Срочная компьютерная помощь
  ua   ru
Ремонт компьютеровРемонт ноутбуковВосстановление информацииКомпьютерная помощьКонтактная информация
Ремонт принтеровРемонт сканеровРемонт мониторовРемонт техникиСети Wi-Fi


  Поиск по сайту:
Главное меню

Бесплатная консультация




Акции




Вызов специалиста онлайн



Статьи и обзоры

4.1. Краткая классификация вредоносного ПО

    По классификации «Лаборатории Касперского» условно всюразновидность вредоносного программного обеспечения можно разделить на следующиекатегории:

♦ классические файловые вирусы;

♦ троянские кони;

♦ сетевые черви;

♦ хакерские утилиты и прочие программы, наносящие заведомый вред компьютеру, накотором они запускаются на выполнение, или другим компьютерам в сети.

    Термин "компьютерный вирус" вошел в обиход с появлением программ, выполняющихнекие действия (обычно деструктивного характера) без ведома пользователя и способныхзаражать другие файлы.

    Упоминания о первом компьютерном вирусе своими корнями уходят в те далекиевремена, когда привычный нам ПК, или "комп", работал под операционной системой MSDOS и гордо назывался ПЭВМ (персональная электронно-вычислительная машина).Происхождение термина "компьютерный вирус" в большей степени обязано понятиюбиологического вируса. Наверное, потому что так же, как и биологический вирус,компьютерный заражает объект (файл), после чего, размножаясь, заражает другие объекты.Эта упрощенная схема, несмотря на ее некоторую примитивность, оказалась чрезвычайноэффективна как способ существования, причем неважно, о чем идет речь: о вирусебиологическом или компьютерном.

    Сегодня, в век высоких технологий, проблема компьютерных вирусов стоит особенноостро. В настоящее время количество вирусов стремительно растет: по некоторым оценкам,сейчас их около 500 тыс. видов.

    Классические компьютерные вирусы

    Перейдем к рассмотрению типов компьютерных вирусов. Различные типыкомпьютерных вирусов могут различаться между собой по среде обитания и способузаражения.По среде обитания выделяют следующие типы вирусов:

♦ загрузочные;

♦ файловые;

♦ макровирусы;

♦ скриптовые.

    Чтобы размножиться, файловые вирусы могут:

♦ инфицировать исполняемый файл, который, будучи запущенным, заразит другие;

♦ создавать так называемые файлы-двойники (такие вирусы носят названиекомпаньон-вирусов);

♦ просто самопроизвольно начать создавать множество своих копий на жестком диске;

♦ использовать специфические особенности структуры файловой системы(link-вирусы).Вот пример из жизни.

    Достаточно часто встречающимся механизмом распространения вирусного кодаявляется заражение флэш-карты. При работе в зараженной среде вирус копирует себя нафлэшку. Далее она попадает на другой компьютер, и тут начинается самое интересное.Пользователь сам запускает на исполнение вирусный код, даже не подозревая об этом. Ещебы! Ведь заражение системы происходит в момент попытки просмотреть содержимое диска! Почему так происходит? Все дело в том, что для своего распространения вирус используетфункцию автозапуска содержимого диска. Картина заражения при этом следующая:

    ♦ в контекстном меню, открываемом при щелчке правой кнопкой мыши на флэш-диске,появляется выделенная полужирным строка Автозапуск(рис. 4.1);

    Рис. 4.1.Автозапуск содержимого уже «в силе»!

Рис. 4.1.Автозапуск содержимого уже «в силе»!

♦ в корне флэш-диска можно обнаружить файл автозапуска – AutoRun.inf (он скрытыйи имеет атрибут Системный);

♦ там же или в какой-либо другой папке – исполняемый файл.

Загрузочные вирусы прописывают себя на автозапуск одним из следующих способов:

♦ записав себя в загрузочный сектор диска (boot-сектор);

♦ записав себя в сектор, содержащий MBR (Master Boot Record – системный загрузчик);

♦ просто поменяв указатель на активный boot-сектор.

    Следует отметить, что популярность загрузочных вирусов пришлась на 1990-е годы.Однако вскоре количество загрузочных вирусов значительно уменьшилось, что связано спереходом на 32-битные операционные системы и отказом от использования дискет какосновного съемного носителя информации.

    Принцип работы загрузочных вирусов можно свести к тому, чтобы заставить системупри перезапуске считать в память и отдать управление не оригинальному коду загрузчика, акоду вируса.

    Интересно отметить, что при инфицировании диска такой вирус, как правило,переносит оригинальный boot-сектор в какой-либо другой сектор диска (чаще всего в первыйсвободный).

    Вышеперечисленные коварства загрузочных вирусов – отнюдь не исчерпывающийсписок. Заражение таким вирусом может обернуться не просто крахом системы, но иневозможностью последующей установки Windows. Как показывает практика, проблемыподобного рода успешно решаются, если использовать специализированные утилиты вродеNorton Disc Doctor.

    Макровирусы распространяются, используя богатые возможности макроязыков (рис.4.2).

Рис. 4.2.Один из макровирусов

Рис. 4.2.Один из макровирусов

    Активация макровируса происходит в момент открытия инфицированного документаформата Microsoft Office (Word, Excel и PowerPoint). Принцип работы макровируса основанна том, что офисное приложение при своей работе имеет возможность использовать (а вбольшинстве случаев использует постоянно) макросы. Такие макросы (например,автомакросы) автоматически исполняются в зависимости от состояний программы. Так, кпримеру, когда мы открываем документ с расширениемDOC, Microsoft Word проверяет его содержимое на присутствие макроса AutoOpen.

    При наличии такого макроса Word выполняет его. Когда мы закрываем документ,автоматически выполняется макрос AutoClose.

    Запускаем Word – автоматически вызывается макрос AutoExec, завершаем работу –AutoExit.

    Макровирусы, поражающие файлы Office, как правило, действуют одним из трехспособов.

♦ Автомакрос присутствует (и, соответственно, выполняется) в самом вирусе.

♦ Вирус переопределяет один из стандартных системных макросов (ассоциированный скаким-либо пунктом меню).

♦ Макрос вируса запускается, если пользователь нажимает какую-либоклавишу/сочетание клавиш. Получив управление, такой вирус заражает другие файлы –обычно те, которые в данный момент открыты.

    Продолжим наше знакомство с классификацией.

    По способу заражения вирусы делятся на:

♦ перезаписывающие (overwriting);

♦ паразитические (parasitic);

♦ вирусы-компаньоны (companion);

♦ вирусы-ссылки (link);

♦ вирусы, заражающие объектные модули (OBJ);

♦ вирусы, заражающие библиотеки компиляторов (LIB);

♦ вирусы, заражающие исходные тексты программ.

