Как прячутся вирусы, и стоит ли их искать
Полностью уберечь свой компьютер от проникновения той или иной вредоносной программы удается немногим. И если вы не из их числа, то эта статья будет вам интересна. И, надеюсь, полезна.
Со времен первых персональных компьютеров до настоящего времени вирусные программы прошли длинный путь эволюции. Если 30 лет назад это были программы, целью которых являлось форматирование вашего жесткого диска или, к примеру, раскрытие информации базы данных больных СПИДом в США, то в наш век ситуация изменилась.
Теперь наиболее популярны вирусы, назначение которых - либо реклама товаров и услуг, либо «шпионская деятельность» с целью получения информации о паролях и вообще - любых персональных данных. Подводя итоги сказанного, можно смело резюмировать: основная цель современного вредоносного ПО – это разведка и реклама.
Заметен и серьезный прогресс вирусных программ в деле маскировки. И неудивительно, ведь это одно из ключевых условий выживания непрошеных гостей в недрах наших компьютеров.
Некоторые вирусы обретают невидимость просто. Они предотвращают свое обнаружение, перехватывают обращения системных программ к зараженным файлам и областям диска и выдают их в исходном (незараженном) виде. Если система периодически посылает вам уведомления об ошибках чтения (reading error), то знайте, не обошлось без «лукавого».
Другой способ, применяемый вирусами для того, чтобы спрятаться до лучших времен (когда у вас закончится действие ключа антивирусной программы) - модификация своего тела. Многие вирусы хранят большую часть своего тела в закодированном виде, чтобы с помощью идентификаторов нельзя было разобраться в механизме их работы. Наравне с тем, они могут менять и имена файлов – носителей вирусов. Если замечаете системные, на вид, файлы, которые то появляются, то исчезают, то – делайте выводы...
Самый простой способ маскировки вирусов – прятаться в скрытых файлах и папках. Вот там-то их и можно поискать в первую очередь. Но сначала лучше пресечь автозагрузку вредоносных программ.
Перейти к списку автозагрузки можно так.
Нажимаем сочетание клавиш win+r и прописываем msconfig, жмем "Enter", выбираем вкладку Автозагрузка. Здесь стоит снять галочки с файлов автозагрузки неизвестного происхождения (где не указано, что это файл службы Microsoft или файл известного вам приложения). Обязательно нужно убрать из автозагрузки файлы с названиями абсурдными или похожими на системные, например e3r5y6xxx.com или SVOCHOST.EXE, вместо svchost.exe. Уберите также файлы рассылок, содержащие в названии слово subscribe. Однако не стоит забывать, что в автозагрузке присутствуют и программы, которыми вы постоянно пользуетесь, и для которых загрузка вместе с системой просто необходима.
(К слову об автозагрузке… чума заражений через USB flash накопители, которая охватила весь мир ИТ сравнительно недавно, постоянно дает о себе знать. В таком случае зловред распространяется при помощи файла конфигурации autorun.ini, отвечающего за автозапуск только что подключенного накопителя. Этот самый файл ссылается на тело вируса, которое находится на накопителе (обычно в скрытой папке). В последнее время на свет появилась уйма программ, которые помогают защитить машину от такого рода угроз, но имеется и решение, которое намного проще и не требует дополнительного софта. И это решение – отключение автозапуска на всех накопителях. Делается это просто до безобразия: win+r и набираем команду gpedit.msc, дальше выбираем конфигурация компьютера ->>> административные шаблоны ->>> система ->>> отключить автозапуск. Выбираем режим «включен» и выбираем из выпадающего списка «всех дисководах». Вот и все дела. – Е. Кучук)
Теперь пора поискать тех, кто спрятался. Если у вас нет настройки «Показать скрытые файлы и папки», то лучше ее установить. Делается это просто: зайдите в любую папку, выберите «Сервис», «Свойства папки» найдите этот параметр, поставьте галочку.
Дальше, заходим в каталоги локальных дисков. В корневом каталоге нужно убрать все файлы, в названиях которых есть autorun. Именно такие файлы, как правило, обеспечивают доступ к «телу» компьютерных червей. С остальными файлами нужно разобраться более подробно.
Среди всего списка скрытых файлов вам могут попасться файлы ntdetect.com, hiberfil.sys и pagefile.sys – их удалять ни в коем случае не нужно. Даже несмотря на то, что hiberfil.sys и pagefile.sys – файлы довольно большого размера. Файл hiberfil.sys присутствует на вашем компьютере, если вы не отключали опцию «Спящий режим». При переходе системы в спящий режим, в этот файл записываются все данные из оперативной памяти, поэтому он занимает на диске соответствующий объем.
Если спящий режим считаете опцией бесполезной, то можно его отключить, что позволит удалить и hiberfil.sys. Для этого жмем правую клавишу, находясь на рабочем столе – Свойства экрана, выбираем «Заставка», жмем «Питание», находим вкладку «Спящий режим», где убираем пометку «Разрешить использование спящего режима».
