Файловый вирус что делает

Заражая файл, вирус может внедриться его начало, конец или середину Наиболее распространенным способом заражения программ для MSDOS является внедрение конец файла При этом основной код дописывается конец файла, а его начало записывается команда перехода к телу вируса. Известны два способа внедрения паразитического файлового вируса начало файла Первый способ заключается том, что вирус переписывает начало заражаемого файла его конец, а сам копируется освободившееся место При заражении файла вторым способом вирус создает оперативной памяти свою копию, дописывает к ней заражаемый файл и сохраняет полученную конкатенацию на диск Некоторые вирусы при этом дописывают конец файла блок дополнительной информации например, вирус Jesalem по этому блоку отличает зараженные файлы от незараженных. Какие же действия выполняет вирус Он ищет новый объект для заражения подходящий по типу файл, который еще не заражен том случае, если вирус приличный попадаются и такие, которые заражают сразу, ничего не проверяя Заражая файл, вирус внедряется его код, чтобы получить управление при запуске этого файла Кроме своей основной функции размножение, вирус может сделать чтонибудь замысловатое сказать, спросить, сыграть это уже зависит от фантазии автора вируса Если файловый вирус резидентный, то он установится память и получит возможность заражать файлы и проявлять прочие способности не только во время работы зараженного файла Заражая исполняемый файл, вирус всегда изменяет его код, следовательно, заражение исполняемого файла всегда можно обнаружить Но, изменяя код файла, вирус не обязательно вносит другие изменения. В состав сборки LiveCD входят следующие приложения 1 Сканер для Linux 2 Браузер Firefox 3 Файловый менеджер Midnight mander 4 Терминал для работы с командной строкой непосредственно перед изпод графической оболочки 5 Текстовый редактор Leafpad Более подробная информация находится документации. Создание отчетов сканирования системы для последующего обращения службу тех поддержки. Выполнение основных операций с файлами, находящимися на компьютере пользователя переименование, копирование, перемещение и. Разработаны уже вирусы заражающие файлы, которых находятся исходные коды программ, объектные или библиотечные модули Кроме того, возможна запись файлового вируса и различные файлы данных, но это происходит либо результате системной ошибки самого вируса, либо при проявлении вирусом какихто агрессивных свойств.

По способу заражения файлов этот вид вирусов подразделяют на паразитические parasitic, overwriting, link вирусы, компаньонвирусы panion, вирусычерви и вирусы, которые заражают библиотеки компиляторов LIB, объектные модули OBJ и исходные тексты программ. Перед выполнением лечения любом случае необходимо Отключить восстановление системы, как написано правилах Если компьютер подключен к локальной сети, то на время лечения отключить. Данный способ также не гарантирует успеха, если антивирус не знает вирус Кроме того его нельзя применять если один из компьютеров находится на гарантии или у Вас нет соответствующих навыков перестановки жесткого диска. Есть еще один вариант, но он более сложный и потребует еще одну машину. Global Moderator Регистрация 26 12 2006 Адрес Vladivostok Сообщений 23, 300 Вес репутации. Существует множество вредоносных компьютерных программ С каждым днем их количество увеличивается, они становятся более профессиональными и опасными Не все антивирусы способны с ними бороться В последнее время стала популярной такая проблема, когда вирус зашифровал файлы XTBL Пользователь не имеет доступа к личной информации. Как поступать этом случае К сожалению, многие пользователи допускают распространенные ошибки, результате чего они не устраняют проблему, а делают ее более масштабной Поэтому нужно подробно рассмотреть инструкцию к действию. После того как вирус зашифровал файлы XTBL, пользователь неизменно начнет предпринимать попытки открыть их Чего, естественно, не произойдет Но на видном месте окажется текстовой документ или блокнот с призывом прочитать его В нем указывается номер кошелька или карты, на которую создатель вируса потребует сделать денежный перевод Взамен он вернет доступ к информации Также данные могут дополняться примечанием, что самостоятельные попытки справиться с устранением проблемы могут привести к полной потере информации. Главное не паниковать, если система подверглась атаке Проблема сложная, но устранить ее можно Важно не запускать ситуацию, а также не пытаться решить ее самостоятельно, если нет соответствующих навыков. ICQ запустила новые виды лайвчатов ICQ продолжает развиваться, видимо, пытаясь вернуть бывшую популярность Новые, так называемые лайвчаты, ну уж очень сильно мне напоминают Паблик Чаты из.

