Файловый вирус запускаются при запуске компьютера

Обновлено: 06.07.2024

Любой пользователь, независимо от наличия или отсутствия выхода в Интернет, хотя бы раз в своей жизни сталкивался с таким неприятным явлением как компьютерный вирус. Первой реакцией после обнаружения вирусной атаки, несомненно, является паника и страх за содержащуюся в компьютере информацию. Даже обладатель последней обновлённой версии популярной антивирусной программы подспудно в душе испытывает беспокойство. Ведь, как известно, сначала появляется вирус, и только потом через определённый промежуток времени – версия антивируса, способная его обнаруживать и обезвреживать.

Последствия действий вирусов весьма разнообразны. По размеру причиняемого вредоносного воздействия вирусы чисто условно можно разделить на следующие группы:

• «неопасные»: их влияние ограничивается уменьшением свободной памяти на диске, а также графическими, звуковыми и другими внешними эффектами, сколько-нибудь существенного вреда ни данным, ни операционной системе при этом не приносится;
• «опасные»: эти вирусы приводят к сбоям в работе программ и зависаниям компьютера;
• «очень опасные»: активизация этих вирусов может привести к потере программ и данных (изменению файлов и каталогов), форматированию винчестера и другим крайне неприятным вещам. Причём, часто потерянные данные восстановить практически невозможно.

Чтобы не стать жертвой в войне за безопасность информации, обладателю «железа» следует иметь привычку постоянно анализировать работу компьютера. Если прослеживается одна или несколько из перечисленных ниже ситуаций, то срочно принимайте меры и проверяйте компьютер на наличие вирусов разными антивирусными программами.

Основные признаки проявления вирусов:

• ранее успешно функционировавшие программы вдруг начинают либо неправильно работать, либо вообще перестают работать;
• реакция компьютера несколько заторможена;
• не загружается операционная система;
• происходит исчезновение или искажение содержимого в файлах и каталогах;
• изменяется дата и время последней модификации файлов (причём, не вами);
• изменяются размеры файлов (в сторону увеличения) и их количества на диске;
• резко уменьшился объём свободной оперативной памяти;
• происходят сбои в работе компьютера - он часто зависает, на экран выводятся непредусмотренные картинки или звуковые сигналы.

Безусловно, перечисленные признаки не всегда являются симптомами вирусного заражения - они могут происходить также из-за аппаратных или системных сбоев либо из-за ошибок программистов в коде программ. Но такие вещи непременно должны насторожить пользователя, особенно, если они вдруг стали происходить довольно часто.

Для того чтобы бороться с врагом, нужно знать его в лицо. В зависимости от выявленного типа вируса и принимаются соответствующие меры для его блокировки или уничтожения.

Все существующие на данный момент времени компьютерные вирусы условно распределяют на следующие группы.

Файловые вирусы

Файловые вирусы:

• OBJ, LIB и вирусы в исходных текстах (Urphin);
• Link–вирусы (Dir_11);
• Companion–вирусы (Epsilon);
• Parasitic–вирусы (Bolzano);
• Overwriting–вирусы (Mal);
• Файловые черви (Winstart).

Файловые вирусы используют файловую систему операционки. Такие вирусы внедряются в исполняемые файлы различных форматов (EXE, COM, BAT, SYS и др.), активизируясь при их запуске и обосновываясь в оперативной памяти компьютера. Эти вирусы являются активными (могут заражать другие файлы) вплоть до момента выключения компьютера или перезагрузки системы. При этом файловые вирусы не могут заразить файлы данных (например, содержащие изображение или звук).

Профилактическая защита от файловых вирусов: запретить запуск на выполнение файлов, полученных из сомнительного источника и предварительно не проверенных антивирусными программами.

Загрузочные вирусы

Загрузочный вирус (boot) заражает загрузочный сектор винчестера и вынуждает систему при её перезапуске передать управление не программному коду загрузчика операционной системы, а коду вируса.

Практически все загрузочные и файловые вирусы являются резидентными, то есть находятся в оперативной памяти компьютера и, перехватывая обращения операционной системы, внедряются в объекты, стирая данные и изменяя атрибуты файлов. В отличии от нерезидентных вирусов, такие вирусы активны не только в моменты запуска и работы заражённой программы, но и после завершения работы, вплоть до выключения компьютера.

Лечение от резидентных вирусов затруднено, так как даже после удаления заражённых файлов с диска, вирус остаётся в оперативной памяти, и возможно повторное заражение файлов. Для профилактики и своевременного обнаружения вторжений резидентных вирусов рекомендуется использовать антивирусные блокировщики (сторожа, фильтры) и установку в BIOS компьютера защиты загрузочного сектора от изменений.