Файл pagefile.sys – это так называемый файл подкачки. Виртуальная память, которая используется в случае нехватки реальной оперативной памяти. По умолчанию, размер этого файла установлен на уровне полутора объемов оперативной памяти. Изменить его размер можно в “Мой компьютер” - Свойства - “Дополнительно” – раздел «Быстродействие» - “Параметры” - закладка “Дополнительно”. Здесь нужно найти кнопку “Изменить” в разделе “Виртуальная память”.
Остальные скрытые файлы и папки можно «пробить» по названию в Google – являются они важным программным файлом или же нежелательным ПО. Тем не менее, удалить скрытые файлы не всегда удается. На зараженных компьютерах вредоносные проги могут блокировать возможность показа скрытых файлов.
Например, так прячутся программы рассылки Adsubscribe и Cmedia. Они загружают поверх всех работающих приложений свои рекламные плакаты, а нажимая «закрыть», вам придется подождать еще 60 секунд, и это повторяется каждые 10 минут.
Программы не скрывают своих названий, так как знают, что просто так вам их не найти. Так что делать, если заблокирован показ скрытых файлов? А вот что:
Ctrl+Escape - "Выполнить". Прописываем regedit, жмем "Enter".
Так вы попадете в редактор реестра.
* Заходим в поиск, ищем следующий ключ:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
* Здесь удаляем параметр CheckedValue, он правом окне (тип REG_SZ; значение, как правило, 2.).
* Кликаем правой кнопкой мыши в том же окне и выбираем "создать параметр DWORD". Присваиваем название CheckedValue. Его значение должно быть 1 (0x00000001). Нажимаем "ОК" или "Enter".
Теперь вы сможете видеть все скрытые файлы.
Многие вредоносные программы прячутся в папке Documents and Settings/username/Local Settings/Temp. Эту папочку можно полностью очистить.
Использовать редактор реестра – это самый простой вариант. Однако некоторые вирусы могут заблокировать доступ в Regedit. В этом случае придется самостоятельно создать текстовый reg-файл, чтобы изменить необходимые параметры.
Для этого нужно будет создать текстовый файл в Блокноте следующего содержания (если не показывает скрытые файлы и папки):
REGEDIT4
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:1
Важное замечание: в конце файла, который вы создаете в Блокноте, нужно оставить одну пустую строку. После создания текстового файла меняете его расширения с .txt на .reg, запускаете. Если все сделали правильно, то доступ в реестр должен вам снова открыться.
Уфф! Работа сделана. Теперь подумайте о том, чтобы завести себе хороший лицензионный антивирусник и, возможно, Firewall, чтобы ваш компьютер не был домашней фермой по разведению вирусов. Удачи!
BackBr@sh q@sa-sec.org
Со времен первых персональных компьютеров до настоящего времени вирусные программы прошли длинный путь эволюции. Если 30 лет назад это были программы, целью которых являлось форматирование вашего жесткого диска или, к примеру, раскрытие информации базы данных больных СПИДом в США, то в наш век ситуация изменилась.
Теперь наиболее популярны вирусы, назначение которых - либо реклама товаров и услуг, либо «шпионская деятельность» с целью получения информации о паролях и вообще - любых персональных данных. Подводя итоги сказанного, можно смело резюмировать: основная цель современного вредоносного ПО – это разведка и реклама.
Заметен и серьезный прогресс вирусных программ в деле маскировки. И неудивительно, ведь это одно из ключевых условий выживания непрошеных гостей в недрах наших компьютеров.
Некоторые вирусы обретают невидимость просто. Они предотвращают свое обнаружение, перехватывают обращения системных программ к зараженным файлам и областям диска и выдают их в исходном (незараженном) виде. Если система периодически посылает вам уведомления об ошибках чтения (reading error), то знайте, не обошлось без «лукавого».
Другой способ, применяемый вирусами для того, чтобы спрятаться до лучших времен (когда у вас закончится действие ключа антивирусной программы) - модификация своего тела. Многие вирусы хранят большую часть своего тела в закодированном виде, чтобы с помощью идентификаторов нельзя было разобраться в механизме их работы. Наравне с тем, они могут менять и имена файлов – носителей вирусов. Если замечаете системные, на вид, файлы, которые то появляются, то исчезают, то – делайте выводы...
Самый простой способ маскировки вирусов – прятаться в скрытых файлах и папках. Вот там-то их и можно поискать в первую очередь. Но сначала лучше пресечь автозагрузку вредоносных программ.
Перейти к списку автозагрузки можно так.
Нажимаем сочетание клавиш win+r и прописываем msconfig, жмем "Enter", выбираем вкладку Автозагрузка. Здесь стоит снять галочки с файлов автозагрузки неизвестного происхождения (где не указано, что это файл службы Microsoft или файл известного вам приложения). Обязательно нужно убрать из автозагрузки файлы с названиями абсурдными или похожими на системные, например e3r5y6xxx.com или SVOCHOST.EXE, вместо svchost.exe. Уберите также файлы рассылок, содержащие в названии слово subscribe. Однако не стоит забывать, что в автозагрузке присутствуют и программы, которыми вы постоянно пользуетесь, и для которых загрузка вместе с системой просто необходима.
