может вызвать совершенно неожидаемые последствия. Перед удалением, еще раз проверьте, на самом ли деле эти ссылки ведут к файлам вируса.
Также желательно перед тем, как редактировать файлы реестра, сделать backup (резервную копию) той ветки, с которой вы собираетесь проводить какие-то действия. Делается это элементарно – кликайте мышкой (Реестр –> Экспорт файла реестра…). Все эти действия нужно производить в окне Редактора Реестра. Если вы обнаружили, что удалил нормальный ключ реестра, вместо ключа, который использует вирус, тогда вам просто остается восстановить данные из резервной копии, которую, я надеюсь, вы сделали.
Другие StartUp директории
Другие области, где можно найти автозапуск программ, находятся в файлах System.ini и Win.ini. Зловредные программы обычно изменяют эти файлы и добавляют ссылки на самих себя в секции "run=" или "load=". Эти файлы находятся в директории Windows (обычно C:\Windows).
Воспроизводя те же действия, что и с записями в реестре, вы можете удалять значения из AutoStart секций, но только после того, как убедитесь, что эти значения каким-то образом связаны с вирусом. Опять же, не забывайте сделать backup этих двух файлов до их редактирования!
"Пуск" > "Программы" > "Автозагрузка" - еще одно место, где есть ссылки на программы, которые будут загружаться вместе с системой. Не думаю, что операция "удаление" составит для вас большую проблему .
Макросы
Приложения для работы с текстом, электронными таблицами или с презентациями PowerPoint, часто уязвимы к макро вирусам. Вы можете обнаружить злонамеренные действия, путем проверки макросов внутри этих файлов. Для этого вам надо обратиться к "macros organizer" и проверять, есть ли какие-то неизвестные макросы внутри, затем нажмите ALT+F11. Однако некоторые макро вирусы имеют тенденцию скрывать себя, изменяя передний план/фон macro font дисплея или добавляя множество пробелов перед текстом, чтобы сделать его невидимым, для заданной по умолчанию области экрана просмотра.
И что теперь?
Теперь, когда вы удалили ссылки на подозрительные файлы, вы можете их отправить любой антивирусной компании, например Kaspersky Lab. Вирус нужно поместить в архив, присоединить его к письму и отправить на обследование (диспансеризация, блин ). В письме нужно попросить проанализировать код на присутствие зловредных функций. Через пару дней вы получите ответ. Он может быть как положительный, так и отрицательный.
Если вы два раза прочли статью и все еще боитесь вносить какие-либо изменения в реестр или другие конфигурационные файлы, то вам остается надеяться только на Антивирусное программное обеспечение.
Тактика и стратегия вирусов
Предположим, что вы стали жертвой вируса, то есть запустили его. Первым делом, этот паразит пытается себя размножить – сделать множество копий, заразить своим телом большое количество файлов или разослать свои копии пользователям из вашей адресной книги и т.п., что, несомненно, приводит к потери производительности компьютера.
Главная цель любой зловредной программы, будь то троянский конь или вирус – убедить пользователя запустить себя! Пока вы этого не сделаете, вирус не причинит никакого вреда, разве что займет драгоценные килобайты на вашем винчестере Собственно разработчики вирусов ставят перед собой две цели: 1) Реализовать поставленные задачи, используя минимум кода с минимумом ошибок 2) Постараться замаскировать вирус так, чтобы пользователь с радостью запустил его Для реализации второй поставленной цели, используется маскировка вируса под игры, изображения, порнографию, прикольную анимацию и т.п.
К сожалению, не всегда очевидно, произошло заражение вирусом, или нет. Так что в оставшейся части статьи мы попытаемся определить, действительно ли система заражена, и я приведу несколько советов о том, как же все-таки "вылечить" компьютер, не используя антивирус.
Резидентная память
Вирусы, использующие резидентную память (резидентные вирусы) могут быть помещены и оставаться в оперативной памяти зараженной системы сразу после запуска. Резидентный вирус обычно состоит из двух частей - рабочей части и резидентной части. Резидентная часть постоянно находится в оперативной памяти и при определенных действиях пользователя, запускает рабочую часть вируса, которая в свою очередь совершает вредные деяния.
