Компьютерный вирус — разновидность компьютерных программ, отличительной особенностью которых является способность к размножению (саморепликация). В дополнение к этому вирусы могут без ведома пользователя выполнять прочие произвольные действия, в том числе наносящие вред пользователю и компьютеру.
Отписываем, кто как борется с вирусами и прочими вредоносными программами. Пишем так же полезные советы о действиях в случае заражения компьютера.
Вирусы распространяются, копируя свое тело и обеспечивая его последующее исполнение: внедряя себя в исполняемый код других программ, заменяя собой другие программы, прописываясь в автозапуск и другое. Вирусом или его носителем могут быть не только программы, содержащие машинный код, но и любая информация, содержащая автоматически исполняемые команды — например, пакетные файлы и документы Microsoft Word и Excel, содержащие макросы. Кроме того, для проникновения на компьютер вирус может использовать уязвимости в популярном программном обеспечении (например, Adobe Flash, Internet Explorer, Outlook), для чего распространители внедряют его в обычные данные (картинки, тексты, и т. д.) вместе с эксплоитом, использующим уязвимость.
Каналы
Дискеты
Самый распространённый канал заражения в 1980-90 годы. Сейчас практически отсутствует из-за появления более распространённых и эффективных каналов и отсутствия флоппи-дисководов на многих современных компьютерах. Флеш-накопители (флешки)
В настоящее время USB-флешки заменяют дискеты и повторяют их судьбу — большое количество вирусов распространяется через съёмные накопители, включая цифровые фотоаппараты, цифровые видеокамеры, цифровые плееры (MP3-плееры), сотовые телефоны. Использование этого канала ранее было преимущественно обусловлено возможностью создания на накопителе специального файла autorun.inf, в котором можно указать программу, запускаемую Проводником Windows при открытии такого накопителя. В последней версии MS Windows под торговым названием Windows 7 возможность автозапуска файлов с переносных носителей была устранена. Флешки — основной источник заражения для компьютеров, не подключённых к Интернету. Электронная почта
Обычно вирусы в письмах электронной почты маскируются под безобидные вложения: картинки, документы, музыку, ссылки на сайты. В некоторых письмах могут содержаться действительно только ссылки, то есть в самих письмах может и не быть вредоносного кода, но если открыть такую ссылку, то можно попасть на специально созданный веб-сайт, содержащий вирусный код. Многие почтовые вирусы, попав на компьютер пользователя, затем используют адресную книгу из установленных почтовых клиентов типа Outlook для рассылки самого себя дальше. Системы обмена мгновенными сообщениями
Также распространена рассылка ссылок на якобы фото, музыку либо программы, в действительности являющиеся вирусами, по ICQ и через другие программы мгновенного обмена сообщениями. Веб-страницы
Возможно также заражение через страницы Интернета ввиду наличия на страницах всемирной паутины различного «активного» содержимого: скриптов, ActiveX-компонент. В этом случае используются уязвимости программного обеспечения, установленного на компьютере пользователя, либо уязвимости в ПО владельца сайта (что опаснее, так как заражению подвергаются добропорядочные сайты с большим потоком посетителей), а ничего не подозревающие пользователи, зайдя на такой сайт, рискуют заразить свой компьютер. Интернет и локальные сети (черви)
Черви — вид вирусов, которые проникают на компьютер-жертву без участия пользователя. Черви используют так называемые «дыры» (уязвимости) в программном обеспечении операционных систем, чтобы проникнуть на компьютер. Уязвимости — это ошибки и недоработки в программном обеспечении, которые позволяют удаленно загрузить и выполнить машинный код, в результате чего вирус-червь попадает в операционную систему и, как правило, начинает действия по заражению других компьютеров через локальную сеть или Интернет. Злоумышленники используют заражённые компьютеры пользователей для рассылки спама или для DDoS-атак.
ПРОТИВОДЕЙСТВИЕ ОБНАРУЖЕНИЮ
Во времена MS-DOS были распространены стелс-вирусы, перехватывающие прерывания для обращения к операционной системе. Вирус таким образом мог скрывать свои файлы из дерева каталогов или подставлять вместо зараженного файла исходную копию. С широким распространением антивирусных сканеров, проверяющих перед запуском любой код на наличие сигнатур или выполнение подозрительных действий, этой технологии стало недостаточно. Сокрытие вируса из списка процессов или дерева каталогов для того, чтобы не привлекать лишнее внимание пользователя, является базовым приемом, однако для борьбы с антивирусами требуются более изощренные методы. Для противодействия сканированию на наличие сигнатур применяется шифрование кода и полиморфизм. Эти техники часто применяются вместе, поскольку для расшифрования зашифрованной части вируса необходимо оставлять расшифровщик незашифрованным, что позволяет обнаруживать его по сигнатуре. Поэтому для изменения расшифровщика применяют полиморфизм - модификацию последовательности команд, не изменяющую выполняемых действий. Это возможно благодаря весьма разнообразной и гибкой системе команд процессоров Intel, в которой одно и то же элементарное действие, например сложение двух чисел, может быть выполнено несколькими последовательностями команд. Также применяется перемешивание кода, когда отдельные команды случайным образом разупорядочиваются и соединяются безусловными переходами. Передовым фронтом вирусных технологий считается метаморфизм, который часто путают с полиморфизмом. Расшифровщик полиморфного вируса относительно прост, его функция - расшифровать основное тело вируса после внедрения, то есть после того как его код будет проверен антивирусом и запущен. Он не содержит самого полиморфного движка, который находится в зашифрованной части вируса и генерирует расшифровщик. В отличие от этого, метаморфный вирус может вообще не применять шифрование, поскольку сам при каждой репликации переписывает весь свой код
КЛАССИФИКАЦИЯ
Ныне существует немало разновидностей вирусов, различающихся по основному способу распространения и функциональности. Если изначально вирусы распространялись на дискетах и других носителях, то сейчас доминируют вирусы, распространяющиеся через Интернет. Растёт и
функциональность вирусов, которую они перенимают от других видов программ.
В настоящее время не существует единой системы классификации и именования вирусов (хотя попытка создать стандарт была предпринята на встрече CARO в 1991 году). Принято разделять вирусы:
По поражаемым операционным системам и платформам (DOS, Microsoft Windows, Unix, Linux);
По технологиям, используемым вирусом (полиморфные вирусы, стелс-вирусы, руткиты);
По языку, на котором написан вирус (ассемблер, высокоуровневый язык программирования, скриптовый язык и др.);
По дополнительной вредоносной функциональности (бэкдоры, кейлоггеры, шпионы, ботнеты и др.).
ВИДЫ
Виды компьютерных вирусов
Нет сегодня такого человека, который не слышал о компьютерных вирусах. Что это такое, какие бывают виды компьютерных вирусов и вредоносных программ, попробуем разобраться в этой статье. Итак, компьютерные вирусы можно разделить на следующие виды.
Рекламные программы
Под рекламными и информационными программами понимаются такие программы, которые, помимо своей основной функции, также демонстрируют рекламные баннеры и всевозможные всплывающие окна с рекламой. Такие сообщения с рекламой порой бывает достаточно нелегко скрыть или отключить. Такие рекламные программы основываются при работе на поведение пользователей компьютера и являются достаточно проблемными по соображениям безопасности системы.
Бэкдоры (Backdoor)
Утилиты скрытого администрирования позволяют, обходя системы защиты, поставить компьютер установившего пользователя под свой контроль. Программа, которая работает в невидимом режиме, дает хакеру неограниченные права для управления системой. С помощью таких backdoor-программ можно получить доступ к персональным и личным данным пользователя. Нередко такие программы используются в целях заражения системы компьютерными вирусами и для скрытой установки вредоносных программ без ведома пользователя.
Загрузочные вирусы
Нередко главный загрузочный сектор вашего HDD поражается специальными загрузочными вирусами. Вирусы подобного типа заменяют информацию, которая необходима для беспрепятственного запуска системы. Одно из последствий действия таковой вредоносной программы это невозможность загрузки операционной системы...
Bot-сеть
Bot-сеть это полноценная сеть в Интернет, которая подлежит администрированию злоумышленником и состоящая из многих инфицированных компьютеров, которые взаимодействуют между собой. Контроль над такой сетью достигается с использованием вирусов или троянов, которые проникают в систему. При работе, вредоносные программы никак себя не проявляют, ожидая команды со стороны злоумышленника. Подобные сети применяются для рассылки СПАМ сообщений или для организации DDoS атак на нужные сервера. Что интересно, пользователи зараженных компьютеров могут совершенно не догадываться о происходящем в сети.
Эксплойт
Эксплойт (дословно брешь в безопасности) – это такой скрипт или программа, которые используют специфические дырки и уязвимости ОС или какой-либо программы. Подобным образом в систему проникают программы, с использованием которых могут быть получены права доступа администратора.
Hoax (дословно шутка, ложь, мистификация, шутка, обман)
Уже на протяжении нескольких лет многие пользователи сети Интернет получают электронные сообщения о вирусах, которые распространяются якобы посредством e-mail. Подобные предупреждения массово рассылаются со слезной просьбой отправить их всем контактам из вашего личного листа.
Ловушки
Honeypot (горшочек меда) – это сетевая служба, которая имеет задачу наблюдать за всей сетью и фиксировать атаки, при возникновении очага. Простой пользователь совершенно не догадывается о существовании такой службы. Если же хакер исследует и мониторит сеть на наличие брешей, то он может воспользоваться услугами, которые предлагает такая ловушка. При этом будет сделана запись в log-файлы, а также сработает автоматическая сигнализация.
Макровирусы
Макровирусы - это очень маленькие программы, которые написаны на макроязыке приложений. Такие программки распространяются только среди тех документов, которые созданы именно для этого приложения. Для активации таких вредоносных программ необходим запуск приложения, а также выполнение инфицированного файла-макроса. Отличие от обычных вирусов макросов в том, что заражение происходит документов приложения, а не запускаемых файлов приложения.
Фарминг
Фарминг - это скрытая манипуляция host-файлом браузера для того, чтобы направить пользователя на фальшивый сайт. Мошенники содержат у себя сервера больших объемов, на таких серверах хранятся большая база фальшивых интернет-страниц. При манипуляции host-файлом при помощи трояна или вируса вполне возможно манипулирование зараженной системой. В результате этого зараженная система будет загружать только фальшивые сайты, даже в том случае, если Вы правильно введете адрес в строке браузера.
Фишинг
Phishing дословно переводится как "выуживание" личной информации пользователя при нахождении в сети интернет. Злоумышленник при своих действиях отправляет потенциальной жертве электронное письмо, где указано, что необходимо выслать личную информацию для подтверждения. Нередко это имя и фамилия пользователя, необходимые пароли, PIN коды для доступа к счетам пользователя онлайн. С использованием таких похищенных данных, хакер вполне может выдать себя за другое лицо и осуществить любые действия от его имени.
Полиморфные вирусы
Полиморфные вирусы – это вирусы, использующие маскировку и перевоплощения в работе. В процессе они могут изменять свой программный код самостоятельно, а поэтому их очень сложно обнаружить, потому что сигнатура изменяется с течением времени.
Программные вирусы
Компьютерный вирус - это обычная программа, которая обладает самостоятельно прикрепляться к другим работающим программам, таким образом, поражая их работу. Вирусы самостоятельно распространяют свои копии, это значительно отличает их от троянских программ. Также отличие вируса от червя в том, что для работы вирусу нужна программа, к которой он может приписать свой код.
Руткит
Руткит – это определенный набор программных средств, который скрыто устанавливается в систему пользователя, обеспечивая при этом сокрытие личного логина киберпреступника и различных процессов, при этом делая копии данных.
Скрипт-вирусы и черви
Такие виды компьютерных вирусов достаточно просты для написания и распространяются в основном посредством электронной почты. Скриптовые вирусы используют скриптовые языки для работы чтобы добавлять себя к новым созданным скриптам или распространяться через функции операционной сети. Нередко заражение происходит по e-mail или в результате обмена файлами между пользователями. Червь это программа, которая размножается самостоятельно, но которая инфицирует при этом другие программы. Черви при размножении не могут стать частью других программ, что отличает их от обычных видов компьютерных вирусов.
Шпионское ПО
Шпионы могут переслать личные данные пользователя без его ведома третьим лицам. Шпионские программы при этом анализируют поведение пользователя в сети Интернет, а также, основываясь на собранных данных, демонстрируют пользователю рекламу или pop-up (всплывающие окна), которые непременно заинтересуют пользователя.
Троянские программы
Троянские программы это программы, которые должны выполнять определенные полезные функции, но после запуска таких программ выполняются действия другого характера (разрушительные). Трояны не могут размножаться самостоятельно, и это основное их отличие их от компьютерных вирусов. Если произошло заражение, можете прочесть статью как удалить троян.
Зомби
Зомби - это инфицированный компьютер, который инфицирован вредоносными программами. Такой компьютер позволяет хакерам удаленно администрировать систему и с помощью этого совершать различные нужные действия (DoS атаку, рассылка спама и т.п.).
В ПОМОЩЬ
.
Новые вирусы могут не просто уничтожить информацию на винчестере компьютера (иногда ее можно восстановить, а в большинстве случаев - нельзя), но и уничтожить ваш компьютер полностью.
Сейчас речь пойдет именно о таких вирусах, которые уничтожают и данные на винчестере компьютера, и сам компьютер.
Мы можем с полной уверенностью утверждать, что идея компьютерных вирусов, как это ни странно, зародилась задолго до появления самих персональных компьютеров. В 1959 г. L.S. Penrose опубликовал в журнале “Scientific American” статью, посвященную самовоспроизводящимся механическим структурам, в которой была описана простейшая двумерная модель подобных структур, способных к активации, размножению, мутациям, захвату. Вскоре F.G. Stahl практически реализовал эту модель с помощью машинного кода на IBM 650.
В дальнейшем, начиная с 20 апреля 1977 года (в этот день был выпущен первый компьютер для массового пользования), условия реализации самовоспроизводящихся программ улучшились. Значительно расширился ассортимент доступных рядовому пользователю персональных компьютеров. Шло интенсивное развитие как компьютеров, так и программного обеспечения для них. Появлялись первые банки данных. И тогда же начали появляться программисты, реализующие идею L.S. Penrose.
90-е годы — расцвет глобальной сети Интернет, что облегчило распространение вирусов. Но тогда увеличивалось их количество. Сейчас же вирусы становятся более умными и хитрыми. Они способны приспособиться за короткий период времени к новым условиям. Некоторые, шутливые, могут просто перезагрузить компьютер, проиграть мелодию и не принести никакого вреда. Но таких вирусов осталось очень мало.
Новые вирусы могут не просто уничтожить информацию на винчестере компьютера (иногда ее можно восстановить, а в большинстве случаев — нельзя), а уничтожить ваш компьютер полностью.
Сейчас речь пойдет именно о таких вирусах, которые уничтожают и данные на винчестере компьютера, и сам компьютер перестает загружаться.
Стоит ли включать компьютер 26 апреля?
Наверное, нет ни одного пользователя, хакера и даже ламера, который не знает о роковом дне 26 апреля. Да, это день активации одного из самых опасных вирусов, имя которого Win95.CIN, известного также, как “Чернобыль”. Этот вирус разрушает аппаратную часть компьютеров. 26-го числа каждого месяца (только некоторые версии вируса), после срабатывания деструктивного кода вируса, материнские платы компьютеров становятся практически неработоспособными. Но только в том случае, если в этих компьютерах, инфицированных вирусом Win95.CIH, переключатель записи в перезаписываемое программируемое ПЗУ (Flash BIOS) находился в положении, разрешающем запись в это ПЗУ. А, как правило, все компьютеры поставляются и продаются именно с таким положением переключателя.
Что же представляет собой этот “Computer Killer”?
Вирус Win95.CIH был написан в Тайване, распространялся автором этого детища в Интернете, и в настоящее время поразил большинство стран Юго-Восточной Азии, а также некоторые европейские страны (в частности, очень серьезно пострадала Швеция).
Вирус Win95.CIH очень опасный резидентный вирус. Заражает файлы в формате EXE PE под управлением операционной системы Windows 95. При заражении файлов вирус не увеличивает их длины, а использует довольно интересный механизм заражения файлов. Каждая кодовая секция EXE PE файла выровнена на определенное количество байт, обычно не используемых программой. В такие области вирус и записывает части своего кода, “разбрасывая” их иногда по всему файлу (или по всем кодовым секциям). Кроме того, вирус может записать свою стартовую процедуру (процедуру, первой получающую управление при запуске программы) или даже весь свой код в область заголовка EXE PE файла и установить точку входа программы на эту стартовую процедуру. Таким образом, точка входа файла может не принадлежать ни одной кодовой секции файла.
При получении управления вирус выделяет себе блок памяти посредством вызова функции PageAllocate и “собирает себя по частям” в единое целое в этом выделенном участке памяти. Далее Win95.CIH перехватывает IFS API и отдает управление программе-вирусоносителю. При открытии файлов с расширением EXE и форматом PE вирус инфицирует их.
26-го числа каждого месяца вирус уничтожает содержимое Flash BIOS, записывая в него случайные данные (“мусор”). В результате после первой же перезагрузки компьютер перестает загружаться. И, как правило, даже в промышленных условиях восстановить содержимое Flash BIOS и вернуть работоспособность компьютеру достаточно сложно.
В настоящее время существует три модификации вируса Win95.CIH длиной 1003, 1010 и 1019 байт. Данные вирусы содержат в своем теле тексты:
— Win95.CIH.1003 — CIH v1.2 TTIT
— Win95.CIH.1010 — CIH v1.3 TTIT
— Win95.CIH.1019 — CIH v1.4 TATUNG
Что же произошло 26 апреля 1999 года в России?
