Összefoglalás Mi a vírus!

Miért kell félni?

A vírus lehet bevezetni háromféle fájlok: parancs fájlokat (kiterjesztésű fájlok BAT), terhelhető meghajtók (fájlokat a SYS vagy BIN beleértve io.sys MSDOS.SYS) és a futtatható bináris fájlok (kiterjesztésű fájlokat EXE, COM). Lehetséges bevezetése a vírus a adatfájlokat, de ezekben az esetekben az eredménye akár vírus hibák, vagy a megnyilvánulása az agresszív tulajdonságai a vírus. Természetesen az esetleges vírusok fertőzik a fájlokat, amelyek tartalmazzák a forráskódot, a könyvtárban és tárgymodult, de hasonló módon a vírus terjedésének túl egzotikus.

Boot (törmelék) vírusok a rendszerindító (boot) floppy lemez szektor és a BOOT-szektor vagy Master-Boot szektor (MBR) a merevlemez. Amikor a vírus megfertőzze a lemez a legtöbb esetben magában hordozza az eredeti boot-szektor (vagy MBR) vagy bármely más ágazatban a lemez (például első elérhető). Ha a vírus hosszabb, mint a hossza a szektor, a szektor kerül megfertőzi az első része a vírus, a fennmaradó részek kerülnek más ágazatokban (például az első szabad). A vírus bemásolja a rendszer tárolt információt az eredeti rakodó saját kódját és kiírja a boot szektor (MBR ez az információ a partíciós tábla, boot szektor a floppy _ BIOS Parametr blokkot.)

A polimorf vírusok vagy virusy- „szellemek”. Elég nehéz a vírusokat, amelyek nem rendelkeznek állandó aláírás (maszkok), azaz Ez nem tartalmaz semmilyen maradandó kód részét. A legtöbb esetben a két minta azonos szellem vírus nem lesz mérkőzés.

Ezt úgy érjük el, titkosítja a legfőbb szerve a vírus és módosítások a dekóder.

Hozzászólások ellen, a vírus fertőzött számítógépen.

Ha az AVP üzenet kiadott gyanúja, hogy fertőzött olyan vírus a tárgy, tegye a következőket:

másolja a gyanús fájlokat egy floppy lemezre a szokásos módon, ha a gyanú ki bármelyik fájlt;

másolja a rendszer tartalmazó szektor Boot-szektor (boot sector), Master Boot Record (Master Boot Record), Partition Table (asztal particionálás) segítségével speciális programok (például a Norton Disk Edit), ha a gyanú ki a rendszer ágazatban;

bármilyen módon, hogy a gyanús tárgyak forgalmazók (kereskedők), akitől megvásárolta az AVP, vagy közvetlenül a Kaspersky Lab.

Resident vírus amikor megfertőz egy számítógépet hagy memória rezidens része, amely aztán elfogja rendszer kéri, hogy a fertőzött objektumok (fájlok és indító szektorok), és megfertőzi. Resident vírusok a memóriában, és aktív, amíg a shutdown vagy indítsa újra a számítógépet (más egyes vírusok „túlélni” újraindítás). A nem rezidens vírusok nem fertőzik meg a számítógép memóriájában, és aktív korlátozott ideig. Egyes vírusok hagyja kis memória rezidens programokat, amelyek nem a vírust. Az ilyen vírusok kell tekinteni a nem rezidens.

A következő csoport a vírusok lehet megkülönböztetni a funkciók az algoritmus:

Vírusok műhold - olyan vírusok, amelyek nem módosítják a fájlokat. Az algoritmus a munka ezen vírusok az, hogy hozzon létre egy EXE fájlt, hogy műholdas fájlokat az azonos nevű, de a kiterjesztés COM. A vírus van írva a COM fájlt, és nem változtatja meg a futtatható fájlt. Amikor futtatja ezt a DOS fájl első, hogy felfedezzék és hajtsa végre a COM fájlt, amely a vírus, amely aztán elindítja és EXE fájlt.

Parazita - minden vírus, hogy amikor terjesztésére, önmagában szükségszerűen megváltoztatják a tartalmát a lemezszektorokat és fájlokat. Ebbe a csoportba tartozik az összes vírust, amely nem férgek vagy műholdak.

Student - nagyon primitív, gyakran nem-rezidens, és amely számos hibát.

Stealth vírusok (Stealth vírusok), amelyek rendkívül bonyolult program, amely felfogja a DOS a fertőzött fájlokat, vagy szektorok és helyettesítő önmagában nem szennyezett területek információkat.