    Рассмотрим каждый из перечисленных типов подробнее.

    Перезаписывающие вирусы. Вирусы данного типа характеризуются тем, чтозаражают файлы путем простой перезаписи кода программы. «Стиль» работы такого вирусаможно назвать достаточно грубым, так как перезаписанная программа (файл) перестаетработать, к тому же из-за особенностей своей «вероломной» работы вирусы подобного родалегко обнаружить.

    Паразитические вирусы.Особенностью паразитических вирусов является их способзаражения файлов, а именно: вирус просто «вклинивается» в код файла, не нарушая егоработоспособность.Такие вирусы можно разделить по способу внедрения в тело файла.♦ В начало файлов (prepending):• когда вирус копирует начало заражаемого файла в его конец, а сам при этомкопируется в освободившееся место;• вирус просто дописывает заражаемый файл к своему коду.

    ♦ В середину файлов (inserting). При таком способе заражения вирус просто"раздвигает" файл и записывает свой код в свободное место. Некоторые из вирусов притаком способе заражения способны сжать перемещаемый блок файла, так что конечныйразмер файла будет идентичным тому, который был до заражения.

    Возможен и другой вариант внедрения в середину файла – так называемый метод"cavity", при котором вирус записывает свое тело в неиспользуемые области файла. Такиминеиспользуемыми, "пустыми" областями могут быть области заголовка EXE-файла,"пробелы" между секциями EXE-файлов либо область текстовых сообщений компилятора.

    ♦ В конец файлов (appending). Внедрение вируса в конец файла подразумевает, чтовирусный код, оказавшись в конце файла, изменяет начало файла, так что первымивыполняются команды вируса. Это достигается путем коррекции стартового адресапрограммы (адрес точки входа) в заголовке файла.

    EPO-вирусы– вирусы без точки входа. Особую группу вирусов представляют такназываемые вирусы без «точки входа» (EPO-вирусы – Entry Point Obscuring viruses). Такиевирусы при заражении файла не изменяют адрес точки старта. Как же они работают, ведь влюбом случае вирус должен получить управление? Все дело в том, что такие вирусызаписывают команду перехода на свой код в середине файла. Стартуют такие вирусы не призапуске зараженного файла, а при вызове определенной процедуры, передающей управлениена тело вируса. Запуск такой процедуры может произойти в редких случаях, в результатечего вирус может ждать внутри файла многие годы.

   Вирусы-двойники.К данной категории относят вирусы, создающие для заражаемогофайла файл-двойник. Алгоритм работы в данном случае обычно таков.

1. При заражении вирус переименовывает файл-жертву.

2. Записывает свой код на место зараженного файла под его именем.

3. Получив управление, вирус запускает оригинальный системный файл.

Скрипт-вирусы,как оно и следует из названия, написаны на различных языкахсценариев, таких, например, как VBS, JS, BAT, PHP и т. д. Вирусы данного типа не являютсяисполняемыми файлами формата EXE, их код скорее похож на команды, выполняемыедругими программами, виртуальной DOS-машиной и т. д.

    Троянские кони

    К данному типу относят программы, в основном специализирующиеся на воровствепаролей и другой конфиденциальной информации, удаленном управлении и т. д. Болееподробно о троянских конях читайте в разд. 4.3.

Рис. 4.3.«Антивирус Касперского 7.0» распознал mac2006 (инструмент для подмены mac-адреса) как самый настоящий Hack-Tool!

Рис. 4.3.«Антивирус Касперского 7.0» распознал mac2006 (инструмент для подменыmac-адреса) как самый настоящий Hack-Tool!

    Руткиты

    Сам термин «rootkit» был заимствован из UNIX-среды. Понятие rootkit использовалосьдля описания инструментов, применяемых для взлома – получения прав root.

    В контексте других операционных систем, и прежде всего Windows, rootkit следуетрассматривать как программный код или технику, позволяющую скрыть самыеразнообразные объекты (процессы, файлы и т. д.). В простейшем случае под rootkit можнопонимать любое вредоносное ПО, использующее продвинутые техники для своего сокрытияв системе (более подробную информацию о руткитах вы можете получить в подразд."Руткит-технологии" разд. 5.3 следующей главы).

    Сетевые черви

    Если средой распространения вирусов можно считать файловую систему операционнойсистемы, то средой распространения червей является сеть. Сетевые черви для своегораспространения могут использовать самые разнообразные из сетей/ сетевых технологий:

♦ Интернет и электронная почта;

♦ системы обмена мгновенными сообщениями;

♦ файлообменные сети типа P2P;

♦ IRC-сети;

♦ LAN-сети;

♦ сети мобильных устройств (телефоны, карманные компьютеры) и т. д.

    Черви, так же как и вирусы, распространяются в виде исполняемых файлов, нонекоторые из них ("пакетные" черви) существуют как набор пакетов.

    Чтобы инфицировать удаленную систему, черви могут использовать самыеразнообразные технологии, но самым популярным и по сей день остается проникновениепосредством брешей в системе безопасности операционной системы и сетевых приложений.Ярким примером червя является MS Blast, наделавший в свое время много шума.  

    ПРИМЕЧАНИЕ

    Изначально червь писался, чтобы в n-ое время одновременно с зараженныхкомпьютеров осуществить DoS-атаку на сервер Microsoft, однако из-за ошибки в его коде этого не произошло. Вместо скоординированной атаки на серверзараженные машины пользователей начинали стихийно перезагружаться.

    Кратко рассмотрим некоторые из разновидностей червей.

♦ E-mail-Worm – почтовые черви. Как оно и следует из названия, черви данного типараспространяются, используя возможности электронной почты. Запустившись на локальномкомпьютере (такое часто происходит, если пользователь безответственно относится кприкрепленным файлам, пришедшим невесть от кого и откуда), такие черви автоматическисканируют содержимое жесткого диска в поиске новых адресов электронных почтовыхящиков, чтобы отправить свои копии.

♦ IM-Worm – черви, использующие интернет-пейджеры. Данная категория червей длясвоего распространения активно использует список контактов интернет-пейджера.

♦ IRC-Worm – черви в IRC-каналах. Для своего распространения используютIRC-каналы.

♦ P2P-Worm – черви для файлообменных сетей. Черви данной категориираспространяются по Р2Р-сети банальным копированием своих копий в общедоступныекаталоги.

