Вірус-це шкідлива програма (набір процесорних інструкцій які оформлені певним чином) яка вміє саморозмножуватися. Віруси можуть без відома користувача виконувати інші довільні дії, в тому числі що завдають шкоди користувачеві і / або компьютеру.Самое головне при боротьбі з вірусом, це не дати запуститися або ж виконуватися шкідливу програму. Так що програма не почала виконуватися це нешкідливий файл який ніякої шкоди вам не принесе разdве що займають зайве місце на диску. Грамотні "вірус-прогерія" постійно вдосконалюють свої технології занесення шкідливого програмного забезпечення в систему, але і способи потайного запуску і функціонування. Що не тільки рядовим користувачам було неможливо їх виявити і знешкодити за допомогою антивірусних програм, але і це було б досить складно і для фахівців.
Давайте відповімо на питання. Коли заражається операційна система вірусом? При запуску програми і бажано для вірусу що б дана програма була запущена з правами Адміністратора і буде ще краще якщо не хто не знатиме про запуск цієї програми. Так що звідси випливають висновки що потрібно стежити то що запускається на вашому комп'ютері. А так само не слід запускати то що ви не знаєте або то в чому сумніваєтеся.
Є звичайно в операційних системах (ОС) такий елемент як автозапуск і зокрема його присутність відчуваєш у всіма улюбленої і популярною ОС MS Windows. Під час автозапуску обробляється файл Autorun.inf. Цей файл визначає, які команди виконує система. Багато організацій і компанії використовують автозапуск для інсталяторів своїх програмних продуктів, але її ж стали використовувати і виробники вірусів. В наслідок чого, про автозапуску, як деякому зручність при роботі за комп'ютером, можна забути. Більшість грамотних користувачів дану опцію відключили назавжди. На сайті технічної підтримки Microsoft є спеціальна методика Відключення функцій автозапуску в Windows . Або використовувати утиліту AVZ (Про яку ми поговоримо в наступній статті).
Але через всесвітню павутину Інтернет вірусів підчепити можна з набагато більшою ймовірністю. Як ми бачимо сайти стають все складніше і красивіше, з'являються нові мультимедійні можливості, зростають соціальні мережі, постійно збільшується кількість серверів і росте число відвідувачів цих сайтів. Так чим складніше і наворочений структура сайту тим простіше замаскувати в ньому шкідливий вірус. Так само існує думка що безліч шкідливих програм міститься на сайтах "для дорослих", а так само на сайтах з серійними номерами програмних продуктів так званих "кряков". Частка правди є в цьому переконанні, але все таки не завжди і не скрізь, так як існує багато нешкідливих сайтів нічого не чарують на перший погляд. І це все не тому що власники цих сайтів "нехороші". Просто зло-шкідники зламують порядні сайти, а добропорядні власники про це навіть не підозрюють. Крім того, виробники вірусів використовують найбільш популярні пошукові запити для відображення заражених сторінок в результатах видачі пошукових систем. Особливо популярні запити з фразами «скачати безкоштовно» і »скачати без реєстрації і SMS». Намагайтеся не використовувати ці слова в пошукових запитах, інакше, ризик отримання посилання на шкідливі сайти значно зростає. Особливо, якщо ви шукаєте популярний фільм, ще не вийшов в прокат або останній концерт відомої групи.
Визначаємо вірус в ОС Windows.
- Визначити "лівий" трафік можна за допомогою аналізаторів протоколу. Можна використовувати Wireshark. Відразу після завантаження першим запускаємо його і бачимо наявність групи DNS-запитів (як потім виявилося - один раз за 5 хвилин) на визначення IP-адрес вузлів ysiq1iyp.com, 1irgfqfyu.com, upwdpqpqr.com і т.п. ОС Windows люблять виходити в мережу, коли треба і не треба, антивірусні програми можуть оновлювати свої бази, тому визначити приналежність трафіку саме вірусу досить складно. Звичайно потрібно пропустити трафік через незараженную машину і серйозно проаналізувати його вміст. Але про це ми не дізнаємося сьогодні. В принципі, непрямою ознакою ненормальності мережевої активності системи можуть бути значні значення лічильників трафіку провайдера, в умовах простою системи, лічильники з властивостей VPN-з'єднання і т.п.