(К слову об автозагрузке… чума заражений через USB flash накопители, которая охватила весь мир ИТ сравнительно недавно, постоянно дает о себе знать. В таком случае зловред распространяется при помощи файла конфигурации autorun.ini, отвечающего за автозапуск только что подключенного накопителя. Этот самый файл ссылается на тело вируса, которое находится на накопителе (обычно в скрытой папке). В последнее время на свет появилась уйма программ, которые помогают защитить машину от такого рода угроз, но имеется и решение, которое намного проще и не требует дополнительного софта. И это решение – отключение автозапуска на всех накопителях. Делается это просто до безобразия: win+r и набираем команду gpedit.msc, дальше выбираем конфигурация компьютера ->>> административные шаблоны ->>> система ->>> отключить автозапуск. Выбираем режим «включен» и выбираем из выпадающего списка «всех дисководах». Вот и все дела. – Е. Кучук)
Теперь пора поискать тех, кто спрятался. Если у вас нет настройки «Показать скрытые файлы и папки», то лучше ее установить. Делается это просто: зайдите в любую папку, выберите «Сервис», «Свойства папки» найдите этот параметр, поставьте галочку.
Дальше, заходим в каталоги локальных дисков. В корневом каталоге нужно убрать все файлы, в названиях которых есть autorun. Именно такие файлы, как правило, обеспечивают доступ к «телу» компьютерных червей. С остальными файлами нужно разобраться более подробно.
Среди всего списка скрытых файлов вам могут попасться файлы ntdetect.com, hiberfil.sys и pagefile.sys – их удалять ни в коем случае не нужно. Даже несмотря на то, что hiberfil.sys и pagefile.sys – файлы довольно большого размера. Файл hiberfil.sys присутствует на вашем компьютере, если вы не отключали опцию «Спящий режим». При переходе системы в спящий режим, в этот файл записываются все данные из оперативной памяти, поэтому он занимает на диске соответствующий объем.
Если спящий режим считаете опцией бесполезной, то можно его отключить, что позволит удалить и hiberfil.sys. Для этого жмем правую клавишу, находясь на рабочем столе – Свойства экрана, выбираем «Заставка», жмем «Питание», находим вкладку «Спящий режим», где убираем пометку «Разрешить использование спящего режима».
Файл pagefile.sys – это так называемый файл подкачки. Виртуальная память, которая используется в случае нехватки реальной оперативной памяти. По умолчанию, размер этого файла установлен на уровне полутора объемов оперативной памяти. Изменить его размер можно в “Мой компьютер” - Свойства - “Дополнительно” – раздел «Быстродействие» - “Параметры” - закладка “Дополнительно”. Здесь нужно найти кнопку “Изменить” в разделе “Виртуальная память”.
Остальные скрытые файлы и папки можно «пробить» по названию в Google – являются они важным программным файлом или же нежелательным ПО. Тем не менее, удалить скрытые файлы не всегда удается. На зараженных компьютерах вредоносные проги могут блокировать возможность показа скрытых файлов.
Например, так прячутся программы рассылки Adsubscribe и Cmedia. Они загружают поверх всех работающих приложений свои рекламные плакаты, а нажимая «закрыть», вам придется подождать еще 60 секунд, и это повторяется каждые 10 минут.
Программы не скрывают своих названий, так как знают, что просто так вам их не найти. Так что делать, если заблокирован показ скрытых файлов? А вот что:
Ctrl+Escape - "Выполнить". Прописываем regedit, жмем "Enter".
Так вы попадете в редактор реестра.
* Заходим в поиск, ищем следующий ключ:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
* Здесь удаляем параметр CheckedValue, он правом окне (тип REG_SZ; значение, как правило, 2.).
* Кликаем правой кнопкой мыши в том же окне и выбираем "создать параметр DWORD". Присваиваем название CheckedValue. Его значение должно быть 1 (0x00000001). Нажимаем "ОК" или "Enter".
Теперь вы сможете видеть все скрытые файлы.
Многие вредоносные программы прячутся в папке Documents and Settings/username/Local Settings/Temp. Эту папочку можно полностью очистить.
Использовать редактор реестра – это самый простой вариант. Однако некоторые вирусы могут заблокировать доступ в Regedit. В этом случае придется самостоятельно создать текстовый reg-файл, чтобы изменить необходимые параметры.
Для этого нужно будет создать текстовый файл в Блокноте следующего содержания (если не показывает скрытые файлы и папки):
REGEDIT4
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:1
Важное замечание: в конце файла, который вы создаете в Блокноте, нужно оставить одну пустую строку. После создания текстового файла меняете его расширения с .txt на .reg, запускаете. Если все сделали правильно, то доступ в реестр должен вам снова открыться.
Уфф! Работа сделана. Теперь подумайте о том, чтобы завести себе хороший лицензионный антивирусник и, возможно, Firewall, чтобы ваш компьютер не был домашней фермой по разведению вирусов. Удачи!
BackBr@sh q@sa-sec.org
Компьютерная газета. Статья была опубликована в номере 03 за 2010 год в рубрике безопасность
