Антивирус говорит что троян

Обновлено: 04.07.2024

Что произойдет в случае заражения системы вредоносной программой, например вирусом или трояном? Можно ли в этом случае очистить и восстановить Windows? Команда немецкой лаборатории AV-Test постаралась ответить на данные вопросы. Организация провела тестирование 7 антивирусов и 5 специализированных инструментов восстановления и выяснила, насколько они эффективны при устранении последствий вредоносного заражения.

Приходилось ли вам удалять систему Windows, форматировать диск и переустанавливать приложения после вредоносного заражения? Согласитесь, это кошмарный сценарий для многих пользователей, потому что для этого требуется очень много времени и сил. Может, есть другие способы возвращения контроля над инфицированной системой?

Если следовать советам на специализированных форумах, то чуть ли не единственной эффективной мерой называется чистая установка операционной системы на ПК. Результаты испытания AV-Test доказывают, что существуют гораздо более быстрые и менее трудоемкие альтернативы.

Тестирование: 12 антивирусных решений

Каковы последствия атаки, зараженного вредоносным кодом приложения? Обычно зловред сначала получает контроль над ключевыми компонентами системы Windows. Некоторые вредоносные приложения пытаются незаметно существовать в фоновом режиме, составляя звено ботнета. Другой вредоносный код может давать постоянную нагрузку на центральный процессор, например для майнинга криптовалют.

На самом деле, неважно, что именно делает вредоносный код, первостепенная задача - избавиться от него как можно скорее. Как раз эту задачу могут выполнять антивирусные программы и специализированные утилиты очистки - они удаляют вредоносные образцы и отменяют губительные изменения.

В первые шесть месяцев 2018 года лаборатория AV-Test провела тестирование 7 антивирусных решений и 5 специализированных инструментов восстановления для Windows 10 на удаление вредоносных образцов, их сопутствующих компонентов и следов, и на восстановление системы после вредоносных изменений.

В тесте принимали участие 7 антивирусных продуктов:

В тесте принимали участие 5 специализированных инструментов удаления:

Методика тестирования

Данное тестирование является очень длительным и трудоемким, потому что требует большой доли ручного труда, а методики тестирования антивирусов и инструментов очистки несколько отличаются. В первоначальном испытании антивирусные продукты устанавливаются уже в зараженную тестовую систему. Таким образом, моделируется сценарий, когда пользователь работал с незащищенной системой, а затем решил попытаться восстановить систему уже после вредоносной атаки. Во втором тесте, антивирусы были установлены в чистую систему, но их защитные функции были отключены, а затем происходило заражение вредоносным кодом. В этом случае моделировалась ситуация, когда антивирусная программа не обнаруживала угрозу первоначально, а выполняла обнаружение и удаление позже.

В случае со специализированными утилитами система Windows изначально была заражена вредоносным ПО, после чего развертывался инструмент очистки. В этом процессе использовался загрузочный DVD-диск или USB устройство флеш-памяти. Затем запускалась среда восстановления, как правило на базе Linux, и инструменты выполняли очистку и восстановление Windows из внешней среды.

Итоги тестирования

После завершения тестовой фазы, системы Windows сканировалась и сравнивалась с эталонной системой. На данном этапе эксперты лаборатории могли установить, была ли система восстановлена в свое первоначальное состояние или очистка и восстановления прошли безуспешно. Команда AV-Test принимала во внимание следующие результаты:

• Были ли обнаружен образец вредоносной программы или нет
• Были ли удалены активные и непосредственно опасные компоненты вредоносной программы или нет
• Количество файлов-остатков, которые не представляют опасности
• Количество успешно очищенных и восстановленных систем

В целом, результаты данного тестирования оказались хорошими. За одним исключением, антивирусные решения отлично справились с задачей восстановления зараженной системы. Среди протестированных специальных инструментов, есть программы, которые смогут эффективно помочь в чрезвычайной ситуации.

Среди антивирусных программ можно выделить много надежных помощников в очистке. Лучше всех отработали продукты от Bitdefender и “Лаборатории Касперского”. Они безошибочно очистили 42 тестовые системы и только в 2 случаях оставили безвредные остатки. Защитник Windows и Symantec оказались немного позади с 41 успешно очищенной системой и 3 случаями с безопасными остаточными файлами. Avast и Avira надежно восстановили 40 тестовых систем и проигнорировали не представляющие опасности остатки в 4 случаях.

Только продукт Malwarebytes не смог выполнить очистку системы в двух случаях, потому что не распознал вредоносную программу. Еще в 2 случаях продукт оставил без внимания остаточные файлы. Тем не менее, Malwarebytes успешно очистил 40 тестовых систем.