Макровирусы

Макровирусы:

• Макро–вирусы для Word (Concept);
• Макро–вирусы для Excel (Laroux);
• Макро–вирусы для Access (Detox);
• Макро–вирусы для PowerPoint (Attach);
• Макро–вирусы для других приложений (Unstable);
• Многоплатформенные макровирусы (Triplicate).

Макровирусы являются программами на языках, встроенных в системы обработки данных (текстовые редакторы, электронные таблицы и т.д.), являясь макрокомандами (макросами), которые пользователь встраивает в документ.

Используя возможности макроязыков для размножения, они переносят себя из одного зараженного файла в другие. Вирусы этого типа получают управление при открытии зараженного файла и инфицируют файлы, к которым впоследствии идет обращение из соответствующего офисного приложения – Word, Excel и пр. Макровирусы являются ограниченно резидентными, т.е. угроза заражения прекращается только после закрытия приложения.

Профилактическая защита от макровирусов состоит в предотвращении запуска вируса. При открытии документа в приложениях Word или Excel сообщается о присутствии в них макрокоманд (которые потенциально могут быть заражены вирусами) и предлагается запретить их загрузку. Выбор запрета на загрузку макросов надёжно защитит компьютер от заражения макровирусами, однако заодно отключит и полезные макросы, содержащиеся в документе.

Скрипт–вирусы

Скрипт–вирусы:

• Скрипт–вирусы для DOS (BATalia);
• Скрипт–вирусы для Windows (Love letter);
• Скрипт вирусы для других систем (Penguin).

Особой разновидностью вирусов являются активные элементы (программы) на языках JavaScript или VbScript, которые могут выполнять разрушительные действия, то есть являться вирусами (скрипт - вирусами), позволяя производить любые манипуляции с данными. Такие программы передаются по Всемирной паутине в процессе загрузки Web–страниц с серверов Интернета в браузер локального компьютера или через электронные письма, содержащие вложенные файлы - сценарии. При открытии такого файла, имеющего невинное название и двойное расширение (!) и происходит внедрение вируса в систему.

Встречаются и такие виды скрипт-вирусов, которые условно можно отнести к «злым шуткам». Такие вирусы значительно затрудняют и осложняют работу с компьютером, открывая бесконечное множество окон (чаще всего, рекламных), самостоятельно перемещая элементы рабочего стола и т.д.

Профилактической защитой от скрипт – вирусов будет служить наложение в браузере запрета загрузки активных элементов веб-страницы на локальный компьютер.

Скрипты на веб-страницах часто выполняют не только деструктивную роль, но и положительную - на многих сайтах полное отключение скриптов может ограничить их нормальное использование. Поэтому требуется модуль,способный гибко подстраиваться под эти задачи - разрешать полезные скрипты и блокировать ненужные. NoScript для Mozilla Firefox - типичный пример такого модул я

Смешанные типы

Помимо перечисленных групп вирусов, существует большое количество их сочетаний: например, файлово–загрузочный вирус, заражающий как файлы, так и загрузочные сектора дисков, или сетевой макровирус, который не только заражает редактируемые документы, но и рассылает свои копии по электронной почте.

Трояны

Трояны:

• Утилиты несанкционированного удалённого управления (Back Orifice);
• Похитители секретной информации (Coced);
• Дропперы или "пипетки" - рассадники заразы (RS5);
• Деструктивные троянские программы (Flashkiller);
• Эмуляторы DDOS атак (Kozog).

Троян - это программа, несущая в себе вредоносную начинку. Сам троян может мало чем отличаться от обычной программы и маскироваться под что-нибудь безобидное. Но суть его вредоносной начинки примерно такая же, как у троянского коня. Внутри троян содержит вредоносный исполняемый код, возможно, что и вирус.

В отличие от большинства других вредоносных программ троян чаще всего самостоятельно распространяться не может - ему требуется помощь человека или вспомогательных программ. Например, скрипт, содержащийся на веб-странице может незаметно подгрузить трояна на компьютер. Или пользователь может собственноручно скачать его вместе с архивом, содержащим, например, различные патчи к пиратским программам.

Меры профилактики заражения всё те же - не запускать непроверенные файлы, скачанные из сомнительных источников (а лучше оттуда их вообще не скачивать), использовать современный браузер и следить за своевременным его обновлением. Также необходимо ограничить загрузку скриптов на веб-страницах либо вообще их заблокировать. Ну, и пользоваться надёжным антивирусом, естественно.

Сетевые черви

Сетевые черви:

• Email–черви (Klez);
• IRC–черви (Randon);
• LAN–черви (Opasoft);
• Смешанные типы (Avron);
• Бестелесные черви (Helkern).

По сети могут распространяться абсолютно любые вирусы. Можно получить, например, заражённые файлы с серверов файловых архивов. Специфические сетевые вирусы используют для своего распространения электронную почту и Всемирную паутину.