    Некоторые другие виды вредоносного ПО

    Эксплоит (Exploit), HackTool. К данной категории относят утилиты, предназначенные(особенно касается эксплоитов) для выполнения произвольного кода либо DoS (Denial ofService – отказ в обслуживании) на удаленной системе. Эксплоит, как правило, – программана C++, PHP либо Perl-сценарий, использующий уязвимость операционной системы либоприложения, установленного на атакуемом компьютере. HackTool – более широкое понятие,подразумевающее какой-либо инструмент, используемый хакером для взлома (см. рис. 4.3).

    Constructor– конструкторы вирусов и троянских коней. Программы подобного типаспособны генерировать как исходные тексты вирусов, так и непосредственно самиисполняемые файлы. Как правило, инструменты подобного рода включают в себя модулисамошифровки, противодействия отладчику и другие инструменты против обнаруженияантивирусной программой.

    FileCryptor, PolyCryptor– сокрытие от антивирусных программ. К данной категорииотносят утилиты, способные шифровать вирусный код, делая его неузнаваемым со стороныантивирусных программ (более подробно о сокрытии вирусного кода читайте в разд. 5.3).

    Nuker– фатальные сетевые атаки. Утилиты данного типа способны организоватьудаленный отказ в обслуживании системы (DoS) путем отправки на удаленный хостспециальным образом сформированного запроса (серии запросов). Как пример – SmbDie,реализующий уязвимость службы NetBios.

    Bad-Joke, Hoax– злые шутки, введение пользователя в заблуждение. К даннойкатегории относят, по сути, безвредные программы, способные выводить различного роданеординарные сообщения (например, о форматировании диска, хотя никакогоформатирования на самом деле не происходит).

    4.2. Выбираем лучший антивирус

    Совершенный антивирус – утопия или продукт ближайшего будущего?Совершенного продукта быть не может в принципе. О каком бы антивирусномпродукте ни шла речь, как бы его ни расхваливали создатели, все, что мы имеем насегодняшний день, – это всего лишь попытка ответить на вызов вирусописателей, не упавлицом в грязь.

    Ну что ж, чтобы разогреть читателя, в качестве живого примера уместно привести,пожалуй, следующий. Данный пример особенно интересен тем, что его реализация нетребует знания языков программирования.Итак, сейчас мы напишем простейший учебный вирус, который будет ни много нимало – форматировать диск D:(рис. 4.4).

Рис. 4.4.Исходный код нашего учебного скрипт-вируса

Рис. 4.4.Исходный код нашего учебного скрипт-вируса

    ПРИМЕЧАНИЕ

    Не пытайтесь запустить вирус под Windows XP: код актуален для систем,использующих autoexec.bat.Пропускаем нашего «зверя» через сканер «Антивируса Касперского 7.0» (рис. 4.5).Как видите, результат не заставил себя ждать. Но подождите, это не самое интересное.Сейчас мы подправим один символ (из быстрого форматирование превратится в медленное)(рис. 4.6).

    Наш код преспокойно проходит проверку (рис. 4.7).Итак, если после наших экспериментов у вас не отпало желание устанавливатькакой-либо антивирус вообще, значит, вы на правильном пути. Ведь главное – понять:совершенного продукта нет, однако к этому можно приблизиться.

Рис. 4.5.Реакция «Антивируса Касперского7.0» на скрипт-вирус

Рис. 4.5.Реакция «Антивируса Касперского7.0» на скрипт-вирус

Рис. 4.6.Слегка модифицируем нашего «зверя»

Рис. 4.6.Слегка модифицируем нашего «зверя»

Рис. 4.7.Опасных объектов не обнаружено!

Рис. 4.7.Опасных объектов не обнаружено!

    Так что же нам выбрать и какой антивирус все-таки лучший? Не в силах большесопротивляться первому вопросу, попытаемся объективно ответить, определив кругнаиболее достойных и выбрав из них одного лучшего.

    Основанием нашей оценки послужат результаты:

♦ ведущих антивирусных лабораторий мира;

♦ независимых экспертных групп, включая результаты наблюдений и активных тестовсамого автора.Начнем, пожалуй, с результатов тестов независимого российскогоинформационно-аналитического портала по информационной безопасности.

    Тест на обнаружение

    Суть теста в том, что в каждом тестируемом антивирусе запускалась задачасканирования по требованию каталога с огромным количеством вирусных экземпляров(detection rate test).

    Тест проводился на машине Intel Pentium 4 2600MHz, 512MB DDRAM с установленнойMicrosoft Windows XP Professional SP1.

    Тестовая база вирусов насчитывала 91 202 вируса (коллекция VS2000, сформированнаясовместно с антивирусными компаниями "Лаборатория Касперского", F-Prot, RAV, Nod32,Dr.Web, Sweep, BitDefender и McAfee). Вирусы в коллекции не повторяются и не имеютуникальных имен согласно антивирусной программе AT LEAST 1.

    Все вирусные экземпляры были распакованы (не было файлов ZIP, RAR, ACE и т. д.),имели корректные расширения файлов согласно специальной программе Renexts и былиуникальны по контрольной сумме (checksum32).

    Файлы вирусных экземпляров для тестирования были следующих типов: BAT, BIN,CLA, CLASS, CLS, COM, CSC, DAT, DOC, ELF, EML, EXE, HLP, HQX, HTA, HTM, IMG,INF, INI, JS, MAC, MDB, MSG, OLE, PHP, PIF, PL, PPT, PRC, REG, SCR, SH, SHS, SMM,STI, TD0, TPU, VBA, VBS, WBT, XLS, XMI, XML.

    Все тестируемые программы на момент тестирования имели актуальные версии собновленными базами данных и максимальными настройками сканирования (включеннаяэвристика, полное сканирование и т. д.). Настройки по умолчанию не использовались, попричине того что они не обеспечивают максимально возможное качество обнаружениявирусов.

    Итак, из списка в 26 антивирусов мы видим следующие результаты по обнаружениювредоносных программ.

1. "Антивирус Касперского Personal Pro 5.0.20" – 99,28 %.

2. F-Secure Anti-Virus 2005 5.10.450 – 97,55 %.

3. eScan Virus Control 2.6.518.8 – 96,75 %.