Вирус это специально написанная, небольшая по размерам программа, последовательность кодовинструкций, которая может приписывать себя к другим программам заражать их, создавать свои копии не всегда одинаковые и внедрять их файлы, системные области компьютера и а также выполнять различные нежелательные действия на компьютере. Безвредные практически не влияют на работу уменьшают свободную память на диске результате своего распространения. В случае дискеты или компактдиска управление получает bootсектор, который анализирует таблицу параметров диска BPB BIOS Parameter Block высчитывает адреса системных файлов операционной системы, считывает их память и запускает на выполнение Если же на загрузочном диске отсутствуют файлы операционной системы, программа, расположенная bootсекторе диска выдает сообщение об ошибке и предлагает заменить загрузочный диск. В случае винчестера управление получает, выше указанный, начальный загрузчик который, анализирует таблицу разбиения диска Disk Partition Table, вычисляет адрес активного bootсектора обычно этим сектором является bootсектор диска C, загружает его память и передает на него управление Получив управление, активный bootсектор винчестера проделывает те же действия, что и bootсектор дискеты Далее все проще, системных файлах находится загрузчик операционной системы, который и производит дальнейшую загрузку. Так же, вирусы размещают первоначальный загрузочный сектор неиспользуемом или редко используемом секторе одном из секторов винчестера если такие есть, расположенных между MBR и первым bootсектором, а на дискете такой сектор выбирается из последних секторов корневого каталога. К данной группе относятся вирусы, которые при своем размножении тем или иным способом используют файловую систему какойлибо. К паразитическим относятся все файловые вирусы, которые при распространении своих копий обязательно изменяют содержимое файлов, оставляя сими файлы при этом полностью или частично работоспособными Основными типами таких вирусов являются вирусы, записывающиеся начало файлов prepending, конец файлов appending и середину файлов inserting В свою очередь, внедрение вирусов середину файлов происходит различными методами путем переноса части файла его конец или копирования своего кода заведомо неиспользуемые данные файла cavity вирусы. В DOS файле большинстве случаев это достигается изменением его первых трех или более байтов на коды инструкции JMP Loc_Vis или более общем случае на коды программы, передающей управление на тело вируса. Файловые черви worms являются, некотором смысле, разновидностью компаньон вирусов, но при этом никоим образом не связывают свое присутствие с какимлибо выполняемым файлом При размножении они всего лишь копируют свой код какиелибо каталоги дисков надежде, что эти новые копии будут когдалибо запущены пользователем Иногда эти вирусы дают своим копиям специальные имена, чтобы подтолкнуть пользователя на запуск своей копии например Существуют вирусычерви, записывающие свои копии архивы ARJ, ZIP, RAR и прочие К таким вирусам относятся ArjVis и Winstart Некоторые вирусы записывают команду запуска зараженного файла BATфайлы. Не следует путать файловые вирусычерви с сетевыми червями Первые используют только файловые функции какойлибо операционной системы, вторые же при своем размножении пользуются сетевыми протоколами.

Заражение исходных текстов программ является логическим продолжением предыдущего метода размножения При этом вирус добавляет к исходным текстам свой исходный код этом случае вирус должен содержать его своем теле или свой шестнадцатеричный дамп что технически легче Зараженный файл способен на дальнейшее распространение вируса только после компиляции и линковки. Нерезидентные вирусы часто являются медленными большинство из них при запуске заражает один или дватри файла и не успевает заполонить компьютер до запуска антивирусной программы или появления новой версии антивируса, настроенной на данный вирус Существуют, конечно же, нерезидентные быстрые вирусы, которые при запуске ищут и заражают все выполняемые файлы, однако такие вирусы очень заметны при запуске каждого зараженного файла компьютер некоторое иногда достаточно долгое время активно работает с винчестером, что демаскирует вирус. Можно также просмотреть дамп выполняемых файлов В некоторых случаях можно сразу обнаружить присутствие вируса по наличию его коде текстовых строк Многие вирусы, например, содержат строки, MZ, MAND и Эти строки часто встречаются начале или конце зараженных файлов. Рассмотренные выше методы обнаружения файловых и загрузочных вирусов подходят для большинства как резидентных, так и нерезидентных вирусов Однако эти методы не срабатывают, если вирус выполнен по технологии стелс, что делает бесполезным использование большинства резидентных блокировщиков, утилит сравнения файлов и чтения секторов. Word зараженные файлы имеют формат Template шаблон, поскольку при заражении Wordвирусы конвертируют файлы из формата Word Document Template.

Excel версий 5 и 7 наличие Книге Book лишних и скрытых Листов. Для проверки системы на предмет наличия вируса можно использовать пункт меню Tools Macro Если обнаружены чужие макросы, то они могут принадлежать вирусу Однако этот метод не работает случае стелсвирусов, которые запрещают работу этого пункта меню, что, свою очередь, является достаточным основанием считать систему зараженной. Не является автором материалов, которые размещены Но предоставляет возможность бесплатного использования Есть нарушение авторского права Напишите нам Ваш ip 159 224. Файловозагрузочные вирусы обедняют себе возможности двух предыдущих групп, что позволяет им представлять серьезную угрозу работе компьютера. Документные вирусы их часто называют макровирусами заражают файлы современных офисных систем Microsoft Office, Open Office через возможность использования этих системах макросов Макрос это определенный, заранее определенный набор действий, микропрограмма, встроенная документ и вызываемая непосредственно из него для модификации этого документа или других функций Именно макрос и является целью макровирусов. Однако не все компьютерные вирусы представляют серьезную угрозу Некоторые вирусы тяжелых последствий после завершения своей работы не вызывают они могут завершить работу некоторых программ, отображать определенные визуальные эффекты, проигрывать звуки, открывать сайты, или просто снижать производительность компьютера, резервируя под себя системные ресурсы Таких вирусов подавляющее большинство Однако есть и действительно опасные вирусы, которые могут уничтожать данные пользователя, документы, системные области, приводить негодность операционную систему или даже аппаратные компоненты компьютера. Для успешной борьбы с компьютерными вирусами и другими вредоносными программными объектами необходимо четко представлять себе особенности связанных с ними угроз.