26 апреля 1999 года за первые 9..10 часов с утра было зафиксировано только по России более чем в 20 городах срабатывание вируса Win95.CIH. В офисы разработчиков антивирусных программ поступало множество звонков и сотни электронных писем. За последние несколько лет это самый крупный случай срабатывания компьютерного вируса, к тому же приводящий к потере данных и временному выводу из строя компьютеров.
При работе 26 апреля в Windows 95/98 вирус, определив, что наступило нужное число, запускает деструктивную функцию. В результате чего произошло следующее:
— Деструктивная функция пытается записать “мусор” во FLASH BIOS компьютера. Если эта операция удается, то компьютер можно восстановить только заменой микросхемы BIOS или перешивкой этой микросхемы на специальном оборудовании. К сожалению, иногда это практически невозможно. В частности, на некоторых типах портативных компьютеров придется менять материнскую плату, что может стоить практически столько же, что и новый компьютер;
— Параллельно записи “мусора” во FLASH BIOS затирались данные на дисках, в них был записан случайный “мусор”.
Восстановление данных на дисках практически невозможно. В любом случае, в результате этих операций компьютер не грузится, и зачастую это выглядит как поломка. В службу технической поддержки фирмы “Красная волна”, занимающейся сборкой и продажей компьютеров, за 1-ю половину дня 26 апреля 1999 г. обратились более 50 клиентов, которые были уверены, что у них вышел из строя блок питания.
Вирус Win95.CIH уверенно входит в 10 самых распространенных вирусов в мире. Причем из этой десятки данный вирус единственный, в который встроены серьезные деструктивные функции. Срабатывает этот вирус один раз в год — 26 апреля. Hекоторые, появившиеся позже модификации срабатывают 26-го числа каждого месяца.
В целом вирус Win95.CIH давно известен (подробное описание его можно найти на сайтах антивирусных фирм). Антивирусные программы, к примеру, такие, как “DrWeb”, “AntiViral Toolkit Pro” и другие подобные, давно знают и умеют лечить этот вирус. Естественно, до того, как вирус активируется и похоронит себя вместе с другими данными. Но, как показывает произошедшее, большая часть пользователей, несмотря на предостережения, не пользуется антивирусами. Причем у многих из пострадавших были антивирусные программы более-менее свежих версий, но они их не запускали для проверки дисков компьютера. И вирус все-таки сработал!
Старые избитые советы “не пользуйтесь непроверенными источниками”, “регулярно проверяйте диски антивирусными программами” помогают и в этом случае. Те, кто заботится о сохранности данных и пользуется свежими версиями антивирусных программ, защищен от таких вирусных атак.
Результаты второго пришествия злосчастного вируса
В этом году компьютерщики всего мира ждали два “конца света”. Первый — в ночь на 1 января 2000 года. Второй, поскольку первый так и не произошел, был назначен на 26 апреля. Именно в этот день в прошлом году были “убиты” сотни тысяч компьютеров, пораженные вирусом Win95.CIN (неформальное название — “Чернобыль”). Второй “конец света” также, к счастью, не состоялся, хотя и в этом году в России и других странах было повреждено довольно большое количество компьютеров.
В течение 26-27 апреля в “ДиалогHауку” (один из крупных разработчиков антивирусных программ) обратились около 200 пользователей, на компьютерах которых сработал вирус “Чернобыль”. Конечно, по сравнению с прошлым годом, когда количество обращений превысило 1000, это немного (что, впрочем, мало утешает тех, кто пострадал от вируса). По общему мнению специалистов, повторной эпидемии удалось избежать благодаря широкой распространенности и доступности современных антивирусных средств, посредством которых данный вирус может быть обнаружен и уничтожен.
“ДиалогHаука” 15 апреля объявила о бесплатной раздаче последней, полнофункциональной версии сканера Doctor Web. К 26 апреля в рамках этой акции Doctor Web бесплатно получили более 20 000 человек. Основной целью этой акции было предоставление пользователям надежного средства защиты именно от вируса Win.CIH.
Еще один “Убийца”
Как люди общались между собой, когда были далеко друг от друга лет десять назад и раньше? Они писали прекрасные письма. Писали на бумаге, от руки... Сейчас же люди могут посылать письма, даже не просто в пределах своей страны, по всему миру за секунды. Все, что для этого нужно это компьютер и Интернет. Электронная почта во многом, в десятки или даже в сотни раз превосходит обычную почту. Но она также имеет недостатки. Разве вы можете в конверте с обычным письмом получить от друга, знакомого, любимого или любимой вирус, который убьет вас или причинит вам вред. Нет!!! А через электронную почту, к сожалению, даже от любимого или любимой ваш компьютер может поразить вирус.
Вирусы, распространяемые по электронной почте, способны к самораспространению. Т.е. человек, якобы отправивший вам письмо, даже не подозревает о том, что он отправил данное письмо. Подобные вирусы, при открытии пользователем прикрепленного файла-вируса к полученному письму, “залезают” в адресную книгу и создают письма со своими файлами, которые благополучно отправляются (в большинстве случаев сразу же) по всем адресам из адресной книги. Адресат, увидев письмо от друга, без опаски открывает прикрепленный файл, и сразу же заражает свой компьютер, а также непроизвольно посылает вирус другим адресатам. Вирус может быть замаскирован под, скажем, файл MS Word. Кто догадается, что лучший друг прислал вирус, да еще и в Word-файле?
Любовные письма
В начале мая 2000 года количество признаний в любви как минимум в 3 раза превысило среднестатистические показатели. Признавались в любви все — от секретарш до парламентариев и министров, причем настойчиво и без разбору — всем, кому они могли это сделать.
Началась эта сокрушающая любовь 4 мая 2000 года, когда один из пользователей (возможно, студент) разослал свой новый вирус-червь в конференции Интернет. Дальнейшее распространение червя шло фантастически быстро по причине “веерной рассылки” — он отправлял свои копии по всем адресам электронной почты из адресной книги Outlook.
Евгений Касперский (разработчик одной из лучших антивирусных программ) прокомментировал глобальную эпидемию нового червя: “Этот червь рассылает себя САМ и СРАЗУ в момент его запуска (а не приклеивается к отсылаемым пользователем письмам, как это делает нашумевший в начале 2000 года скрипт-червь KakWorm). Червь рассылает себя по ВСЕМ адресам адресной книги (а не по 50-ти первым, как делала Melissa). В результате распространение зараженных писем имело взрывной эффект, сравнимый с ядерной цепной реакцией. Допустим, в адресной книге сервера примерно 300 адресов, в компании работает 50 человек, и примерно 20% персонала не понимают, что запускать файлы из вложений нельзя — получаем примерно следующее. Если в такую компанию попадает письмо с вирусом, то от компании уходит примерно 0.20*50*300 = 3000 зараженных писем. Как мне помнится, в атомных бомбах соотношение
“разлетабельности” нейтронов примерно 3 на 1 прилетевший. То есть, компьютерная любовь бьет в 1000 раз сильнее”.
Первыми от вируса Love.Letter пострадали страны Азии, поскольку вирус был выпущен на свободу именно там (Филиппины). Затем он пришел в Европу, из Европы в Америку и к нам в Россию. В “Лабораторию Касперского” первое, но далеко не последнее, зараженное письмо поступило первый раз в 13:08 минут по московскому времени.
В 17:30 по московскому времени, когда в США началось утро, весь мир лежал у ног новоявленного компьютерного монстра — поступили сообщения о массовых заражениях компаний и частных пользователей. По оценкам различных, компаний поражению подверглось огромное количество компьютерных сетей (от 30% до 80% в зависимости от страны). Количество зараженных компьютеров на третий день нашествия червя оценивается в 3 миллиона. Ориентировочные данные об убытках колеблются от сотен миллионов до 10 миллиардов долларов США.
Согласно данным компании F-Secure, вирус, который распространяется через электронные почтовые сообщения, содержащие в поле “Тема” письма запись “I Love You” или “Love Letter”, впервые появился 4 мая в Азии. Вероятным источником его происхождения являются Филиппины. По оценке экспертов, вирус I Love You может принести много больше неприятностей, чем печально известная Melissa.
По мнению Мико Хиппонена (Mikko Hypponen), руководителя исследовательской группы F-Secure, за пять последних лет еще не было вируса, столь быстро и глобально распространявшегося по миру: “за четыре часа со времени первого тревожного сообщения из Норвегии, поступившего в 9 утра по Гринвичу, в F-Secure уже есть данные о вирусе из более 20 стран”.
Вирус распространяется как присоединенный файл (аттачмент) к электронным почтовым сообщениям под именем “Love-Letter-For-You” и поражает пользователей популярной почтовой программы Microsoft Outlook. I Love You “отправляет себя” всем адресатам из адресной книги жертвы.
Письмо с вирусом выглядит следующим образом:
— Тема письма: ILOVEYOU
— Сообщение в письме: kindly check the attached LOVELETTER coming from me.
— Имя прикрепленного файла: LOVE-LETTER-FOR-YOU.TXT.vbs
Согласно Хиппонену, наибольшей опасности подвержены издательства и средства массовой информации, включая радиостанции, журналы, рекламные агентства и, в частности, те из них, кто владеет большими архивами графических и музыкальных файлов: “Большие издательства, в которые сегодня проник вирус, полностью потеряли свои фотоархивы. Это связано с тем, что I Love You удаляет определенные типы файлов. И апгрейд антивирусной базы данных позволяет удалить вирус, но не может остановить уже начавшийся процесс его разрушительного действия. Если у вас нет резервной копии файлов вне зараженной машины, считайте, что вы все потеряли”.
Есть данные, что почтовые сообщения с “I Love You” были получены в Пентагоне, Федеральном резервном Банке, Министерстве обороны США; ФБР начало расследование причин и источников распространения вируса.
Как “I Love You”действует?
При первом запуске вируса он копирует себя в следующие директории:
— WINDOWS\SYSTEM\MSKERNEL32.VBS
— WINDOWS\WIN32DLL.VBS
— WINDOWS\SYSTEM\LOVE-LETTER-FOR-YOU.TXT.VBS
А также он добавляет следующие регистрационные ключи в системный реестр Wndows:
— HKEY_LOCAL_MACHINE\Software
\Microsoft\Windows
\CurrentVersion\Run
\MSKernel32=WINDOWS\SYSTEM
\MSKernel32.vbs
— HKEY_LOCAL_MACHINE\Software
\Microsoft\Windows\CurrentVersion
\RunServices\Win32DLL=WINDOWS
\Win32DLL.vbs
“I Love You” сканирует все диски, доступ к которым можно осуществить с данной машины, в поисках файлов *.JPG и *.JPEG. Найдя их, вирус копирует себя в файлы и добавляет расширение .VBS (т.е. файл 123.JPG становится 123.JPG.VBS). Кроме того, вирус записывает себя во все файлы *.VBS, *.VBE, *.JS, *.JSE, *.CSS, *.WSH, *.SCT, *.HTA и изменяет их расширения на .VBS. При нахождении файлов *.MP3 и *.MP2 I Love You заменяет код, добавляет свое расширение и делает файл невидимым.
После небольшой паузы вирус, используя Microsoft Outlook, отправляет себя всем респондентам из адресной книги программы, а также пытается загрузить и установить программу (трояна) для кражи паролей WIN-BUGSFIX.EXE. Эта программа должна, по замыслу, найти все скешированнные пароли и отправить их по адресу mailme@super.net.ph. Для этого вирус заменяет домашнюю страницу браузера Microsoft Internet Explorer на адрес веб-сайта, автоматически загружающего на машину троянца. Если это происходит, в
Реестре появляется следующий ключ:
— HKEY_LOCAL_MACHINE
\Software\Microsoft\Windows
\CurrentVersion\Run\WIN-BUGSFIX.
Данный ключ автоматически запустит программу для кражи паролей при включении ОС. При этом троянец копирует себя в WINDOWS\SYSTEM\WinFAT32.EXE и заменяет соответствующий ключ Реестра на:
§HKEY_LOCAL_MACHINE
\Software\Microsoft\Windows
\CurrentVersion\Run
\WinFAT32=WinFAT32.EXE.
Что делать, если это произошло?
Если ваша система уже заражена вирусом, то единственное, что вы можете предпринять, это удалить источник заражения.
1) Нажмите START|RUN. 2) Впишите в командную строку REGEDIT и нажмите ENTER. 3) В левой части окна нажмите “+” напротив строки: HKEY_LOCAL_MACHINE, Software, Microsoft, Windows, CurrentVersion, Run. 4) В правой части окна найдите ключ, содержащий записи: \Windows\System\ MSKernel32.vbs” и “\WIN-BUGSFIX.exe” и удалите его. 5) Необходимо также найти и удалить ключ с записью “:\Windows\System\ Win32DLL.vbs”. 6) Выйдите из Реестра. 7) Нажмите START|SHUTDOWN. Выберите режим “Restart in MS-DOS mode” и нажмите OK. 8) После перезапуска компьютера откроется директория C:\. 9) Добавьте в строку запись “DEL WIN-BUGSFIX.exe”. 10) Нажмите CTRL+ALT+DEL и пусть Windows перезагрузится. 11) Необходимо также найти и удалить файл VBS_LOVELETTER, что обезопасит систему от реинфицирования. 12) Для исправления записей в Рееестре и удаления испорченных вирусом файлов HTML и TXT, воспользуйтесь инструментом swet.exe (http://www.antivirus.com/swat.exe), разработанным TrendMicro. 13) Есть также и пара-тройка специализированных программ, которые помогут вам ликвидировать последствия разрушительных действий “I Love You”. (http://digest.com.ua/cgi-bin/links/search.cgi?query=i+love+you).
Противодействие найдено
Антивирусные компании практически мгновенно приступили к созданию “противоядия”. Однако сразу возникла проблема: вирус начал “мутировать”. Модифицировать его код очень легко, поскольку червь написан на скрипт-языке Visual Basic Script, то есть распространяется в исходных текстах. И изменить его код, добавить или убрать функции может любой, кто мало-мальски разбирается в этом языке.
Другая проблема, возникающая при детектировании скрипт-вирусов и червей, заключается в том, что стандартные антивирусные средства во многих случаях способны отловить опасного гостя только после того, как он уже проник в систему и поразил ее.
Схема работы большинства известных скрипт-вирусов и червей достаточно проста: при их запуске они создают на диске свои временные копии. В этот момент их и “ловят” резидентные антивирусные мониторы. Однако возможны ситуации, когда эти вирусы не создают на диске никаких файлов (они используют исключительно память компьютера). Таким образом, мониторы просто не в состоянии обнаружить факт проникновения вируса на компьютер.
“Лаборатория Касперского” предлагает своим пользователям уникальную технологию защиты как от всех известных вариантов нового Интернет-червя “LoveLetter”, так и от всех его последующих мутаций. Данная защита основана на новой технологии проверки всех скрипт-программ, которые запускаются приложениями Windows (такими, как Microsoft Explorer, Microsoft Internet Explorer, Microsoft Outlook и т.д.). Защита встраивается как фильтр между приложением, для которого предназначен скрипт (например, Outlook и/или Internet Explorer), и скрипт-машиной, которая непосредственно выполняет скрипт-программу (например, Microsoft Windows Script Host — обработчик VisualBasic-скриптов).
Таким образом, в момент передачи скрипта на обработку и выполнение его код перехватывается и проверяется на наличие как известных, так и неизвестных скрипт-вирусов и червей. На известные вирусы скрипт проверяется при помощи резидентного перехватчика AVP Monitor, а новые неизвестные вирусы блокируются специально разработанным эвристическим анализатором.
“Подобная двухуровневая антивирусная система защиты, встроенная непосредственно в самое ядро обработчика скрипт-программ, является гарантированным средством против многочисленных Интернет-червей нового поколения”, — резюмирует Евгений Касперский. — “Мы настоятельно рекомендуем пользователям установить нашу новую разработку и обновить свои антивирусные программы. Если бы я сегодня выбирал антивирусную защиту для своего компьютера — я бы так и сделал”.
Существующие вариации вируса.
Согласно данным компании TrendMicro, есть пять вариаций вируса:
— LOVELETTER Тема письма — ILOVEYOU, тело — kindly check the attached LOVELETTER coming from me, аттачмент — LOVE-LETTER-FOR-YOU.TXT.vbs. Распространяется по электронной почте и сетям mIRC. В последнем случае вирус отправляет файл LOVE-LETTER-FOR-YOU.HTM всем пользователям того же канала,
что и “зараженный” пользователь.
— Susitikim Тема письма — Susitikim shi vakara kavos puodukuiј В начале кода содержит комментарий —”rem Modified Lameris Tamoshius / Lithuania (Tovi systems)”.
— VeryFunny Аттачмент — Very Funny.vbs, тема — fwd: Joke, тело — без текста, создает файл Very Funny.HTM.
— No Manila Header Аналогичен LOVELETTER, но в коде отсутствуют два комментария — “rem barok — loveletter(vbe) <i hate go to school>” “rem by: spyder / ispyder@mail.com / @GRAMMERSoft Group / Manila,Philippines”
— Mothersday Тема письма — Mothers Day Order Confirmation, тело — “ We have proceeded to charge your credit card for the amount of $326.92 for the mothers day diamond special. We have attached a detailed invoice to this email. Please print out the attachment and keep it in a safe place.Thanks Again and Have a Happy Mothers Day! mothersday@subdimension.com”,
аттачмент — mothersday.vbs. Перенаправляет браузер на сайты _http://www.hackers.com, _http://www.l0pht.com, _http://www.2600.com, _http://www.hackers.com. mIRC-компонент пытается отправить документ mothersday.HTM.
— Brainstorm Аттачмент — ESKernel32.vbs, ES32DLL.vbs, Important.TXT.vbs, тема — Important ! Read carefully!!!, тело — Check the attached IMPORTANT coming from me! использует документ Important.HTM.
