Кто из нас не получал по почте вирусов… И как бы мы не старались защитить свой компьютер, всегда будет возможность подцепить какую бы то ни было "нечисть". С каждым днем появляются все новые и новые вирусы, находятся все новые дыры в программах которые мы используем.
Так, в последнее время продвинутые вирусописатели используют в своих творениях дыру Internet Explorer - Exploit IFrame FileDownload, которая позволяет запускать на компьютере жертвы вредоносный код без участия пользователя, то есть чтобы заразить свой компьютер, даже не надо запускать вредоносную программу, благодаря этой ошибке она запустится сама.
Дыру эту содержит IE 5 и более ранние версии, а также другие программы построенные на нем, например всем известный Outlook Express. При просмотре письма с вредоносным кодом Outlook Express автоматически запустит приложенный вирус. Для этих целей даже создаются специальные программы, например эта:
Часто эту уязвимость используют
"инернет черви". Самые
распространенные сейчас I-Worm.Klez, Bugbear (I-Worm.Tanatos)
и многие другие обязаны своей
популярностью во многом именно этой
уязвимости.
Запускаются эти черви благодаря
специальным образом составленному html коду.
Вот например код вложенного html письма
I-Worm.Klez:
<HTML><HEAD></HEAD><BODY>
<iframe src=cid:FI6521s7WapSl7g09 height=0 width=0>
</iframe>
<FONT></FONT></BODY></HTML>
Такой html документ все антивирусы определят
как Exploit IFrame FileDownload
Но в общем статья не об этом...
Заразиться можно всегда а вот способов
избавиться от вируса может быть множество.
Здесь будет описано как можно избавиться от
вируса самостоятельно, не используя
специальные антивирусные программы и даже
заранее не зная где засел этот вирус.
К чему все это… спросите вы… Ведь
проще воспользоваться антивирусом… Проще,
но только если этот вирус знает ваша
антивирусная программа. Сейчас вирусы
растут как грибы, и каждый день появляются
новые обновления для антивирусных программ,
и обычно эти обновления размером в
несколько мегабайт, поэтому не многие часто
обновляют базы своего антивируса. И вот
получили вы новый вирус, что ж, скачивать из
интернета обновление… А задумывались ли вы
над тем, что пока вы будете скачивать это
обновление, вирус может сделать свое темное
дело: отправить ваши пароли своему хозяину,
открыть доступ к файлам вашего компьютера и
разослать свои копии всем вашим знакомым.
Поэтому если вам кажется, что вы могли
заразить свой компьютер, лучше сразу
отключиться от интеренета и проводить все
процедуры в off-line. Если же вы уверены что ваш
компьютер не заражен, но подозреваете, что
вам все таки прислали вирус, самый верный
способ - проверить подозрительный файл On-Line
антивирусом. Например со странички
антивирусов этого сайта. А после этого
можете найти описание вашего вируса в
вирусной энциклопедии. А если этот вирус
неизвестен даже последним версиям
антивирусов, то отправьте его им на
экспертизу.
А теперь перейдем к самому интересному - Будем лечить свой компьютер своими силами.
Начнем с того, что вирус - это программа, а какие программы запущены на вашем компьютере вы всегда можете узнать и нежелательную программу выгрузить. Но надо помнить, что по привычному сочетанию Ctrl Alt Del вы можете увидеть не все активные программы. Обычно как раз вируса вы там и не увидите. Нужно воспользоваться специальной программой для просмотра активных процессов вашего компьютера. Например программой Starter 437kb.. Тогда вирусу от вас не скрыться. Только чтобы узнать вирус среди других нормальных программ, нужно иметь представление о том, что есть что.
Вот некоторые системные процессы
Windows:
EXPLORER.EXE - Проводник
internat.exe - Индикатор языка клавиатуры
KERNEL32.DLL - Компонент ядра Win32
SYSTRAY.EXE - Приложение панели задач
TASKMON.EXE - Task Monitor
У вас также могут быть и другие программы,
обычно всевозможные утилиты, которые сидят
в SystemTray (рядом с часиками). Если их
отключить, то останется не так много
возможных зараженных процессов.