Например, программа может проникнуть компьютер как вирус, а затем установить там модуль Backdoor открывающий злоумышленнику доступ к ресурсам компьютера Троянская программа после запуска пользователем может выпустить компьютерный вирус, установить модуль Backdoor или логическую бомбу. Таким образом, под определение компьютерного вируса не попадают обычные коммерческие и некоммерческие компьютерные программы, основным назначением которых является выполнение других функций, не связанных с самостоятельным распространением. Дело том, что многие программы содержат себе средства распространения, например, по узлам локальной интрасети В качестве примера можно привести программные агенты систем резервного копирования данных, агенты мониторинга сетевой активности. С первых дней существования персональных компьютеров и по настоящее время для хранения информации любого типа используются файлы. Именно файлы стали объектом атаки самых первых компьютерных вирусов Современные вирусы также атакуют файлы, внедряя них свой вредоносный программный.

Заражая файл, вирус записывает свой код внутрь выполняемого файла и изменяет его таким образом, чтобы после запуска файла управление получил код вируса рис. Вирус может записать свой код конец, начало или середину файла Вирус также может поместить несколько фрагментов своего кода разных местах зараженной программы. После внедрения файл вирус выполняет другие вредоносные действия заражает другие файлы, устанавливает памяти собственные резидентные модули и пр Затем вирус, как правило, передает управление зараженной программе и далее она исполняется как обычно. Главная загрузочная запись, находящаяся на жестком диске, называется Master Boot Record MBR Аналогичная запись на дискете носит название Boot Record. Этим обстоятельством воспользовались создатели компьютерных вирусов, создавшие так называемый загрузочный вирус. Этот факт двойственного поведения и отражен названии данного типа вирусов. В качестве ответной меры разработчики вирусов научились создавать такие вирусы, которые умеют прятаться от антивирусных программ С этой целью вирусы перехватывают вызовы некоторых функций. Благодаря такому перехвату антивирус, читая зараженный файл или загрузочную запись, фактически получает незараженные данные Тем самым антивирус вводится заблуждение.

Чтобы исключить обнаружение свих изделий, разработчики компьютерных вирусов стали применять шифрование вирусного кода Так появились шифрующиеся вирусы. Шифрующийся вирус это вирус, который при заражении новых файлов и системных областей диска шифрует собственный код, пользуясь для этого случайными паролями ключами. Современные антивирусы умеют расшифровывать код вируса, поэтому шифрующиеся вирусы могут быть эффективно обнаружены и уничтожены. При этом для шифрования вирус пользуется случайными паролями ключами, а также различными методами шифрования, что исключает возможность опознания вируса по сигнатурам вирусов. Макрокомандный вирус прикрепляется к файлам офисных документов и распространяется вместе с ними.

Файл, зараженный макрокомандным вирусом, можно открыть как обычный файл документа Его можно редактировать и сохранить изменения на диске Единственное, что нельзя с ним сделать, так это сохранить файл другом формате, например формате документа или формате. Заражение почтовым вирусом происходит результате действий пользователей, просматривающих почту, а также изза ошибок почтовых программах и операционных системах. Возможности пакетных файлов используют специально созданные вирусы, называемые вирусами пакетных файлов. Существуют вирусы, заражающие не файлы или загрузочные области дисков, а оперативную память компьютера Эти вирусы называются бестелесными. В современном Интернете имеется большое количество сетей, предназначенных для обмена файлами без применения централизованного сервера Эти сети позволяют пользователям Интернета свободно обмениваться музыкальными файлами, программами и другой информацией. Чтобы такой вирус попал на компьютер пользователя пиринговой сети, пользователю требуется выполнить какое либо действие, например, загрузить и запустить на выполнение файл. Собранная таким образом информация добавляется антивирусными компаниями так называемые вирусные базы данных Вирусные базы данных являются важнейшим компонентом всех антивирусных программ, так как они содержат сведения об обнаруженных вредоносных программных объектах. Все антивирусные программы состоянии обнаружить и нейтрализовать известные вирусы Поэтому для успешной антивирусной защиты необходимо заботиться о постоянном обновлении вирусной базы данных. Был подробно разобран первый из перечисленных типов вредоносных программ, а именно компьютерные вирусы.