Что касается специализированных инструментов очистки, то в данной категории результаты выглядят скромнее. Лучших результатов здесь также добились решения от Bitdefender и “Лаборатории Касперского”. Они успешно очистили 21 из 22 тестовых систем и в одном случае оставили без внимания безвредные остатки. Продукт Heise смог обнаружить все вредоносные атаки и удалил опасные компоненты, но пропустил безобидные остатки сразу в 15 случаях. Идеально очищены были всего 7 систем.

Средство проверки безопасности от Microsoft не смогло обнаружить один образец вредоносного ПО, а инструмент от Vipre пропустил два зловреда. Стоит упомянуть, что инструмент Microsoft безупречно очистил систему 20 раз и только один раз оставил без внимания остатки угрозы. Аутсайдер данного испытания, Vipre не смог удалить активные компоненты угрозы в 4 случаях и безвредные остатки в 5 тестовых сценариях. Таким образом, Vipre безошибочно очистил только 11 систем.

Таким образом, наилучшие показатели эффективности очистки зараженных систем продемонстрировал продукты от Bitdefender и “Лаборатории Касперского”.

Помните, что если ваш компьютер будет заражен шифровальщиком, то данные, скорее всего, будут зашифрованы незамедлительно. Антивирусы и инструменты очистки смогут удалить угрозу, но не смогут восстановить зашифрованные данные. Поэтому всегда создавайте резервную копию важных данных на внешнем жестком диске и отключайте его от ПК.

Вы пользуетесь Интернетом? На вашем компьютере хранится важная информация, личные сведения? Вы не хотите потерять содержимое своего жесткого диска или оплачивать чужие счета за Интернет? В этой статье я расскажу вам об одном из наиболее важных условий, обеспечивающих безопасность ваших данных — о том, как определить наличие на вашем компьютере троянов, и о том, как с ними надо бороться. Если вы еще ни разу не слышали о существовании троянов и не представляете, чем они опасны, предварительно прочитайте врезку.

Немного истории

О троянцах впервые серьезно заговорили после появления программы Back Orifice, созданной хакерской группой Cult of the Dead Cow в 1998 году. Возможность полностью управлять любым компьютером, подключенным к Сети, предварительно запустив на нем нужную программу, очень сильно взволновала людей. Разработчики программы уверяли, что это всего лишь обычное средство удаленного администрирования, но многочисленные взломы, совершенные с помощью Orifice’а, убеждали в обратном. Только хотелось бы отметить, что по сравнению со своими многочисленными клонами, выходящими с тех пор с завидным постоянством, Back Orifice выглядит чуть ли не безобидным тетрисом. Дело в том, что для использования этого трояна злоумышленник должен был обладать неплохими познаниями в работе сетей и компьютеров вообще, что сильно ограничивало круг его пользователей. Кроме того, первая версия проги вообще не имела графического интерфейса, что здорово распугивало начинающих хакеров. Однако время шло, появлялись все новые и новые программы, возможности их совершенствовались, алгоритмы работы улучшались. Теперь украсть необходимые пароли или получить доступ к компьютеру излишне доверчивого человека сможет даже малолетний ребенок.

Один из первых троянов — оцените возможности управления компьютером жертвы.

Что такое троян? Троянцев можно условно отнести к категории вирусов, от которых они, впрочем, имеют немало отличий. В отличие от большинства вирусов, троян сам по себе не способен на деструктивные действия, он не будет неконтролируемо размножаться на вашем винчестере и делать прочие гадости, — но только до тех пор, пока за дело не возьмется его “хозяин”. Большинство троянов состоит из двух частей: клиентской и серверной. Клиентская часть используется только для конфигурирования трояна и для доступа к компьютеру жертвы, а серверная — это та, которая распространяется потенциальным жертвам. Запустив у себя на компьютере серверную часть трояна, вы активируете его, и с этого момента он начинает свою деятельность. Поэтому в дальнейшем под словом “троян” будет подразумеваться именно серверная его часть. Вообще, трояны можно разделить на три основные категории, в соответствии с их основными функциями:

BackDoor (задняя дверь, черный ход) — эти трояны предоставляют своему хозяину полный доступ к компьютеру жертвы. Они работают по следующему принципу: вы запускаете файл, содержащий троян, он прописывается в автозагрузке и каждые 10-15 минут проверяет наличие соединения с Интернетом. Если соединение установлено, троян отсылает своему хозяину сигнал готовности и начинает работать по принципу приложения удаленного доступа. С этого момента злоумышленник может совершить любые действия с вашим компьютером, вплоть до форматирования диска.