Что ж… Нашли вы подозрительный процесс и ту
программу, которой он принадлежит… Сразу
стоит отметить, что обычно вирусы гнездятся
в папке /windows или /windows/system. Теперь
можно найти эту программу и посмотреть
размер файла и дату его создания. Хотя
подделать дату создания и не составляет
труда, так что если файл создан пол года
назад, это еще не дает гарантии, что в нем
нет вируса. А вот сравнить размер файла
например с файлом который вы получили по
почте стоит, так как часто, при запуске
вируса, он просто копирует себя на
компьютер под другим именем. Правда процесс
может быть и усложнен тем, что вирус мог
подменить собой один из системных
процессов Windows. Так троян Lamers Death (описание)
приклеивается к индикатору раскладки
клавиатуры Internat.exe
А заметить это можно и по размеру файла: чистый файл - 28kb зараженный >200kb
Но даже если вы завершите зараженный процесс, при следующем включении компьютера он наверняка появится снова, так как обычно вирусы регистрируют себя в системе для автоматического запуска при каждом включении компьютера. Методов может быть несколько…
1. Реестр
Реестр - это первое место откуда стоит
начать поиски. Именно там обычно и
регистрируют себя всевозможные вирусы и
трояны. Стоит проверить следующие ключи:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]
2. autorun.inf
Многие обращали внимание на то, что при
открытии CD диска автоматически запускается
его autorun. А происходит это потому, что в
папке, которую вы открываете лежит файл
autorun.inf содержащий следующее:
[autorun]
OPEN=AUTORUN.EXE
Действует это в любом месте. При открытии
папки, содержащий такой файл, будет
запущена программы описанная в ключе OPEN=
Например OPEN=Trojan.exe
3. Autoexec.bat
Один из простейших методов автозапуска -
прописать файл в autoexec.bat в корневой
директории.
4. Win.ini
Тут могут быть использованы два параметра:
[windows]
load=troyan.exe
run=troyan.exe
5. System.ini
Отсюда вреданосная программа может
запускаться так:
Shell=Explorer.exe file.exe
6. c:\windows\winstart.bat
Этот BAT файл запускается при старте Windows
7. c:\windows\wininit.ini
Файл прописанный тут запускается ОДИН раз и
стирается.. Используется этот файл для
установки различными setup'ами
(содержание wininit.ini)
[Rename]
NUL=c:\windows\picture.exe
Nul -равносильно стиранию файла...
8. Автозагрузка
C:\Windows\Главное меню\Автозагрузка
(C:\windows\start menu\programs\startup)
К как известно, здесь можно указать, какие
программы надо запускать вместе с системой.
Сюда можно запихнуть что угодно, просто
трояна, создать lnk файл на него или reg
файл, который сам добавится к определенной
ветке реестра.
9. Explorer.exe
Windows NT/2k почему то начинают искать explorer.exe
в корне диска, то есть если злоумышленник
имеет доступ к корню, он просто кладет туда
трояна, который называется explorer.exe
Похожая проблема имеется и в win95/98 при
загрузке в корне ищется win.com
10. ICQ
[HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps\test]
"Path"="test.exe"
"Startup"="c:\\test"
"Parameters"=""
"Enable"="Yes"
В этом месте указываются все приложения
которые запускаются когда ICQ чувствует
соединение с Интернетом...
[HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps\
Способов может быть придумано еще
множество. Например, запуск при открытии
определенного типа файлов (назначается в
действии "открыть" файлам с каким либо
расширением), подмена каких то программ и
многое другое… Но обычно, вирусы запускают
себя одним из описанных выше методов.
Проверять каждый способ было бы слишком долго. Поэтому удобнее воспользоваться специальной программой, например тем же самым Starter , которым мы смотрели активные программы вашего компьютера. Он покажет все программы запускаемые из реестра, автозагрузки и др. Иногда вирус использует сразу несколько методов. А узнать все ли из них вы закрыли можно просто перезагрузив компьютер и посмотрев есть ли вирус среди активных задач.
Это весьма распространенная разновидность вредоносных программ. Такие программы дают полный доступ к файлам вашего компьютера через интернет или в локальной сети. Обнаружить их можно кроме описанных выше способов еще и по открытым портам, которые они открывают для связи с клиентом. Большой список портов, с описанием программ и троянов которые используют по умолчанию данный порт на этой странице. Таким образом можно узнать некоторую информацию об удаленном компьютере. Просто просканировав его открытые порты и посмотрев таблице вероятные сервисы, которые работают на этих портах.
Найти открытые порты можно проскандировав свой(или не свой) компьютер с помощью специальных программ. Напомню, что в Off-line IP адрес вашего компьютера - 127.0.0.1 или localhost. Но этот метод больше подходит для сканирования портов другого компьютера сети, так как на проверку каждого из четырех десятков тысяч портов уйдет несколько минут. На своем компьютере можно воспользоваться специальной программой для мониторинга TCP и UDP соединений. Например входящей в состав Essential Net Tools 3.0 или маленькой утилитой TCPView. С помощью таких программ вы можете увидеть все открытые порты вашего компьютеры и IP адреса с которыми вы соединились через них.
Используя описанные выше методы, от многих вирусов можно избавиться и самостоятельно. Но бывают и тяжелые случаи когда запущенный вирус начинает портить информацию на жестком диске, но это бывает не так часто. В таких случаях надо делать все по правилам. Загрузиться с чистой дискеты и доверить лечение антивирусу.