Предметом следующего урока станет изучение вредоносных программ других типов Это черви, логические бомбы, троянские программы, программы Backdoor а также программные средства для получения несанкционированного доступа к компьютерным системам. Другая проблема, связанная с определением компьютерного вируса кроется том, что сегодня под вирусом чаще всего понимается не традиционный вирус, а практически любая вредоносная программа Это приводит к путанице терминологии, осложненной еще и тем, что практически все современные антивирусы способны выявлять указанные типы вредоносных программ, таким образом ассоциация вредоносная программа вирус становится все более устойчивой. Вирусы не мешающие работе компьютера, но уменьшающие объем свободной оперативной памяти и памяти на дисках, действия таких вирусов проявляются какихлибо графических или звуковых эффектах. Вирусы, которые могут привести к различным нарушениям работе компьютера. Метаморфизм создание различных копий вируса путем замены блоков команд на эквивалентные, перестановки местами кусков кода, вставки между значащими кусками кода мусорных команд, которые практически ничего не делают. Вложения вредоносных писем чаще всего бывают архивах rar 7z И если настройках системы компьютера отключена функция отображения расширения файлов, то пользователь получатель письма увидит лишь файлы вида и тому подобные Другими словами, файлы будут казаться совершенно безобидными Но если включить отображение расширения файлов, то сразу станет видно, что это не документы, а исполняемые программы или скрипты, имена файлов приобретут иной вид, например, или При открытии таких файлов происходит не открытие документа, а запуск вирусашифровальщика Вот лишь краткий список самых популярных опасных расширений файлов exe js wbs hta bat cmd Поэтому, если пользователю не известно, что ему прислали во вложении, или отправитель не знаком, то, вероятнее всего, письме вирусшифровальщик. Возьмем, к примеру, циркулировавший Facebook баннер, предлагавший пользователю изменить цвет страницы на красный, синий, желтый и Заманчивый баннер содержал ссылку, направлявшую пользователя на мошеннический сайт Там руки злоумышленникам попадала конфиденциальная информация, которая использовалась или продавалась для получения незаконной прибыли различным интернеторганизациям Таким образом, антивирусы, основанные на традиционных сигнатурах, сегодня малоэффективны, так как они не могут надежно защитить от вебугроз режиме реального времени Антивирус, который основан на облачных технологиях и получает информацию об угрозах из облака, эти задачи под силу. Скриптвирусы, также как и макровирусы, являются подгруппой файловых вирусов Данные вирусы, написаны на различных скриптязыках VBS, JS, BAT, PHP и Они либо заражают другие скриптпрограммы командные и служебные файлы MS Windows или Linux, либо являются частями многокомпонентных вирусов Также, данные вирусы могут заражать файлы других форматов например, HTML, если них возможно выполнение скриптов. Рассмотрим качестве примера схему функционирования вирусов известного семейства DirII Нельзя не признать, что появившись 1991 эти вирусы стали причиной настоящей эпидемии чумы России Рассмотрим модель, на которой ясно видна основная идея вируса Информация о файлах хранится каталогах Каждая запись каталога включает себя имя файла, дату и время создания, некоторую дополнительную информацию, номер первого кластера файла и резервные байты Последние оставлены про запас и самой MSDOS не используются. Представление информации компьютере В компьютерах используется двоичная система измерений, к конструкция вычислительной техники тем проще и надежнее, чем меньше символов системе исчисления, применяемых для кодирования информации.

Сжатие данных Сжатие данных необходимо для удешевления хранения информации Характерной особенностью большинства данных является избыточность Под этим термином часто понимают разные понятия Так теор. Adobe Multiple Master Формат Multiple Master представляет собой PostScriptшрифт, который позволяет динамически изменять такие параметры как насыщенность, ширину, начертание и оптический размер Данные характеристики. Общие правила текстового набора на русском языке Межсловные пробелы внутри одной строки и смежных строках при текстовом наборе не должны резко различаться между собой Нормальный пробел между словами должен быть равен полукегельной Увеличение. Правила набора текстов 12 групп сложности К 1й группе сложностиотносится простой сплошной текст и текст с небольшими до 10 усложнениями и выделениями 2я группа сложности это набор усложне. Особенности набора библиографии Библиографическое описание особый вид текста, котором определенной последовательности приводятся основные данные об издании Библиографическое описание выпускается отдельным изданием. Техникооформительские правила набора выводов и таблиц Выводы и таблицы одном издании должны быть набраны единообразно по применению шрифтов и линеек, размерам однотипных заголовков, разбивке между строками, по оформлению всех элементов и частей табл. Химические формулы Сокращенные обозначения химических элементов набираются прямого начертания того же кегля, что и основной текст От предыдущих и последующих элементов формулы они не отбиваются Правила. Файловые черви worms являются некотором смысле разновидностью компаньонвирусов, но при этом никоим образом не связывают свое присутствие с какимлибо выполняемым файлом При размножении они всего лишь копируют свой код какиелибо каталоги дисков надежде, что эти новые копии будут когдалибо запущены пользователем Иногда эти вирусы дают своим копиям специальные имена, чтобы подтолкнуть пользователя на запуск своей копии, например. Нерезидентные вирусы часто являются медленными большинство из них при запуске заражает один или дватри файла и не успевает заполонить компьютер до запуска антивирусной программы или появления новой версии антивируса, настроенной на данный вирус Существуют, конечно, нерезидентные быстрые вирусы, которые при запуске ищут и заражают все выполняемые файлы, однако такие вирусы очень заметны при запуске каждого зараженного файла компьютер некоторое иногда достаточно длительное время активно работает с винчестером, что демаскирует вирус.