“Лирическое отступление”
На некоторых железнодорожных переездах еще с советских времен остались старенькие, потрепанные временем плакаты “минута или жизнь?”. Помните? Так вот, пришло время по всей стране развесить другие плакаты: “современные антивирусы или жизнь вашего компьютера”. Время, когда можно было раз в неделю запускать “на всякий случай” старенький антивирус и жить более или менее спокойно, давно прошло. Сегодня только современные средства антивирусной защиты способны уберечь ваш компьютер, ваши деньги и бизнес.
Цены на качественную антивирусную защиту (включающую постоянное обновление вирусных баз данных, версий программ и техническую поддержку) совершенно не сопоставимы с ущербом от возможной (а при отсутствии защиты — совершенно неизбежной) вирусной атаки.
Если вы хотите всегда получать свежую информацию о компьютерных вирусах и первыми узнавать о различных акциях, проводимых фирмами-производителями антивирусных программ, вы можете подписаться на “канал новостей”, поставляемых различными антивирусными лабораториями.
От атаки компьютерных вирусов не застрахован никто. Поэтому никогда не открывайте сомнительные файлы, полученные от неизвестных источников, или прикрепленные файлы к электронному письму, полученному от незнакомого или даже знакомого человека, предварительно не проверив их на наличие вирусов.
Используйте только новые антивирусные программы и обновляйте вирусные базы не реже, чем раз в 2 недели. Тогда вы сможете защититься от вирусных атак.
Один из моих знакомых мечтал, чтобы у него “завелся” вирус. Он пользовался старой версией DrWeb (под MS DOS). Кто-то над ним подшутил, и прислал ему вирус. Естественно, не проверив файл (причем EXE-шник), он запустил его, и потерял половину своей информации на винчестере.
Компьютер, как человек, нуждается в периодической профилактике. Программу-вирус может написать школьник. И этот вирус может причинить большой ущерб вашему компьютеру.
У меня на компьютере - сборник самых разных вирусов:) С нимим особо не борюсь, потому что не мешают. Вот когда соединение с интернетом будут разрывать, или еще хуже, тогда просканирую чем-то, Докторвебом, к примеру.
помню с кабинета информатики, когда были ещё старые компы, подцепил странный, но безобидный вирус: он создает где хочет свою папку. Просто папка висит с определённым названием где попало. его удалиш, через пару минут вернёшся опять в эту папку - а там опять она! причём вот на винде ХР папки выглядят по одному, а та в старом стиле
Когда токо купили комп, первый ещё, так повезли на переустановку примерно через пол года и нашли такую кучу вирусняков))))) там их было наверно пол тыщи :D в основном вин32 червячки, десятка 4 троянов ну и крупных несколько
Ешь халву @ запивай контрой! 6.07.2015 - кто инженер? Я ИНЖЕНЕР!!! 22.06.2017 - теперь и со вкусом красного диплома магистра)
Мой комп - рассадник самых ах....их вирусов! Кому флэшку не принесу - всех кусает. Сегодня должны принести антивирус Avera кажется... Думаю борьба развернётся ни на один час, The Punk'у они как и мне пока не мешают, но другим... В общем жесть будет и виртуальное месиво. Кстати, хотел спросить, что такое реестр и как его от вирусов чистить?
Лишь коснется лууунный свет меня,
И в волка оообращусь вмиг я!
Разрежет тииишь ночную воой,
Вновь я теряяяю облик свой!
Dmitriy_Dark_Stalker,
как куда более простое и эффективное средство для зачистки, рекомендую AVZ. Втягивается с _z-oleg.com
Реестр - это такая большая книга, где у Виндов записано, что, где и как. Типа каталога, глоссария и пр.)
От вирусов его чистить бесполезно, они там не живут. Но запускаются да, и оттуда тоже. Из Run разделов.
Кто-то оставил след на Луне - кто-то сдувает целый к обеду...
Помню когда установил Каспера на свой старый комп, так и показал он мне 2158 вредоносцев. инета не было, все файлы перекачивал с флешки. Бороться с вирусами и троянами и т.д. и т.п. помогает Каспер
Если пойду я долиною смертной тени, то не убоюсь я зла. Потому что я и есть самое страшное зло в этой долине. (с)
Почистил комп, правда пришлось форматнуть диск С и переустановить винду. Нашёл 3666 вредителей. Стоит на страже антивирус Avast. Bod, спасибо за пояснение.
Лишь коснется лууунный свет меня,
И в волка оообращусь вмиг я!
Разрежет тииишь ночную воой,
Вновь я теряяяю облик свой!
Как то раз, после переустановки Windows, забыл установить антивирус. Пожалел. Примерно после 3-4 дней активного пользования Интернетом, пришлось опять менять винду. Сейчас слежу за этим делом и частенько проверяю ноут на вредоносные программы, вирусы, черви и т.д. На страже стоит Avast.
Любители повести время в глобальной сети уже сталкивались с проблемой так называемых “порно-” или «SMS-баннеров». Фактически они являются типичными примером вымогания денег у пользователя. К тому же, человек просто лишается возможности взаимодействовать со своим компьютером в штатном режиме.
Немного о природе баннеров-вымогателей
Лихорадка порно- и смс-баннеров началась не так давно. Уже и не определишь, кто первый запустил эти вирусы в Сети. Существуют версии, что разработали вирус наши соотечественники из-за границы, которые решили просто пополнить свои счета таким образом.
Почему именно порно-картинка используется для баннера? Всё дело в психологии. Большинство пользователей – молодые люди, которые живут и работают под присмотром старшего поколения. Если на компьютере или ноутбуке обнаружится порно, то это станет существенным ударом по репутации человека. Поэтому пользователи готовы заплатить любые средства, чтобы ненавистная картинка исчезла.
Да, и всё равно мы очень стесняемся, когда на нашем компьютере находят материалы с клубничкой. Вспомните, как многие стараются запрятать порно в самые дальние папки или делают файлы скрытыми.
Современные версии баннеров даже после отправки SMS могут не убраться, потребовав ещё послать 2-3 и более сообщений на платный короткий номер. Некоторые из них просто не присылают коды, а делают вид, что произошёл сбой и пользователи снова и снова отправляют короткие сообщения в надежде избавиться от ненавистной картинки.
Как баннеры попадают на компьютер?
Способов попадания баннеров на компьютер довольно много. Чаще всего пользователи сами устанвливают их в свою систему. Пользователям предлагают скачать какие-нибудь полезные “утилитки”, например, программу для мониторинга посещений странички ВКонтакте, а в дополнение к утилите вы получаете “приятный” сюрприз в виде вируса.
Второй способ – это “дыры” в системе. Всё-таки операционная система Windows и браузер Internet Explorer не отличаются особой надёжностью. Посещая страничку со специальным скриптом, вы, незаметно для самого себя, скачиваете тело вируса, которое само устанавливается в систему и после перезагрузки “радует” уже знакомой картинкой.
Часто применяются почтовые рассылки с архивами или приложениями, якобы от ваших знакомых. Большинство пользователей начинают открывать вложения и получают на гора тело вируса.
Исследователи уже установили, что большинство баннеров заносятся в систему по вине самих пользователей, а уже потом идут уязвимости в операционной системе и программном обеспечении.
Начинаем борьбу
Перед началом операции по освобождению вашего компьютера от вируса сразу же предупреждаем – ни в коем случае не отправляйте SMS на указанный номер. Не надо поощрять злоумышленников, которые стараются нажиться на незнании пользователей.
Итак, первый способ – это удаление тела вируса с жёсткого диска посредством другого компьютера. Для его осуществления необходимо отсоединить жёсткий диск и присоединить его к другому компьютеру (друга, соседа, коллеги). На втором компьютере переводим его в режим Slave, чтобы не запустилась операционная система с уже заражённого HDD. После полностью проверяем диск на вирусы с помощью любого антивируса со свежими вирусными базами. Чаще всего такой способ позволяет довольно эффективно ликвидировать тело вируса.
Вторым способом можете стать переустановка системы. Если вы уже давно хотели переустановить Windows, то теперь это можно сделать довольно смело. Только проблема в том, что часть данных хранящихся на жёстком диске может быть просто утерянна. Кстати, если вы не хотите больше страдать от вирусов, то можно установить операционную систему Linux, правда вы лишитесь множества привычных программ.
Ещё одним способом можно считать откат системы на ранее созданную точку восстановления. Делается это с помощью утилиты “Восстановление системы”, которая находится по адресу Пуск –> Программы –> Стандартные –> Служебные. Запустив программку, выбираем пункт “Восстановление более раннего состояния компьютера.” Ищем дату, позже которой появился вирус и нажимаем кнопку восстановления. После перезагрузки вы откатитесь на раннюю версию операционной системы. Кстати, вместе с телом вируса могут исчезнуть и некоторые программы, которые были установлены в указанный период. Затрудняет использование данного способа тот факт, что часто пользователи просто отключают механизм создания контрольных точек для экономии пространства на жёстком диске.
Сегодня многие антивирусны компании также озаботились решением проблемы порно- и смс-баннеров. Специалисты активно разрабатывают новые алгоритмы, которые позволили бы уничтожить тело вируса ещё на подходе. Еженедельно выделяется несколько новых вариаций баннеров и программистам приходится изучать внутреннюю структуру этих виртуальных паразитов. При изучении алгоритма работы вируса, часто можно натолкнуться на код активации, который позволяет отключить работу баннера без отправки SMS. Эти коды можно найти на сайтах:
Специалисты также разрабатывают отдельные утилиты, которые позволяют выявить наличие вируса на компьютере. Достаточно произвести их установку и провести полную проверку компьютера, чтобы ненавистный баннер был обнаружен и уничтожен. Список программ, которые уже доказали свою эффективность следующий:
Можно поставить и сам антивирус, чтобы полностью проверить содержимое жёсткого диска. Отечественные антивирусы Kaspersky и Dr. Web разрабатываются специально под реалии российского вирусного рынка и позволяют в короткий срок расправиться с вирусом.
Если смс-баннер заблокировал доступ к операционной системе, то можно воспользоваться LiveCD версией антивируса, которую можно скачать на сайте разработчика программного обеспечения. ISO образ диска заливается на болванку (CD-R или CD-RW), в BIOS компьютера или ноутбука ставиться опция запускаться с CD и вставляется LiveCD диск в оптический привод. Через некоторое время вам предложат провести полное сканирование жёсткого диска, что и необходимо выполнить.
Профилактика – лучший способ лечения
Самым лучшим способом не допустить попадания баннеров в компьютер – это проявлять здравомыслие. Не запускайте файлы, которые приходят по почте без соответствующих подтверждений от отправителя. Старайтесь не устанавливать утилиты непонятного назначения, которые в принципе вам и не нужны.
Не посещайте подозрительные и малоизвестные сайты. Поставьте лицензионный антивирус. Регулярно обновляйте вирусные базы своего антивируса и еженедельно проводите полное сканирование компьютера.
Странный держи ситочник ___computer-doctor.ru___
Сообщение было успешно отредактировано Vergos (15-01-2012 20:51 GMT3 часа, назад)
Кстати реестр это банк данных в котором Windows хранит свои конфигурации.
Пользовательские настройки,настройки программ и устройств.
Вирусы не могут заразить реестр но могут записать свои данные,конфигурации или изменить
текущие,могут прописаться в автозагрузку.
Есть много видов вирусов,троянских программ,руткитов,червей,вредоносных модулей и еще очень много видов угроз я о них напишу в другой раз. Zippеr.Это не баннеры, а троянские программы вымогатели.
Троян-вымогатель
Целью действий программ-вымогателей класса Trojan-Ransom является блокирование доступа пользователя к данным на компьютере или ограничение возможностей работы на компьютере и требование выкупа за возврат к исходному состоянию системы. Отличие вредоносных программ класса Trojan-Ransom заключается в их изначальной коммерческой направленности. Каждая программа этого поведения является инструментом для получения денег киберпреступниками.
Самые опасные компьютерные вирусы в мире
Топ- самых опасных компьютерных вирусов,10 самых опасных вирусов в истории Интернета
нажимаем сюда
Компьютерный вирус – может быть чрезвычайно опасной штукой, и наворотить он может таких дел, что мало не покажется никому.
Он, конечно, не запускает ядерные ракеты, как «скайнет» во всяких там «терминаторах».
Но вот отключить от Интернета небольшую страну типа Южной Кореи – ему вполне по силам.
Пошарив в сети – нарыл чертову уйму информации о вирусах.
Чтобы как-то систематизировать эту груду – решил рассортировать вирусы по дате появления, и по степени их разрушительности.
Получилась своеобразная «история катастроф».
От преданий старины глубокой - до наших дней.
опасные компьютерные вирусы
1994 год, июнь. Вирус «OneHalf» вызвал глобальную эпидемию, прокатившуюся по всему миру. В результате действия вируса происходило заражение загрузочных секторов жестких дисков, а также заражение COM/EXE-файлов, и их размер (в зависимости от модификации) - увеличивался на 3518, 3577 или 3544 байта.
Когда зараженный компьютер перезагружали – информация на двух ранее «здоровых» цилиндрах жесткого диска - шифровалась.
При следующей перезагрузке – шифровались еще два цилиндра.
В результате весь жесткий диск со временем мог оказаться зашифрованным, причем происходило все это постепенно, и незаметно для пользователя.
При попытке «лечения» такого винта - зашифрованная информация безвозвратно терялась.
2001 год, 12 июля. Именно тогда был обнаружен вирус «Sircam». Почтовый червь, который приводил к утечке с машины конфиденциальной информации.
2003 год, 26 января. Вирус носит название «SQL Slammer». Представляет собой пакет данных размером в 376 бит, самостоятельно генерирующий случайные IP адреса и копирующий себя туда. Если по ту сторону находился сервер с установленной на нем «Microsoft SQL Server Desktop Engine», и если эта система не была пропатчена – такой сервер тоже начинал массовую рассылку пакетов.
За первые 10 минут было заражено 75000 серверов. А всего – пострадало около полумиллиона машин.
Из-за огромного количества «мусорного» трафика каналы связи оказались перегружены по всему миру, а Южная Корея – вообще оказалась отключенной от Интернета на 12 часов.
2003 год, август. Две эпидемии, которые были вызваны вирусами «Blaster» и «Sobig». Первый был зафиксирован 11 числа. Он выдавал пользователю «системные» сообщения с просьбой перезагрузить компьютер.
Второй, «Sobig.F» - за 24 часа заразил полмиллиона компьютеров. Однако 10 сентября того же года – эпидемия прекратилась, поскольку вирус – самостоятельно деактивировался. Писарчука – ищут до сих пор. Пока безрезультатно.
2004 год, 30 апреля. 17 летний немецкий школьник написал вирус «Saccer». Эта чудесная поделка, выпущенная парнем в собственный день рождения, привела к блокированию спутниковой связи во Франции, отмене авиарейсов в Великобритании, и заражению миллионов машин по всему миру. Особенно крепко досталось итальянским юзерам, компьютеры которых ни с того ни с сего зависали, или просто отключались на продолжительное время.
А дальше были:
«Zotob» и «Mytob» (2005 год), «Nyxem» (2006 год), «Storm» (2007 год).
А прямо сейчас – в сети находится вирус «Win32.Conficker.B» (Он же «Net-Worm.Win32.Kido.dv», он же «W32/Downadup.B», он же «W32/Downadup.AL», он же «W32/Confick-D», он же «WORM_DOWNAD.AD»).
Отключает в Windows функцию «восстановление системы», может заблокировать доступ к различным сайтам, которые посвящены информационной безопасности, может скачивать на пораженную машину дополнительные вредоносные программы, может отключать системные службы (например, службу обновления «винды»).
Добрая и хорошая вещь, в общем.
В настоящее время в сети - присутствует несколько модификаций этой заразы.
Названы самые опасные компьютерные вирусы
К юбилею Panda Security, эксперты PandaLabs составили рейтинг наиболее опасных компьютерных угроз для домашних пользователей и бизнеса за последние 20 лет. Они даже постарались придать каждой из угроз узнаваемый облик.
Угрозы были выбраны в соответствии с уровнем известности, который они приобрели в ходе широкомасштабных эпидемий.
• Пятница 13 или Иерусалим. Созданная в Израиле в 1988 году (еще до появления Panda) и впервые обнаруженная в Иерусалиме, эта угроза предположительно стала вехой 40-ой годовщины Израиля. Как только наступала Пятница 13, она удаляла все программы, запущенные на зараженном компьютере.
•
• Тюремный узник. Первый, ставший известным испанский вирус, появившийся в 1993 году. Попадая в компьютер, он скрывался до 5 января, а затем активировался и демонстрировал пользователю железные прутья решетки по всему монитору.
•
• Каскад падающих букв. Был создан в Германии в 1997 году. При заражении компьютера он превращал все буквы на мониторе в падающий каскад.
• Klez. Созданный в 2001 году в Германии, он заражал компьютеры исключительно 13 числа нечетного месяца.
.
• SQLSlammer. Стал еще одной головной болью для компаний. Впервые он появился 25 января 2003 года и в течение нескольких дней заразил более полумиллиона серверов.
•
• Blaster. Этот вирус, созданный в США 11 августа 2003 года, содержал в своем коде следующее сообщение: «Я просто хочу сказать любите своего(ю) san / I just want to say love you san!!» (Мы до сих пор не знаем, кто такой(ая) «San»), и «БиллиГейтс, зачем ты сделал это? Прекрати зарабатывать деньги и почини свое ПО / Billy gates, why do you make this possible? Stop making money and fix your software».
•
• Sobig. Этот немецкий вирус стал известен летом 2003 года. Вариант F был наиболее опасен, он атаковал 19 августа этого же года и создал свыше миллиона копий самого себя.
•
• Bagle. Появился 18 января 2004 года и стал одним из наиболее плодовитых вирусов, если учитывать количество его вариантов.
•
• Netsky. Этот червь также пришел из Германии в 2004 году и эксплуатировал уязвимости Internet Explorer. Его создатель также стал автором печально известного вируса Sasser.