4. Symantec Anti-Virus Corporate 9.0.3.1000 – 91,64%.

5. Norton Anti-Virus 2005 – 91,57 %.

6. McAfee VirusScan 9.0.10 – 89,75 %.

7. BitDefender Anti-Virus 8.0.137 – 88,13 %.

8. Panda Platinum 2005 Internet Security 9.01.02 – 87,75 %.

9. RAV Anti-Virus (куплен Microsoft) 8.6.105 – 87,26 %.

10. FRISK F-Prot Anti-Virus 3.16b – 87,07 %.

11. Panda Titanium Anti-Virus 4.01.02 – 86,27 %.

12. Trend Micro PC-Cillin 2005 12.1.1034 – 85,98 %.

13. Eset Nod32 2.12.4 – 85,66 %.

14. Authentium Command 4.92.7 – 84,92 %.

15. H+BEDV AntiVir 6.30.00.17 – 84,50 %.

16. Alwil avast! 4.6.623 – 79,65 %.

17. Dr. Web 4.32b – 78,71%.

18. Sophos Sweep 3.91 – 73,79 %.

19. UNA Anti-Virus 1.83 – 73,49 %.

20. Norman Anti-Virus 5.80.05 – 65,32 %.

21. Grisoft AVG7.0.308 – 54,07%.

22. Computer Associates E-Trust Antivirus 7.0.5.3 – 52,35 %.

23. ZoneAlarm (VET Antivirus) 5.5.062.011 – 52,32 %.

24. VirusBuster 2005 5.0.147 – 51,51 %.

25. ClamWin 0.83 – 48,44 %.26. AhnLab V3 Pro 2004 – 38,87 %.Вывод: как видим, первое место в данном сравнительном тестировании занял"Антивирус Касперского".

    ПРИМЕЧАНИЕ

    На момент написания книги самой новой версией "Антивируса Касперского"была седьмая. Учитывая, что в тесте была использована пятая версия программы, вданном случае можно говорить о качественном движке линейки продуктов вцелом.Второе и третье места в данном рейтинге достались F-Secure Anti-Virus и eScan VirusControl соответственно.

    ПРИМЕЧАНИЕ

    Кстати, F-Secure Anti-Virus и eScan Virus Control используют антивирусныйдвижок от "Лаборатории Касперского" по OEM-соглашению.Ну что ж, некоторая закономерность уже прослеживается. Идем дальше.

    Тест на поддержку упаковщиков

    Как известно, одним из приемов сокрытия вирусного кода является использованиеупаковщиков, которые так модифицируют вирусный код, что делают его практическинеузнаваемым со стороны антивирусов. Грубо говоря, чем большее количество упаковщиковзнает антивирус, тем больше шансов того, что он успешно обнаружит заразу.

    В данном тесте принимали участие антивирусные продукты 17 производителей, средикоторых:

♦ Avast!;

♦ Avira;

♦ Computer Associates;

♦ Eset, F-Secure;

♦ Grisoft;

♦ McAfee;

♦ Panda Software;

♦ Sophos;

♦ Symantec;

♦ Trend Micro;

♦ "ВирусБлокАда";

♦ Dr.Web;

♦ "Лаборатория Касперского";

♦ "Украинский Антивирусный Центр".

    Тест проводился на следующих вредоносных программах, которые были выделены всоответствии со специально выбранной методологией:

♦ Backdoor.Win32.BO_Installer;

♦ Email-Worm.Win32.Bagle;

♦ Email-Worm.Win32.Menger;

♦ Email-Worm.Win32.Naked;

♦ Email-Worm.Win32.Swen;

♦ Worm.Win32.AimVen;

♦ Trojan-PSW.Win32.Avisa;

♦ Trojan-Clicker.Win32.Getfound.

    Данные вредоносные программы модифицировались с использованием 21 типаупаковщиков (последних на момент проведения теста версий), также выделены всоответствии с выбранной методологией, среди них:

♦ ACProtect 1.32;

♦ ASPack 2.12;

♦ ASProtect 2.1 buid 2.19;

♦ Dropper 2.0;

♦ EXECryptor 2.3.9.0;

♦ ExeStealth 2.76;

♦ Morphine 2.7;

♦ NsPack 3.7;

♦ Obsidium 1.2.5.0;

♦ ORiEN 2.12;

♦ Packman 1.0;

♦ PECompact2 2.78a;

♦ PESpin 1.304;

♦ Petite 2.3;

♦ Private exe Protector 1.9;

♦ UPX 2.01w;

♦ WinUpack 0.39 final;

♦ yoda's Cryptor 1.3;

♦ yoda's Protector 1.0b.

    Итак, вот, собственно, и результаты тестов (табл. 4.1).

    Таблица 4.1. Результаты тестов на обнаружение упакованных вирусов

Таблица 4.1. Результаты тестов на обнаружение упакованных вирусов

    ПРИМЕЧАНИЕ

    F-Secure Anti-Virus 2006 использует лицензированный движок от"Лаборатории Касперского".

    Вывод: мы видим, что достойные результаты по поддержке упаковщиков показаливсего 5 из 17 протестированных антивирусов, среди которых оказались следующие.

1. Anti-Virus F-Secure.

2. "Антивирус Касперского".

3. BitDefender.

4. Dr.Web.

5. Eset Nod32.

    Ну что ж, вполне очевидно, что, помимо лидеров предыдущего теста наколичественное обнаружение ("Антивирус Касперского Personal Pro 5.0.20", F-SecureAnti-Virus 2005 5.10.450 и eScan Virus Control 2.6.518.8), в гонку за звание "лучшийантивирус" вступили еще три продукта: BitDefender, Dr.Web, Eset.

    Лидером же нашей виртуальной гонки пока остается продукт "Лаборатории Касперского", занимающий первое абсолютное место по результатам вышеописанных тестов.

    Тест на лечение активного заражения

    В тесте принимали участие антивирусные продукты 15 производителей, среди которыхAvast!, AVG, AVZ, Avira, BitDefender, Eset, F-Secure, McAfee, Panda Software, Sophos,Symantec, Trend Micro, «ВирусБлокАда», «Доктор Веб», «Лаборатория Касперского».

    Тест проводился на следующих вредоносных программах (названия указаны поклассификации "Лаборатории Касперского"), которые были выбраны в соответствии сопределенными требованиями:

♦ Adware.Win32.Look2me;

♦ Adware.Win32.NewDotNet;

♦ Backdoor.Win32.Haxdoor;

♦ Trojan-Proxy.Win32.Xorpix;

♦ Email-Worm.Win32.Scano;

♦ Email-Worm.Win32.Bagle;

♦ Trojan-PSW.Win32.LdPinch;

♦ Worm.Win32.Feebs;

♦ Trojan-Clicker.Win32.Costrat;

♦ Trojan-Spy.Win32.Goldun.

    Итак, вот, собственно, и результаты теста антивирусов на лечение активногозаражения.

1. Norton AntiVirus 2007 (80 %).

2. "Антивирус Касперского 6.0" (70 %).

3. BitDefender Antivirus 10 (50 %), Eset NOD32 Antivirus 2.7 (50 %), Sophos Anti-Virus 6.0 (50 %).

    Вывод: очевидно, что в данном тесте Norton AntiVirus 2007 показал себя с лучшейстороны, заняв первое место.