Кроме того, интернет-черви часто являются троянами, выполняя действия «троянского коня», внедрённого в операционную систему. Такие вирусы похищают, например, идентификатор и пароль пользователя для доступа в Интернет и передают их на определённый почтовый адрес. В результате, злоумышленники получают возможность доступа в Интернет за деньги ничего не подозревающего юзера. Точно таким же образом от Вас могут "уплыть" и данные, необходимые для доступа к вашему кошельку WebMoney и другим платёжным системам Интернета.

Кроме того, многие сетевые черви способны незаметно подгружать на компьютер жертвы новые дополнительные модули для своей вредоносной работы. И эти модули могут выполнять самые различные деструктивные действия - портить файлы на компьютере, похищать конфиденциальные данные пользователя, использовать заражённый компьютер в массированных хакерских атаках ("компьютер-зомби") и т.д.

Сетевые черви способны распространяться самостоятельно и с огромной скоростью, часто вызывая настоящие эпидемии. Цепная реакция их распространения основывается на том, что вирус, после заражения компьютера, начинает рассылать себя по всем адресам электронной почты, которые имеются в адресной книге пользователя (если это Email –червь). Кроме того, может происходить заражение по локальной сети, так как червь перебирает все локальные диски и сетевые диски с правом доступа и копируется туда под случайным именем.

С каждым днём растёт количество пользователей Интернет. Вместе с тем, растёт количество вредоносного программного обеспечения. В арсенале хакеров и вирусописателей находится множество способов для создания вируса:

• утилиты автоматизации создания вирусов, червей и троянских программ (конструкторы);
• программные библиотеки для создания вирусов;
• утилиты скрытия кода заражённых файлов антивирусной проверки (шифровальщики файлов);

Но любой пользователь, располагая знаниями о вирусах и их воздействиях, установивший надёжную антивирусную программу (а лучше две), в силах обезопасить свой компьютер или, хотя бы, снизить риск деструктивного вмешательства вирусов в его систему.

Компьютерный вирус — это фрагмент исполняемого кода, который копирует себя в другую программу, модифицируя ее при этом.

Здесь стоит отметить, что, в первую очередь, это обычная программа, правда, предназначенная не для удовлетворения потребностей пользователя, а наоборот, призванная уничтожить ценную информацию, испортить "досуг" различными сбоями операционной системы и программного обеспечения, нанести материальный ущерб и т. п.

Наиболее характерные черты компьютерных вирусов:

самостоятельное копирование из каталога в каталог или из файла в файл, что обычно называется "самовоспроизведением". Это позволяет вирусам выживать в условиях постоянной смены программного обеспечения (зараженную программу пользователь может удалить и на этом "жизнь" ви руса закончится). Тем более, что наличие копии вируса в каждой папке повышает шанс его копирования на другой компьютер;
маскировка под полезные программы или режим невидимости, при кото ром вы даже не подозреваете, что компьютер заражен (при нажатии комбинации клавиш < CTRL >+< ALT >+< DEL > запущенные вирусом файлы не отображаются).
Естественно, что не все программы, которые самостоятельно копируют некоторые файлы в различные каталоги и создают видимость, что ничего не происходит, можно считать компьютерными вирусами.

Существует несколько критериев, позволяющих классифицировать компьютерные вирусы, — это поддерживаемая операционная система, способ заражения, алгоритмы работы, деструктивные возможности.

По операционным системам компьютерные вирусы можно подразделить на:

вирусы, работающие в среде MS - DOS , — весьма устаревшая категория вирусов, которая еще может в отдельных случаях быть опасной, например для Windows 9 x или MS - DOS , но в операционных системах Windows NT они просто не могут быть запущены по вполне естественным причинам;
вирусы, работающие в среде Windows 9 x , — наиболее широко распространенная категория вирусов, по сей день представляющая большую опасность;
вирусы, работающие в среде Windows NT , — наиболее "продвинутые" вирусы, т. к. некоторые особенности работы операционных систем данного семейства по своей сути сами по себе защищают компьютер от воздействия вирусов, например блокируется прямой доступ к управлению аппаратными ресурсами.
По алгоритму заражения все многообразие компьютерных вирусов разделяют на следующие категории:

В принципе, если в подробностях изучать разновидности компьютерных вирусов, то можно посвятить этому целую книгу, но в данном случае нас интересует в первую очередь то, как можно от них избавиться.

Понятие антивирусной программы

Антивирусная программа — это программа, которая предотвращает заражение ПК компьютерными вирусами и позволяет устранить последствия заражения.