LogWriter (составитель протокола) — такие трояны ведут запись в файл всего, что вводится с клавиатуры. Позже вся эта информация может быть отправлена почтой либо просмотрена по ftp-протоколу.

Кроме того, наиболее опасные трояны сочетают в себе функции сразу нескольких видов, что позволяет хакеру получить действительно полный контроль над удаленной машиной.

Правила безопасности

Как на компьютер могут попасть трояны? Как это ни прискорбно, но в большинстве случаев злосчастный файл запускает сам пользователь. Поэтому главными средствами в борьбе с троянами являются вовсе даже не антивирусы и фаерволы, а самая обычная осторожность. Подумайте сами, откуда у вас на компьютере могут взяться зараженные файлы? Как показывает практика, большинство троянцев приходит к пользователям по электронной почте либо же скачивается ими с веб-сайтов, bbs’ок и из прочих файловых архивов. Начнем с наиболее вероятного случая — с письма с вложенным файлом.

Вот такое письмо я недавно получил. “Фотки” оказались заражены вирусом, да еще и содержали трояна.

В большинстве случаев такое письмо сразу выделяется среди остальных. Но чтобы быть полностью уверенным, обратите внимание на такие признаки:

2. Письмо адресовано паре десятков людей сразу, причем ни одного из них вы не знаете.

3. В письме содержится текст типа: “Привет, YYY! Помнишь, ты просил меня выслать тебе крутейшую прогу XXXXXX? Извини, что так долго — раньше были проблемы с сервером. С уважением, В. Пупкин”. Естественно, что никакого Пупкина вы не знаете и никаких файлов у него не просили.

4. В файле, присланном с письмом, содержится якобы одно из следующего: крутейшая порнуха, взломщик Интернета, эмулятор Direct3D для старых видеокарт, генератор номеров кредитных карт и тому подобные “полезности”. Причем подобные файлы обычно имеют слишком маленький размер (десяток-другой килобайт).

5. К письму приложен файл с расширением *.exe, который, по словам отправителя, является фотографией или видеоклипом. Причем размеры файла опять же не соответствуют его описанию. Запомните — никак не может видеофильм, даже продолжительностью 1-2 минуты, занимать 20-30Kb.

Ну-ну. Качал я, значит, патч к игрухе — а там.

Практически все вышеперечисленное верно и в большинстве других случаев, когда вам пытаются подсунуть трояна. Очень многие сайты, ftp-сервера, bbs’ки, особенно хакерской тематики, просто битком набиты подобным содержимым. Не поддавайтесь соблазну — вспомните поговорку про бесплатный сыр. По той же причине рекомендуется проверять новыми антивирусами все скачанные откуда-либо файлы, даже если вы их качали с крупнейшего и популярнейшего сайта.

Определяем трояна

Итак, представим себе ситуацию, что троянец все-таки был благополучно вами запущен, и теперь ваши данные находятся под серьезной угрозой. Как тут быть? Конечно, в самом простом случае вам понадобится только запустить свежую версию AVP или Doctor Web и удалить все зараженные файлы. Но существует большая вероятность того, что эти антивирусы ничего не найдут — дело в том, что новые трояны создаются практически каждый день, и, возможно, вы “подцепили” что-то недавно появившееся. Однако и без антивирусов можно без проблем определить наличие трояна. Во-первых, есть признаки, по которым уже можно заподозрить неладное. Например, если ваш компьютер периодически пытается выйти в Интернет без ваших на то указаний, или если во время неторопливых разговоров по Аське с вашего компьютера куда-то отправляются мегабайты данных, то вам стоит призадуматься. Ну и, конечно же, если вы еще и скачали вчера файл, отказавшийся запускаться по непонятным причинам, то надо срочно браться за дело. Вообще, всегда обращайте внимание на необычное поведение файлов — если дистрибутив какой-либо программы после ее запуска вдруг изменился в размерах, поменял свой значок либо вообще исчез — будьте уверены, в этом файле был “прошит” троян.

Обратите внимание на последнюю строчку — это троян GIP.

Первым делом посмотрите, что из приложений запущено в данный момент, закрыв перед этим все выполняемые программы. Делается это так: в стартовом меню Windows выберите пункт Программы/Стандартные/Сведения о системе. Затем в появившемся окне откройте вкладку Программная среда/Выполняемые задачи, и перед вами появится список всех выполняемых в данный момент приложений.