    Второе и третье места занимают уже знакомые нам продукты "Антивирус Касперского6.0" и BitDefender Antivirus 10 (50 %), Eset NOD32 Antivirus 2.7 (50 %),Sophos Anti-Virus 6.0 (50 %) соответственно.

    Ну что ж, учитывая результаты предыдущих тестов, а также настоящий тест, общийрезультат выглядит следующим образом.

1. "Антивирус Касперского 6.0" – первое место.

2. BitDefender Antivirus 10 – второе место.

3. Eset NOD32 Antivirus 2.7 – третье место.

4. Norton Antivirus – четвертое место.

    Это еще не конец.

    «Virus Bulletin».Теперь обратимся к результатам тестов авторитетногомеждународного британского издания по тестированию антивирусных программ «VirusBulletin».Ниже приведен обновленный рейтинг антивирусов, основанный на результатахтестирования, которые опубликованы английским журналом "Virus Bulletin"в феврале 2007 года.Согласно методике оценки антивирусов, высшую оценку, то есть "VB100%", получаютантивирусы, которые смогли обнаружить все вирусы, входящие в так называемый список"диких" вирусов (WildList) .У многих из наших читателей может возникнуть резонный вопрос: что такое список"диких" вирусов и почему так важно именно его использовать для получения объективныхрезультатов тестов.

    Так вот, список этот представляет собой модель стандартизации вирусов, собранныхнезависимыми экспертами. Перед тем как попасть в данный список, каждый новый вирусподвергается проверке. Использование данного списка исключает какую-либосубъективность результатов тестирования, которая может возникнуть при использованиипроизвольной коллекции вирусов.

    Итак, результаты "Virus Bulletin" представлены в табл. 4.2.

    Обозначения:

♦ "+" – антивирусы, которые смогли определить 100 % вирусов из списка "диких"вирусов (WildList);

♦ "-" – антивирусы, которые не смогли идентифицировать все вирусы изиспытательного набора;

♦ "Испытания не проведены" – испытания этого антивируса для данной платформы непроводились.

    Вывод: невооруженным глазом видно, что первое и второе места в данномавторитетном рейтинге делят между собой Eset (NOD32) и "Антивирус Касперского6.0.2.546".

    Ну что ж, момент истины.

    Подводя итог, необходимо сказать следующее: по совокупным результатамприведенных тестов лидером среди антивирусных продуктов следует признать продукт"Лаборатории Касперского" – "Антивирус Касперского 6.0". На втором месте увереннорасполагается NOD32.

    Каждый из двух антивирусов, соответственно, имеет свои плюсы и минусы. Так,"Антивирус Касперского" можно смело устанавливать в систему, "богатую ресурсами" (сболее 512 Мбайт оперативной памяти и мощным процессором). Благодаря гибкойконфигурируемости и набору модулей (модуль проактивной защиты, поиск руткитов и т. д.)он окажется незаменимым помощником при работе в агрессивных вирусных средах. Придолжном уровне настройки данный антивирус окажется весьма неплохим помощником припоиске "хитрой" модифицированной "заразы".

    Таблица 4.2. Результаты "Virus Bulletins – рейтинг антивирусов по состоянию нафевраль 2007 г.

Таблица 4.2. Результаты

    В то же самое время антивирусный продукт NOD32 можно посоветовать для установкина «слабые» машины, где «притормаживание» системы может оказаться крайненежелательным. Как и «Антивирус Касперского», NOD32 имеет качественный движок ипроработанную систему эвристики, что позволяет рекомендовать его как альтернативноерешение при выборе лучшего антивируса.

    4.3. Защищаем свой компьютер от троянских коней

    По греческому преданию, ахейцы, когда отступали, оставили в «подарок» Троеогромного деревянного коня. Троянцы как дар ввезли его в город Трою. Ночьюспрятавшиеся в коне ахейцы поубивали часовых и открыли ворота в город, чтобы впуститьосновные войска. С тех пор выражение «троянский конь» стало нарицательным – дар врагу,чтобы погубить его. В рамках данного раздела мы поговорим с вами о троянских конях. Чтоэто такое, какими они бывают, как можно подхватить эту заразу и как уберечься от нее. Инаконец, самое главное – что делать, если вы все-таки стали жертвой троянского коня.

    Сразу следует сделать маленькое, но существенное уточнение. Троянский конь – это нето же, что вирус. В отличие от вирусов, которые в основном "убивают" операционнуюсистему и форматируют диски, троянские кони по своей сути существа весьма мирные.Сидят себе спокойно и делают свое черное дело.

    Основная область компетенции этой части вредоносного ПО – воровствоконфиденциальной информации, паролей с последующей передачей всего этого добрахозяину. В классическом варианте троянский конь состоит из клиента и сервера. Сервернаячасть инсталлируется на машине у жертвы, клиентская – у хозяина, то есть у того, кто создалтроянского коня или просто модифицировал его, заставив работать на себя (такое тожебывает и даже чаще, чем написание троянского коня с нуля). Связь клиента и сервераосуществляется через какой-либо открытый порт. Протокол передачи данных обычноTCP/IP, но известны троянские кони, которые используют и другие протоколы связи, такиекак ICMP и даже UDP.

    Человек, который занимается написанием троянских коней, умело маскирует их. Одиниз вариантов – замаскировать троянского коня под какую-либо полезную программу. Послеее запуска сначала происходит выполнение его кода, который затем передает управлениеосновной программе. Троянский конь также может быть просто, но эффективнозамаскирован под файл с любым дружественным расширением, например GIF.Приведем некоторые примеры троянских коней.

    ♦ Ворующие пароли:

    • Trojan-PSW.Win32.QQPass.du – китайский троянский конь, ворующийWindows-пароли;

    • Bandra.BOK – скачивается на компьютер жертвы при посещении определенногосайта, пытается украсть пароли от определенных банковских сайтов;

    • Bancos.LU – сохраняет пароли во временных файлах, а затем пытается отослать иххозяину;

    • Banker.XP – собирает конфиденциальные данные, пароли, счета и т. д., отправляя ихна определенный адрес.

    ♦ Утилиты удаленного администрирования– backdoor ("потайная дверь"):

    • Backdoor.Win32.Whisper.a – троянский конь со встроенной функцией удаленногоуправления компьютером;

    • Back Orifice – позволяет постороннему контролировать ваш ПК как свой собственный(более подробно об этой программе см. далее).