Vírusok ghost (polimorf) kellően könnyen kimutatható vírusok nem rendelkező állandó aláírás (maszkok), azaz Ez nem tartalmaz semmilyen maradandó kód részét. A legtöbb esetben a két minta azonos szellem vírus nem lesz mérkőzés. Ezt úgy érjük el, titkosítja a legfőbb szerve a vírus és módosítások a dekóder.

Mivel nem ismert esetben a fertőzés az IBM-kompatibilis számítógép hálózat „férgek” és virusy- „műhold” általában nagyon egyszerű algoritmust, és kevesebb, mint 0,5 százalék az ismert vírusok, csak vírusokat kell tekinteni kapcsolódik a „parazita”.

Tünetei a vírus.

A fő a vírusfertőzés tüneteit a következők:

Lassíts egyes programok.

Méretének növelése fájlok (főleg futás).

A megjelenése előtt nem léteztek a furcsa fájlokat.

Csökkentése a rendelkezésre álló memória (összehasonlítva egy hagyományos működésmód).

Megelőzés és a kezelési módszer a vírusok.

Ha a számítógép nem fertőzött KakWorm'om (azaz nem nyílt a fertőzött üzenet), hogy megszabaduljon a féreg tegye a következőket:

átmenetileg tiltsa le az AVP Monitor;

fut a levelező program;

eltávolítani a fertőzött üzeneteket minden mappából (megnyitás nélkül);

tömöríteni az összes mappa;

aktiválja az AVP Monitor.

Ha a számítógép már fertőzött KakWorm'om, akkor tegye a következőket:

Vegyük le a fióktelep "HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run" registry kulcs "cAg0u =" C: \ WINDOWS \ SYSTEM \ (név) .hta "ahol" (név) „- egy 8 karakteres nevet ( például 68DAEF80.HTA).

Törölje az alábbi fájlokat:

KAK.HTA a C: \ Windows

KAK.HTM a C: \ Windows \ System

(Név) .HTA a C: \ Windows \ System, ahol (név) - egy 8 karakteres név

KAK.HTA a C: \ Windows \ Start Menu \ Programs \ Startup

Távolítsuk el az alapértelmezett aláírást az e-mail kliens.

Törölje az összes fertőzött üzeneteket az összes mappában (lásd fent).

Bár a telepítés a féreg I-Worm.PrettyPark másolni egy fertőzött fájlt a Windows rendszer könyvtárába néven FILES32.VXD és regisztrálja azt a rendszerleíró adatbázisban, így FILES32.VXD fájl töltődik be, ha elkezdi az egyes programokat. Ehhez a féreg létrehoz egy új regisztrációs kulcsot, amely együtt jár a kulcs FILES32.VXD fájlt (másolata a féreg). A fájl kiterjesztése a VXD, de ez nem egy VxD-illesztőprogram Win95 / 98, de teljesen normális programot Windows32.

Ahhoz, hogy teljesen megszabadulni a PrettyPark tegye a következőket:

átnevezheti regedit.exe a regedit.com;

futni regedit és telepítése

"HKEY_CLASSES_ROOT \ exefile \ shell \ open \ command" a "" % 1 "% *";

futni AVP és kezeli a számítógépet,

átnevezés regedit vissza.

Amikor a rendszer telepítése, a féreg létrehozza a Windows rendszer könyvtárába, majd Ska.exe SKA.DLL fájlokat, és menti WSOCK32.DLL nevű fájlt WSOCK32.SKA és hozzáfűzi a kód szegmens WSOCK32.DLL fájlt.

Eltávolítása a fertőzött fájlokat:

El kell távolítania és SKA.EXE SKA.DLL fájlokat a Windows rendszer könyvtárába, hogy cserélje ki a fertőzött fájl található WSOCK32.DLL fertőzött példányt WSOCK32.SKA. Azt is megtalálja és törölje az eredeti EXE-fájlt HAPPY99.EXE.

Hogy tovább megvédeni a számítógépet a féreg csak be kell állítani az attribútumot „csak olvasható” a WSOCK32.DLL fájlt. A féreg nem képes megfertőzni a rendszert ebben az esetben, mert nem kezeli a fájl attribútumokat.