•
10 самых опасных вирусов в истории Интернета
Почти у каждого великого открытия или научного достижения есть теневая сторона. Использование ядерной энергии обернулось для человечества изобретением смертоносной атомной бомбы. Придумав скоростные способы передвижения, люди погрузились в мир, полный опасностей, поджидающих за каждым поворотом. А свободное распространение информации, ключевое достижение ХХ века, закончилось тем, что личная информация также стала довольно открытой, а персональные данные -- уязвимыми. Всему виной -- компьютерные вирусы. Компьютерный вирус - разновидность компьютерных программ, особенностью которых является - саморепликация (способность к размножению). В дополнение к этому вирусы могут повредить или полностью уничтожить все файлы и данные, подконтрольные пользователю.
Итак, мы предлагаем вам список вирусов, наделавших много шума и причинивших пользователям много неприятностей с компьютером.
• Brain
Этот вирус в сравнении с последователями практически безопасен. Передается он по загрузочным секторам дискет, а примечателен тем, что первым вызвал настоящую вирусную эпидемию. Его разработка на совести братьев Амджата и Базита Алви (Amdjat и Basit Faroog Alvi), которые запустили его в 1986 году, а обнаружен он был летом 1987 года. Есть информация, что только в США вирус заразил более 18 тысяч компьютеров. А ведь в основе разработки лежали исключительно благие намерения: программа должна была наказать местных пиратов, ворующих программное обеспечение у фирмы братьев. Вирус Brain ко всему прочему еще и первый стелс-вирус. Так, при попытке чтения заражeнного сектора, он «подставлял» и его незаражeнный оригинал.
• Jerusalem
• 1988 год, 13 мая. Появился вирус «Jerusalem», который уничтожал зараженные файлы при попытке их запуска. Проявил себя в Европе, США, на Ближнем Востоке. Первые сообщения о заражении приходили из высших учебных заведений и от крупных компаний в самых различных странах.
1988 год, 3 ноября. Аспирант Корнельского университета Роберт Моррис написал экспериментальную программу, которая затем начала бесконтрольно размножаться. Была заражена вся внутренняя сеть университета, и целый сектор Интернета. Остановить распространение вируса удалось только путем физического отключения серверов от сети. Этот случай – считается первой в истории эпидемией компьютерного вируса в сети. Вирус поразил свыше 6 тысяч компьютеров, материальный ущерб, нанесенный вирусом, превышал десять миллионов долларов.
Этот вирус был создан в 1988 году в Израиле - отсюда и основное имя. Второе его название «Пятница 13-е». Это первый вирус для MS-DOS, вызвавший грандиозную панику. Скачанный в любое время с дискеты, он активировался в момент наступления злополучного числа - пятницы 13-е - и удалял абсолютно все данные с жесткого диска. В те времена вообще мало кто верил в существование компьютерных вирусов. Антивирусных программ и вовсе почти не существовало, а потому пользователи были совершенно беззащитны перед ним.
Червь Морриса
Активность этого опасного вредителя пришлась на ноябрь 1988 года. Данный Интернет-вирус тогда был первым в рейтинге самых страшных. Компьютеры ударом ноги подобно своему знаменитому тезке, он, конечно же, не убивал. Что он делал? Парализовывал работу компьютеров своим хаотичным и бесконтрольным размножением. Из-за него-то и вышла из строя вся, тогда еще не слишком глобальная, Сеть. И хоть сбой длился совсем не долго, общие убытки оценили в 96 миллионов долларов.
Michelangelo («March6»)
Этот вирус в свое время сильно переоценили. Правда, он заслуженно считается одним из самых безжалостных. Проникая через дискеты на загрузочный сектор диска, он тихо сидел там, не напоминая о своем существовании до 6 марта. А в этот день «счастливчики», получившие «Микеланджело» на свой компьютер, обнаруживали, что все данные с их жесткого диска стерты. Лютовал этот вирус в 1992 году. Зато он сильно сыграл на руку компаниям, производящим антивирусы. Пользуясь случаем, бизнесмены раздули истерию до невиданных масштабов, в то время как на деле от него пострадали всего около 10000 машин.
• Чернобыль (CIH)
• CIH или Чернобыль. Этот вирус и всего за одну неделю распространился и заразил тысячи компьютеров.
Один из самых знаменитых вирусов мира. Создан в 1998 году тайваньским студентом, по инициалам которого и назван. Через Интернет, электронную почту и диски вирус попадал в компьютер, прятался внутри других программ, а в определенный момент (26 апреля) вирус активировался, стирая содержимое жесткого диска и нанося вред аппаратной части компьютера. Эпидемия «Чернобыля» пришлась на апрель 1999 года. Тогда из строя было выведено более 300 тысяч компьютеров, в основном в Восточной Азии. Причем в течение нескольких последующих лет 26 апреля вирус продолжал свое черное дело, что по итогам нанесло урон огромному количеству компьютеров во всем мире.
1999 год, 26 апреля. Вирус «Чих». Он же «Чернобыль». Он же «Win95.CIH».
С этой чудесной штукой – сталкивался лично.
Происходит все предельно просто.
Сидите себе, работаете.
В какой-то момент – работать надоедает.
Вы выключаете компьютер, и идете отдыхать. Отдохнув – возвращаетесь к работе. Но после нажатия кнопочки «power» - ответом вам будет зловещая тишина.
А на календаре будет 26 апреля.
Зараженный компьютер – не «заводился», поскольку вирус - уничтожал BIOS подчистую.
BIOS, кто не в курсе – это такая маленькая чОрненькая печенька размером с ноготь, которая сидит в специальном гнезде на материнской плате.
На современных платах – этих «печенек» уже нет, а в то время - они были.
На такой «печеньке» – хранится программа, отвечающая за запуск машины. («Базовая операционная система ввода и вывода» - если по-научному, ага).
Повреди эту программу – и материнка превращается в груду хлама.
Именно это - «чих» с успехом и проделывал.
Несчастному юзеру после обнаружения «апрельского чуда» оставалось только горестно взвыть, и, матерясь сквозь зубы, начинать выковыривать убитую микросхему из гнезда. Отверткой.
При этом – надо было молить бога, чтобы у соседа – оказалась похожая материнка. Из нее – вынималась рабочая микросхема, притаскивалась домой, и машина - заводилась на ней. Затем – соседский БИОС из работающей машины выковыривался, а на его место - ставился свой, убитый. И перепрошивался. Из-под «флопика», мать его!
Эхх… [Смахнул ностальгическую слезу].
Говнюка, который написал сие чудо, звали Чен Иньхао. Тайванец. Сколько он погробил машин по всему миру – никто точно не знает. И что характерно - его, подлюку, даже не посадили.
Melissa
1999 год, 26 марта. Пришествие «Мелиссы». Вирус «Melissa» после заражения системы – находил адресную книгу программы «MS Outlook», и первым 50 адресам в этой книге – рассылал свои копии. Обо всем этом – пользователь не подозревал. (Хотя рассылка производилась от его имени).
Из-за «Мелиссы» крупнейшие компании (Майкрософт, Интел и.д.) – в массовом порядке отключали корпоративные сервисы электронной почты. Ущерб от нее – исчислялся десятками миллионов долларов. Точная цифра – неизвестна.
• Мелисса. Впервые появился 26 марта в США. Этот чрезвычайно смышленый вредоносный код использовал для своего распространения методы социальной инженерии, приходя в письме со следующим текстом «Документ, который Вы запрашивали… никому его не показывайте ». Создан в 1999 году. Первый всемирно известный почтовый червь. Он заражал файлы документов MS Word и рассылал свои копии в сообщениях электронной почты при помощи MS Outlook. Вирус распространялся с бешеной скоростью, а потому сумма нанесенного им ущерба оценивается более чем в $100 млн.
ILOVEYOU («Письмо счастья»)
Список самых опасных компьютерных вирусов продолжает вирус с романтическим названием «I Love You». (2000 год, май). Он же «Loveletter», он же «The Love Bug». Считается самым вредоносным за всю историю существования Интернета. Распространялся по электронной почте.
В «теме письма» значилось: «я тебя люблю». (Ну как такое не открыть?)
К письму – прилагалось вложение, в котором и сидел зловред, тырящий с зараженной машины разнообразные пароли.
Механизм распространения – как у «Мелиссы».
Вирус искал адреса в «аутлуке», и слал собственные копии всем желающим.
Ущерб – около пятнадцати миллиардов долларов.
Написал его – один филиппинский сумрачный гений.
Который, кстати, тоже остался на свободе. (Потому что в их гребаных Филиппинах – такие преступления даже в законах не прописаны. Соответственно, посадка за них – тоже не предусмотрена).
I Love You или Письмо счастья. Настолько известен, что вряд ли требует представления. Этот романтичный вирус появился на Филиппинах в 2000 году. Благодаря своему названию «ILoveYou» он заразил миллионы компьютеров по всему миру, даже включая такие организации, как Пентагон.
• Создан в 2000 году и примечателен тем, что придуман он довольно хитро. Пользователю на почту приходило сообщение «I LOVE YOU» с вложенным файлом. Доверившись столь милой оболочке, пользователь скачивал его и получал скрипт, который отсылал письма в невероятных количествах, а также удалял важные файлы на ПК. Результаты шокируют до сих пор: 10% всех существовавших на тот момент компьютеров были инфицированы, что нанесло ущерб в размере $5,5 миллиардов.
Nimda. 2001 год
• написанное в обратном порядке, поскольку он был в состоянии создавать для себя на зараженных компьютерах права администратора. Вирус был создан в Китае 18 сентября 2001 года
Название представляет собой слово «admin», только наоборот. Вирус, попадая на компьютер, мгновенно «выписывал себе» права администратора. После чего изменял и нарушал конструкцию сайтов, блокировал доступ на хосты, IP-адреса и т.д. А проникал на компьютеры он столь виртуозно и эффективно, что уже через 22 минуты после своего создания он стал самым распространенным в сети Интернет.
My Doom. 2004 год
Самый быстрый вирус электронной почты. Работал он по нарастающей: каждый следующий компьютер отправлял спама еще больше, чем предыдущий. Кроме того, он модифицировал операционную систему, блокируя доступ к сайтам многих антивирусных компаний, новостным лентам и различным разделам сайта компании Microsoft. На его счету даже DDOS-атака на сайт Microsoft.
Conficker. 2008 год
Самый последний из всемирно распространившихся вирусов имеет славу опаснейшего из известных компьютерных червей. Атакует он операционные системы семейства Microsoft Windows. Вирус поразил более 12 миллионов компьютеров во всeм мире. Принцип действия: червь находит уязвимости Windows, связанные с переполнением буфера, и при помощи обманного RPC-запроса выполняет код, отключая сервисные службы и обновление Windows, а также блокируя доступ к сайтам ряда производителей антивирусов.
• Conficker. Последний в списке и самый новый, он появился в ноябре 2008 года. Довольно странно, но, если Ваша клавиатура на украинском языке – он Вас не тронет.
Топ-10 самых опасных компьютерных вирусов (PandaLabs, 2008)
Открывает десятку вирус Tixcet.A. Маскируясь под файл Microsoft Word, этот червь пытается удалить файлы с определенными расширениями, такими как. DOC,. MP3. MOV,. ZIP,. JPG и др. Так что можно запросто остаться без коллекции песен и фотографий.
Далее идет вредная программа Antivirus2008pro, представляющаяся бесплатным антивирусом. Многие пользователи покупаются на обман, однако вскоре Antivirus2008pro начинает выдавать сообщения об ошибочных заражениях, пытаясь заставить владельца ПК заплатить за «лекарство».
Вирус Goldun.TB маскируется под почтовое приложение, сообщающее, что интернет-обслуживание жертвы будет прекращено. Попав на компьютер, он крадет пароли и информацию об онлайн-платежах.
Далее идут трояны. Первый из них, Baker.LGC, пытается проникнуть на компьютер, прикрываясь лживой историей о несчастном случае с участием Фернандо Алонсо, испанского гонщика Формулы 1.
Второй троян, Turkojan.I, имеет одну из самых привлекательных масок: он выдает себя за новый эпизод «Симпсонов».
Троянская программа Banbra.FXT генерирует почтовое сообщение от имени бразильского федерального министерства, а потом опустошает банковские счета пользователей, поверивших в розыгрыш.
Червь AutoKitty.A, попавший также в список, вносит в системный реестр Windows многочисленные модификации, мешающие компьютеру корректно выполнять свою работу.
Троян PHilto.A под маской видео о Перис Хилтон устанавливает на компьютер модули, демонстрирующие рекламу.
Вредная программа MeteorBot.A под видом супермена ворует информацию о компьютере.
Троян PGPCoder.E пытается зашифровать все пользовательские данные.
PandaLabs опубликовала рейтинг самых известных интернет-угроз за 2009 год с обзором и анализом вредоносных кодов, которые появились за последние 12 месяцев.
Это скорее не рейтинг самых распространенных вирусов или вирусов, вызвавших самое большое количество инфекций. Это список тех кодов, которые особенно выделились в прошедшем году, использовали технологии социальной инженерии либо очень эффективно воздействовали на компьютеры. Поэтому некоторые наиболее известные вредоносные коды (такие как вирус Koobface) отсутствуют в данном списке.
- Самая противная "заноза”. Это справедливо для Conficker.C, который за последние двенадцать месяцев стал самым несносным вирусом. Впервые он появился 31 декабря 2008 года и провел весь год, вызывая серьезные инфекции в компаниях и у домашних пользователей. Хитрость и настойчивость этого вредоносного кода принесли ему первое место в рейтинге PandaLabs.
- Вирусный Гарри Поттер. Несмотря на то, что данный вирус не имеет никакого отношения к самому популярному сказочному волшебнику, все сообщения, демонстрируемые Samal.A на дисплее ПК – о магии. После заражения компьютера пользователи видят сообщение "Эх, эх, Вы не сказали волшебного слова (Ah ah you didn"t say the magic word)”, а курсор начинает мигать в ожидании, пока пользователь введет слово.
На самом деле, не имеет никакого значения, какое слово вводится, поскольку после трех попыток на дисплее появляется фраза "Самаэль пришел. Конец" (Samael has come. This the end), а компьютер перезагружается.
- В – значит Вендетта. Непонятно, кто является настоящей целью этой вендетты, но DirDel.A мстит зараженным пользователям, постепенно заменяя папки в различных директориях на копии самого себя. Червь содержится в файле под названием Vendetta.exe с обычным значком папки Windows.
- Просто зануда. Троян Sinowal.VZR заразил тысячи компьютеров под прикрытием авиабилетов, якобы приобретенных пользователем.
- Деятельный вирус. Это о Whizz.A. Сразу после заражения им компьютер начинает издавать звуковые сигналы, указатель мыши бесконтрольно бегает по экрану, CD/DVD-проигрыватель открывается и закрывается, а дисплей "украшается” решеткой, как на изображении ниже:
- Шпион. Waledac.AX заманивает своих жертв, утверждая, что предлагает бесплатное приложение для чтения чужих СМС-сообщений. Идеальный вариант для тех, кто хочет проверить своих партнеров. Возможно, именно поэтому такое огромное количество пользователей стали жертвами этого интеллигентного вируса.
- Самый нежный. BckPatcher.C победил в данной категории, потому что он заменяет обои рабочего стола на изображение с надписью "поцелуй от вируса (virus kiss) 2009”.
- Немного насморка. К этой категории отнесены вирусы WinVNC.A и Sinowal.WRN, которые с целью обмана пользователей и заражения их ПК воспользовались шумихой вокруг свиного гриппа.
- А награду в категории "Самый некомпетентный новичок” получает… Ransom.K. Этот троян зашифровывает документы на зараженном компьютере, а затем просит $100 выкупа за их расшифровку. Однако его создатель, которому, вероятно, не хватило опыта, допустил ошибку при программировании, которая позволяет пользователям освободить файлы с помощью простой комбинации клавиш.
- Самый коварный. По итогам 2009 года победителем в данной категории стал FakeWindows.A, который заражает пользователей, выдавая себя за процесс активации лицензий для Windows XP.
- Тусовщик. Banbra.GMH проникает в компьютер в электронном сообщении, которое обещает фотографии бразильских вечеринок (с танцующими девушками, конечно же)… Как тут устоять?
Вот информация о нескольких вирусах.
Virus.Win32.Neshta.a
Вредоносная программа, которая находит и заражает исполняемые файлы. Программа является приложением Windows (PE EXE-файл). Написана на Delphi. Размер оригинального вредоносного файла — 41 472 байта.
Инсталляция
В корневом каталоге Windows (%WINDIR%) производится поиск и удаление файла svchost.com. После этого создается новый файл svchost.com, содержащий в себе тело вируса.
В системном реестре создается следующая запись:
[HKCR\exefile\shell\open\command]
@="%WINDIR%\svchost.com \"%1\" %*"
Таким образом, все EXE-файлы в системе при запуске будут вызывать тело вируса, который и будет производить их дальнейший запуск.
Прочее
В теле вируса содержатся следующие строки:
Delphi-the best.
**** off all the rest.
Neshta 1.0
Made in Belarus.Деструктивная активность
При запуске вирус расшифровывает текстовые строки внутри себя, проверяет, является ли его длина равной 41472 байта и, если она больше (запущен зараженный файл, а не тело вируса), то происходит вызов функции расшифровки и запуска файла.
В функции расшифровки и запуска файла вирус производит расшифровку части тела программы, которая была зашифрована после внедрения тела вируса в программу. Если по каким-то причинам вирусу не получается изменить запускаемый файл, то во временном каталоге Windows (%TEMP%) создается папка 3582_490 куда расшифровывается уже чистый исполняемый файл.
После запуска производится попытка заражения файлов перечисленных в файле %WINDIR%\directx.sys, если таковой присутствует.
После этого производится проверка количества параметров, переданных при вызове файла. Если параметры присутствуют и окончание у исполняемого файла .com, то производится запуск файла, имя которого передается в виде параметра, а его полное имя помещается в файл %WINDIR%\directx.sys для дальнейшего заражения.