    ♦ Программы-дозвонщики отличаются тем, что могут нанести жертве значительныйфинансовый урон, устанавливая соединение с зарубежным интернет-провайдером: такимобразом, с телефонного номера абонента происходит установление "незаказанного"международного соединения, например с островами Кука, Сьерра-Леоне, Диего-Гарсиа илидругим диковинным регионом в зависимости от чувства юмора создавшего программу:

    • Trojan-PSW.Win32.DUT;

    • Trojan-PSW.Win32.Delf.gj;

    • PSWTool.Win32.DialUpPaper.

    ♦ Троянские кони типа клавиатурных шпионов способны отслеживать нажатия клавишклавиатуры и отсылать эту информацию злонамеренному пользователю; это можетосуществляться по почте или отправкой прямо на сервер, расположенный где-либо в Сети:

    • Backdoor.Win32.Assasin.2 ;

    • Backdoor.Win32.BadBoy;

    • Backdoor.Win32.Bancodor.d.

    ♦ Загрузчики – представляют собой троянского коня, загружающего из Интернетафайлы без ведома пользователя; загружаемое может быть как HTML-стра-ницаминецензурного содержания, так и просто вредоносным ПО:

    • Trojan-Downloader.Win32.Agent.fk – представляет собой Windows PE EXE-файл.Размер зараженных файлов существенно варьируется;

    • Trojan-Downloader.Win32.Small.bxp – троянский конь первоначально был разосланпри помощи спам-рассылки. Представляет собой Windows PE EXE-файл. Имеет размероколо 5 Кбайт. Упакован FSG. Размер распакованного файла около 33 Кбайт.

    ♦ Дропперы (Dropper) – троянские кони, созданные для скрытной установки в системудругих троянских коней (пример – Trojan-Dropper.Win32.Agent.vw).

    ♦ Proxy-серверы – троянский конь устанавливает в вашу систему один из несколькихпрокси-серверов (socks, HTTP), а затем кто угодно, заплатив хозяину троянского коня, либосам его создатель совершает интернет-серфинг через этот прокси, не боясь, что его IP-адресвычислят, так как это уже не его IP, а ваш!

    ♦ Деструктивные троянские кони – помимо своих непосредственных функций сбора иотсылки конфиденциальной информации, могут форматировать диски и убиватьоперационные системы.Как подхватить "заразу"? Вы можете поймать вирус одним из следующих способов.

    ♦ Скачивая файлы из сомнительных источников.

    ♦ С помощью электронной почты – самый распространенный способ заражения.Несмотря на многочисленные предупреждения, прогрессирует благодаря методамсоциальной инженерии. Прикрепленный файл, даже если он выглядит как картинка, можетбыть удачно замаскированным троянским конем.

    ♦ Через дискету, CD, флэш-диск либо другой сменный носитель – довольнораспространенный способ заражения.

    ♦ Просто выйдя в Интернет без установки последних обновлений Windows.Эти пути проникновения неновы, однако именно они наиболее часто используютсязлоумышленниками.

    Довольно оригинальный способ заражения – через autorun при попытке прочитатьсодержимое CD или флэшки. Как вы уже догадались, autorun.exe в данном случае выступаетв довольно оригинальной роли. Лучшим способом защиты может стать отключениеавтозапуска на всех сменных носителях.

    А теперь горячий пример, который, как я надеюсь, поможет вам лучше разобраться всути троянизации, заглянув "по ту сторону баррикад".

    Наш герой – Back Orifice.Без преувеличения будет сказано, с азартным трепетом ичувством глубокого уважения к создателям рассмотрим «анатомию» самой известной инашумевшей в свое время утилиты удаленного администрирования – Back Orifice (BO).

    С чего же все началось? Наверняка история создания знаменитого BO была бынеполной без упоминания ее создателей – известнейшей хакерской группы "Cult of the DeadCow" (cDc). Основанная в середине 1980-х, команда с достоинством прошла огонь, воду имедные трубы и до сих пор процветает и здравствует.

    В 1993 году участник группы – Drunkfix – создал официальный сайт в Сети, после чегоизвестность хак-группы начала распространятся не только через BBS. Большую заслугу вобретении широкой известности cDc внес один из участников группы – Ratte, который играл роль вроде пресс-атташе.

    1 августа 1998 года на конференции Defcon один из членов группы – Sir Dystic –представил Back Orifice широкой публике. Как заявил автор, его детище – лишьподтверждение того, насколько уязвима может быть Windows.

    Очень скоро BO приобрела статус троянского коня: антивирусные базы пополнилисьзаписями типа BackDoor: BOrifice, Trojan.Bo – чему, собственно, удивляться особенно и неприходится, ведь BO с успехом можно использовать и для удаленного управления чужимПК. Графический, интуитивно понятный интерфейс программы и ее внушительныевозможности произвели настоящий фурор, после чего в известных кругах установка BO начужой ПК превратилась во что-то вроде увлекательного соревнования.

    Back Orifice работает по принципу "клиент – сервер" и позволяет удаленноадминистрировать ПК, на котором предварительно установлена серверная часть.

    С выходом новой версии Back Orifice 2000, поддерживаемой Windows NT и имеющейоткрытый код, популярность "народного любимца" достигла своего апогея. ОтносительноBO начала высказываться и Microsoft: программа, мол, не является прямой угрозой дляWindows и требует со стороны атакующего установки серверной части на машину жертвы.Так или иначе, а на сегодняшний день знаменитый Back Orifice классифицируется как самыйнастоящий троянский конь.

    По современной классификации ,BO в базах данных различных антивирусных компаний выглядит следующим образом:

♦ Backdoor.Win32.BCa ("Лаборатория Касперского");

♦ Orifice.svr (McAfee);

♦ W32.HLLP.Clay.dr (Symantec);

♦ BackDoor.BOrifice (Doctor Web);

♦ Troj/Orifice-A (Sophos);

♦ Backdoor:Win32/BOClay (RAV);

♦ BKDR_BO.58 8 80 (Trend Micro);

♦ Trj/BOr (Panda);

♦ Back_Orifice.Dropper (Eset).

    Согласно классификации "Лаборатории Касперского", BO (как и другие утилитыудаленного администрирования) могла вовсе и не попасть в "черный список", если бы неодно но. При запуске серверной части отсутствуют какие-либо предупреждения:"продвигаясь вглубь", троянский конь незаметно устанавливает себя в системе и затем беретее полностью под свой контроль, при этом жертве не выдается никаких сообщений одействиях троянского коня в системе. Более того, в списке активных приложений ссылка наBO отсутствует.

    Распространяется BO как пакет, включающий в себя серверную часть (boserve.exe илиbo2k.exe), клиентскую часть (bo2kgui.exe) и файл конфигурации сервера (bo2kcfg.exe). Вдополнение к трем перечисленным компонентам пакет может содержать плагины идокументацию.