Ha ön egy rajongó az új programok, játékok, és vezet az aktív levelezést e-mailben, és használja a Word, vagy csak szeretné, hogy kövesse a fenti szabályokat, akkor kell használni a víruskereső szoftvereket. Melyik víruskereső a legjobb? Minden attól függ, az Ön ízlése és preferenciái, így eldöntheti, hogy. Számos paramétereket lehet hasonlítani a különböző anti-vírus együtt. Ítélve a saját tapasztalat azok használatát és a szakértők véleménye, anti-vírus szoftver, egy tisztességes használatra kell „know how”:

hozna létre floppy lemez;

átvizsgálja a boot szektor, és hozzon létre egy másolatot az eredeti boot szektort;

szkenfájlokat archívumokat is beleértve (.ARJ ZIP RAR ..);

szkennelési memória;

automatikusan ellenőrzi a lemezt, hogy egy előre meghatározott ütemterv;

átvizsgálja beérkezett fájlokat a számítógépre, és elérésekor egy lemezre vagy hálózati eszköz, ezeket az eszközöket beolvasni a keresési vírusok;

ha újraindítja a csekket, nem maradt a floppy meghajtóba, és figyelmezteti a felhasználót;

ellenőrzi a lemezt a háttérben;

kimutatására makrovírusok Word dokumentumok és Excel;

A lista nem kicsi, de kötelező. Egyébként a jó egy ilyen program nem lesz. Amellett, hogy a fent említett anti-vírus legyen megbízható, gyors és könnyen használható ( „nincs fennakadás” és egyéb technikai problémák), minőségileg a vírusokat minden közönséges nincs „hamis pozitív”, képesek gyógyítani a fertőzött tárgyak, időről időre (minél több, annál jobb ) frissített (frissítve új vírus adatbázis), hogy multi-platform (DOS, Windows, Windows 95, Windows NT, Novell NetWare, OS / 2, Alpha, Linux, stb), és képes legyen a hálózat irányítását.

Ma már több vezető antivírus csomag: magyar vírusellenes Toolkit Pro Eugene Kaspersky Laboratory (www.avp.ru) és Dr. Web of "DialogueScience" (www.drweb.ru), valamint a Nyugat-McAfee Total Virus Defense Network Associates (www.macafee.com), Norton AntiVirus A Symantec (www.symantec.com) és mások.

Témaválasztás antivírus egy külön vitát, így a következő kérdés arra fogunk koncentrálni, részletesen a legújabb verzió ezeket a termékeket, mi kell érteni az összes azok erősségeit és gyengeségeit, és még tölteni néhány tesztet. Viszlát jövő hónapban. Megvédje magát és nem betegednek meg!

Ez azt jelenti, hogy sokkal, és bajnok Love Bug, és a nyertesek (a Code Red vírus volt költsége a világ 2,6 milliárd Sircam költségek körülbelül $ 1 milliárd és a Nimda - .. 590 millió USD.).

De pihenni, persze, lehetetlen, mert a vírusírók éber, és folyamatosan jön valami új és kifinomult.

A számos online szolgáltatás Runet hozzátéve víruskereső alkalmazás. AV-online cég portál és Informer.ru bemutatta a közös projekt. Most, webes felhasználók képesek lesznek telepíteni a modult a saját honlapjukon, amelyen keresztül lehet távoli fájl vírusokat. View, néz ki, mint egy új modult, kattintson ide.

szolgáltatás az algoritmus a következő: a fájlokat, hogy ellenőrizze a használó az informátor betöltött AV-line szerver, ahol DrWeb csomag segítségével végzik el az ellenőrzést. Amellett, hogy a hitelesítési eljárás, a felhasználók is elérhetik a fájlt statisztikák hitelesített.

Saját sorozat Informer meghívott "Kaspersky Lab". A szerkezet a sorozat olyan modulokat, amelyek hírek, VirusList.com projekt. értékelés top10-vírus és egy listát a legaktívabb vírus a nap.

Magyar fejlesztő vírusvédelmi rendszerek cég „Kaspersky Lab” jelentette be a felfedezés, egy új internetes féreg I-Worm.Updater. Ez már több fertőzés a vírus.

Tervezési lehetőségeket betűkkel Updater több vírus. Line „alany” négy részre oszlik, és a véletlenszerűen generált az alábbi listából:

1. rész: „Neked”, „Meg kell”, „Just”, „miért nem te”, „Hogyan”, „Re:”, „Előre”. „”

2. rész: "Check", "Check out", "Vigyázz", "Open", "Nézd"

3. rész: „ez”, az „én”, „E”, „A”

4. rész: "Kép", "Program", "Patch", "Nude pic", "jelentés", "Documment", "Idézet", "Tranzakció", "Bank Account", "WTC tragédiája", „Osama Vs Bush "" számla "" Private Pic "

Például: meg kell nézni ezt Osama Vs Bush

szerve a levél a következő:

Ez a fájl kérni, kérjük mentse el a lemezt, és megnyitja a fájlt, ez nagyon fontos.