Дальше происходит регистрация вируса в системе (создание и регистрация файла svchost.com).
После этого вирус создает в системе уникальный идентификатор «MutexPolesskayaGlush» для определения своего присутствия в системе.
После чего выполняются следующие действия:
вирус получает список дисков, которые не являются FDD и CD-ROM;
производится поиск файлов по найденным дискам, причем файлы должны соответствовать заданным критериям:
файлы должны быть не из каталогов %Program Files% и %WINDIR%;
не заражаются файлы на логических дисках A: и B:;
размер фалов должен быть не меньше 41473 и не больше 10000000 байт.
Вирус правильно обрабатывает файлы с атрибутом «только чтение». После заражения он восстанавливает начальные атрибуты файла.Рекомендации по удалению
В системном реестре изменить значение следующего ключа:
[HKCR\exefile\shell\open\command]
c
%WINDIR%\svchost.com "%1" %*
на
"%1" %*
Удалить файл %WINDIR%\svchost.com
Произвести полную проверку компьютера и имеющиеся флоппи-диски Антивирусом Касперского с обновленными антивирусными базами
Добавлено через 3 минуты
Virus.Win32.Hidrag.a или у НОДа Win32/Jeefo.A
Безобидный резидентный Win32-вирус. Заражает приложения Win32 (PE EXE-файлы). При заражении шифрует часть заражаемого файла.
При запуске зараженного файла инсталлирует себя в систему: создаёт свою копию с именем "svchost.exe" (размером около 36K) в каталоге Windows и регистрирует этот файл в ключе автозапуска системного реестра:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services
PowerManager = %WindowsDir%\SVCHOST.EXE
Затем вирус остаётся в памяти Windows, рекурсивно ищет и заражает PE EXE-файлы на всех доступных дисках, начиная с диска C:.
Вирус никак не проявляет своего присутствия в системе.
Вирус содержит зашифрованные строки:
Информация о вирусе Games.exe
Вирус Games.exe
В Диспетчере задач именуется nvscv32.exe
Убить его в процессах невозможно, тк он закрывает все системные окна, такие как: Диспетчер задач, Служба настройки системы, Восстановление системы и т.д...
После запуска данной иконки вирус начинает свою негативную деятельность, ничего не удоляет и не меняет, просто портит вам настроение...
После его зарожения Он затрагивает EXE файлы но не все, таким образом распростроняется
Я его вынес путем перезагрузки компа в Безопасном режиме (У меня F8)Далее зашел по пути в C:\WINDOWS\system32\drivers нашел его и удолил, в реестре его также необходимо убрать,
Пишем в Выполнить regedit и жмем ОК...
Далее появляется окно "Редактор реестра" Выделяем Мой компьютер, жмем Правка\ Найти ипишем nvscv32.exe Находим его и удоляем, не боимся, УДОЛЯТЬ СОВЕТУЮ ТОЛЬКО ФАИЛ С ТОЧНЫМ ЕГО ИМЕНЕМ!!!, а тоесть nvscv32.exe
И еще несколько раз повторяем поиск его, до тех пор пока 100% не будете уверены что его удолили...
Дальше советую не закрывать окно, а опять нажать Правка\ Найти и ввести тоже самое nvscv32.exe, только уже ставим недостающую с низу галочку (Искать только строку целиком) и также проверяем на несколько раз... А лучше иметь на компьютере антивирусное программное обеспечение.
добавлено спустя 14 минут
Также информация о вирусе virus.sality.Win32.15 (15,или ss,обозначают модификацию-вид вируса)
Virus.Sality.Win32.15 – сложный полиморфный вирус, заражающий PE файлы.
Sality - это комплекс, состоящий из вируса который производит заражение компьютеров, и набора разнообразных троянских программ, Кей логгеров, спам ботов и т.п., которые вирус закачивает из сети Internet в процессе своей работы.
Методы распространения
Распространяется через съёмные носители информации и зараженные исполняемые файлы.
Для распространения через съёмные носители информации - вирус копирует своё тело в корень каждого диска и создает сопутствующий файл Autorun.inf, который позволит выполниться копии вируса, если на атакуемом компьютере включен автозапуск. Кроме того вирус пытается заразить исполняемые файлы находящиеся на съемном носителе.
Функциональные возможности
При запуске вирус:
Отключает диспетчер задач
Запрещает редактирование реестра
Отключает оповещения Windows об отключенном брандмауэре, антивирусе и обновлении.
Отключает User Account Control
Запрещает Internet Explorer работать в автономном режиме
Запрещает отображение скрытых папок и файлов
Отключает возможность запуска Windows в безопасном режиме
Добавляет исходный PE файл в доверенные приложения встроенного брандмауэра Windows.
Регистрирует и запускает свою службу, которая обеспечивает запуск исходного тела вируса при каждом перезапуске Windows, а также фильтрует трафик и блокирует обращения к сайтам антивирусных компаний.
Удаляет файлы антивирусных баз.
Закрывает окна, в заголовках которых содержаться строки "dr.web", "cureit".
Перехватывает несколько Windows API функций для маскировки и распространения себя в системе.
Пытается зарегистрировать DNS имя в локальном домене
Пытается внедрить свой код в адресное пространство активных процессов (в частности в Explorer.exe).
Останавливает службы и выгружает из памяти процессы, относящиеся к антивирусным программам и Firewall.
Вирус заражает исполняемые файлы методом перехвата запуска файла, внедрения в него своего кода, сохранения и повторного запуска этого же файла. Заражению подвергаются ".exe” и ".scr” находящихся на логических и съемных носителях, а также подключенных сетевых дисках.
Технические особенности
Virus.Sality.Win32.15 - очень сложный полиморфный вирус.
Полиморфность означает, что в каждом новом файле тело вируса будет выглядеть по-разному и данный вирус нельзя обнаружить методом фиксированных вирусных сигнатур.
При заражении вирус создаёт новую секцию в PE файле и записывает в ее конец свое тело. Для некоторых файлов вместо создания новой секции - вирус расширяет последнюю секцию и дописывает туда своё тело. Атрибуты последней секции изменяются таким образом, чтобы можно было читать, писать и исполнять.
Для передачи управления на своё тело - вирус заменяет оригинальный код приложения, расположенный по точке входа (EntryPoint), на свой собственный, сгенерированный «на лету». Заменённый блок кода, как и само тело вируса, сильно обфусцирован – то есть значащие команды кода щедро размыты "мусорными командами” или же заменены на последовательность операций.
Обфускация – это приведение исполняемого кода программы к виду, сохраняющему его функциональность, но затрудняющему его анализ и понимание алгоритма работы.
К примеру - команда Mov eax, 10h Может быть заменена последовательность команд:
Mov ebx,04h
Mov ecx,01h
Inc ecx
Add ebx ,01
Xor eax,eax
Add ecx, 09h
Sub ecx, 06h
Add eax, ebx
Add eax, ecx
или же размыта "мусорными командами”:
Nop
Nop
Push ecx
Pop ecx
Mov eax, 10h
Xchg eax, ebx
Xchg ebx, eax
Из-за обфускации то, что можно исполнить с помощью нескольких инструкций, растянуто на несколько сотен команд. Так как вирус полиморфный – то команды, их количество и порядок следования, меняются в каждом новом зараженном файле, что сильно затрудняет лечение и детектирование вируса.
Тело вируса зашифровано потоковым шифром RC4 (широко применяющегося в различных системах защиты информации - протоколы SSL и TLS, алгоритм WEP). Алгоритм RC4 строится на основе параметризованного ключом генератора псевдослучайных битов с равномерным распределением.
Длина ключа для расшифровки тела вируса варьируется от 8 до 176 бит. Сам ключ различный для каждого зараженного файла последовательно зашифрован 2 разными полиморфными алгоритмами.
Вирус состоит из 5и основных блоков:
Первый блок - располагается по адресу точки входа и представляет собой сильно офусцированый код, который служит для сохранения оригинальных значений регистров и флагов, а также выполняет переход на тело вируса. Длина этого блока варьируется от 32 байт до 2х кбайт.
С целью защиты от отладки вирус применяет метод под названием FakeApi. В произвольных позициях первого блока производится вызов случайных API функции. Что приводит к прекращению работы некоторых виртуальных машин и отладчиков, не могущих корректно работать с таблицей импорта.
Второй блок - это простенький полиморфный декриптор, который расшифровывает следующий блок и передает на него управление.
Третий блок – это сложный полиморфный декриптор, состоящий из большого количества операций. Данный блок предназначен для расшифровки ключа и алгоритма реализующего потоковый шифр RС4.
Четвёртый блок - обфусцированая версия потокового шифра RС4. При помощи ключа, алгоритм строит таблицу начальных состояний, которой и расшифровывает основное тело вируса.
Пятый блок - само тело вируса.
Еще одной особенностью вируса Virus.Win32.Sality.15 является то, что количество полиморфных декрипторов и длинна расшифровываемого ими кода не постоянна – к примеру, может использовать только первый или только второй полиморфный декриптор + алгоритм RC4, или же только алгоритм RC4 с незашифрованным ключом. Первый полиморфный декриптор может расшифровать только часть второго полиморфного декриптора и передать на него управление (в этом случае - часть второго декриптора зашифрованна, а часть нет) и т.п. Данная методика очень осложняет написание алгоритма детектирования и лечения вируса.
Деструктивные возможности
Пытается выполнить загрузку файлов (под видом картинок) из сети Internet и запустить их на выполнение, загруженные файлы имеют функциональность Trojan, Backdoor и RootKit. Целью вируса является внедрение на машину вредоносного ПО, которое обеспечит полный доступ к компьютеру и включение его в ботнет. По мере удаления вредоносных программ - вирус закачивает новые и маскирует их в системе.
Вирус заражает исполнимые *.exe , *.scr файлы размером более 5 кб, при этом из-за ошибок в вирусе, зачастую портит файлы, что приводит к их полной неработоспособности. Поиск файлов для заражения производится на всех разделах жесткого диска, съемных носителях и всех доступных для записи сетевых папках.
Методы борьбы с вирусом Sality
1. Качаем программу от Лаборатории Касперского, называемую "sality_off".
Если ваш компьютер уже заражен вирусом, то программу по прямой ссылке вы скачать не сможете, поскольку вирус блокирует доступ к доменам компаний, занимающихся разработкой антивирусного ПО (таких как "Dr.Web" и "Лаборатория Касперского" в первую очередь). Выход здесь один:
скачиваем эту программу, заменив доменное имя kaspersky.ru на IP, соответствующий данному домену. Узнать его можно, следующим образом на другом компьютере, подключенно к интернету(в Windows XP) : Пуск -> Выполнить -> cmd -> ping kaspersky.ru.
Так же IP можно узнать через зараженный компьютер, используя любой интернет-сайт, предоставляющий услуги трейса.
Получив ip, подставляем его в оригинальну ссылку на файл:
http://support.kaspersky.ru/downloads/utils/sality_off.rar
81.177.31.148/downloads/utils/sality_off.rar
2. Качаем антивирус Касперского и CureIT (лучше их иметь заранее в запасниках со свежими базами и на компакт-диске). Про NOD и Avast можно сразу забыть - они умирают сразу.
3. Качаем removeIT и sality_remover.
4. Отключаем все сетевые устройства (проще говоря выдергиваем сетевой кабель) и носители информации: флешки, выносные жесткие диски, фотоаппараты, МФУ и т.п.
5. Запускаем sality.off с ключем -m (распаковываем его из архива в корень диска C):
Пуск -> выполнить -> C:/Sality_off.exe -m
Ждем пока он не сделает полную проверку. Не выключаем его. Запускаем sality_remover,
проверяем, удаляем зараженные файлы. Закрываем его, запускаем RemoveIT, убивавем оставшиеся вирусы. Так же пробегаемся CureIT.
Добавляем ярлык C:/Sality_off.exe -m в автозагрузку.
Устанавливаем Касперский. Перезагружаем компьютер.
Активируем Касперский (пробный ключ на месяц - для этого потребуется подключиться к интернету), включаем полную проверку. Ждем окончания проверки. Зараженных файлов больше не должно остаться.
6. Открываем доступ к диспетчеру задач (taskmgr):
Пуск ->
выполнить ->
gpedit.msc ->
Конфигурация пользователя ->
Административные шаблоны ->
Система ->
Возможности Ctrl+Alt+Del ->
Удалить диспетчер задач
Отключаем параметр. Выходим на рабочий стол, нажимаем F5 (обновляем).
Повторяем процедуру, если диспетчер задач не хочет пояявляться при сочетании клавишCtrl+Alt+Del.
7. Открываем доступ к редактору реестра (regedit):
устанавливаем проограмму для тонкой настройки Windows (например, Tweak XP),
ставим(убираем) галочку в нужно месте. Готово.
* Чтобы заранее застраховаться от данного вируса, установите на свой компьютер антивирусное ПО и обновляйте базы почаще; отключите Autorun (через реестр, изменив нужный ключ / используя Disable_autorun.reg, либо с помощью любого твикера для Windows); проверяйте свои носители информации, которые собираетесь втыкать в компьютер; храните резервные копии своих дистрибутивов в архивах.
добавлено спустя 5 минут
Еще о неком черве Worm.Qvod.Win32.730
Worm.Qvod.Win32.730 – опасный червь, использующий съемные носители и сеть для своего распространения.
Методы распространения
Данный червь использует несколько методов для своего распространения
Червь создаёт копии своего тела на всех доступных на запись съемных дисках. При размножении через съемные носители червь копирует себя на носитель в папку <Диск:> \ RECYCLER \ {случайный номер} \setup.exe. В корне каждого съемного диска создаётся сопутствующий файл Autorun.inf, который позволит выполниться копии червя, если на атакуемом компьютере включен автозапуск.
Червь получает список компьютеров, находящихся в сетевом окружении зараженной машины и пытается подключиться к сетевым ресурсам, используя встроенный словарь, содержащий имена пользователей и пароли. При успешном подключении к ресурсу, червь создает копии своего тела в общих папках.
Червь имеет функциональность вируса и заражает исполняемые PE файлы (Windows EXE)
Функциональные возможности
После запуска, червь регистрирует своё тело в качестве службы, для этого он пытается остановить одну из системных служб:
AppMgmt
BITS
CryptSvc
EventSystem
Browser
и т.д.
После чего копирует своё тело в папку %System% под одним из имён, подменяя исходный файл службы:
shsvcs.dll
qmgr.dll
schedsvc.dll
xmlprov.dll
regsvc.dll
pchsvc.dll
cryptsvc.dll
tapisrv.dll
Netman.dll
Upnphost.dll
ntmssvc.dll
mswsock.dll
mspmsnsv.dll
appmgmts.dll
<Случайное имя >.dll
Если это удалось, червь перезапускает службу.
Таким образом, червь будет загружаться при каждом старте Windows, при этом количество активных служб и их имена останутся неизменными. Данный приём применяется для автозапуска и одновременно маскировки червя в системе.
Для сокрытия своего процесса в системе, червь извлекает из своего тела и устанавливает драйвер. Файл драйвера копируется в папку "%System%\drivers\" с именем <случайное имя>.sys, размер драйвера составляет 8535 байт.
Имя файла драйвера состоит из набора цифр и букв.
Для регистрации драйвера, червь добавляет ключ в ветку реестра –
[HKLM\ System\ CurrentControlSet\ Services]
Он имеет следующий вид:
[HKLM\ System\ CurrentControlSet\ Services\ <случайное имя>]
Type = dword:00000001
Start = dword:00000002
ErrorControl = dword:00000001
ImagePath = "\??\C:\ WINNT\ system32\ drivers\ <случайное имя >.sys"
DisplayName = "< случайное имя >"
Имя службы совпадает с именем файла, например - если драйвер червя имеет имя “0A852E90.sys” , то название службы будет “0A852E90”
Червь блокирует возможность запуска антивирусных программ, Firewall и программ мониторинга, для этого он вносит изменения в реестр Windows.
В ветке реестра – [HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Image File Execution Options\], создаются ключи реестра, содержащие имя блокируемого файла и строку - "Debugger = "ntsd –d "" . В результате этих действий, приложение вместо запуска, перенаправляется на отладчик ntsd.
Созданные ключи реестра выглядят следующим образом:
[HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Image File Execution Options\ avp.exe]
Debugger = "ntsd –d"
………
[HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Image File Execution Options\ Mcagent.exe]
Debugger = "ntsd -d"
Где ”avp.exe” и ”Mcagent.exe” - имена блокируемых файлов, подобных ключей создается более 50 штук.
Деструктивные возможности
Червь загружает из сети Internet вредоносное программное обеспечение и запускает его на компьютере. Таким образом, на компьютере оказывается множество различных вирусов, троянских программ и другого вредоносного ПО. Червь очищает файл HOSTS с целью удаления оттуда заблокированных адресов.
Сообщение было успешно отредактировано НОЧНОЙ СТРЕЛОК (12-03-2012 00:27 GMT3 часа, назад) Как бы не стараться, но подлинной истины не найти не когда...
Прежде чем написать слово "Я" прочти
A stalker beats from far away but always certainly.
Вирусы....
Я не ставлю целью критику материала топика, просто попытаюсь дать некоторые комментарии — связан с этим по-работе, разумеется, кому это будет интересно.
Чтож, мои "пять копеек".
Приведенное выше определение вирусов не совсем корректно. Потому что действия пользователя не могут выступать в роли критерия определения вредоносности, т.к. в операционной системе выполняется огромное количество процессов, о которых пользователь и не догадывается - драйвера, сервисы....
Кроме того, далеко не каждый вирус ставит своей целью размножение. Для некоторых вирусов основной задачей является сбор информации с хоста владельца или выполнение некоторых действий, не обязательно на этом же хосте. Например, так называемые ботнеты.
Приведенные выше "операционные системы" таковыми не являются. С некоторой долей допущений, ОСями можно назвать Unix и Windows. Хотя, на самом деле, это всего лишь коммерчиские названия.