- Є програми для пошуку руткітів, однією з таких ми скористаємося. Зараз таких програм вже чимало і їх нескладно знайти в мережі. Наш вибір припав на досить спритну програму RootkitRevealer (Завантажити, 231кб) Марка Руссиновича. Інсталяція не потрібна. Разархівіруем і запускаємо. Тиснемо «Scan». Після сканування бачимо результати:
Навіть не вдаючись в змісту рядків, можна відразу помітити, що є дуже «свіжі» за часом створення / модифікації запису або файли (колонка «Timestamp»). Нас в першу чергу повинні зацікавити файли з описом (колонка «Description») - «Hidden from Windows API» - приховано від API-інтерфейсу Windows. Приховування файлів, записів в реєстрі, додатків - це, недобре. Два файлу - grande48.sys і Yoy46.sys - це якраз те, що ми шукаємо. Це і є прописався під виглядом драйверів шуканий руткит або його частина, що забезпечує скритність. Перевірка показала - це нормальні драйвери Windows. Крім того, вірус приховував їх наявність тільки в папці \ system32, а їх копії в \ system32 \ dllcache залишилися видимими.
У Windows застосовується спеціальний механізм захисту системних файлів, званий Windows File Protection (WFP). Завдання WFP - автоматичне відновлення важливих системних файлів при їх видаленні або заміні застарілими або не підписаними копіями. Всі системні файли Windows мають цифровий підпис і перераховані в спеціальній базі даних, використовуваної WFP. Для зберігання копій файлів використовується папка \ system32 \ dllcache і, почасти, \ Windows \ driver cache. При видаленні або заміні одного з системних файлів, WFP автоматично копіює «правильну» його копію з папки \ dllcache. Якщо вказаний файл відсутній в папці \ dllcache, то Windows XP просить вставити в привід компакт-дисків компакт-диск Windows XP. Спробуйте видалити \ system32 \ vga.sys, і система тут же його відновить, використовуючи копію з dllcache. А ситуація, коли, при працюючій системі відновлення файлів, файл драйвера є в \ dllcache і його не видно в \ system32 - це теж додатковий ознака наявності руткита в системі.
Чистимо ОС Windows за допомогою консолі відновлення.
Скористаємося стандартної консоллю відновлення Windows. Беремо інсталяційний диск Windows XP і завантажується з нього. На першому екрані вибираємо 2-й пункт меню - тиснемо R.
Якщо встановлено кілька ОС систем то вибираємо потрібну:
Зажадаєте ввести пароль адміністратора.
для перегляду списку драйверів і служб вводимо команду listsvc:
У списку бачимо що присутній Yoy46, але відсутній grande48, що говорить нам про те, що файл драйвера grande48.sys приховано присутній в системі, але не завантажується:
Консоль відновлення ОС Windows вміє забороняти або дозволяти запуск драйверів і служб за допомогою команд disable та enable. Забороняємо старт Yoy46 командою:
disable Yoy46
Водимо команду EXIT і перезавантажуємося.
Після перезавантаження драйвер руткита не завантажиться, що дозволить легко видалити його файли і очистити реєстр від його записів. Можна зробити це вручну, а можна використовувати антивірус. Найбільш ефективним, з моєї точки зору, буде безкоштовний сканер на основі всім відомого антивіруса Dr.Web Ігоря Данилова. Завантажити можна звідси - http://freedrweb.ru
Там же рекомендую скачати «Dr.Web LiveCD» - образ диска, який дозволяє відновити працездатність системи, після дії шкідливих програм, на робочих станціях і серверах під управлінням ОС Windows \ Unix, скопіювати важливу інформацію на змінні носії або інший комп'ютер, якщо дії шкідливих програм унеможливили завантаження комп'ютера. Dr.Web LiveCD допоможе не тільки очистити комп'ютер від інфікованих і підозрілих файлів, але і спробує вилікувати заражені об'єкти. Для видалення вірусу потрібно завантажити з сайту DrWeb образ (файл з розширенням .iso) і записати його на CD. Буде створено завантажувальний диск, завантажившись з якого, керуєтеся простим і зрозумілим меню.
Якщо немає можливості скористатися Dr.Web LiveCD, то використовуйте антивірусний сканер Dr.Web CureIt !, який можна запустити, завантажившись в інший ОС, наприклад Winternals ERD Commander. Для сканування зараженої системи необхідно вказати жорсткий диск (Режим «Вибіркова перевірка»). Сканер допоможе вам знайти файли вірусу, і вам залишиться лише видалити пов'язані з ним записи з реєстру.
Важливо перевірити гілку реєстру:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot
розділи:
Minimal - список драйверів і служб запускаються в безпечному режимі (Safe Mode)
Network - то ж, але з підтримкою мережі.
Додам, що існує новий клас rootkit, представником якого є BackDoor.MaosBoot. Ця троянська програма прописує себе в завантажувальний сектор жорсткого диска і забезпечує приховану установку свого драйвера в пам'яті. Сам Rootkit-драйвер напряму записаний в останні сектори фізичного диска, минаючи файлову систему, чим і приховує свою присутність на диску. В общем-то, принцип не новий, років десять тому шкідливі програми подібним чином маскувалися на резервних доріжках дискет і жорстких дисків, проте виявився дуже ефективним, оскільки більшість антивірусів з завданням видалення BackDoor.MaosBoot до сих пір не справляються. Згадуваний вище RootkitRevealer завантажувальний сектор не перевіряє, а сектори в кінці диска для нього ніяк не пов'язані з файлової системою і, природно, такий руткит він не виявить. Правда, Dr.Web (а, отже, і Cureit) з BackDoor.MaosBoot цілком справляється.