Вполне естественно, что раз существуют компьютерные вирусы, то существуют и антивирусные программы, позволяющие эти самые вирусы удалять с компьютера, а иногда даже спасать поврежденную информацию. Чтобы предотвратить возможность "заражения" компьютера, обычно используются антивирусные программы, которые можно подразделить на два основных вида:

антивирусный сканер — эта категория позволяет проверять файлы и ката логи, содержащиеся на жестком диске или на любом сменном носителе, на наличие в них программного кода, характерного для того или иного компьютерного вируса (не секрет, что вирусы "прикрепляют" себя к исполняемым файлам других программ). При этом вы можете запустить проверку в любое удобное для вас время;
антивирусный монитор — данная категория предназначена для постоянного контроля всех запускаемых программ и копируемых (перемещаемых, удаляемых, открываемых) файлов. Как правило, антивирусный монитор запускается вместе с операционной системой и контролирует все процессы, выполняемые в оперативной памяти. В качестве дополнительной услуги монитор может проверять файлы на жестком диске, если на компьютере в течение определенного времени не осуществляется никаких работ. При этом работа компьютера несколько замедляется, а то и вообще становится очень медленной. Здесь все зависит от того, какие по размеру файлы используются. Особенно замедление работы заметно на играх.
На сегодняшний день наиболее популярными являются антивирусные про граммы:

Помимо антивирусных программ, в лечении компьютерных вирусов могут помочь такие программы, как Process Viewer , позволяющие не только увидеть абсолютно все программы, запущенные на данном компьютере, но и удалить любую программу из оперативной памяти, принудительно прервав ее выполнение. Этим самым вы можете остановить выполнение компьютерного вируса, позволив антивирусной программе вылечить или удалить все зараженные файлы (обычно один или несколько файлов не доступны для лечения из-за того, что они используются запущенными программами).

Как происходит заражение компьютера вирусом ?

На этот вопрос можно дать очень простой ответ: "Всему виной Интернет". Так или иначе компьютерные вирусы попадают на компьютер пользователя посредством так называемой глобальной сети — либо вместе с электронным письмом, либо когда сам пользователь скачивает некоторый файл, содержащий вирус, и потом запускает его на своем компьютере или несет на дискете на компьютер друга, коллеги.

Давайте разберемся подробнее, как же на самом деле все происходит и чего следует в первую очередь опасаться.

Вариант первый — зараженная дискета. При этом заражение может происходить как при открытии содержимого дискеты (например, вирус VBS . Redlof ), так и при открытии файла, например, зараженного макровирусом. Дискеты все реже используются в качестве загрузочных, но вариант заражения в момент загрузки с дискеты нельзя полностью исключить, т. к. забытая дискета в дисководе в момент запуска компьютера несет в себе потенциальную опасность. Если на ней имеется загрузочный вирус, тогда он загружается в память компьютера при первом же обращении к ней, при этом он может успеть заразить загрузочную область жесткого диска. То же самое относится и к жестким дискам, подключаемым к компьютеру, а также компакт-дискам. Наиболее полную защиту от подобной ситуации дают антивирусные мониторы, блокирующие доступ к зараженному диску или файлу. Вариант второй — электронная почта. При этом заражение может происходить либо при запуске файла, вложенного в письмо и содержащего программный код вируса, либо при просмотре письма, когда вирус запускается автоматически, используя так называемые "дыры" (ошибки в программе), позволяющие подобный запуск. Самую большую гарантию безопасности при этом могут дать антивирусные мониторы или специальные модули, специализирующиеся на проверке поступающей почты.

Вариант третий — скачивание файлов. При этом практически любой скаченный вами файл может быть заражен компьютерным вирусом, поэтому прежде чем любой из них использовать (распаковывать, запускать), следует проверить их антивирусным сканером, хотя в большинстве случаев можно положиться на программу-монитор.

Настолько ли страшны компьютерные вирусы ?

Вирусы запускаются сами по себе

Нет, это не совсем верно. Для активизации вируса требуется запустить ту или иную программу. В операционных системах семейства Windows , независимо от версии, для всех файлов назначена строго определенная программа или действие, выполняемое одним из служебных модулей самой операционной системы. При просмотре того или иного файла автоматически запускается назначенная программа, но для пользователя это происходит как бы незаметно (он ведь просто хочет почитать текст), поэтому для него создается впечатление, что вирус можно запустить самостоятельно, тогда, когда он сам запускает его вместе с программой - просмотрщиком.

Вирусы позволяют выкрасть ценную информацию

Да, действительно, существует категория компьютерных вирусов, предназначенных для кражи ценной информации. Обычно этим занимаются "троянские кони". Наиболее часто воруют различные пароли, например, доступа к сети Интернет, pin -коды и др., т. е. все то, что может причинить вам материальный ущерб.

"Троянские кони", ворующие ценную информацию, могут либо отправлять ее на чей-нибудь электронный ящик — это становится возможным в случае подключения вашего компьютера к сети Интернет, либо сохранять всю информацию в текстовый или иного формата файл. Следует иметь в виду, что второй вариант говорит о том, что человеку, заразившему ваш компьютер "троянским конем", обязательно нужно будет получить доступ к вашему компьютеру, чтобы скопировать этот файл. Доступ к компьютеру возможен либо локальный (например, в ваше отсутствие), либо по локальной сети, если таковая имеется.