Для пояснения.
В семействе Windows существуют как минимум две параллельные ветки - ветка NT и ветка... ну назову её (условно) Windows 98 и последователи.
Представители ветки NT (коммерческие имена под которыми они известны) - Windows NT, 2000, XP, Vista, 7 и все серверные версии Windows.
Представители "Windows 98" - 95/98, Milenium.
Особняком стоят мобильные версии. По сути, это подвид ленейки NT, но очень сильно урезанный.
Unix.
Ну по сути, ситуация аналогична ситуацией с Windows.
Linux.
Строго говоря, такой операционной системы в природе не существует. Это всего лишь название ядра операционной системы. А вот на база этого ядра существует не сметное множество операционных систем. Начиная от GNU Linux - грубо говоря, чистого "линукса" до Ubuntu. Отчасти это является причиной отсутствия такого количество вирусов как под операционные системы семейства Windows. Виндавсов - по-сути - не более десятка, да и то, учитывая что там всего две ветки.... а вот линуксов, существуют сотни, у каждого свои особенности, которые нужно учитывать при проектировании вирусов.
Эм... скажу высокопарно, но в данном контексте, это уместно(думаю).
В мире осталось очень мало просто «программ». Все хотят есть и пить. Поэтому, все программы стали коммерческим продуктом. Да да, именно так. Коммерческий продукт должен приносить прибыль, иначе проект закрывается. Просто думайте о «программах» именно в этом контексте :)
Все операционные системы — коммерческие продукты. Взнос может быть добровольным, но сути это не менят. Оттого и плодятся версии ПО как грибы после радиактивного дождя, с «новым» функционалом и «интуитивно понятным» интерфейсом (угу, а раньше был непонятный).
Программа(любая), требует понимания и знаний предметной области. Как впрочем и всё в этом мире, поэтому, никогда «домохозяйки» не сможет управлять ни операционной системой, ни составлять бюджет — у ней нет базовых знаний для этого, и какой бы небыл понятный интерфейс и новый функционал... управлять «ядерным синтезом» невозможно в перерывах между «варкой борща».
Классификация вирусов.
Тут нет однозначности и стандартов. Дело в том, что производители антивирусов ведут свою классификацию, независимые фирмы по ...э... назову это "компьютерной безопасности" ведут свою классификацию. Производители ПО (в основном операционных систем) ведут свою классификацию - баг. треки.
Баг-трэк - грубо говоря, перечень выявленных ошибок в ПО или не корректного/не документированного (да, так тоже бывает) его поведения.
Распространение вирусов.
Да простят меня многие, но основной причиной и способом распространения вирусов является элементарная "компьютерная" безграмотность. Еще одной причиной такого массового распространение вирусов в Windows является постоянная работа пользователей под правами супер-пользователя, в простонародье «Администратор», или иным пользователем имеющем аналогичные права.
“Сайты для взрослых» и вирусы.
Вообще-то, “сайты для взрослых”, это одни из самых профессиональных ресурсов Internet. Да-да, это именно так. Потому что они приносят деньги своим владельцам — это коммерческие продуты. Аналогии. Вы можете себе представить, что в казино работают не непрофессиональный люди - крупье? Тогда казино обанкротится или его засудят, аналогичная ситуация и с “сайты для взрослых”, просто поверьте :)
Так вот, “сайтам для взрослых” «не интересно» заражать своих посетителей. Потому что, тогда они не придут вновь. Обратите внимание, что при хождении по “сайты для взрослых”, потом в поисковиках, Вконтактах и прочих онлайн ресурсах не выскакивает реклама «про это». В отличии от «гражданских» сайтов, которые делятся своей информацие с оными. Замечали это?
Банеры эротичные и не очень.
Это просто «реклама», для которой не имеет значения наполнение как таковое. Вернее имет — игра на человеческих страстях. Цель таких банеров не привести нового пользователя на “сайты для взрослых”, а просто провести его по некоторому маршруту в Internet, да бы сгенерировать трафик. В Internet трафик является товаром. Вот и всё. Трафик пройдет по определенному маршруту «ответственные» получат сою денюжку.
Банеры, которые «блокируют» компьютер.
Не имею не малейшего отношения к индустрии “сайтов для взрослых”. Игра на марали — никому ведь не особо охота «засветиться» за просмотром эгегей порно. Вот и шлют эти «пользователи» смс на короткий номер.
Почему так много про «Это». Да потому что просто миф... подхватить заразу с подобным контентом можно и на безобидном сайте автомобилистов или рыболовов — где в основном они и хватаются - потому что разработчики этих ресурсов не столь профессиональны или уделяют гораздо меньше внимания в отличии от разработчиков ресурсов означенной тематики. Сайты рыболовов-автомобилистов, это не коммерческие продукты, и денег своим владельцам они не приносят.
Терминалогия и технологии.
Очень часто доводится видеть перепечатки старых материалов по тематике. В современных операционных системах нет .com программ, нет стэлсов... это всё прошлое. Равно как в Зоне давным давно нельзя встретить деревенскую свинку... думаю, аналогия понятна. Посуму, многие материалы просто марально устарели, и по-сути, не имеют смысла. Давным давно в Windows простая программа не может перехватить прерывание.... годов эток с конца 90-х, начиная с линейки NT. Для сокрытие работы(выполнения) программы применяются иные технологии. Кстати, одной из обязательных составляющих этого является наличие «администраторских» и родсвенным им прав, которые простому пользователю и подавно ненужны.
Так же .exe — это просто дань традиции. Нет такого формата. Есть расширение в имени файла. Есть форматы PE, cof и т. д. Есть технология .NET, программы, «написанные на .NET» вообще выполняются в виртуальной среды машины .NET которая встроена в каждую операционную систему Windows.
Антивирусы.
Скажу кратко — это коммерческие продукты, думаю, мысль понятна :)
Нет «плохих»/«хороших» есть свежии вирусные базы, а есть несвежие. Какая-то компания успела обработать данный вирус/штам а какая-то нет. Вот и всё.
«Лечение» - миф. Что такое лечение — удаление тела вируса? К сожаление нет... а настройки кто восстановит? Да программы не обладают возможностью само-регенерации. Поэтому... лечение, это игра в «повезет»/«не повезет».
Лечение.
Не обладая знаниями в данной области — архитектура операционных систем — лечение похоже на самолечение... аналогия с домохозяйкой и управляемым синтезом...
Много людей которые смогли востановить работоспособность операционной системы после вирусов :), без переустановки...
Позволю дать советы по лечению.
1). Не работайте под администраторами, не ленитесь...
2). Не чурайтесь читать литературу «для чайнков» и просто инструкции. Это полезно. Т.е.
учитесь работе с компьютером — это всего лишь интрумент в ваших руках. Кто-то будет крутить неизвесный артефакт в голых руках? Сомнительное удовольствие, не правдали.
3). Делайте резерные копии системы и данных. Это придумали не зря. Но не особо на это найдейтись.
4). Программы практически невоможно вылечить. Но можно переставить. Посмотрите, нет ли в ваших любмых программах возможности сохранения настоек и их агрузок.
5). «Полечили» операционную систниу — переставьте текущий сервис пак. Он заменит многие (если не все) систменые файлы. Это не лишне :)
Собственно всё... не судит строго.
Такие "простыни" прячь под спойлер. Модератор.
Сообщение было успешно отредактировано TheDoktor (12-06-2012 20:13 GMT3 часа, назад)
ЦитатаСкажу кратко — это коммерческие продукты, думаю, мысль понятна :)
Нет «плохих»/«хороших» есть свежии вирусные базы, а есть несвежие. Какая-то компания успела обработать данный вирус/штам а какая-то нет. Вот и всё.
«Лечение» - миф. Что такое лечение — удаление тела вируса? К сожаление нет... а настройки кто восстановит? Да программы не обладают возможностью само-регенерации. Поэтому... лечение, это игра в «повезет»/«не повезет».
Ха ты вообще ими пользуешься я бы с тобой поспорил но не буду тему засорять тоже мне эксперт.
ЦитатаБанеры, которые «блокируют» компьютер.
Не имею не малейшего отношения к индустрии “сайтов для взрослых”. Игра на марали — никому ведь не особо охота «засветиться» за просмотром эгегей порно. Вот и шлют эти «пользователи» смс на короткий номер.
Как мне надоело спорить нельзя так просто думать.Объясняю баннер это Прямоугольное графическое изображение рекламного характера,которые часто используются на различных веб-сайтах.Я выше объяснил что это троянская программа вымогатель думаю если ты такой умный ты сам поймешь что такое троянская программа.Вот некоторые вообще не хотят понимать различия между трояном и вирусом,червем и руткитом и так далее.
ЦитатаВ семействе Windows существуют как минимум две параллельные ветки - ветка NT и ветка... ну назову её (условно) Windows 98 и последователи.
Представители ветки NT (коммерческие имена под которыми они известны) - Windows NT, 2000, XP, Vista, 7 и все серверные версии Windows.
Представители "Windows 98" - 95/98, Milenium.
Особняком стоят мобильные версии. По сути, это подвид ленейки NT, но очень сильно урезанный.
Ну ваще тут не операционные системы обсуждают и ты думаешь полное знание поможет избежать вирусов навсегда, ответ нет даже супер эксперту в ручную не справиться с современными угрозами для этого нужно изолировать систему от интернета и вообщем от всего поэтому не все будут заучивать все и вся у меня много примеров.Но естественно знание сила я сам изучаю многое, но с кое чем я и согласен но не все по теме извини.
ЦитатаПриведенное выше определение вирусов не совсем корректно.
Я не пытаюсь писать по уровням,я написал не про виды угроз а про определенные вирусы,угрозы.
ЦитатаДа простят меня многие, но основной причиной и способом распространения вирусов является
элементарная "компьютерная" безграмотность
С тобой согласен но опять не совсем,еще некоторые не ставят хотя бы простые антивирусные программы а надо ставить,да и на оборот лучше
ставить самые мощные антивирусы и не надо спорить что они одинаковые у меня свои примеры но тему опять не собираюсь засорять спорами о антивирусах.Я как вижу ты не сам это написал видать скопировал с других сайтов потому что очень много записей но не обижайся если сильно осудил, просто у меня свое мнение ну если что извени.
Как бы не стараться, но подлинной истины не найти не когда...
Прежде чем написать слово "Я" прочти
A stalker beats from far away but always certainly.
ЦитатаХа ты вообще ими пользуешься я бы с тобой поспорил но не буду тему засорять тоже мне эксперт.
ЦитатаБанеры, которые «блокируют» компьютер.
Не имею не малейшего отношения к индустрии “сайтов для взрослых”. Игра на марали — никому ведь не особо охота «засветиться» за просмотром эгегей порно. Вот и шлют эти «пользователи» смс на короткий номер.
Как мне надоело спорить нельзя так просто думать.
Если не сложно, поясните, что Вы имеете в виду.
Антивирусниками, на своеё машине, я не пользуюсь. Какой смысл от него, если у него нет в базе новых вирусов? Т.е. даже с установленным антивирусником (и с настроенным обновление) можно подцепить вирус. Смысл? Да, соглашусь, что у каждого свой ответ на данный вопрос, и для рядового пользователя, луче что бы он был.
ЦитатаОбъясняю баннер это Прямоугольное графическое изображение рекламного характера,которые часто используются на различных веб-сайтах.
Ну в случае банеров на вэб сайтах, это так. А вот в контексте разговора, это окно, открытое в модальном режиме, со свойством перекрывать все остальные окна и с убраными границами, потому и вид у него такой(безбардюрный), а некоторые с хуком(перехватом) на клавиатуру/мыш. Банерами такие вот окна называются формально.
ЦитатаЯ выше объяснил что это троянская программа вымогатель думаю если ты такой умный ты сам поймешь что такое троянская программа.
Троян — недокументированый код/функционал, запускаемый в процессе выполнения процесса-носителя.
А с чего, Вы, её классифицировали как троян? Вы запустили Excel и в следствии этого, выполнился некий недокументированный код (который вызвал появления банера, например) ? В теле подобныйх банеров, только сам этот банер, не более... поверьте или проверьте. А распространяется он не трояном, а через браузеры, по средствам, например Java аплетов (не путайте с Java Script). Или же, через автозапуск с вирусованной флешки, например, по средтсвам файла autoexec.inf расположенного в корне флешки/носителя — тоже не троян. Так не маскируется под иную программу, а для своего запуска использует штатные средства Windows, автозапуск. И где тут троян?
Цитата Ну ваще тут не операционные системы обсуждают и ты думаешь полное знание поможет избежать вирусов навсегда, ответ нет даже супер эксперту в ручную не справиться с современными угрозами для этого нужно изолировать систему от интернета и вообщем от всего поэтому не все будут заучивать все и вся у меня много примеров.
Цитата
Internet – один из способов распространения информации. Альтернатива любые сменные носители информации. Полное знание чего? Если архитектры ОС, то да, это не избавит на 100% от «угрозы», но существенно снизит риск.
Цитата
ЦитатаПриведенное выше определение вирусов не совсем корректно.
Я не пытаюсь писать по уровням,я написал не про виды угроз а про определенные вирусы,угрозы.
Еще раз приношу извенения, я не критиковать хотел.
ЦитатаДа простят меня многие, но основной причиной и способом распространения вирусов является
элементарная "компьютерная" безграмотность
С тобой согласен но опять не совсем,еще некоторые не ставят хотя бы простые антивирусные программы а надо ставить,да и на оборот лучше
ставить самые мощные антивирусы и не надо спорить что они одинаковые у меня свои примеры но тему опять не собираюсь засорять спорами о антивирусах.
Что делает антивирус?
Давайте разберемся. Антивирус сканирует файлы на наличие изведённых ему сигнатур вирусов, а так же, использует так называемую эвристику.
Со сканированием, я думаю, все болеее или менее понятно. Есть сигнатура — вирус, нет — не вирус.
Эвристика. Как пишут производители этого чуда инженерной мысли, то это интелектуальные алгоритмы поиска вирусов — чуть ли не искуственный интелект. :) Но по сути, это алгоритмы поиска определенных системных вызовов, которые могут быть написаны по разному. Но последовальность должна быть соблюдена. Грубо говоря, нельзя сьесть консерву, не открыв банку, правда, в процессе открывания можно еще заниматься чем-то (отвлекающие действия).
Эвристика...
ниодин антивирус не спас ни от одной ошибки ОС. Например, в Windows 7 (года полтора/два назад) было ошибка в chkdsk (утилита диагностики и справление ошибок файловой системы) которая приводила к уничтожению данных на жестком диске. Ниодин антивирус и не подумал признать/распознать эту утилиту как вирус... хотя по своим действиям эта ошибка утрет нос многим вирусам. :)
А кто сказал, что это была ошибка, а не диверсия? Соглашусь, утрирую.... однако :) Вот и вся защита от зловредного кода.
ЦитатаЯ как вижу ты не сам это написал видать скопировал с других сайтов потому что очень много записей но не обижайся если сильно осудил, просто у меня свое мнение ну если что извени.
Позвольте поинтересоваться, а почему у Вас мнение?
Приходиться работать на компьютерах в вычислительном центре универа (думаю понятно, в каких количествах там водятся вирусы) с данными на флешке. Подскажите как лучше защитить флешку и домашний комп от вирусов.
Отформатировать флешку в NTFS, в корне создать файл Autorun.inf, запретить доступ к нему всем группам. По-возможности отключить атозапуск на компьютере.
Тем самым вы не зашитите флешку от записи на ней вируса, однако, так вы воспрепятствуете запуску этого вируса.
Dimkaav.Вот некоторые всегда так типа все антивирусы бесполезны и так далее,если так судить то кто хочет тот и пусть ими не пользуется вообще мне все равно,вы думаете что вирусы очень безобидные и можно спокойно дальше продолжать работу на компьютере как в то время в вашей системе действуют
100 вреданосных программ.Вам так понял настоящих угроз не попадалось.Опять вы спорите о баннерах как вы их называете.Вот не много инфы
На данный период времени сотрудниками различных антивирусных компаний зафиксировано несколько тысяч различных видов винлокеров. Наиболее ранние типы требовали за разблокировку не более 10 рублей, а если пользователь оставлял включённым компьютер на некоторое время, то они самоуничтожались (к примеру Trojan.Winlock 19 сам удалялся без следа через 2 часа.) Однако позднее появились более опасные разновидности, которые не удалялись сами по себе и требовали за разблокировку уже от 300 до 500 рублей.
Винлокеры ориентированы преимущественно на российских пользователей, в них использованы методы социальной инженерии. Обычно необходимость выплаты денежной суммы объясняется использованием нелицензионного программного обеспечения или просмотром порнофильмов. И в большинстве случаев заражение происходит именно с порносайтов. Достаточно часто причины необходимости отправки SMS или способы получения кода звучат абсурдно, например, «Ваш компьютер заблокирован за просмотр порнографии с несовершеннолетними и зоофилией. Для разблокировки компьютера необходимо пополнить баланс телефона в любом терминале оплаты. После оплаты код разблокировки должен появиться на чеке оплаты». Более того практически на всех баннерах написано предупреждение, о том, что попытка обмануть «систему оплаты» приведёт к нарушению работы компьютера или уничтожению данных. В некоторые из них даже встроен таймер обратного отсчёта, по истечении времени которого вирус обещает уничтожить все данные пользователя. Чаще всего, это простая угроза, для убеждения пользователя отдать злоумышленнику деньги. Однако, некоторые версии действительно снабжаются инструментами для уничтожения данных, но по «кривизне» рук авторов, особенностями установки или по другим причинам они чаще всего не срабатывают должным образом. Также заражение может произойти во время запуска программ, маскирующихся под установщики приложений или самораспаковывающиеся архивы. При этом в лицензионном соглашении оговаривается, что пользователь согласен установить на компьютер приложение «рекламного характера», которое он обязан просмотреть 1000 раз, либо отказаться от просмотра, отправив SMS.
