Vírus - helyszíni programozó és a blog
«Kis» - ez a neve a vírus, amely terjed a cserélhető adathordozókon egy rejtett «hordozható» mappát. Ez a vírus Visual Basic nyelven íródott, és a mérete 188 KB.
Talán nem kell időt tölteni kutatja a vírus által írt néhány iskolás az opcionális számítástechnika osztályok, de meg kell tisztelegni a Teremtő a vírus: a támadó elsajátította egy új regisztrációs kulcs [HKEY_CURRENT_USER \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon]. Ezt megelőzően, a vírusírók fiatal csak tudott a létezéséről szakasz program indításakor: [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run]. Később, a diákok kitalálta, hogy használja a kulcsot «Shell» kezdeni a vírus «explorer.exe» programban.
Így Little.exe vírus indításkor bekerül a könyvtárba «C: \ Users \ Test-PC \ AppData \ Roaming \», ahol a futtatható fájl neve «insnts.exe». Meg kell jegyezni, az ilyen magatartás a vírus általában fut az operációs rendszer a Windows 7. A Windows XP, a fájl elérési útját más lesz, mint az alapértelmezett Windows XP, a felhasználó fut root, illetve a vírus lesz több hatáskörét. A vírust azonban megkezdődött a normál felhasználói fiók a Windows 7 és regisztrált futtatni egy hozzáférhető registry kulcsot.
Vírust észlel a rendszer, azt azonnal megpróbálták eltávolítani, és felejtsd el, de a vírus csak megy, hogy feladja. A folyamatok listáját a vírus nem jelenik meg, de ne engedd meg magadnak, hogy távolítsa el, hogy egyszerűen eltávolítjuk, ahogy azt használja egy másik folyamat, vagy inkább «explorer.exe».
A második dolog, amit akartam venni -, hogy módosítsa «Shell» gomb ághoz [HKEY_CURRENT_USER \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon], de a vírus ismét hozzáadunk az elérési utat a futtatható fájlt a vírus «Shell» registry kulcsot.
Természetesen, ha megpróbál feltölteni egy listát a «explorer.exe» folyamatok «insnts.exe» vírus fájl törölhető gond nélkül, de többre is képes érdekes módon, ahogy azt a későbbiekben kifejtem.
Mint láttuk, ha fut egy vírus regisztrálja a rendszer regisztrációs alatt [HKEY_CURRENT_USER \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon]:
A malware megváltoztatta a paramétert «Shell» registry kulcs «explorer.exe» a «explorer.exe C: \ Users \ Test-PC \ AppData \ Roaming \ insnts.exe», vagyis amellett, hogy a dob «explorer.exe» at számítógép kezd elindulni, mint egy vírus. «Test-PC» itt a fiók nevét, logikus lenne azt feltételezni, hogy a fiók nevét akkor más lesz, de a lényeg nem változik.
Ha nem biztos benne, amelyek alapján fiókjába dolgozik, illetve, hogy hol találja a kulcsot „Shell”, majd nyissa meg a registry következők :. nyomja meg a billentyűkombináció «Win + R» ablak, és a „Run”
Írja be a parancsot «regedit» ebben az ablakban, és kattintson az «OK». Most következetesen nyilvánosságra ághoz [HKEY_CURRENT_USER \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon] és adja meg a fióktelep «Winlogon», a jobb oldalon látható a «Shell» registry kulcsot.
Lehet kísérletezni eltávolítása vagy cseréje «Shell» kulcsparaméterét, de a vírus ellenőrzi a paraméter kulcs «C: \ Users \ Test-PC \ AppData \ Roaming \ insnts.exe». Ha megpróbálja megváltoztatni vagy kiegészíteni olyan levél vagy szimbólum ebben a sorban, a vírus duplikált azonnal «Shell» gombot a paraméter az elérési utat a futtatható fájlt a vírus. Ha töröl egy «Shell» gombot, a vírus azonnal teremt újra. Mit csinálsz, ha nem tudja szerkeszteni kívánt gombot minket?
Írjunk egy egyszerű Bat-fájlt. Tehát nyitott Notepad és írja be a következő két sort benne:
attrib -s -h -r C: \ Users \ Test-PC \ AppData \ Roaming \ insnts.exe
Nézzük foglalkozik a változó. A zárójelben a mi utunk a hazai írott Bat-fájlt. Továbbá, miután a pontosvessző indít «explorer.exe» műsort, majd ismét van egy vessző, és a perjel, de most csak az utat, hogy a vírus «Little.exe».
Mi folyik itt, és miért a vírus már nem változtat meg semmit? A válasz egyszerű: mielőtt az elérési utat a futtatható fájl, akkor hozzá egy perjel, és a vírus nem észrevenni a változásokat.
A második sor már eltávolítja a fájlt, amelyből eltávolítottuk az attribútumokat. Eltávolítása útján történik «del» csapat. A számítógép tudja, milyen fájlt szeretnénk törölni a csapat «del» számolunk a teljes elérési utat is a fájlhoz.
Ha most fut a fájl «DelLittle.bat» semmi sem fog történni, mert a fájl «explorer.exe» alkalmazás. Ezért mi változott a «Shell» gomb módja: «D: \ DelLittle.bat, explorer.exe, / C: \ Users \ Test-PC \ AppData \ Roaming \ insnts.exe».
Amikor elindítja a számítógépet első indításakor hoztunk létre «DelLittle.bat» majd «explorer.exe», mivel a vírus fájl nem indul el, mert már előadott perjel a tizedesvessző után. Legyen óvatos, ha tesz egy perjel a tizedespont előtt, a program «explorer.exe» nem indul, és akkor csak egy fekete képernyő. Bár semmi rettenetes fog történni, a vírus eltűnik. Ezért fontos, hogy adja ki a megfelelő perjel, hogy a vírus nem tudott elindulni, és mivel minden, ami a jobb oldalon, a perjel kell tekinteni, mint egy további paramétert. Ésszerű azt feltételezni, hogy a program «explorer.exe» nincs lehetőség a «C: \ Users \ Test-PC \ AppData \ Roaming \ insnts.exe», akkor semmi sem fog történni.
Ezek után a manipulációk indítsa újra a számítógépet. Miután a számítógép bekapcsolása, biztosítani tudjuk, hogy nincs fájl «insnts.exe» itt «C: \ Users \ Test-PC \ AppData \ Roaming \» mappát. Majd csak be kell állítani a paramétereket «Shell» gomb megfelelően. Távolítsa el az összes «explorer.exe». Ez azt jelenti, hogy a kulcs a paraméter nem lehet vessző, nincs törtvonal, amint a program Explorer «explorer.exe».
Ezen a ponton nem tud egy hatalmas, nem nyomja meg az «Enter» szerkesztése után «Shell» kulcsparaméterét.