    Все три компонента программы написаны на C++ и откомпилированы Microsoft VisualC++. Все программы имеют формат Portable Executable и могут выполняться только в средеWin32.Как вы уже поняли, основной программой в пакете является boserve.exe, он жеbo2k.exe. Следует отметить, что при установке на целевой ПК сервер можно обнаружить поддругими именами, вплоть до system, explore, в зависимости от фантазии того, кто конфигурировал сервер.

    Вторым файлом является boconfig.exe, он же bo2kcfg.exe, назначение которого –первичная настройка сервера. Программа конфигурации позволяет производить самыеразнообразные настройки, вплоть до склейки сервера с каким-либо другим исполняемымфайлом. Зачем это нужно, думаю, объяснять не стоит.

    И наконец, посредством чего осуществляется удаленное управление серверной частью– клиентская часть – bo2kgui.exe.

    При запуске серверной части происходит следующее: сервер BO настраивает под себянужные порты, в результате чего открытым оказывается порт 31337.

    ПРИМЕЧАНИЕ

    Кстати, цифра 31337 известна не только благодаря тому, что порт 31337является портом по умолчанию BO. Дело в том, что 31337 в околохакерских кругахозначает ни много ни мало, а "элита".

    Следует учесть, что при заражении BO порт 31337 может молчать, ведь никто немешает настроить работу сервер/клиент на другой порт. При заражении в системномкаталоге Windows появляется файл windll.dll. Далее троянский конь определяет адресанескольких Windows API, ищет свою копию в памяти и выгружает ее, если обнаруженастарая версия утилиты; попросту говоря, троянский конь сам себя обновляет. После вышеперечисленного BO, как и любой уважающий себя троянский конь, копируется всистемный каталог Windows (), прописывая себя на автозапуск в следующем ключе реестра:

    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices

    После того как троянский конь закрепляется в системе, он начинает слушать 31337UDP-порт, оставаясь в памяти Windows как скрытое приложение (то есть без активного окнаи ссылки в списке приложений).

    После того как сервер получил команды от клиента, намашине жертвы возможно развитие следующего сценария:

♦ сервер высылает своему истинному хозяину различную информацию о системе: типпроцессора, размер памяти, версия системы, установленные устройства и т. п.;

♦ сервер открывает для общего доступа диски, делая их видимыми из сети.

    Таким образом, удаленный пользователь получает полный контроль над зараженнойсистемой: операции удаления, копирования, вплоть до форматирования, становятсянастолько же реальными, как если бы вы работали за своим собственным ПК. Помимоперечисленного, удаленный пользователь имеет возможность: отключать текущегопользователя от сети, подвешивать систему, убивать процессы, получать и отправлятькэшированные пароли, выводить текстовые сообщения, проигрывать звуковые файлы и т. д.

    Выше перечисленные возможности отнюдь не являются "верхом" того, на что способенBO: чтобы расширить список функций, достаточно скачать пару новых плагинов (plug-in) – ивсе!

    Вернемся к нашей защите.

    Если ваш антивирус упорно молчит, а возможность присутствия троянского конявысока, то можно попробовать обнаружить шпиона, воспользовавшись специальнымиутилитами вроде Trojan Remover либо другими аналогичными продуктами. Как показываетпрактика, этот способ доступен даже самому неопытному пользователю ПК.

♦ Advanced Spyware Remover – утилита, предназначенная для защиты персональногокомпьютера от вредоносных программ и шпионских модулей и позволяющая избавиться отрекламных программ, дозвонщиков, программ-шпионов, клавиатурных шпионов, троянскихконей и т. д. Advanced Spyware Remover проверяет системный реестр на наличие в немключей, принадлежащих вышеперечисленным типам вредоносных программ. Ее главнойотличительной особенностью перед аналогами является высокая скорость работы сканера иобновляемая антишпионская база сегментов вредоносного кода.

♦ SpyDefense – программа для обнаружения шпионских модулей; позволяет найти иобезвредить достаточно приличное количество компьютерных шпионов.

♦ Arovax AntiSpyware – утилита для удаления программ-шпионов. На сегодняшнийдень в антишпионской базе утилиты содержится свыше 33 тыс. сегментов вредоносногокода.

♦ Microsoft AntiSpyware – система разработки Microsoft для борьбы с вредоноснымипрограммами и шпионскими модулями. Как утверждает разработчик, утилита держит подконтролем более 50 так называемых spyware-путей, по которым в компьютер могут попастьшпионские модули.

4.4. Практический экзорцизм – изгоняем «зло-код» голыми руками

    Проверено автором. Если в процессе работы антивирусов, чистильщиков, сканеров ипрочего вы все-таки почувствовали, что экзорцист – это вы, а порции адреналина получаеткто-то другой, то непременно, даже не задумываясь, вам обязательно следует «убить» егособственными руками.

    Для ритуала нам понадобятся:

♦ светлая голова и работающая Windows;

♦ Редактор реестра;

♦ минимальный набор специальных программ (Starter, ADinf).

    Как правило, процедура безопасного избавления от вредоносного ПО включает в себяряд стадий, главными из которых будут следующие.

    1. Завершение "зло-процесса".

    2. Уничтожение исполняемого файла.

    3. Уничтожение записи в реестре, принадлежащей вирусу/троянскому коню.

    Технология убийства процесса, принадлежащего "чужому", несложна и сводится квыделению процесса в списке Диспетчера задачи нажатию кнопки Завершитьпроцесс.Понятное дело, что следующие процессы трогать не стоит: Explorer, Lsass, Services,System, Winlogon, Vsmon, Ctfmon, Svchost, Csrss, Smss. Естественно, помимо перечисленных,в Диспетчере задач можно обнаружить и другие процессы – те, которые принадлежатзапущенным и резидентно выполняющимся приложениям. Это, например, avp,принадлежащий «Антивирусу Касперского», zonealarm, принадлежащий брандмауэру, и т. д.Особое внимание следует обратить на так называемые процессы-маскировщики,имитирующие истинные: explore, sys, svshost, winlogin, systrey и т. д.

    При невозможности остановки "зло-процесса" средствами Диспетчера задач можновоспользоваться утилитой Process Explorer или ей подобной (например, вышеупомянутойAnti-Spy Info).

    Здесь следует упомянуть о множестве подводных камней, с которыми можетстолкнуться пользователь, пытающийся "высадить" заразу из системы:

♦ никто не запретит вредоносному коду висеть в Диспетчере задачпод «легальным»именем (например, svchost);

♦ "зло-процесс" может вообще не светиться в Диспетчере задач– такое вполневозможно.