Чтобы выяснить, находится ли резидентная часть вируса в памяти компьютера, вам нужно воспользоваться такой системной утилитой, как Task Manager (Менеджер Задач) в NT-подобных системах. В Windows 9x вы можете нажать CTRL+ALT+DEL, после чего появится окно, содержащее все активные процессы в памяти. Теперь у вас есть полная картина всех запущенных процессов и вам остается только проверить, есть ли среди них вирус.
Это сложно и в тоже время опасно. Завершение резидентной программы, которую использует система, может привести к нежелательным результатам, таким как вывод Синего Экрана Смерти (Blue Screen of Death) или перезагрузка системы. Желательно проверить, является ли конкретная резидентная программа чужеродной или нет. Вы можете просмотреть help/manual по вашей операционной системе или поискать эту программу в интернете, используя поисковые машины. Если поиск не дал результатов, или не выявил отношение процесса к какой-либо зловредной программе, то его лучше не трогать.
Подмена имени процесса (Spoofed Process Names)
У современных вирусов появилась тенденция использовать имена процессов, которые очень похожи на реальные процессы. Например, WSOCK32.DLL и WSOCK33.DLL - с виду очень похожи, но первый – это обычный процесс в памяти, который отвечает за обработку библиотек сокетных функций, а второй – не что иное, как вирус. Другой пример – KERNE132.dll (заметьте, что буква L в KERNEL на самом деле цифра 1) можно спутать с KERNEL32.DLL. Иногда даже имена идентичны, но пути оказываются разными. KERNEL32.DLL всегда находится в директории \Windows\System32, но когда вы находите этот файл, скажем, в директории \Windows\System, это наводит на подозрении о существовании вируса в вашей системе.
Есть еще способы, чтобы подтвердить инфекцию. Например, вы можете проверить, находится ли недавно запущенная и уже завершенная программа все еще в памяти. Если да, то в вашей системе, скорее всего, имеется зловредная программа.
Наконец, если после закрытия всех приложений и проверки использования памяти, вы обнаружите, что память используется, да еще и в больших количествах, то у вас это должно вызвать подозрение.
Получение контроля
До того, как вирус попадет в резидентную память, его нужно запустить. Первый запуск вируса – только начало. Зловредная программа использует другие средства, чтобы убедиться, что запуск вируса происходит, во время каждого старта системы. Разработчики вирусов не думают, что пользователь каждый раз при загрузке системы будет вручную запускать вирус. Поэтому в специальных местах оставляются ссылки на вирус, чтобы тот стартовал вместе с системой.
Есть множество мест, где вирус может использовать эту методику. Один из первых способов – было заражение командного интерпретатора, больше известного как command.com. После заражения этого файла, можно было со стопроцентной уверенностью сказать, что вирус будет стартовать каждый раз вместе с системой. Ссылки на вирус могут быть также оставлены в autoexec.bat или config.sys. Эти конфигурационные файлы используют как DOS, так и Windows.
Реестр
Современные вирусы, а точнее их создатели, нашли новое место, где очень удобно оставлять ссылки на вирус. Это место – Системный Реестр. Системный Реестр – склад настроек конфигурации системы, который также содержит ссылки на программы, которые должны запускаться при старте Windows. Это прекрасное место для вирусов и других паразитов.
Чтобы получить доступ к реестру, кликните "Пуск" -> "Выполнить" и около надписи "Открыть:" введите "Regedit" (без кавычек). Откроется редактор Реестра. Изменение или удаление некоторых записей в реестре может привести к неприятным последствиям. С того времени, как Реестр стал хранилищем настроек системы, незначительное изменение некоторых параметров может привести к серьезным последствиям: могут перестать загружаться какие-то программы.
В редакторе системного реестра, вы будете видеть ключи Системного Реестра в системе File/Folder. По этому адресу (\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cu rrentVersion) находится 3-6 папок, которые являются папками Автозагрузки:
"Run"
"RunOnce"
"RunOnce\Setup"
"RunOnceEx"
"RunServices"
"RunServicesOnce"
Как только система загрузится, Windows запустит все программы, находящиеся в этих папках. Те же 3-6 папок Автозапуска могут находиться по адресу: \HKEY_CURRENT_USER\Software\Microsoft\Windows\Curr entVersion
Вероятно, вам придется ознакомиться со всеми ключами реестра в данных папках. Количество ключей на каждой системе разное, но оно обычно пропорционально числу значков в Системном Трее. Системный Трей обычно находится в правом нижнем углу экрана, слева от системных часов.