Скорость резидентных вирусов обычно выше, чем у нерезидентных, они заражают файлы при какихлибо обращениях к ним В результате на диске оказываются зараженными все или почти все файлы, которые постоянно используются работе. Макровирусы macro vises являются программами на языках макроязыках, встроенных некоторые системы обработки данных текстовые редакторы, электронные таблицы и Для своего размножения такие вирусы используют возможности макроязыков и при их помощи переносят себя из одного зараженного файла документа или таблицы другие Наибольшее распространение получили макровирусы для Microsoft Word, Excel и Office. Таким образом, если документ заражен, при его открытии Word вызывает зараженный автоматический макрос AutoOpen или AutoClose при закрытии документа и запускает код вируса, если это не запрещено системной переменной DisableAutoMacros Если вирус содержит макросы со стандартными именами, они получают управление при вызове соответствующего пункта меню File Open, File Close, File SaveAs Если же переопределен какойлибо символ клавиатуры, то вирус активизируется только после нажатия на соответствующую клавишу. При выходе из Word глобальные макросы включая макросы вируса автоматически записываются DOTфайл глобальных макросов обычно это Таким образом, при следующем запуске Word вирус активизируется тот момент, когда WinWord грузит глобальные макросы, сразу. Жизненный цикл Изза особенности вирусов способности к размножению рамках одного компьютера, деление вирусов на типы происходит соответствии со способами размножения Сам процесс размножения может быть условно разделен на несколько стадий. Проникновение Вирусы проникают на компьютер вместе с зараженными файлами или другими объектами загрузочными секторами дискет, и отличие от червей, никак не влияют на процесс проникновения Следовательно, возможности проникновения полностью определяются возможностями заражения, и классифицировать вирусы по этим стадиям жизненного цикла отдельно смысла. Пример вредоносная программа записывающая свой код MBR жесткого диска или загрузочные сектора дискет При этом оригинальные загрузочные сектора шифруются вирусом Получив управление, вирус остается памяти компьютера резидентность и перехватывает прерывания INT 10h, 1Ch и 13h Возможные проявления вируса на экране компьютера начинает падать снег. Пример Обычно при освоении новой платформы сначала появляются вирусы именно этого типа Так было при появлении вирусов под DOS, под Windows 9x, под Windows NT, под.

Практически все вирусы, исполняемые среде Windows, равно как и среде приложений MS Office, являются вирусами второго типа И напротив, скриптвирусы являются вирусами первого типа Stealthвирусы вирусы, которые находясь постоянно памяти, перехватывают обращения к зараженному файлу и на ходу удаляют из него вирусный код, передавая ответ на запрос неизмененную версию файла Так эти вирусы маскируют свое присутствие системе Для их обнаружения антивирусным средствам требуется возможность прямого обращения к диску обход средств операционной системы Набольшее распространение Stealthвирусы получили во времена. Проникновение систему На данном этапе черви делятся по типам используемых протоколов. Сетевые черви черви, использующие для распространения протоколы Интернет и локальных сетей Обычно этот тип червей распространяется с использованием неправильной обработки некоторыми приложениями базовых пакетов стека протоколов. Пример это Классические сетевые черви, использующие уязвимость службе LSASS Microsoft Windows При размножении, он запускает FTPслужбу на TCPпорту 5554, выбирая IPадрес для атаки и отсылая запрос на порт 445 по этому адресу, для проверки запуска службы LSASS При ответе атакуемого компьютера на запрос, червь посылает на этот же порт эксплойт уязвимости службе LSASS При успешном выполнении запроса на удаленном компьютере запускается командная оболочка на TCPпорту 9996, через которую червь удаленно выполняет загрузку копии червя по протоколу FTP с запущенного ранее сервера и удаленно же запускает себя, завершая процесс проникновения и активации. Пример например, бесконечном цикле считывал коды нажимаемых клавиш и сохранял их файле C SYS отслеживает открытые окна Inter Explorer и сохраняет информацию с посещаемых пользователем сайтов, ввод клавиатуры специально созданный файл системном каталоге. Потеря данных более характерное для вирусов, чем для троянов и червей, поведение, связанное с намеренным уничтожением определенных данных на компьютере пользователя Примеры удаление стартовых секторов дисков и содержимого Flash BIOS, удаление всех файлов на диске C удаление файлов с определенными расширениями зависимости от показателя счетчика случайных чисел. Общее число вирусов по состоянию на сегодня превосходит 198000, проанализировать угрозы со стороны каждого из них является слишком трудоемкой и бесполезной задачей, поскольку ежедневно возрастает количество вирусов, а значит, необходимо ежедневно модифицировать полученный список Классификация угроз по результату их влияния на информацию, а именно нарушение конфиденциальности, целостности и доступности. Один из наиболее часто встречающися примеров некоррекного заражения файла от Windows95 Этот файл по сути является EXEфайлом, более того имеет размер более 90K, что невозможно для файла Поэтому вирусы, которые различают EXE файлы по расширению имени и не проверяют длины заражаемых файлов например, Junkie, портят такой и он становится неработоспособным. Первая эпидемия загрузочного компьютерного вируса произошла 1986 году, когда вирус Brain зара жал загрузочный сектор дискет для персональных компьютеров Вирус Brain являлся также и первым вирусомневидимкой, так как при попытке обнаруже ния зараженного загрузочного сектора вирус незамет но подставлял его незараженный оригинал.