Теперь смотрите на четвертую колонку списка — там находятся описания запущенных приложений. Нам надо найти файл, не имеющий описания либо замаскированный под что-либо, связанное с Интернетом или корпорацией Майкрософт (подобные описания присутствуют у большинства троянов). Обычно троян устанавливается в системном каталоге Windows — так что в первую очередь посмотрите на файлы из этой директории. Теперь загляните в раздел Автоматически загружаемые программы и посмотрите, присутствует ли этот подозрительный файл там. Троянец должен обязательно загружаться вместе с системой, так что он не может не отобразиться на этой страничке. Если вы найдете явно подозрительную программу, то, естественно, надо будет ее удалить. Но учтите, что удалить трояна под Windows вам не удастся, так как система не разрешает удалять уже запущенные файлы (а троянец как раз запускается при каждой загрузке системы). В этом случае перезагрузите компьютер под DOS либо используйте системную дискету и, найдя тот самый подозрительный файл, перенесите его во временный каталог. Почему его сразу не удалить? Дело в том, что мы могли ошибиться, и, возможно, этот файл — вовсе и не троянец, а что-то необходимое для работы вашей операционки. Теперь снова загрузите Windows и, если система будет работать нормально, можете смело удалять подозрительный файл. В случае каких-либо сбоев снова загрузитесь в DOS-режиме и возвращайте файл на его место.

Посмотрите на первые две строки — это же дружище NetBus!

Так и только так можно определить присутствие абсолютно любого трояна. Не пытайтесь посмотреть список задач, открываемый по нажатию Ctrl-Alt-Del или Alt-Tab — любой уважающий себя трояноклепатель сделает так, чтобы его детище не было видно оттуда. А вот от sysinfo (о которой мы только что говорили) спрятаться невозможно.

Кроме того, многие трояны с легкостью определяются программой Netstat. Для ее запуска, находясь в онлайне, откройте пункт стартового меню Windows Выполнить и введите netstat -a 15 (параметры -a 15 заставят программу обновлять информацию каждые 15 секунд). Данная программа проверяет все открытые порты (пятизначные числа) и сообщает вам о том, что за приложение использует их. Если вы видите порты 12345 и 12346 открытыми, то знайте, что это работа трояна NetBus, а если 31337 — перед вами Back Orifice.

Существуют и другие способы определения троянов, но вам должно хватить и этих. Плюс, конечно, можно использовать антивирусы, умеющие бороться с троянами. Например, антивирус Касперского (AVP). И запомните одно. В любом случае, вы должны заниматься не отловом и обезвреживанием многочисленных троянов — лучше просто не запускать “плохие” файлы.

Вычисляем обидчика

Вот какой путь проделало это письмо.

Напоследок поговорим о том, что делать в случае, если троян уже был благополучно вами запущен, но с системы еще не удален. Думаю, многим захочется узнать, что за шутник попытался атаковать ваш компьютер, это поможет вам предотвратить возможные неприятности. Если троян был прислан вам по почте, то первым делом нужно глянуть на то, кто же вам его отправил. Конечно, только очень глупый человек рассылает трояны от своего имени, поэтому нам придется воспользоваться некоторой дополнительной информацией о письме. Дело в том, что по умолчанию почтовые программы не показывают так называемые кладжи (Kludges — подробная информация об отправителе), ограничиваясь только тем адресом, который ввел сам отправитель. Для просмотра этих данных включите в своем почтовом клиенте опцию Show Kludges (хотя в некоторых программах она может называться по-другому). Для выяснения, откуда пришло злосчастное письмо, посмотрите на строчку Received. Если же ваш почтовый клиент не поддерживает такой режим, просто найдите папку на винчестере, в которой лежит полученная вами корреспонденция, и откройте нужное письмо любым текстовым редактором.

Компьютер, подключенный к Интернету, подвержен различным типам вирусов. Наиболее распространенными и опасными для системы являются трояны, которые могут проникнуть в систему через веб-сайты, загруженные файлы, программы или через уязвимости в антивирусных программах. Когда появляется вирус, его необходимо удалить.

Хорошая антивирусная программа

Для начала, если вы обнаружите, что на вашем компьютере есть троян или даже несколько из них, вам нужно установить хорошую антивирусную программу. Если у вас ее еще не было, то необходимо установить, если она у вас есть, ее стоит обменять на более эффективную.

Microsoft Security Essential очень хорошо подходит для борьбы с троянами и может быть бесплатно загружен с веб-сайта.