Эти приложения – обычно исполняемые файлы, которые имеют расширение .EXE, что нам говорит о возможности посмотреть Свойства Файла, как у обычных исполняемых файлов Windows. Вы можете посмотреть свойства всех файлов, которые находятся в папках Автозагрузки в реестре, через любой менеджер файлов, например Windows Explorer. Посмотрите поля "Version" (версия), "Company" (компания) и "Product Version" (версия продукта). Программы, ссылки на которые в реестре не имеют полного пути, находятся в папках: Windows, Windows\System, или в Windows\System32. Имейте в виду, что у некоторых вирусов атрибут файла установлен как "Hidden" (скрытый). Если дело обстоит именно так, то вам нужно заставить Windows Explorer показывать скрытые файлы (Tools -> Folder Options, кликните по закладке "Вид", затем выберите "Показывать скрытые файлы и папки").
Если папка содержит файлы с подозрительными свойствами, например: название компании с грамматической ошибкой, это дает вам повод обратить внимание на этот файл и исследовать его. Проверьте документацию или обратитесь к услугам поисковой машины. Если подтвердилось, что этот файл содержит зловредный код, то вы смело можете начинать удалять ссылки на него. Дай-ка я еще разок напомню, что необдуманное удаление заведомо важных ключей реестра, может вызвать совершенно неожидаемые последствия. Перед удалением, еще раз проверьте, на самом ли деле эти ссылки ведут к файлам вируса.
Также желательно перед тем, как редактировать файлы реестра, сделать backup (резервную копию) той ветки, с которой вы собираетесь проводить какие-то действия. Делается это элементарно – кликайте мышкой (Реестр –> Экспорт файла реестра…). Все эти действия нужно производить в окне Редактора Реестра. Если вы обнаружили, что удалил нормальный ключ реестра, вместо ключа, который использует вирус, тогда вам просто остается восстановить данные из резервной копии, которую, я надеюсь, вы сделали.
Другие StartUp директории
Другие области, где можно найти автозапуск программ, находятся в файлах System.ini и Win.ini. Зловредные программы обычно изменяют эти файлы и добавляют ссылки на самих себя в секции "run=" или "load=". Эти файлы находятся в директории Windows (обычно C:\Windows).
Воспроизводя те же действия, что и с записями в реестре, вы можете удалять значения из AutoStart секций, но только после того, как убедитесь, что эти значения каким-то образом связаны с вирусом. Опять же, не забывайте сделать backup этих двух файлов до их редактирования!
"Пуск" > "Программы" > "Автозагрузка" - еще одно место, где есть ссылки на программы, которые будут загружаться вместе с системой. Не думаю, что операция "удаление" составит для вас большую проблему .
Макросы
Приложения для работы с текстом, электронными таблицами или с презентациями PowerPoint, часто уязвимы к макро вирусам. Вы можете обнаружить злонамеренные действия, путем проверки макросов внутри этих файлов. Для этого вам надо обратиться к "macros organizer" и проверять, есть ли какие-то неизвестные макросы внутри, затем нажмите ALT+F11. Однако некоторые макро вирусы имеют тенденцию скрывать себя, изменяя передний план/фон macro font дисплея или добавляя множество пробелов перед текстом, чтобы сделать его невидимым, для заданной по умолчанию области экрана просмотра.
И что теперь?
Теперь, когда вы удалили ссылки на подозрительные файлы, вы можете их отправить любой антивирусной компании, например Kaspersky Lab. Вирус нужно поместить в архив, присоединить его к письму и отправить на обследование (диспансеризация, блин ). В письме нужно попросить проанализировать код на присутствие зловредных функций. Через пару дней вы получите ответ. Он может быть как положительный, так и отрицательный.
Если вы два раза прочли статью и все еще боитесь вносить какие-либо изменения в реестр или другие конфигурационные файлы, то вам остается надеяться только на Антивирусное программное обеспечение.