Вид «интерфейса» троянов очень красочен и разнообразен. Но в большинстве своём их объединяет либо схожесть со стандартными меню Windows, либо наличие порнографического материала (фото, гораздо реже анимации и видео), а также окно для ввода кода разблокировки. Есть разновидности, очень похожие на синий экран смерти или стандартное окно приветствия Windows. Также не редки случаи, когда они маскируются под антивирусную программу (например Антивирус Касперского).
Trojan.Winlock условно можно разделить на 5 типов, в зависимости от того, насколько они затрудняют работу для пользователя.
1 тип — это баннеры или порноинформеры, появляющиеся только в окне браузера. Наиболее легко удаляемый тип. Обычно они выдают себя за дополнительные плагины или надстройки для браузера.
2 тип — это баннеры, которые остаются на рабочем столе после закрытия браузера и при этом закрывают большую его часть. Но у пользователей обычно остаётся возможность открывать другие программы, в том числе диспетчер задач и редактор реестра.
3 тип — это тип баннеров, который загружается после полной загрузки рабочего стола Windows. Они закрывают практически весь рабочий стол, блокируют запуск диспетчера задач, редактора реестра, а также загрузку в безопасном режиме. Некоторые разновидности полностью блокируют клавиатуру, предоставляя пользователю лишь цифровые клавиши из своего «интерфейса», и рабочую мышь для ввода кода.
4 тип — это тип баннеров, который загружается до загрузки рабочего стола Windows, подменяя файл explorer.exe.
5 тип — это так называемый MBR.locker, вносящий изменения в Master Boot Record жесткого диска и, соответственно, блокирующий нормальную загрузку ОС.
И еще они у разных антивирусных компаний именуются по разному
Trojan.Winlock – по классификации компании Доктор Веб
Trojan-Ransom – по классификации компании Лаборатория Касперского
И давайте закончим спорить если вы хотите называть их баннерами то пожалуйста,мне все равно у меня свое мнение.
Ukradinec.Насчет флешек загрузи специальную утилиту USB Disk Security 6.1.0.432 ссылка вроде рабочая ели будешь качать но если возникнут проблемы отпишись, да и сама прога должна пахать вроде в архиве угроз не обнаружил если возникнут подозрения напишите.
Вот еще одна утилита Antirun для флешек но если что пишите вроде все с ней в порядки ссылка должна быть рабочей.
Но еще насчет антивируса я посоветую Каспера но если тебе по нраву другие то можешь скачать сам.
Продолжим вот еще информации о Трояне вымогателе.
Троянцы-вымогатели (Trojan-Ransom) – вредоносное ПО, нарушающее работоспособность компьютера посредством полной или частичной блокировки операционной системы или шифрования файлов и вымогающее деньги у пользователей за его восстановление.
После заражения компьютера вредоносные программы Trojan-Ransom, в зависимости от функционала, блокируют доступ к веб-сайтам, шифруют на зараженном компьютере файлы определенных форматов или полностью блокируют доступ к системе.
Мы рассмотрим основную группу троянцев-вымогателей – вредоносные программы, которые полностью блокируют доступ к системе.
Программы-блокеры: как и где
Набор стандартных действий вредоносной программы-блокера выглядит следующим образом:
После попадания в систему и запуска вредоносная программа для закрепления себя в системе создает несколько своих копий (на случай если основная копия будет удалена) и прописывает эти файлы в автозагрузку.
Как правило, вредоносная программа отключает диспетчер задач Windows и возможность загрузки системы в безопасном режиме. Это делается для того, чтобы усложнить пользователю борьбу с блокером.
Далее начинается непосредственная «работа» вымогателя. Троянец блокирует доступ к системе, отображая поверх всех окон окно с сообщением о том, что компьютер заблокирован, и «инструкцией» для разблокировки. В «инструкции» злоумышленники под разными предлогами требуют, чтобы пользователь заплатил за коды разблокировки, и информируют его о том, каким образом он получит коды и сможет разблокировать компьютер.
Еще два года назад для «расчетов» злоумышленники использовали SMS: пользователь отправлял платное сообщение на короткий премиум-номер, а в ответном сообщении ему автоматически высылался код, который позволял разблокировать систему.
Однако использование премиум-номеров злоумышленниками привлекло внимание правоохранительных органов. В результате с середины 2010 года мошенники стали использовать счета мобильных телефонов. Отметим, что этому способствовало появление у мобильных операторов функции вывода средств со счета. Владельцам заблокированных компьютеров обещают, что код разблокировки системы они увидят на чеке, полученном после перевода денег на счет мобильного телефона злоумышленников. Конечно же, никакого кода на чеке быть не может, а вирусописатели, получив деньги, заботятся о их обналичивании, а отнюдь не о пересылке кодов. Таким образом, пользователь, заплатив деньги мошенникам, не получает код и не может разблокировать компьютер.
С начала второго полугодия 2011, чувствуя повышенное внимание операторов сотовой связи к проблеме мошенничества, вирусописатели стали активнее использовать кошельки платежных систем WebMoney и Яндекс.Деньги.
Интересен тот факт, что мошенники, использующие кошельки системы WebMoney, в подавляющем большинстве случаев выбирают валюту Украины (гривны), и гораздо реже — российские или белорусские рубли. Впрочем, для пользователей изменение системы оплаты по сути ничего не меняет: код разблокировки злоумышленники по-прежнему не высылают. Так что отправлять деньги мошенникам бесполезно.
Последнее время создатели троянцев-вымогателей чаще всего даже не закладывают возможность разблокировки в логику работы зловредов. Более того, в обновленных версиях тех вредоносных программ, которые раньше «честно» давали пользователю возможность разблокировать компьютер, эта функция уже не предусмотрена.
Объяснить такую тенденцию просто. Во-первых, для вирусописателей очень неудобно работать с кодами разблокировки: нужно вставлять новые коды в новые версии вредоносной программы, постоянно следить за базой соответствия телефонных номеров и кодов разблокировки. Гораздо проще собирать новые образцы, не заботясь о кодах, — просто заменяя номера мобильных телефонов/счетов для получения денег.
Во-вторых, применение кодов разблокировки обязывает злоумышленников использовать только те способы оплаты, которые позволяют отправлять ответные сообщения пользователям (как правило, в этой схеме используются мобильные премиум-номера). Без привязки к коду разблокировки мошенники могут эксплуатировать любые удобные им способы получения денег.
И, наконец, в-третьих, отсутствие кода разблокировки значительно усложняет жизнь антивирусным компаниям. Раньше мы просто добавляли найденные во вредоносных программах коды разблокировки на наш сервис Kaspersky Deblocker. Этот сервис предоставляет пользователям коды разблокировки, соответствующие номерам телефонов/счетов, которые используют злоумышленники, и инструкции по лечению системы. Теперь отсутствию кодов разблокировки в программах-вымогателях мы противопоставляем нашу утилиту Kaspersky Windows Unlocker. Утилита работает отдельно от зараженной операционной системы и благодаря этому способна устранять последствия заражения, удаляя файлы и ключи системного реестра, созданные вредоносной программой.
Распространяются программы-блокеры, как правило, на сайтах, предлагающих бесплатное ПО, файлообменниках и взломанных легитимных веб-ресурсах. Зачастую пользователи сами загружают и запускают вредоносную программу, полагая, что устанавливают легитимное ПО.
В середине третьего квартала 2011 был обнаружен новый способ распространения блокеров — через серверы игры Counter Strike 1.6. Специфика сетевой игры Counter Strike предполагает, что при подключении пользователя к серверу на его компьютер могут быть загружены любые файлы, необходимые для игры — как правило, это карты (поля битв), аудио-эффекты и т.д. Вместе с нужными игроку файлами на компьютер пользователя может попасть и вредоносное ПО. Этот способ заражения активно используется вредоносной программой Trojan-Ransom.Win32.CiDox.
Особенно популярны троянцы-вымогатели на территории России и стран СНГ. По статистике KSN (распределенной антивирусной сети Kaspersky Security Network), во втором полугодии 2011 года продуктами «Лаборатории Касперского» было предотвращено более 5 миллионов попыток заражений компьютеров наших пользователей троянцами-вымогателями.
Еще инфы о угрозах троянах,червях и.т.д
Trojan-Dropper.Win32.Agent.aiq
Детектирование добавлено
19 фев 2006 01:05 MSK
Обновление выпущено
19 фев 2006 02:36 MSK
Поведение
Trojan-Dropper, троянский контейнер
Троянские программы этого класса написаны в целях скрытной инсталляции других программ и практически всегда используются для «подсовывания» на компьютер-жертву вирусов или других троянских программ.
Данные троянцы обычно без каких-либо сообщений (либо с ложными сообщениями об ошибке в архиве или неверной версии операционной системы) сбрасывают на диск в какой-либо каталог (в корень диска C:, во временный каталог, в каталоги Windows) другие файлы и запускают их на выполнение.
Обычно один (или более) компонентов являются троянскими программами, и как минимум один компонент является «обманкой»: программой-шуткой, игрой, картинкой или чем-то подобным. «Обманка» должна отвлечь внимание пользователя и/или продемонстрировать то, что запускаемый файл действительно делает что-то «полезное», в то время как троянская компонента инсталлируется в систему.
Троянские программы
Троянские программы различаются между собой по тем действиям, которые они производят на зараженном компьютере.
Троянские программы этого класса являются утилитами удаленного администрирования компьютеров в сети. По своей функциональности они во многом напоминают различные системы администрирования, разрабатываемые и распространяемые фирмами-производителями программных продуктов.
Единственная особенность этих программ заставляет классифицировать их как вредные троянские программы: отсутствие предупреждения об инсталляции и запуске. При запуске «троянец» устанавливает себя в системе и затем следит за ней, при этом пользователю не выдается никаких сообщений о действиях троянца в системе. Более того, ссылка на «троянца» может отсутствовать в списке активных приложений. В результате «пользователь» этой троянской программы может и не знать о ее присутствии в системе, в то время как его компьютер открыт для удаленного управления.
Утилиты скрытого управления позволяют делать с компьютером все, что в них заложил автор: принимать или отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер и т. д. В результате эти троянцы могут быть использованы для обнаружения и передачи конфиденциальной информации, для запуска вирусов, уничтожения данных и т. п. — пораженные компьютеры оказываются открытыми для злоумышленных действий хакеров.
Таким образом, троянские программы данного типа являются одним из самых опасных видов вредоносного программного обеспечения, поскольку в них заложена возможность самых разнообразных злоумышленных действий, присущих другим видам троянских программ.
Отдельно следует отметить группу бэкдоров, способных распространяться по сети и внедряться в другие компьютеры, как это делают компьютерные черви. Отличает такие «троянцы» от червей тот факт, что они распространяются по сети не самопроизвольно (как черви), а только по специальной команде «хозяина», управляющего данной копией троянской программы.
Trojan-PSW — воровство паролей
Данное семейство объединяет троянские программы, «ворующие» различную информацию с зараженного компьютера, обычно — системные пароли (PSW — Password-Stealing-Ware). При запуске PSW-троянцы ищут сиcтемные файлы, хранящие различную конфиденциальную информацию (обычно номера телефонов и пароли доступа к интернету) и отсылают ее по указанному в коде «троянца» электронному адресу или адресам.
Существуют PSW-троянцы, которые сообщают и другую информацию о зараженном компьютере, например, информацию о системе (размер памяти и дискового пространства, версия операционной системы), тип используемого почтового клиента, IP-адрес и т. п. Некоторые троянцы данного типа «воруют» регистрационную информацию к различному программному обеспечению, коды доступа к сетевым играм и прочее.
Trojan-AOL — семейство троянских программ, «ворующих» коды доступа к сети AOL (America Online). Выделены в особую группу по причине своей многочисленности.
Trojan-Clicker — интернет-кликеры
Семейство троянских программ, основная функция которых — организация несанкционированных обращений к интернет-ресурсам (обычно к веб-страницам). Достигается это либо посылкой соответствующих команд браузеру, либо заменой системных файлов, в которых указаны «стандартные» адреса интернет-ресурсов (например, файл hosts в MS Windows).
У злоумышленника могут быть следующие цели для подобных действий:
увеличение посещаемости каких-либо сайтов с целью увеличения показов рекламы;
организация DoS-атаки (Denial of Service) на какой-либо сервер;
привлечение потенциальных жертв для заражения вирусами или троянскими программами.
Trojan-Downloader — доставка прочих вредоносных программ
Троянские программы этого класса предназначены для загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки «троянцев» или рекламных систем. Загруженные из интернета программы затем либо запускаются на выполнение, либо регистрируются «троянцем» на автозагрузку в соответствии с возможностями операционной системы. Данные действия при этом происходят без ведома пользователя.
Информация об именах и расположении загружаемых программ содержится в коде и данных троянца или скачивается троянцем с «управляющего» интернет-ресурса (обычно с веб-страницы).
Trojan-Dropper — инсталляторы прочих вредоносных программ
Троянские программы этого класса написаны в целях скрытной инсталляции других программ и практически всегда используются для «подсовывания» на компьютер-жертву вирусов или других троянских программ.
Данные троянцы обычно без каких-либо сообщений (либо с ложными сообщениями об ошибке в архиве или неверной версии операционной системы) сбрасывают на диск в какой-либо каталог (в корень диска C:, во временный каталог, в каталоги Windows) другие файлы и запускают их на выполнение.
Обычно структура таких программ следующая:
Основной код
Файл 1
Файл 2
...
«Основной код» выделяет из своего файла остальные компоненты (файл 1, файл 2, ...), записывает их на диск и открывает их (запускает на выполнение).
Обычно один (или более) компонентов являются троянскими программами, и как минимум один компонент является «обманкой»: программой-шуткой, игрой, картинкой или чем-то подобным. «Обманка» должна отвлечь внимание пользователя и/или продемонстрировать то, что запускаемый файл действительно делает что-то «полезное», в то время как троянская компонента инсталлируется в систему.
В результате использования программ данного класса хакеры достигают двух целей:
скрытная инсталляция троянских программ и/или вирусов;
защита от антивирусных программ, поскольку не все из них в состоянии проверить все компоненты внутри файлов этого типа.
Trojan-Proxy — троянские прокси-сервера
Семейство троянских программ, скрытно осуществляющих анонимный доступ к различным интернет-ресурсам. Обычно используются для рассылки спама.
Trojan-Spy — шпионские программы
Данные троянцы осуществляют электронный шпионаж за пользователем зараженного компьютера: вводимая с клавиатуры информация, снимки экрана, список активных приложений и действия пользователя с ними сохраняются в какой-либо файл на диске и периодически отправляются злоумышленнику.
Троянские программы этого типа часто используются для кражи информации пользователей различных систем онлайновых платежей и банковских систем.
Trojan — прочие троянские программы
К данным троянцам относятся те из них, которые осуществляют прочие действия, попадающие под определение троянских программ, т. е. разрушение или злонамеренная модификация данных, нарушение работоспособности компьютера и прочее.
В данной категории также присутствуют «многоцелевые» троянские программы, например, те из них, которые одновременно шпионят за пользователем и предоставляют proxy-сервис удаленному злоумышленнику.
Rootkit — сокрытие присутствия в операционной системе
Понятие rootkit пришло к нам из UNIX. Первоначально это понятие использовалось для обозначения набора инструментов, применяемых для получения прав root.
Так как инструменты типа rootkit на сегодняшний день «прижились» и на других ОС (в том числе, на Windows), то следует признать подобное определение rootkit морально устаревшим и не отвечающим реальному положению дел.
Таким образом, rootkit — программный код или техника, направленная на сокрытие присутствия в системе заданных объектов (процессов, файлов, ключей реестра и т.д.).
Для поведения Rootkit в классификации «Лаборатории Касперского» действуют правила поглощения: Rootkit — самое младшее поведение среди вредоносных программ. То есть, если Rootkit-программа имеет троянскую составляющую, то она детектируется как Trojan.
ArcBomb — «бомбы» в архивах
Представляют собой архивы, специально оформленные таким образом, чтобы вызывать нештатное поведение архиваторов при попытке разархивировать данные — зависание или существенное замедление работы компьютера или заполнение диска большим количеством «пустых» данных. Особенно опасны «архивные бомбы» для файловых и почтовых серверов, если на сервере используется какая-либо система автоматической обработки входящей информации — «архивная бомба» может просто остановить работу сервера.
Встречаются три типа подобных «бомб»: некорректный заголовок архива, повторяющиеся данные и одинаковые файлы в архиве.
Некорректный заголовок архива или испорченные данные в архиве могут привести к сбою в работе конкретного архиватора или алгоритма разархивирования при разборе содержимого архива.
Значительных размеров файл, содержащий повторяющиеся данные, позволяет заархивировать такой файл в архив небольшого размера (например, 5ГБ данных упаковываются в 200КБ RAR или в 480КБ ZIP-архив).
Огромное количество одинаковых файлов в архиве также практически не сказывается на размере архива при использовании специальных методов (например, существуют приемы упаковки 10100 одинаковых файлов в 30КБ RAR или 230КБ ZIP-архив).
Trojan-Notifier — оповещение об успешной атаке
Троянцы данного типа предназначены для сообщения своему «хозяину» о зараженном компьютере. При этом на адрес «хозяина» отправляется информация о компьютере, например, IP-адрес компьютера, номер открытого порта, адрес электронной почты и т. п. Отсылка осуществляется различными способами: электронным письмом, специально оформленным обращением к веб-странице «хозяина», ICQ-сообщением.
Данные троянские программы используются в многокомпонентных троянских наборах для извещения своего «хозяина» об успешной инсталляции троянских компонент в атакуемую систему.