Отдельной категорией стоят так называемые клавиатурные шпионы. Они не только могут привести к утечке паролей и кодов, но и вообще всей информации, которую вы вводите в компьютер при помощи клавиатуры.

Вирусы способны испортить компоненты компьютера

Да, действительно, существует категория вирусов, способных привести в негодность один или сразу несколько компонентов компьютера, например, материнскую плату. Такое стало возможным после того, как стали применять так называемую FLASH -память, которая позволяет при помощи обычных программ изменять ее содержимое. При этом запись в микросхему FLASH -памяти не программного кода, а случайного "мусора", приводит к невозможности использования данного оборудования. Наиболее ярким примером подобных вирусов является WinCIH или его более опасный потомок I . Worm . Magistr .

Вирусы приводят к потере информации

Да, действительно, существует ряд вирусов, приводящих в негодность, на пример, все файлы с расширением DOC , TXT (вирус под названием KLEZ . H ). Также существует ряд вирусов, уничтожающих файловую систему, что приводит к потере абсолютно всех файлов на диске. Правда, следует иметь в виду, что в большинстве случаев все-таки имеется возможность восстановления информации. Дело в том, что физически стереть информацию с целого жесткого диска объемом хотя бы 1 Гбайт довольно не просто, по этому большая часть вирусов уничтожает ссылки на всю информацию, а не сами данные. Иногда вполне достаточно воспользоваться программой UNERASE или UNDEL?1?T?1? , чтобы восстановить большую часть данных.

Самое главное правило — как только компьютер начал выдавать не появляющиеся ранее ошибки, обязательно проверьте все файлы на жестком диске антивирусным сканером. Возможно, проблема связана с повреждением какого-нибудь системного файла, но в любом случае нельзя пренебрегать определенными мерами безопасности.

Если вы регулярно и особенно подолгу работаете в сети Интернет, тогда вам следует установить на свой компьютер антивирусный монитор, который будет "фильтровать" все поступающие на ваш компьютер данные.

Если у вас нет доступа ни к сети Интернет, ни к какой-либо локальной сети, тогда вам будет вполне достаточно регулярно пользоваться антивирусным сканером, а самое главное, проверять им все поступающие на компьютер данные с дискет или же компакт-дисков и других носителей.

Если вы обнаружили или подозреваете, что ваш компьютер заражен компьютерным вирусом, ваши действия должны быть следующими:

сохраните наиболее важную информацию на сменных носителях. Даже если эти файлы также окажутся зараженными, можно будет потом, не торопясь, "вылечить" их, а пока что вас должна волновать операционная система. Лучше всего все это делать после загрузки компьютера с загрузочного диска, обязательно созданного на не зараженном компьютере;
проверьте жесткий диск антивирусной программой, при этом антивирусные базы должны быть как можно более новыми;
при обнаружении зараженного файла попытайтесь "вылечить" его, если же это не удается, тогда смело удаляйте зараженный файл — лучше заново установить ту программу, к которой он принадлежит, чем впоследствии потерять информацию;
после удаления компьютерного вируса иногда приходится переустанавливать операционную систему или некоторые программы;
сменные носители после "лечения" или вместо него можно отформатировать;
жесткий диск можно избавить от загрузочного вируса командой fdisk / mbr . При этом предварительно следует загрузиться с "чистого" загрузочного диска, на котором имеется программа FDISK . Обратите внимание, что не все вирусы вы сможете удалить с жесткого диска путем форматирования, т. к. при этом совсем не затрагиваются некоторые служебные области, создаваемые при создании на нем разделов.

Для того чтобы убедиться в отсутствии или наличии на своем компьютере "троянских коней", можно запустить редактор системного реестра (команда REGEDIT ) и открыть по очереди следующие ветви:

Если в одной из низ имеется подозрительный ключ, не относящийся к программам, которые вы устанавливали или которые использует операционная система, тогда вам следует срочно воспользоваться антивирусной программой.

При установке антивирусной программы, как правило, предлагается устанавливать как сканер, так и монитор, поэтому отдельно остановимся на особенностях работы антивирусного монитора. Дело в том, что до того мо мента как, например, открываемый файл будет проверен на наличие в нем вирусов, доступ к нему блокируется. Зачастую создается впечатление, что компьютер завис, но это не так. К сожалению, одновременное использование антивирусного монитора и сложных игровых программ, использующих большое количество графических текстур, приводит к снижению производительности компьютера из-за периодической блокировки файлов. Такова плата за антивирусную безопасность. В этом случае следует перед запуском игры завершать работу монитора.