Студопедия 2013 2017 год Не является автором материалов, а предоставляет студентам возможность бесплатного обучения и использования Последнее добавление аш ip 159 224. Немного о вирусах, защите от них и что делать, если вирус всетаки проник ваш компьютер. Вводим пароль администратора Список драйверов и служб можно просмотреть с помощью команды. Добавлю, что существует новый класс rootkit, представителем которого является появившийся конце 2007г Эта троянская программа прописывает себя загрузочный сектор жесткого диска и обеспечивает скрытую установку своего драйвера памяти Сам Rootkitдрайвер напрямую записан последние секторы физического диска, минуя файловую систему, чем и скрывает свое присутствие на диске В общемто, принцип не новый, лет десять назад вредоносные программы подобным образом маскировались на резервных дорожках дискет и жестких дисков, однако оказался очень эффективным, поскольку большинство антивирусов с задачей удаления до сих пор не справляются Упоминаемый выше RootkitRevealer загрузочный сектор не проверяет, а секторы конце диска для него никак не связаны с файловой системой и естественно, такой руткит он не обнаружит Правда, а, следовательно, и Cureit с вполне справляется. Подключаетесь к реестру зараженной системы и ищете нем ссылки на имена этих файлов Сам реестр не мешает предварительно скопировать полностью или, по крайней мере, те части, где встречаются выше указанные ссылки Сами ссылки удаляете или изменяете них имена файлов на другие, например на на. Использование загрузочного диска Winternals ERD mander Подробная инструкция по применению диска аварийного восстановления системы, созданного на базе Microsoft Diagnostic and Recovery Toolset.

К сожалению, сегодня массовое применение персональных компьютеров, использование сети Интернет оказалось связанным с появлением программвирусов, препятствующих нормальной работе компьютера, разрушающих файловую структуру дисков и наносящих ущерб хранимой компьютере информации. Несмотря на принятые во многих странах законы о борьбе с компьютерными преступлениями и разработку специальных программных средств защиты от вирусов, количество новых программных вирусов постоянно растет Это требует от пользователя персонального компьютера знаний о природе вирусов, способах заражения вирусами и защиты от. По способу заражения вирусы делятся на резидентные и нерезидентные Резидентный вирус при заражении инфицировании компьютера оставляет оперативной памяти свою резидентную часть, которая потом перехватывает обращение операционной системы к объектам заражения файлам, загрузочным секторам дисков и и внедряется них Резидентные вирусы находятся памяти и являются активными вплоть до выключения или перезагрузки компьютера Нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время. При запуске исполняемых файлов система считывает из записи каталоге первый кластер файла и далее все остальные кластеры Вирусы семейства DIRII производят следующую реорганизацию файловой системы сам вирус записывается некоторые свободные секторы диска, которые он помечает как сбойные Кроме того, он сохраняет информацию о первых кластерах исполняемых файлов резервных битах, а на место этой информации записывает ссылки на себя. В режиме эвристического анализа программа DrWeb исследует файлы и системные области дисков, пытаясь обнаружить новые или неизвестные ей вирусы по характерным для вирусов кодовым последовательностям Если таковые будут найдены, то выводится предупреждение о том, что объект, возможно, инфицирован неизвестным вирусом Предусмотрены три уровня эвристического анализа В режиме эвристического анализа возможны ложные срабатывания, детектирование файлов, не являющихся зараженными Уровень эвристики подразумевает уровень анализа кода без наличия ложных срабатываний Чем выше уровень эвристики, тем выше процент наличия ошибок или ложных срабатываний Рекомендуются первые два уровня работы эвристического анализатора Третий уровень эвристического анализа предусматривает дополнительную проверку файлов на подозрительное время их создания Некоторые вирусы при заражении файлов устанавливают некорректное время создания, как признак зараженности данных файлов Например, для зараженных файлов секунды могут иметь значение 62, а год создания может быть увеличен на 100.