Якщо у вас виникли сумніви щодо будь-якого файлу, то можна скористатися безкоштовною онлайнової антивірусної службою virustotal.com . Через спеціальну форму на головній сторінці сайту завантажуєте підозрілий файл і чекаєте результатів. Сервісом virustotal використовуються консольні версії безлічі антивірусів для перевірки вашого підозрюваного файлу. Результати виводяться на екран. Якщо файл є шкідливим, то з великою часткою ймовірності, ви зможете це визначити. В якійсь мірі сервіс можна використовувати для вибору «кращого антивіруса».
тут посилання на одну з гілок форуму сайту virusinfo.info, де користувачі викладають посилання на різні ресурси присвячені антивірусного захисту, в т.ч. і онлайн - перевірок комп'ютера, браузера, файлів ...
Іноді, в результаті некоректних дій вірусу (або антивіруса) система взагалі перестає завантажуватися. Наведу характерний приклад. Шкідливі програми намагаються потрапити в систему, використовуючи різні, в тому числі, досить незвичайні способи. У процесі початкового завантаження, ще до реєстрації користувача, запускається «Диспетчер сеансів» (\ SystemRoot \ System32 \ smss.exe), завдання якого - запустити високорівневі підсистеми і сервіси (служби) операційної системи. На цьому етапі запускаються процеси CSRSS (Client Server Runtime Process), WINLOGON (Windows Logon), LSASS (LSA shell), і що залишилися служби з параметром Start = 2 з розділу реєстру
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services
Інформація, призначена для диспетчера сеансів, знаходиться в ключі реєстру
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Session Manager
Одним із способів впровадження в систему, є підміна dll-файлу для CSRSS. Якщо ви подивіться вміст записи
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Session Manager \ SubSystems
то знайдете значення
ServerDll = basesrv, ServerDll = winsrv. Бібліотеки basesrv.dll і winsrv.dll - це «правильні» файли системи, що завантажуються службою CSRSS на звичайній (незараженной) системі. Цей запис в реєстрі можна підправити на запис, що забезпечує завантаження, наприклад, замість basesrv.dll, шкідливої basepvllk32.dll:
ServerDll = basepvllk32 (або якусь іншу dll, відмінну від basesrv і winsrv)
Що забезпечить, при наступному перезавантаженні, отримання управління шкідливу програму. Якщо ж ваш антивірус виявить і видалить впроваджену basepvllk32, залишивши недоторканою запис в реєстрі, то завантаження системи завершиться «синім екраном смерті» (BSOD) з помилкою STOP c000135 і повідомленням про неможливість завантажити basepvllk32.
Виправити можна так:
- завантажиться в консоль відновлення (або в будь-який інший системі), і скопіювати файл basesrv.dll з папки C: \ WINDOWS \ system32 в ту ж папку під ім'ям basepvllk32.dll. Після чого система завантажиться і можна буде вручну підправити запис в реєстрі.
- завантажитися з використанням Winternals ERD Commander і виправити запис в реєстрі на ServerDll = basesrv. Або виконати відкат системи з використанням точки відновлення.
Ще один характерний приклад. Шкідлива програм реєструється як відладчик процесу explorer.exe, створюючи в реєстрі запис типу:
HKM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Image File Execution Options \ explorer.exe
«Debugger» = »C: \ Program Files \ Microsoft Common \ wuauclt.exe»
Видалення wuauclt.exe антивірусом без видалення запису в реєстрі призводить до неможливості запуску explorer.exe. В результаті ви отримуєте порожній робочий стіл, без будь-яких кнопок і ярликів. Вийти з положення можна використовуючи комбінацію клавіш CTRL-ALT-DEL. Вибираєте «Диспетчер завдань» - «Нова задача» - «Обзор» - знаходите і запускаєте редактор реєстру regedit.exe. Потім видаляєте ключ
HKM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Image File Execution Options \ explorer.exe
і перезавантажується.
У разі, коли ви точно знаєте час зараження системи, відкат на точку відновлення до цієї події, є досить надійним способом позбавлення від зарази. Іноді є сенс виконувати не повний відкат, а частковий, з відновленням файлу реєстру SYSTEM, як це описано в статті «Проблеми із завантаженням ОС» розділу «Windows»
Сподобалося ?! Поділися з друзями!
Коли заражається операційна система вірусом?