Единственно, что остается добавить, если на вашем компьютере установлен модем, то наличие установленного антивирусного монитора обязательно. В остальных же случаях можно ограничиться установкой антивирусного сканера и периодической профилактической проверкой жесткого диска. И главное, помните, что антивирусная программа с устаревшей базой не способна обнаружить и удалить новые виды вирусов.

Вирусы загрузочного сектора — одна из самых старых форм компьютерного вируса . Они заражают загрузочный сектор или таблицу разделов жесткого диска, поэтому они запускаются в момент включения компьютера. Вот все, что вам нужно знать о них и об угрозе, которой они обладают.

Вирусы загрузочного сектора могут поразить любую систему с жестким диском. Прежде всего, компьютеры на базе ПК подвержены наибольшему воздействию, хотя возможно и поражение системы Mac.

Что такое вирус загрузочного сектора?

Вирус загрузочного сектора — это не особый вирус, это особый способ воздействия вирусов на ваш компьютер. Загрузочный сектор представляет собой физический сектор на жестком диске , который требуется , чтобы начать процесс загрузки и загрузки операционной системы.

Размещение вируса здесь означает, что вирус активируется каждый раз, когда вы запускаете компьютер, даже до того, как ваша операционная система начинает загружаться. Часто вы даже не понимаете, что это происходит, что делает угрозу потенциально еще хуже.

Как работает вирус загрузочного сектора?

Каждый вирус загрузочного сектора работает по-разному, в зависимости от их цели. Поскольку они расположены в загрузочном секторе вашего жесткого диска, до запуска операционной системы вирус загрузочного сектора может нанести большой ущерб.

Некоторые из них могут вызывать раздражающие проблемы, такие как рекламное или вредоносное ПО, которое могут создавать вирусы , но другие могут работать как трояны , постоянно отслеживая ваши действия и крадя вашу информацию в фоновом режиме. Ransomware также часто использует загрузочный сектор, удерживая содержимое вашего жесткого диска для выкупа.

Вирусы загрузочного сектора могут даже распространяться на другие жесткие диски, которые вы установили, или на физические носители, которые вы подключили к вашей системе.

Важно как можно скорее удалить угрозу, чтобы проблема не усугублялась со временем.

Как я узнаю, что у меня есть вирус загрузочного сектора?

Вирусы загрузочного сектора не всегда очевидны. Часто это зависит от того, каким вирусом вы заражены.

Некоторые из наиболее опасных из них, такие как RAT (троянец удаленного доступа), почти невозможно обнаружить, если только человек, который удаленно обращается к вашему компьютеру, неуклюж в своих действиях.

Важно регулярно выполнять сканирование антивирусного программного обеспечения или использовать инструменты обнаружения вредоносных программ, чтобы обнаружить любые потенциальные проблемы, прежде чем они усугубятся.

Как я получил вирус загрузочного сектора?

Традиционно вирусы загрузочного сектора поступали через зараженные физические носители, такие как дискета или флешка. Вирусы загрузочного сектора обычно заражают основную загрузочную запись устройства хранения .

В настоящее время, однако, также возможно заражение вредоносным ПО, которое загружается или принимается через вложения электронной почты. Важно быть бдительным в отношении файлов, которые вы загружаете, и веб-сайтов, к которым вы обращаетесь.

Как мне избавиться от вируса загрузочного сектора?

Лучший и самый эффективный способ избавиться от вируса загрузочного сектора — это использовать антивирусное программное обеспечение , а также приложение для удаления вредоносных программ.

Антивирусное программное обеспечение может занять несколько часов, чтобы завершить процесс, в зависимости от скорости вашего компьютера, но оно также предлагает вам лучшие способы удаления вредоносных файлов.

Многие антивирусные программные средства также предлагают защиту загрузочного сектора, так что основная загрузочная запись вашего жесткого диска защищена от незаконного доступа. В худшем случае некоторые антивирусные программы также включают в себя загрузочные физические носители, чтобы вы могли легче удалить вирус загрузочного сектора.

Также стоит установить средство удаления вредоносных программ, которое помогает обнаруживать любые другие вредоносные программы в вашей системе задолго до того, как они вызовут какие-либо существенные проблемы на вашем компьютере.

Как и антивирусное программное обеспечение, сканирование вредоносных программ может занять много часов в зависимости от размера жесткого диска вашего компьютера, а также его скорости.

В отличие от других вирусов, восстановление системы и переформатирование жесткого диска не являются эффективным средством удаления вируса загрузочного сектора.

Однако можно использовать бесплатную загрузочную антивирусную программу для обнаружения проблем перед загрузкой в ​​Windows.

Как я могу избежать заражения вирусом загрузочного сектора снова?

Есть несколько ключевых способов снизить вероятность повторного заражения вирусом загрузочного сектора (или заражения любым другим вирусом). Существуют также конкретные советы, которые имеют непосредственное отношение к вирусам загрузочного сектора.