Программа DrWeb32 для Windows выпущена двух вариантах с графическим интерфейсом DrWeb32W и без него DrWebWCL Оба варианта поддерживают одинаковый набор параметров ключей командной строки Для разового нерегулярного применения более удобен первый режим, но для регулярного применения с целью систематического входного контроля дискет лучше применять второй режим При использовании второго режима соответствующая команда запуска DrWeb должна быть включена либо меню пользователя операционной оболочки Total mander, либо специальный командный файл. По умолчанию при отсутствии файла конфигурации основные режимы сканирования соответствуют следующей командной строке. Защитить свои файлы от инфицирования вирусами можно и при помощи встроенных операционную систему Windows специальных редакторов локальной политики Они позволяют ограничить доступ к файлам посторонних программ, результате чего шифровальный вирус при попытке заражения документа не сможет получить к нему доступ и заразить его Восстановление инфицированных файлов. Семейство макровирусов Word стало сегодня уже привычным Эти вирусы используют макроязык WordBASIC для инфицирования и тиражирования докуметов и шаблонов Microsoft World Это новое семейство вирусов платформеннонезависимо вирусы инфицируют документы и шаблоны клиентских операционных системах DOS, MacOS, Windows 3 x, Windows 95 и Windows NT Данные вирусы используют некоторые особенности редактора Word для автоматического исполнения испорченного макрокода После открытия и запуска инфицированного документа вирус поражает пользовательский шаблон Этот шаблон базисный для большинства документов и шаблонов и доступен глобально всем шаблонам документов Word системе При открытии других документов вирус распространяется По умолчанию шаблон является первым открываемым документом при запуске Word без указания другого документа командной строке, что тут же позволяет вирусу действовать Исследователи вирусов из McAfee Associates недавно обнаружили, что вирус Word Macro может инфицировать и электронные таблицы Excel Вирус по имени ExcelMacro Laroux был выявлен двумя транснациональными компаниями на Аляске и Африке Он тиражируется, но данным вреда не причиняет В настоящее время вирус Laroux не имеет, повидимому, широкого распространения, однако, как только пользователи научатся его обнаруживать, сообщения о нем не заставят себя долго ждать, говорит президент McAfee Билл Ларсон Как и случае любого нового вируса, пользователям не следует паниковать, но бдительности терять не следует Предприняв некоторые превентивные, причем ничего ровным счетом не стоящие, меры, пользователи смогут не допустить проникновение этого вируса свои компьютеры Вирус Laroux поражает файлы Excel 5 и 7 во всех версиях операционной системы Windows, но, судя по всему, не заражает версию для Macintosh он состоит из двух макрофайлов auto_open и check_files и одной скрытой рабочей таблицы под названием Laroux Пользователи могут без труда определить, инфицированы их таблицы или нет, выбрав опцию Macro из меню Tools Если файлы с именами auto_open и check_files содержатся спускающемся меню макросов, то компьютер инфицирован Инфекция распространяется с одного компьютера на другой, когда инфицированная Laroux рабочая таблица, используемая совместно, открывается другим пользователем Инфицированный файл может передаваться через включения электронную почту, на дискетах и при обмене файлами по корпоративным сетям и Intra Чтобы помочь пользователям избавиться от вируса, McAfee включила детектор Laroux свое антивирусное программное обеспечение VisScan Бесплатную рабочую версию детектора можно получить для апробирования на узле Web компании Другой вирус, на который следует обратить внимание, это Boza, первый вирус для Windows 95 Boza инфицирует файлы, но не осуществляет никаких разрушительных действий он поражает только файлы для Windows 95 Windows NT и Windows 3 x тоже используют такого рода программы при помощи Win32, но вирус проявляет себя только операционной системе Windows 95 Каждый раз при выполнение инфицированного файла Boza инфицирует три файла текущем каталоге. Boza активизируется при запуске инфицированного файла 31 числа и выводит сообщение The taste of fame just got tastier Вкус славы стал еще слаще или From the old school to the new Старому поколению от нового Boza содержит также текстовую строку с именами некоторых изобретателей вирусов и может приводить к увеличению длины некоторых файлов. Детекторы позволяют воспрепятствовать действию неизвестных или мутирующих вирусов, не обнаруженных сканером LANDesk Vis Protect NLM for ware от Intel, например, непрерывно сканирует получаемые и отправляемые файлы для предотвращения копирования инфицированного файла на сервер или на клиента Результат создание щита вокруг сервера, предотвращающего распространение вируса по сети Модуль NLM пресекает деятельность известных и неизвестных вирусов при обнаружении вирусоподобного поведения программы на сервере Программное обеспечение может также осуществлять плановое сканирование всех томов сети удобное время.

Физическая структура компьютерного вируса достаточно проста Он состоит из головы и, возможно, хвоста Под головой вируса понимается его компонента, получающая управление первой Хвост это часть вируса, расположенная тексте зараженной программы отдельно от головы Вирусы, состоящие из одной головы, называют несегментированными, тогда как вирусы, содержащие голову и хвост, сегментированными. Загрузочные вирусы вирусы поражающие загрузочные сектора Boot сектора дисков или сектор содержащий системный загрузчик Master Boot Record винчестера. Сетевые вирусы вирусы, распространяющиеся различных компьютерных сетях и системах. Если умеете работать Диспетчере задач, то немедленно прервите шифрование файлов, остановив подозрительный процесс Одновременно с этим, отключите компьютер от интернета многим шифровальщикам необходимо подключение к сети. Дополнительно, вы можете отправить на копию файла, что был зашифрованн, с требуемым кодом и если есть, этот же файл первоначальном виде Вполне возможно, это может ускорить разработку метода дешифровки файлов. На этом же сайте можно ознакомиться с инструкцией, подробно и наглядно показывающей, как пользоваться утилитой для расшифровки всех файлов, над которыми поработал троян В принципе, для большей надежности, стоит исключить пункт удаления зашифрованных файлов Но скорее всего, что разработчики хорошо постарались над созданием утилиты и целостности данных ничего не угрожает. Hаиболее распространенными типам компьтерных вирусов MS DOS являются файловые нерезидентные, файловые резидентные и бутовые вирусы Разбор анатомии компьютерных вируов начнем с анализа структуры нерезидентного файлового вируса как прос тейшей разновидности этого класса системных программ. При заражении файлов вирус запоминает своем теле первые три или больше байта программы и вместо них записы вает переход на начало собственного кода Так поступает боль шинство файловых вирусов, заражающих файлы, но не все Дело том, что при дописывании тела вируса конец заражаемого файла весь код вируса должен быть написан спецальным образом, обычно называемым позиционнонезависмым программированием при выполнении программы все ссылки должны адресоваться через смещения, которое обычно хранится одном из регистров.

