Вирус - это программа, способная к самостоятельному размножению, выполнению команд, и др. действиям зачастую БЕЗ ВЕДОМА ПОЛЬЗОВАТЕЛЯ.
Как правило, это вредоносная программа, которая в лучшем случае пошутит над вами, мешая работать:
- Выдавать ложные ошибки\сообщения. - Трясти курсор мыши. - Подменять вводимые символы с клавиатуры. - Вкл\выкл монитор\мышь\клавиатуру. - Выдвигать лоток сдрома. - Менять местами иконки рабочего стола. - Изменять системное время. - Перегружать\выключать компьютер. - Загружать процессор\память на 100%.
... а как максимум - сделает ВСЁ, что в неё пропишет создатель, как то:
- Заразит ваши файлы, дописывая себя в конец каждого. - Уничтожить\испортит ваши файлы\данные\операционную систему. - Найдет\расшифрует\отловит ваши пароли доступа к чему-либо и отошлет хозяину. - Выведет из строя "железные" составляющие: процессор\мат.плата\опер.память\жесткий диск\сдром... - Откроет доступ к вашему компьютеру, превращая его в послушного зомби.
========
Подцепить заразу не так уж и сложно. Причем сам процесс заражения может быть выполнен как с вашим участием, так и без него.
Какая основная "прелесть" живет в сетке? Нет, не фильмы и музыка на сервере... а сетевые черви блуждающие в поисках подходящей жертвы. Атака и заражение происходит без вашего участия, так как червь использует уязвимые сетевые сервисы, запущенные на вашей машине. Как бороться с этой напастью - используем фаервол, однако речь сейчас о другом. Обнаружить и обезвредить уже приютившегося у вас зверька должен антивирус.
Все остальные вирусы обычно распространяются через зараженные файлы, которые пользователь открывает на своем компьютере. Наиболее часто поддвержены заражению исполняемые файлы с расширением *.exe, *.com, *.bat . А также в приложениях, имеющих встроенные языки (макросы). Однако, современные вирусы где только не приживаться : Word(*.doc, *.xls), музыка (*.mp3), флэшки (*.swf), фильмы (*.avi), картинки (*.ipg, *.jpeg, *.gif, *.png, *.bmp), IE (*.htm, *.html, *.vbs, *.js, *.htt). При запуске такого файла, вирус начинает свое черное дело - выполняя свои деструктивные действия и заражая собой другие файлики.
========
Как узнать о том, заразились вы или нет? Давайте ознакомимся с основными признаками заражения:
1. Сильное торможение компьютера, ошибки в программах, зависание, перезагрузки (о виндоус :-] ). 2. Многочисленные сбои в работе программ. 3. Произвольный, без вашего участия, запуск на компьютере каких-либо программ; 4. Непонятные окошки, запрашивающие какие либо действия. 5. Частое обращение к жесткому диску (часто мигает лампочка на системном блоке); 6. Исчезновение места\файлов\каталогов на жестком диске. 7. Появление новых файлов, особенно ссылок на них в автозагрузку. 8. Новые процессы в диспетчере задач (sys.exe, system.exe, sysdll.exe, fE5bD.exe). 9. Не стандартное поведение системы (медленная загрузка, выкл, и др). 10. При наличии на вашем компьютере межсетевого экрана(фаервола), появление предупреждений о попытке какой-либо из программ вашего компьютера выйти в интернет, хотя вы это никак не инициировали. 11. Друзья или знакомые говорят вам о сообщениях от вас, которые вы не отправляли;
======= Intro
Несколько поднадоели темки новичков с воплями о помощи по сабжу. Однако, здесь будет что почитать даже бывалым людям - может возьмёте на заметку пару методик, зацените специфический софт.
Ну что же, покажем этим бацилам, кто в нашей системе хозяин! Научимся мочить гадов
======= Инструкция
У МЕНЯ ВИРУС!!! Что мне делать?!! Вот руководство к действиям:
1. ВЫДЕРНИТЕ СЕТЕВОЙ КАБЕЛЬ\МОДЕМ и при возможности смените все важные пароли через комп друга\соседа, посколько в том случае, если вирус ориентировался на кражу такой информации, то он уже отправил данные хозяину - значит счёт идёт на минуты\секунды.
2. Если у вас не стоял антивирус до заражения, значит теперь есть повод поставить %) Выбираем, устанавливаем и настраиваем антивирус. Однако, зачастую вирус блокирует установку\запуск антивируса, поэтому прежде...