При заражении компьютера вирусы поступают таким образом, чтобы при загрузке операционной системы они тоже загружались, либо загружалась их самая основная необходимая часть. Для этого они обычно вносят изменения в реестр Windows.

В зависимости от продвинутости создателя вируса это может быть реализовано по-разному. Рассмотрим самые распространенные случаи, где прячутся вирусы:

1. В автозагрузке операционной системы

Проверить это можно с помощью команды msconfig, запущенной через меню Пуск - Выполнить

В столбце "Команда" не должно быть подозрительных элементов, например C:\Program Files\novirus.exe

Команда msconfig позволяет только отображать и отключать ненужные программы из автозагрузки, для полного удаления следов необходимо почистить соответствующие ветки реестра (посмотреть в столбце "Расположение").

Как альтернативe команде msconfig можно использовать программу XPTweaker.

В разделе "Система" перейти на закладку "Загрузка системы", прокрутить скроллом немного вниз до заголовка "Автозагрузка". Также просмотреть внимательно список загружаемых вместе с операционной системой приложений и при необходимости удалить ненужные. Программа удаляет информацию сразу и в реестре Windows.

Внимание! Для того, чтобы случайно не удалить важный системный процесс Windows - уточните предварительно у компьютерных гуру или найдите ответ через поисковую систему Яндекс или Гугл о неизвестных вам загружаемых приложений, например RTHDCPL.EXE

Данный способ загрузки вируса - самый элементарный. Он легко обнаруживается, и вирус удаляется. Так действовали вирусы 5-10-летней давности.

Дополнительно:

Если вы словили порно-баннер, и нет возможности посмотреть автозагрузку, то, загрузившись с любого загрузочного диска удалите все файлы из директорий C:\Temp, C:\WINDOWS\Temp, C:\Documents and Settings\user\Local Settings\Temp, т.к. существует очень большая вероятность загрузки вируса из этих папок.

Если загрузочный диск позволяет подключиться к удаленному реестру операционной системы (к вашей) - типа ERD, то можно проверить ключи реестра, отвечающие за автозагрузку. Для операционной системы Windows XP это:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run и

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

При нахождении в них подозрительных элементов - мочить гадов! :)

2. Вместо проводника

Это очень распространенный случай при заражении вирусами, особо часто он был замечен при установке порно-баннеров на операционную систему. Вирус в этом случае грузится вместо проводника Windows, заменив запись в реестре:

В ветке HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Параметр Shell (reg_sz) вместо значения "explorer.exe" заменяется вирусом на свой, например C:\WINDOWS\system32\h6d8dn.exe или подобную хрень.

Более действенный и быстрый способ - загрузившись с загрузочного диска запустить программу редактирования реестра с возможностью подключения к удаленному реестру. Для этого идеально подходит сборка ERD.

3. Вместе с userinit.exe или uihost.exe

В этом случае рабочий стол может отображаться и компьютер может вроде бы нормально работать, но могут быть заблокированы некоторые функции браузера по умолчанию или всех браузеров, невозможность отрыть сайты антивирусных программ и др.

Userinit.exe - программа, которая открывает Рабочий стол и активирует сетевые функции после запуска Windows. Находится он по адресу C:\WINDOWS\system32\userinit.exe. Размер оригинального файла составляет 26,0 КБ (26 624 байт), на диске: 28,0 КБ (28 672 байт).

Некоторые вирусы могут изменить запись в реестре у трех параметров (у всех или только некоторых) Userinit, UIHost и Shell, расположенных по адресу:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Оригинальные параметры записи в реестре должны быть следующими :

Userinit = C:\WINDOWS\system32\userinit.exe
UIHost = logonui.exe
Shell = explorer.exe

Вирус может прописать себя например так :

В данном примере файл gertinw.exe - это 100% вирус! Обязательно запомнить путь к файлу вируса и удалить его!

После удаления нужно заменить файлы userinit.exe, logonui.exe (находятся в C:\WINDOWS\system32\) и explorer.exe (находится в C:\WINDOWS\) на аналогичные файлы из дистрибутива виндовса (найдете поиском), т.к. остатки червя могут находиться в файлах ключей. Или скачайте отсюда.

После нужно проверить файл hosts (открыть любым тестовым редактором) на наличие запретов на известные сайты антивирусных программ: C:\windows\system32\drivers\etc\hosts. Удалить все после строки 127.0.0.1 localhost

Также запрет на загрузку сайтов может быть прописан в реестре по следующим адресам:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet \Services\Tcpip\Parameters \PersistentRoutes

Удалить их содержимое полностью кроме строки "По умолчанию" с неприсвоенным значением.

Neshta — довольно старый файловый вирус, который до сих пор широко распространен. Изначально он был обнаружен в 2003 году и ранее ассоциировался с вредоносным ПО BlackPOS. Он добавляет вредоносный код в зараженные файлы. В основном эта угроза попадает в среду посредством непреднамеренной загрузки или с помощью других вредоносных программ. Он заражает исполняемые файлы Windows и может атаковать сетевые ресурсы и съемные носители.