    Вторая стадия нашего ритуала подразумевает удаление тела "зло-кода". Но опять снекоторым уточнением.

♦ Удаление такого файла может стать непреодолимым препятствием: система простозапретит удалять ею используемый файл. В этом случае удалить вирус можно будет толькоиз другой среды (например, используя Live-CD) или, предварительно переименовавподозрительный файл, удалить его одним из возможных способов.

♦ Возможен также вариант, когда "зло-код" изменяет настройки Windows, так чтобыпользователь не мог видеть скрытые файлы (в числе которых и сам вирус).

♦ Если вирус внедрится в один из легально используемых системой файлов – кого тогдамы будем удалять?! К счастью, большинство из вариантов подобного рода несостоятельныизначально: в системе Windows присутствует служба SFC, следящая за грубой подменойсистемных файлов.

♦ Возможен также вариант, когда файл будет удален, но по прошествии некотороговремени легко и просто "восстанет из пепла". Как такое может быть? Да очень просто. Хотябы посредством технологии "watch dog" (от англ. "сторожевой пес"), когда вирус илитроянский конь для своей работы использует два взаимоподдерживающих файла: в случаеудаления первого второй реанимирует его, и наоборот.

♦ Более продвинутый "зло-код" внедрится прямо в адресное пространство одного издоверенных процессов (например, IE, Opera и т. д.). Физически такой код будетприсутствовать только в оперативной памяти! Результат – никаких следов на диске. Решениепроблемы напрашивается само собой, исходя из специфических особенностей работы такогокода…

    Будем считать, что у читателя не возникнет трудностей с удалением исполняемогофайла заразы. Но для начала его надо найти!

   Одним из возможных вариантов такого поиска может стать поиск системных файлов,дата создания которых отличается от остальной массы аналогичных файлов. Как этосделать? Просто. Для просмотра даты создания открываем проводник Windows, после чего в меню Вид выбираем Таблица,затем Вид Выбор столбцов в таблице и устанавливаем флажок напротив Дата создания.Щелкнув кнопкой мыши на шапке таблицы, выбираемсортировку по убыванию даты создания, после чего самые новые файлы окажутся в началесписка. Системные файлы, чья дата создания отличается от «основной» для таких жеаналогичных файлов, должны насторожить.

    ПРИМЕЧАНИЕ

    Достаточно эффективным способом обнаружения вредоносного кода можетстать простой контроль новых файлов в системной директории средствамиоперационной системы Windows через Пуск ► Поиск. В простейшем случае такойконтроль может быть сведен к поиску файлов, созданных, к примеру, сегодня.

    К слову будет сказано, идея о том, чтобы контролировать появление новых файлов нажестком диске, достаточно проста, но, как показала практика, более чем эффективна.Удачная ее реализация – программа-ревизор ADinf32. Ревизор, в отличие от полифагов (а кданной категории относится большинство антивирусных программ), в свежих базах ненуждается.

    Принцип работы ADinf32 основан на сохранении в специальной базе основных данныхо каждом логическом диске в системе. При первом запуске в таблицах запоминаются объемоперативной памяти, образы главного загрузочного сектора, загрузочных секторов, списоксбойных кластеров, структура дерева каталогов, длины и контрольные суммы файлов. Когдавирусный код заражает компьютер, он изменяет объект, в который внедряется исполняемыйфайл, главный загрузочный сектор, FAT-таблицу – что-то да изменит. Если ревизоробнаруживает на диске изменения, характерные для действия вируса/троянского коня, онпредупреждает об этом пользователя. Важным отличием ADinf от других существующихпрограмм-ревизоров является доступ к дискам без использования функций операционнойсистемы. Такой метод доступа к дискам позволяет успешно обнаруживать стелс-вирусы(вирусы-невидимки).

    При условии что был сделан снимок чистой системы, найти и стереть "лишний" файлне составит особого труда (рис. 4.8).

    Третьим пунктом в нашем ритуале изгнания должно стать удаление "зло-записи" изреестра. Существует множество широко известных ключей автозапуска, в которыепрописываются вирусы, черви, троянские кони и другие программы, пытающиесявнедриться в атакуемую систему.

    Запись на автозапуск "зло-кода" может быть здесь:

    HKCUSOFTWAREMicrosoftWindowsCurrentVersionRunHKLMSOFTWAREMicrosoftWindowsCurrentVersionRun

    А также здесь:

HKEY_CURENT_USERSoftwareMicrosoftWindowsCurrentVersionRunonce

HKEY_USERS.DefaultSoftwareMicrosoftWindowsCurrentVersionRun

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunonce

Рис. 4.8.Программа ADinf32 в действии

Рис. 4.8.Программа ADinf32 в действии

    Вышеперечисленные ветки реестра можно считать самыми распространенными путямизапуска, однако эти записи составляют далеко не исчерпывающий список.

    Удалить запись, принадлежащую непрошеному гостю, можно, запустив редакторреестра (откройте меню Пуск,щелкните на ссылке Выполнитьи в появившемся окневведите команду regedit) или же воспользовавшись специализированными утилитами типаStarter (рис. 4.9).

Рис. 4.9.Утилита Starter в действии

Рис. 4.9.Утилита Starter в действии

   И напоследок один из примеров излечения системы от вируса, который при своейработе просто-напросто отключал "Антивирус Касперского 7.0", Nod32, Dr.Web и другоеантивирусное программное обеспечение. Вирус присутствовал в базах перечисленныхантивирусов, но отключал их прежде, чем они пытались удалить его.

    Выход оказался достаточно простым: в данном случае эффективным средством противупреждающей деструктивной деятельности такого вируса оказалась загрузка системы из-подучетной записи с пользовательскими привилегиями (до этого момента систему загружалииз-под прав администратора, и вирус, соответственно, имел практически неограниченныепривилегии, в том числе и возможность управления антивирусным ПО).

    В связи с этим уместно упомянуть одно из главных правил антивирусной безопасности:вирусный код может все то, что может пользователь.Вывод: работа с пользовательскими правами в системе значительно снижает как рискзаражения, так и возможные деструктивные последствия запуска вредоносного кода.


    Выезд компьютерного мастера в районы: Троещина, Оболонь, Позняки, Теремки, Борщаговка, Шулявка, Дарница, Соломенка, Осокорки, Лесной, Березняки, Подол, Виноградар, Демеевка, Русановка, Лукьяновка, Татарка, Академгородок, Святошино, ДВРЗ, Гончарка, Голосеево, Академгородок, Беличи, Корчеватое, Китаево, Жуляны, Борисполь, Бровары, Вышневе




Ссылки