Установка и сканирование

Установите на компьютер программу, скачанную с сайта создателя. После успешной установки запустите программу и найдите параметр «сканирование». В зависимости от количества файлов для поиска, сканирование может занять большее или меньшее количество времени. Однако по завершении в списке программ отобразятся места заражения и количество троянских программ, обнаруженных на вашем компьютере. По окончании программа спросит вас, что делать с обнаруженными вирусами.

Что дальше делать с троянами?

Обнаруженные трояны, отображаемые антивирусной программой, могут быть уничтожены или помещены на карантин. Для менее опасных и менее инвазивных вирусов достаточно карантина, но при работе с троянами их гораздо лучше удалить. Просто выберите отображаемые файлы или весь список и нажмите «удалить». Однако вы должны знать, что зараженная часть файлов также будет удалена вместе с вирусом.

Завершение удаления вирусов

Когда все вирусы удалены, компьютер должен быть перезагружен. После перезагрузки лучше всего отсканировать его снова, чтобы убедиться, что между исправными файлами нет затерянных нежелательных элементов. В то же время вам необходимо помнить о постоянных профилактических мерах, т. е. установленной и все время работающей антивирусной программой, способной перехватывать вирусы. Кроме того, хорошо сканировать все файлы хотя бы раз в неделю.

Троян — вредоносное программное обеспечение, которое скрывает истинную цель своей деятельности с помощью маскировки. Однако, в отличие от вируса, он не способен самостоятельно копировать или заражать файлы. Чтобы проникнуть на устройство жертвы, угроза использует другие средства, такие как загрузка с диска, использование уязвимостей, загрузка другим вредоносным кодом или методы социальной инженерии.

Что такое троян?

Подобно троянскому коню, известному из древнегреческих мифов, троян использует маскировку или неправильное перенаправление, чтобы скрыть свою истинную функцию. Чтобы ввести пользователя в заблуждение и заставить его открыть вредоносный файл, угроза часто использует различные методы. Для этих целей троян также может использовать другие программы.

Сегодня трояны являются наиболее распространенной категорией угроз, которая используется для открытия бэкдоров, контроля зараженного устройства, удаления данных пользователя и передачи их злоумышленникам, загрузки и запуска других вредоносных программ в определенной системе и других целей.

Краткая история

Название «троян» происходит от классического античного мифа об успешном завоевании греками города Троя. Чтобы пройти через защитные сооружения и попасть в город, завоеватели построили большого деревянного коня, внутри которого спрятали группу своих лучших воинов. Грекам удалось обмануть троянцев, которые обрадовались такому неожиданному подарку и втянули коня в город, начав праздновать. Воины, которые были внутри троянского коня, дождались глубокой ночи и захватили город.

Впервые термин «троян» был использован в ссылке на вредоносный код в отчете ВВС США 1974 року, который сосредоточен на анализе уязвимостей компьютерных систем. Тем не менее, термин стал популярным в 1980-х, особенно после лекции Кена Томпсон на награждении ACM Turing Awards 1983 года.

Известные примеры

Узнать больше

Еще один пример троянской программы — известная шпионская программа FinFisher (FinSpy). Угроза обладает расширенными возможностями для шпионажа и незаконным использованием веб-камер, микрофонов, отслеживания нажатий клавиатуры, а также способностью удалять файлы. Разработчики этой шпионской программы продавали ее как инструмент для правоохранительных органов, но, считается, что программу использовали и репрессивные режимы. Чтобы скрыть свою истинную цель, FinFisher использует различные способы маскировки. В одной из своих кампаний, выявленных компанией ESET, она устанавливалась как инсталлятор для популярных и законных программ, таких как браузеры и медиа-плееры. Программа также распространялся через электронную почту с поддельными вложениями или поддельными обновлениями программного обеспечения.

Однако трояны не являются угрозой исключительно для компьютеров или ноутбуков. Под прицелом также большая часть современного мобильного вредоносного программного обеспечения, направленного на устройства Android. Примером может быть DoubleLocker — инновационное семейство вредоносных программ, замаскированное под обновление Adobe Flash Player. Угроза проникала на мобильное устройство с помощью служб специальных возможностей, шифровала данные и блокировала экран устройства с помощью случайного PIN-кода. Впоследствии злоумышленники требовали выкуп в Bitcoin для разблокировки устройства и данных.

Читайте также:

  
• Смогут ли сложные и быстродействующие компьютеры воспроизвести все аспекты сознательной личности
  
• Как закалялась сталь djvu
  
• Рейтинг графических планшетов мир гаджетов
  
• Как запретить касперскому обновляться до новой версии
  
• Файлы cookie где находятся в телефоне