Технический анализ

В этом разделе описываются симптомы заражения Neshta. Мы взяли образцы вируса закачанные на VirusTotal в 2007, 2008 и 2019.

Мы проанализировали файлы со следующими SHA-256 хэшами:

• 29fd307edb4cfa4400a586d38116a90ce91233a3fc277de1cab7890e681c409a
• 980bac6c9afe8efc9c6fe459a5f77213b0d8524eb00de82437288eb96138b9a2
• 539452719c057f59238e123c80a0a10a0b577c4d8af7a5447903955e6cf7aa3d
• a4d0865565180988c3d9dbf5ce35b7c17bac6458ef234cfed82b4664116851f2
• 46200c11811058e6d1173a2279213d0b7ccde611590e427b3b28c0f684192d00
• c965f9503353ecd6971466d32c1ad2083a5475ce64aadc0b99ac13e2d2c31b75

Статический анализ файла

Код Neshta скомпилирован с помощью Borland Delphi 4.0. Размер файла обычно составляет 41,472 байта.

Как и любой бинарный файл Delphi, Neshta имеет четыре записываемых (DATA, BSS, .idata и .tls) и три разделяемых секции (.rdata, .reloc и .rsrc):

Рисунок 1. Особенности хедеров секций.

Кроме того, код Neshta демонстрирует любопытные строки — см. рисунок 2 ниже:

“Delphi-the best. F*** off all the rest. Neshta 1.0 Made in Belarus. Прывiтанне усiм

беларус_кiм дзяучатам. Аляксандр Рыгоравiч, вам таксама :) Восень- кепская пара… Алiварыя — лепшае пiва! Best regards 2 Tommy Salo. [Nov-2005] yours [Dziadulja Apanas]”
(«Delphi — лучший. Остальные идут на***. Neshta 1.0 Сделано в Беларуси. Привет всем

белорус_ким девчонкам. Аляксандр Григорьевич, вам тоже :) Осень — плохая пара… Аливария — лучшее пиво! С наилучшими пожеланиями для Томми Сало. [Ноябрь-2005] ваш [Дедуля Апанас])»

Рисунок 2: Интересные строки в теле вируса

Заражение файлов

Основной особенностью Neshta является файловый заражатель, который ищет .exe файлы на локальных дисках. Neshta нацелен на «.exe» файлы, исключая лишь те, которые содержат в своем коротком пути любую из следующих строк:

• %Temp%
• %SystemRoot% (usually C:\Windows)
• \PROGRA

Сводка процесса заражения описана ниже и на рисунке 3.

1. Считывает 41,472 (0xA200) байта с начала целевого исходного файла.
2. Создает два раздела и выделяет память с атрибутом PAGE_READWRITE в начале и конце исходного файла.
3. Помещает свой вредоносный заголовок и код в начале исходного файла. Записанные данные составляют 41,472 байта.
4. Записывает закодированный исходный заголовок и код в файл, размер которого составляет 41,472 байта.

Эти действия позволяют запускать вредоносный код сразу после запуска зараженного файла:

Рисунок 3: Заражение файла

При запуске зараженного файла исходная программа помещается в %Temp%\3582-490\<filename> и запускается с помощью WinExec API.

Устойчивость

Ключ реестра: HKLM\SOFTWARE\Classes\exefile\shell\open\command
Значение реестра: (Default)
Значение: %SystemRoot%\svchost.com "%1" %*
Это изменение реестра предписывает системе запускать Neshta при каждом запуске .exe-файла. "%1" %* указывает на запущенный файл .exe. Кроме того, Neshta создает именованный мьютекс для проверки существования другого работающего экземпляра:

MutexPolesskayaGlush*.*<0x90>svchost.com<0x90>exefile\shell\open\command‹À "%1" %*œ‘@

Еще один внедряемый файл — «directx.sys», который отправляется в %SystemRoot%. Это текстовый файл (а не драйвер ядра), который содержит путь к последнему зараженному файлу для запуска. Он обновляется каждый раз, когда исполняется зараженный файл.

BlackBerry Cylance останавливает Neshta

Приложение

Показатели компрометации (IOCs)

беларус_кiм дзяучатам. Аляксандр Рыгоравiч, вам таксама :) Восень- кепская пара… Алiварыя — лепшае пiва! Best regards 2 Tommy Salo. [Nov-2005] yours [Dziadulja Apanas]

Читайте также:

  
• Как подключить tft дисплей к ардуино
  
• Как открыть файл utx
  
• Ошибки бортового компьютера штат матрикс
  
• Nv4 dll что это
  
• Режим суперсэмплинга на ps4 pro что это