После закрепления оперативной памяти инсталятор выполняет так называемый перехват прерыванийобеспечивание передачи управления модулям вируса, обрабатывающим соответсвующее пре рывание Это может делаться лоб, путем использования соответствующих функций MS DOS, или с черного хода нестандартным способом, обеспечивающим общем случае более высокую степень маскировки При любом способе конечный эффект состоит том, что при выполнении определеной функции MSDOS управление будет передаваться вирусу При этом вирус может содержать дополнительный механизм, обеспечивающий получение управления раньше других программ, перехвативших это же прерывание Такие резидентные вирусы будем называть всплываю щими Всплытие помогает вирусу обходить простейшие программы сторожа, основанные на перехвате тех же прерываний, поскольку они будут получать управление после вируса. Hо способность к маскировке оказалась слабым местом стелс вирусов, позволяющим легко обнаружить их наличие на машине Достаточно сравнить информацию о файлах, выдаваемую DOS, с фактической, содержащейся на диске, и несовпадение данных однозначно говорит о наличии вируса То есть способность к к маскировке демаскирует эти вирусы. Антивирусы можно классифицировать по пяти основным группам фильтры, детекторы, ревизоры, доктора и вакцинаторы. В нашей стране, как уже было сказано выше, особую популяр ность приобрели антивирусные программы, совмещающие себе функции детекторов и докторов Самой известной из них явля ется программа AIDSTEST Д Н Лозинского В России практически на каждом IBMсовместимом персональном компьютере есть одна из версий этой программы Одна из последняя версия обнаружи вает более 1100 вирусов. Aidstest тестирует свое тело на наличие известных вирусов, а также по искажениям своем коде судит о своем заражении неизвестным вирусом При этом возможны случаи ложной тревоги. В отличие от AVSP, котором пользователю приходится самому анализировать, заражена ли машина стелсвирусом, загружаясь сначала с винчестера, а потом с эталонной дискеты, ADinf эта операция происходит автоматически Это происходит благо даря оригинальному алгоритму противодействия этим вирусам невидимкам, суть которого заключается том, что сначала диск читается непосредственно через BIOS, а потом с помощью DOS Если информация будет отличаться, то системе стелсви рус ADinf был единственным антивирусом, который летом 1991 года обнаружил вирус DIR, построенный на принципиально новом способе заражения и маскировки Для лечения заражeнных файлов применяется модуль ADinf Cure Module, не входящий пакет ADinf и поставляющийся отдельно Принцип работы модуля. При инсталяции ADinf систему имеется возможность изменить имя основного файла и имя таблиц, при этом пользо ватель может задать любое имя Это очень полезная функция, так как последнее время появилось множество вирусов, охотящихся за антивирусами например, есть вирус, который изменяет программу Aidstest так, что она вместо заставки фир мы ДиалогНаука пишет Лозинский пень, том числе и за. Водим команду EXIT и система уходит на перезагрузку После перезагрузки драйвер руткита не будет загружен, что позволит легко удалить его файлы и очистить реестр от его записей Можно проделать это вручную, а можно использовать какойнибудь антивирус Наиболее эффективным, с моей точки зрения, будет бесплатный сканер на основе всем известного антивируса Игоря Данилова Скачать можно отсюда Там же можно скачать LiveCD образ диска, который позволяет восстановить работоспособность системы, пораженной действиями вирусов, на рабочих станциях и серверах под управлением Windows Unix, скопировать важную информацию на сменные носители либо другой компьютер, если действия вредоносных программ сделали невозможным загрузку компьютера LiveCD поможет не только очистить компьютер от инфицированных и подозрительных файлов, но и попытается вылечить зараженные объекты Записываете образ на CD, загружаетесь и руководствуетесь простым и понятным меню. Представим себе аккуратного клерка, который приходит на работу, к себе контору и каждый день обнаруживает у себя на столе стопку листов бумаги со списком заданий, которые он должен выполнить за рабочий день Клерк берет верхний лист, читает указания начальства, пунктуально их выполняет, выбрасывает отработанный лист мусорное ведро и переходит к следующему листу Предположим, что некий злоумышленник тайком прокрадывается контору и подкладывает стопку бумаг лист, на котором написано следующее Переписать этот лист два раза и положить копии стопку заданий соседей.

Например, если качестве отличительной характеристики вируса принимается скрытность, то легко привести пример вируса, не скрывающего своего распространения Такой вирус перед заражением любого файла выводит сообщение, гласящее, что компьютере находится вирус и этот вирус готов поразить очередной файл, затем выводит имя этого файла и запрашивает разрешение пользователя на внедрение вируса файл. Основная же особенность компьютерных вирусов возможность их самопроизвольного внедрения различные объекты операционной системы присуща многим программам, которые не являются вирусами Например, операционная система MSDOS имеет себе все необходимое, чтобы самопроизвольно устанавливаться на неDOS овские диски Для этого достаточно на загрузочный флоппидиск, содержащий DOS, записать файл следующего содержания SYS A COPY A SYS B COPY B SYS C.

 

© Copyright 2017-2018 - academy-schools-7.ru