3. ...неплохо бы сразу проверить автозагрузку на наличие новых программ (если вы конечно в курсе, что там было до заражения). Для этой задачи потребуется прога Starter.
4. Жмем alt+ctrl+del и ищем подозрительный процесс (его имя совпадает с именем в автозагрузке). Убиваем его. Жестоко и беспощадно =]
5. Теперь найдём подозрительный файл и поищем, где он лежит. Попробуем переименовать\переместить его куда-нить или удалить.
6. Если вам не удается ни переименовать, ни завершить процесс - вирус хорошо защищен. Обычно при таком подходе вы едва ли сможете запустить антивирус. Вам не повезло и придется лечить винт, присоединив его к компу друга или с мультизагрузочного СД.
А теперь - вот вам кучка софта для реализации этих простых шести пунктов излечения. Программы вам скорее всего понадобяться, поскольку как правило виндовые утилиты уничтожаються\блокируються вредоносным кодом вирусного процесса.
======= Файловая система
Непосредственно проследить хождение виря по ващей файловой системе помогут следующие утилиты. Вы сможете определить место нахождение тела вируса, отследить его размножение, определить местопоожение лог-файла в случае кейлогера. Также программы помогут разблокировать файл, выгрузить инжектированную в процесс вредоносную длл и многое другое.
Filemon v7.* http://www.microsoft.com/technet/sys...k/Filemon.mspx Логирование всех операций с файлами - открытие, запись, чтение... Есть система фильтров.
Unlocker 1.* http://ccollomb.free.fr/unlocker/ Утилита позволяющая разблокировать файл, занятый другим процесом. Работает в полуавтоматическом режиме. Не всегда справляеться с задачей.
Advanced Process Manipulation http://www.diamondcs.com.au/freeutilities/apm.php Позволяет делать давольно сложные вещи, такие как выгрузка отдельных модулей процесса.
DLL Control by Sanja http://virusinfo.info/soft/DllCtrl.zip Программа коммандной строки позволяющая загружать и выгружать dll. Классика жанра - внедриться в процесс и вызвать "изнутри" этого процесса Использование: DllCtrl.exe -unloadall c:\virus.dll DllCtrl.exe -unload 1234(pid) c:\virus.dll DllCtrl.exe -unload notepad.exe c:\virus.dll -resolve
======= Реестр
Выследить прописку вируса в реестре вам также не составит труда. Даже самый изощрённый автозапуск будет отслежен. С помощью этих утилит вы также можете ограничить доступ к реестру, исключая его повреждение, либо восстановить его после вирусной атаки из резервной копии.
Regmon v7.* http://soft.softodrom.ru/ap/p942.shtml Логирование всех операций с реестром - открытие, запись, чтение... Есть система фильтров.
RegKey LastWriteTime Scaner http://russian.softpicks.net/softwa...er_ru-22416.htm Крохотная программа для поиска в реесте ключей, измененных/созданных в выбранном интервале времени. Найденные ключи можно быстро открыть в regedit.
ERUNT 1.* http://aumha.org/downloads/erunt.zip http://www.larshederer.homepage.t-online.de/erunt/ Утилита для сохранения и восстановления файла реестра, работающая через командную строку. По этой причине идеально подходит для настройки автоматического бэкапа с помощью планировщика заданий. Прога проста как две копейки, но работает великолепно.
======= Процессы
Процессы - самая интересная и важная часть. Чем быстрее вирусный процесс будет уничтожен, тем меньше дров зверь успеет наломать в системе. Приведённые программы способны не только обнаружить скрытый процесс, но и уничтожить его. Гарантия уничтожения - 100% - ничто не устоит и не скроеться. Процессы антивирусов и фаерволов тоже отлично гасятся =]
ProcViewer http://www.virusinfo.info/soft/ProcViewer1.rar Простая, но эффективная альтернатива таскменеджеру - показывает запущенные процессы. Видит скрытые процессы троянов, которые невозможно обнаружить при помощи большинства существующих просмотрщиков процессов.
Advanced Process Termination http://www.diamondcs.com.au/freeutilities/apt.php Програмка убивающая любые процессы. Может быть полезна что бы убить процессы созданные вирусами.
DelayDel http://www.virusinfo.info/soft/delaydel.rar Консольная программа сля удаления "неудаляемых" файлов после перегрузки. Использование: delaydel.exe <file>
Kernel PS v0.4 http://www.virusinfo.info/soft/knlps04.rar Если не справились предыдущие - эта прога не подведёт. Просто зверь - убъёт ЛЮБОЙ процесс. Программа работает с командной строкой. Позволяет получить список всех запущенных процессов, в том числе и скрытых. Не работает на Win9x/ME. Так же позволяет убить любой процесс, в том числе и защищённый системой, а так же процессы руткитов.