Vlozhennyyfayl-nositelchervyamozhetimetimena: "setup.exe", "install.exe", "README.EXE", "Files.exe", "Picture.exe", "Quotation.Doc.exe", "Letter.Doc.exe" "Picture.jpg.exe"

„Updater” van a kellemetlen mellékhatások. Ez létrehoz egy rosszindulatú script programot UPDATE.VBS, eltárolja a Windows Startup könyvtárba, és végrehajtja. Ez a program megkeresi kiterjesztésű fájlok EXE. DOC és .vbs és megteremti számukra társait tartalmazó fájlok egy példányát a féreg. Ezek társ fájl azonos nevű, mint az eredeti fájlt, valamint egy „második” bővítése .vbs. Például: MPLAYER.EXE.vbs REPORT.DOC.vbs

Ajánlások a felhasználók nem eredeti: Ne nyissa fájlokat (főleg futtatható), amely a gyanús e-maileket.

Anti-virus cégek elterjedt az üzenetet egy új vírus-féreg nevű Gone (más nevek: Pentagone és halott). Annak ellenére, hogy ez a vírus nem különbözik bonyolult, terjed nagyon gyorsan. Brit cég MessageLabs azt mondta, hogy a postai szolgáltató blokkolta több mint 23 millió példányban ezeket a vírusokat. A cég szerint, tegnap délután az Egyesült Királyságban fertőzött üzenet érkezik, amelynek mértéke 100 darab percenként.

Jön az e-mail csatolt fájlban, hogy a levelet a neve Gone.scr, hogy van, akkor álcázott képernyővédő. Az üzenet fejlécében költségek csak egy szó: „Hi”. Szöveg a levél törzsében az alábbi: „Hogy van Amikor megláttam ezt a képernyővédőt, rögtön gondoltam, hogy én vagyok a harry, megígérem szeretni fogja azt ..!” ( „Hé, amikor megláttam ezt a képernyővédőt, rögtön gondoltam. Nincs időm most, de ígérem, ízleni fog”). Vírus terjed csak e-mail program Microsoft Outlook a Windows számítógépek, a többi nem működik.

Elfújta a fertőzött számítógépes vírus leállítja a legtöbb anti-vírus és biztonsági programokat, és törli az összes fájlt tartalmazó mappák ezeket az alkalmazásokat. Különösen a vírus megkeresi és eltávolítja az AVP víruskereső az „Kaspersky Lab” és a ZoneAlarm biztonsági szoftverek gyártása és Zone Labs Black Ice Internet Security Systems.

Eltávolítása után a védelem a számítógép, a vírus egy párbeszédablak jelenik meg a nevüket és a nevét az alkotók Pentagone, valamint megköszönte a felhasználók az interneten. Ezután a vírus telepíti a programot a számítógépen „hátsó ajtón”, hogy lehet használni a hackerek támadások, mint a „szolgáltatás megtagadása” ellen az IRC chat szerver.

Antivírus cégek erősen javasoljuk, hogy frissítse a víruskereső szoftvert, és ne nyissa meg az e-maileket, feltéve, hogy a fenti leírás.

Halott féreg terjed e-mailben. Fertőzött üzenet a következő formában:

Tárgy: "Hi"

Telopisma: „Hogy van?

Amikor megláttam ezt a képernyővédőt, rögtön gondoltam rólad

Én egy harry, ígérem imádni fogják! "

A csatolt file: GONE.SCR.

Ahhoz, hogy aktiválja a „halott” felhasználó fut a host fájlt a féreg (GONE.SCR), ami után kezdődik az eljárás bevezetésének kártékony kódot az áldozat számítógépén. Ehhez „halott”, írja a kódot a Windows rendszer könyvtárába ugyanazon a néven (GONE.SCR) és regisztrálja ezt a fájlt a részben a Windows registry indításakor. Így a féreg automatikusan elindul minden alkalommal, amikor újraindítja az operációs rendszert.

„Halott” is megpróbálja elküldeni saját másolatait használja az azonnali üzenetküldő ICQ. Erre ő folyamatosan figyeli a listán az aktív (online) felhasználók, és időről-időre megpróbálja nekik egy fájlt a féreg. Hogy elrejtse jelenlétét a rendszerben, és a jogosulatlan művelet ICQ „halott” állandóan ellenőrzi a nevét az újonnan megjelenő ablakban, és bezárja az ablakot szolgáltatás ICQ.

Amellett, hogy az internet terjedése féreg is végez egy támadás az IRC-csatornán keresztül #pentagonex twisted.ma.us.dal.net szerver. Ahhoz, hogy ezt elérjük, a fertőzött számítógép csendben fut rosszindulatú szkript használó program mIRC kliens rendszeresen létrehozza a felhasználó csatorna véletlen nevekkel. Egyes esetekben ez oda vezethet, hogy a túlterhelés a szolgáltatás és természetesen irritálja más IRC-csatornán játékosok.

Kapcsolódó cikkek