======= Автозагрузка
Оперативно просмотреть основные и не только основные ключи и места автозагрузки вам помогут эти программы. Крайне полезны не только для борьбы с заразой
Autoruns http://www.microsoft.com/technet/sys.../Autoruns.mspx Программа позволяющая просмотреть список программ запускающихся при старте Windows. Большое приемущество данной программы, это опция скрыть компоненты Windows имеющие цифровую подпись Microsoft. Это значительно облегчает поиск ненужных и вредных программ.
Silent Runners.vbs http://www.silentrunners.org Скриптик для анализа автозагрузки. Знает некоторые нестандартные методы запуска программ.
Starter 5.* http://soft.softodrom.ru/ap/p1038.shtml Очень полезная утилитка от CodeStuff (http://codestuff.mirrorz.com/). Программа позволяет управлять запуском программ при старте Windows (из мест типа Автозагрузка и реестра) и процессами при работе - все как на ладони, видно кто и что использует. Установка не требуется, все очень информативно и удобно. К тому же красиво. Может пригодиться при чистке реестра от вирусов.
======= Сторожи
Парочка утилит, которые работают в качестве сторожей и просто не позволят вирю забуриться, вовремя его остановив. Рекомендуються к применению.
Security Task Manager 1.6C http://www.neuber.com/taskmanager/ кряк под неё есть на www.keygen.ru Накрученный до предела task manager: - показ степени опасности запущенных процессов для системы - анализ инфы о производителе - путь к файлу - время запуска процесса - степень загрузки проца, его тип - тип окна: обычное окно, невидимое окно, библиотека, плагин для IE, и т.д. - сертификация процесса - анти-кейлогер - время запуска проги в симбиозе с запущеной
На основе выше написанной информации расчитывает рейтинг опасности.
WinTasks Pro v 5.0 Примерно тоже самое. Качественный анализ и оценка процессов в системе, подробнейшая информация о них.
======= Сетевая активность
Теперь несколько программ, мониторящих сетевые подключения. Они позволят вам получить минимальную информацию о сетевой активности. С помощью них, вы будете информированы о сетевых подключениях, состоянии подведомственных вам машин в сети.
TCPView v2.* http://www.microsoft.com/technet/sys...g/TcpView.mspx Мониторинг TCP\UDP соединений. В Windows NT, 2000 и XP TCPView даже отображает имя процесса, отображение адресата\отправителя. Включает в себя tcpvcon.
ShareEnum v1.* http://www.microsoft.com/technet/sys...ShareEnum.mspx Сканирует вашу сеть и мониторит параметры безопасности, указывает на дыры.
Remote Recover v2.* http://www.softpedia.com/get/System/...-Recover.shtml Имея доступ к системам через LAN или WAN, вы можете системным дискам x86 NT. Вы можете востанновить данные. При доступе на запись можно проверять chkdsk'ом, форматировать диски.
======= Контроль целостности файлов
MD5summer http://www.md5summer.org/ Отличная утилита, позволяющая подсчитать в указанной папке чек-сумму всех файлов по алгоритму md5\sh1. А затем при надобности - провести сравнение. Крайне полезная вещь - после установки на винду всех патчей делаешь чек-снимок файлов в C:\WINDOWS Очень мне помогла однажды, когда коварный трой умело спрятался в системе и возрождался как ни в чём ни бывало после перезагрузки... Если вдруг происходят подозрительные явления - проводишь сравнение - выявляешь изменённые файлы. Ну, далее в зависимости от опыта и желания - либо расковырять их дизассемблером, либо просто сменить на старые из зараннее сделанного бэкапа.
======= В борьбе с руткитами
Несколько программ, способных отлавливать самых опасный и изощрённый тип вируса - руткиты. Руткит опасен тем, что он тщательно прячеться, скрывает своё пребывание в системе. Антивирусы против них зачастую бессильны.
RootkitRevealer http://www.microsoft.com/technet/sys...tRevealer.mspx Программа для обнаружения руткитов от Sysinternals
VICE http://www.rootkit.com/project.php?id=20 Программа для обнаружения руткитов
Phunter http://www.virusinfo.info/soft/phunter.zip Программа для поиска скрытых процессов.
Antikit http://anti-virus.by/download_files/antikit.zip Програмка отлавливающая руткиты, обнаружить которые не может большинство антивирусов. Запуск из командной строки.