В программах, относящихся к классу троянских, на сегодняшний день можно выделить следующие основные тенденции:
Значительный рост числа программ-шпионов, крадущих конфиденциальную банковскую информацию. Новые варианты подобных программ появляются десятками за неделю и отличаются большим разнообразием и принципами работы. Некоторые из них ограничиваются простым сбором всех вводимых с клавиатуры данных и отправкой их по электронной почте злоумышленнику. Наиболее мощные могут предоставлять автору полный контроль над зараженной машиной, отсылать мегабайты собранных данных на удаленные сервера, получать оттуда команды для дальнейшей работы.
Стремление к получению тотального контроля над зараженными компьютерами. Это выражается в объединении их в зомби-сети, управляемые из единого центра. Как правило, для этого используются IRC-каналы или веб-сайты, куда автором выкладываются команды для машин-зомби. Существуют и более сложные варианты, например многие из вариантов Agobot объединяют зараженные компьютеры в единую P2P-сеть.
Использование зараженных машин для рассылки через них спама или организации DDoS-атак.
Отдельного рассмотрения требуют такие классы программ, как Trojan-Dropper и Trojan-Downloader.
Конечные цели у них абсолютно идентичны — установка на компьютер другой вредоносной программы, которая может быть как червем, так и «троянцем». Отличается только принцип их действия. «Дропперы» могут содержать в себе уже известную вредоносную программу или наоборот — устанавливать новую ее версию. Также «дропперы» могут устанавливать не одну, а сразу несколько вредоносных программ, принципиально отличающихся по поведению и даже написанных разными людьми.
Фактически «дропперы» являются своеобразными архивами, внутрь которых может быть помещено все что угодно. Очень часто они применяются для установки в систему уже известных «троянцев», поскольку написать «дроппер» гораздо проще, чем переписывать «троянца», пытаясь сделать его недетектируемым для антивируса. Весьма значительную часть «дропперов» составляют их реализации на скрипт-языках VBS и JS, что объясняется сравнительной простотой программирования на них и универсальностью подобных программ.
«Даунлоадеры», или «загрузчики», активно используются вирусописателями как по причинам, описанным выше для «дропперов» (скрытая установка уже известных троянцев), так и по причине их меньшего по сравнению с «дропперами» размера, а также благодаря возможности обновлять устанавливаемые троянские программы. Здесь также выделяется группа программ на скрипт-языках, причем, как правило, использующих различные уязвимости в Internet Explorer.
Оба эти класса вредоносных программ используются для установки на компьютеры не только троянских программ, но и различных рекламных (advware) или порнографических (pornware) программ.
Классические вирусы
Что касается классических файловых вирусов, царствовавших в 90-х годах прошлого века, то в настоящее время они практически исчезли, уступив свое место сетевым червям. Сейчас можно насчитать с десяток файловых вирусов, которые продолжают оставаться активными и даже иногда испытывают всплески активности. Эти всплески связаны с недавно проявившейся у таких вирусов побочной способностью заражать исполняемые файлы почтовых червей. Таким путем они пересылают себя вместе с инфицированными червями электронными письмами, в качестве своеобразных прилипал. Очень часто попадаются экземпляры почтовых червей Mydoom, NetSky или Bagle, зараженные такими файловыми вирусами, как Funlove, Xorala, Parite или Spaces.
В целом опасность появления нового файлового вируса, способного вызвать глобальную эпидемию, сейчас практически равна нулю. Даже появление первого вируса, работающего на Win64-платформе (Win64.Rugrat.a), не сможет изменить эту ситуацию в ближайшем будущем.
Новые среды и возможности
Если попробовать оценить проявляющиеся новые возможности вредоносных программ, то нельзя не отметить весьма вероятное увеличение числа программ, написанных на языке программирования .NET. Первые концептуальные вирусы и черви на этом языке появились довольно давно, и с каждым днем популярность этой платформы все увеличивается, что, в конечном итоге, неминуемо привлечет внимание вирусописателей.
Linux-платформы, вероятно, по-прежнему будут оставаться полем действия программ класса rootkit, а также простейших файловых вирусов. Однако основная угроза для них будет исходить не от вирусов, а от обнаруживаемых уязвимостей в программных продуктах для данной платформы, что в принципе также может дать вирусописателям помощь в достижении их цели — тотального контроля за все большим числом машин в интернете.
И напоследок обратимся к такому пока экзотическому классу как вредоносные программы для КПК. Стремительный рост популярности ОС Windows Mobile 2003, широкие возможности сетевой коммутации данных устройств и наличие среды разработки приложений (.NET framework) неминуемо приведут к появлению в скором времени не только троянских программ (для PalmOS они уже существуют), но и их более опасных разновидностей, не исключая и сетевых червей.
Основная масса вирусов и троянских программ в прошлом создавалась студентами и школьниками, которые только что изучили язык программирования, хотели попробовать свои силы, но не смогли найти для них более достойного применения. Отраден тот факт, что значительная часть подобных вирусов их авторами не распространялась и вирусы через некоторое время умирали сами вместе с дисками, на которых хранились. Такие вирусы писались и пишутся по сей день только для самоутверждения их авторов.
Вторую группу создателей вирусов также составляют молодые люди (чаще — студенты), которые еще не полностью овладели искусством программирования. Единственная причина, толкающая их на написание вирусов, это комплекс неполноценности, который компенсируется компьютерным хулиганством. Из-под пера подобных «умельцев» часто выходят вирусы крайне примитивные и с большим числом ошибок («студенческие» вирусы). Жизнь подобных вирусописателей стала заметно проще с развитием интернета и появлением многочисленных веб-сайтов, ориентированных на обучение написанию компьютерных вирусов. На подобных веб-ресурсах можно найти подробные рекомендации по методам проникновения в систему, приемам скрытия от антивирусных программ, способам дальнейшего распространения вируса. Часто здесь же можно найти готовые исходные тексты, в которые надо всего лишь внести минимальные «авторские» изменения и откомпилировать рекомендуемым способом.
«Хулиганские» вирусы в последние годы становятся все менее и менее актуальными (несмотря на то что на смену повзрослевшим тинейджерам-хулиганам каждый раз приходит новое поколение тинейджеров) — за исключением тех случаев, когда такие вредоносные программы вызвали глобальные сетевые и почтовые эпидемии. На текущий момент доля подобных вирусов и троянских программ занимает не более 10% «материала», заносимого в антивирусные базы данных. Оставшиеся 90% гораздо более опасны, чем просто вирусы.
Став старше и опытнее, многие из подобных вирусописателей попадают в третью, наиболее опасную группу, которая создает и запускает в мир «профессиональные» вирусы. Эти тщательно продуманные и отлаженные программы создаются профессиональными, часто очень талантливыми программистами. Такие вирусы нередко используют достаточно оригинальные алгоритмы проникновения в системные области данных, ошибки в системах безопасности операционных сред, социальный инжиниринг и прочие хитрости.
Отдельно стоит четвертая группа авторов вирусов — «исследователи», довольно сообразительные программисты, которые занимаются изобретением принципиально новых методов заражения, скрытия, противодействия антивирусам и т. д. Они же придумывают способы внедрения в новые операционные системы. Эти программисты пишут вирусы не ради собственно вирусов, а скорее ради исследования потенциалов «компьютерной фауны». Часто авторы подобных вирусов не распространяют свои творения, однако активно пропагандируют свои идеи через многочисленные интернет-ресурсы, посвященные созданию вирусов. При этом опасность, исходящая от таких «исследовательских» вирусов, тоже весьма велика — попав в руки «профессионалов» из предыдущей группы, эти идеи очень быстро появляются в новых вирусах.
Мелкое воровство
С появлением и популяризацией платных интернет-сервисов (почта, WWW, хостинг) компьютерный андеграунд начинает проявлять повышенный интерес к получению доступа в сеть за чужой счет, т. е. посредством кражи чьего-либо логина и пароля (или нескольких логинов/паролей с различных пораженных компьютеров) путем применения специально разработанных троянских программ.
В начале 1997 года зафиксированы первые случаи создания и распространения троянских программ, ворующих пароли доступа к системе AOL. В 1998 году, с распространением интернет-услуг в Европе и России, аналогичные троянские программы появляются и для других интернет-сервисов. До сих пор троянцы, ворующие пароли к dial-up, пароли к AOL, коды доступа к другим сервисам, составляют заметную часть ежедневных «поступлений» в лаборатории антивирусных компаний всего мира.
Троянские программы данного типа, как и вирусы, обычно создаются молодыми людьми, у которых нет средств для оплаты интернет-услуг. Характерен тот факт, что по мере удешевления интернет-сервисов уменьшается и удельное количество таких троянских программ.
«Мелкими воришками» также создаются троянские программы других типов: ворующие регистрационные данные и ключевые файлы различных программных продуктов (часто — сетевых игр), использующие ресурсы зараженных компьютеров в интересах своего «хозяина» и т. п.
Криминальный бизнес
Наиболее опасную категорию вирусописателей составляют хакеры-одиночки или группы хакеров, которые осознанно или неосознанно создают вредоносные программы с единственной целью: получить чужие деньги (рекламируя что-либо или просто воруя их), ресурсы зараженного компьютера (опять-таки, ради денег — для обслуживания спам-бизнеса или организации DoS-атак с целью дальнейшего шантажа).
Обслуживание рекламного и спам-бизнеса — один из основных видов деятельности таких хакеров. Для рассылки спама ими создаются специализированные троянские proxy-сервера, которые затем внедряются в десятки тысяч компьютеров. Затем такая сеть «зомби-машин» поступает на черный интернет-рынок, где приобретается спамерами. Для внедрения в операционную систему и дальнейшего обновления принудительной рекламы создаются утилиты, использующие откровенно хакерские методы: незаметную инсталляцию в систему, разнообразные маскировки (чтобы затруднить удаление рекламного софта), противодействие антивирусным программам.
Вторым видом деятельности подобных вирусописателей является создание, распространение и обслуживание троянских программ-шпионов, направленных на воровство денежных средств с персональных (а если повезет — то и с корпоративных) «электронных кошельков» или с обслуживаемых через интернет банковских счетов. Троянские программы данного типа собирают информацию о кодах доступа к счетам и пересылают ее своему «хозяину».
Третьим видом криминальной деятельности этой группы является интернет-рэкет, т. е. организация массированной DoS-атаки на один или несколько интернет-ресурсов с последующим требованием денежного вознаграждения за прекращение атаки. Обычно под удар попадают интернет-магазины, букмекерские конторы — т. е. компании, бизнес которых напрямую зависит от работоспособности веб-сайта компании.
Вирусы, созданные этой категорией «писателей», становятся причиной многочисленных вирусных эпидемий, инициированных для массового распространения и установки описанных выше троянских компонент.
Нежелательное программное обеспечение
Системы навязывания электронной рекламы, различные «звонилки» на платные телефонные номера, утилиты, периодически предлагающие пользователю посетить те или иные платные веб-ресурсы, прочие типы нежелательного программного обеспечения — они также требуют технической поддержки со стороны программистов-хакеров. Данная поддержка требуется для реализации механизмов скрытного внедрения в систему, периодического обновления своих компонент и противодействия антивирусным программам.
Очевидно, что для решения данных задач в большинстве случаев также используется труд хакеров, поскольку перечисленные задачи практически совпадают с функционалом троянских программ различных типов.
Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Также червь обладает функцией размножения через P2P-сети и доступные HTTP и FTP каталоги.
Основной компонент червя представляет собой PE EXE-файл, размером около 29KB. Червь упакован FSG, размер распакованного файла около 40KB.
Размножение через email
Червь ищет файлы с электронными адресами, ищет в них адреса электронной почты и рассылает свои копии по найденным адресам. Для отправки писем червь использует собственную SMTP-библиотеку. Червь пытается осуществить прямое подключение к серверу получателя зараженного письма.
Зараженные письма формируются из произвольных комбинаций:
Адрес отправителя:
Выбирается произвольно из числа найденных на зараженной машине.
Также червь способен посылать свои копии в виде ZIP-архивов.
Червь может посылать письма, содержащие IFRAME Exploit (аналогично червям Klez.h или Swen). В таком случае, при просмотре письма из уязвимого почтового клиента - произойдет автоматический запуск вложенного файла червя.
И не много о загрузочных вирусах.
Загрузочный вирус — такой вирус, который записывает свой код в главную загрузочную запись Master Boot Record диска или загрузочную запись Boot Record диска и дискет. Загрузочный вирус активизируется после загрузки компьютера. Пояснение: На первом шаге загрузки операционной системы (ОС) программа загрузки считывает содержимое специальных областей диска, называемых загрузочными записями. Эти записи обычно расположены в самом начале диска (или дискеты), и содержат программный код, необходимый для выполнения следующих шагов загрузки ОС. Главная загрузочная запись, находящаяся на жестком диске, называется Master Boot Record (MBR). Аналогичная запись на дискете носит название Boot Record (BR). При заражении дискеты или жесткого диска компьютера загрузочный вирус заменяет загрузочную запись или главную загрузочную запись. В результате загрузочный вирус получает управление до программы загрузки ОС, в результате чего процедура управления выполняется под контролем вируса. Название загрузочный вирус подчеркивает тот факт, что вирус данного типа использует для своего распространения загрузочные записи дисков и дискет. Примеры использования Действенный способ, позволяющий избежать заражения компьютера загрузочным вирусом с дискет — отключить возможность загрузки с дискет в программе BIOS Setup. Загрузочные вирусы часто комбинируются с файловыми вирусами.
Внедрение вируса в загрузочный сектор Загрузочные вирусы заражают загрузочный (Boot) сектор флоппи-диска и Boot-сектор или Master Boot Record (MBR) винчестера. При инфицировании диска вирус в большинстве случаев переносит оригинальный Boot-сектор (или MBR) в какой-либо другой сектор диска (например, в первый свободный). Если длина вируса больше длины сектора, то в заражаемый сектор помещается первая часть вируса, остальные части размещаются в других секторах (например, в первых свободных). Затем вирус копирует системную информацию, хранящуюся в первоначальном загрузчике в свои коды и записывает их в загрузочный сектор (для MBR этой информацией является Disk Partition Table, для Boot-сектора дискет — BIOS Parameter Block). Существует несколько способов размещения на диске первоначального загрузочного сектора и продолжения вируса: в сектора свободных кластеров логического диска, в неиспользуемые или редко используемые системные сектора, в сектора, расположенные за пределами диска. Если продолжение вируса размещается в секторах, которые принадлежат свободным кластерам диска (при поиске этих секторов вирусу приходится анализировать таблицу размещения файлов — FAT), то, как правило, вирус помечает в FAT эти кластеры как сбойные (так называемые псевдосбойные кластеры). Этот способ используется вирусами «Brain», «Ping Pong» и в дальнейшем будет именоваться как СПОСОБ «BRAIN». Вирусы семейства «Stoned» используют другой метод — они размещают старый загрузочный сектор в неиспользуемом или редко используемом секторе. На винчестере этот сектор является одним из секторов (если такие есть), расположенных между MBR и первым Boot-сектором, а на дискете этот сектор выбирается из последних секторов корневого каталога. В дальнейшем этот метод будет называться СПОСОБ «STONED». Реже используется метод сохранения продолжения вируса за пределами диска, этот метод пока встречался только при заражении вирусом флоппи-дисков. Для этого вирусу приходиться форматировать на диске дополнительный трек (метод нестандартного форматирования), например, 40-й трек на 360K дискете. Конечно, существуют и другие методы размещения вируса на диске, например, вирусы семейства «Azusa» содержат в своем теле стандартный загрузчик MBR и при заражении записываются поверх оригинального MBR без его сохранения.
Алгоритм работы загрузочного вируса Как правило загрузочные вирусы всегда резидентны. Они внедряются в память компьютера при загрузке с инфицированного диска. При этом системный загрузчик считывает содержимое первого сектора диска, с которого производится загрузка, помещает считанную информацию в память и передает на нее (то есть на вирус) управление. После этого начинают выполняться инструкции вируса, который: — уменьшает объем свободной памяти (слово по адресу 0040:0013); — считывает с диска свое продолжение (если оно есть); — переносит себя в другую область памяти (например, в самые старшие адреса памяти); — устанавливает необходимые векторы прерываний; — совершает, если они есть, дополнительные действия; — копирует в память оригинальный Boot-сектор и передает на него управление.
Признаки заражения и методы лечения Если Ваш ПК «глухо» зависает сразу после прохождения тестов BIOS, а форматирование жесткого диска и переустановка операционной системы не помогают, то возможной причиной этого является наличие на Вашем винчестере так называемых загрузочных вирусов, поражающих загрузочный сектор диска (хотя до поры до времени загрузочные вирусы могут и ничем не выдавать своего присутствия!). Трудность обнаружения загрузочных вирусов заключается в том, что они загружаются в оперативную память ПК до антивирусной программы (то есть в таком случае антивирус практически «убит»). Для удаления загрузочного вируса нужно перезаписать загрузочную запись (при этом вся остальная информация на жестком диске будет в целости и сохранности). Способов «лечения» несколько. Во-первых, можно снять Ваш жесткий диск и подключить к другому ПК, на котором установлен надежный (постоянно обновляемый!) антивирус и просканировать его на предмет выявления и лечения обнаруженных вирусов. Во-вторых, можно воспользоваться загрузочным «аварийным» диском, содержащим антивирус со свежими базами. Предварительно в BIOS нужно установить загрузку с CD-ROM’а. И самый надежный способ — перезаписать загрузочную запись «вручную». Для этого, если у Вас установлена ОС Windows ХР, Вам потребуется загрузочный диск с консолью восстановления (или дискеты аварийного восстановления). В BIOS нужно установить загрузку с CD-ROM’а, поместить в лоток CD-ROM’а загрузочный диск с установочным пакетом Windows XP Professional и перезагрузиться. Когда установщик Windows XP загрузит свои файлы в оперативную память ПК, появится диалоговое окно «Установка Windows XP Professional», содержащее меню выбора, из которого нас интересует пункт «*Чтобы восстановить Windows XP с помощью консоли восстановления, нажмите [R=Восстановить]». Нажмите R. Загрузится консоль восстановления. Если на ПК установлена одна ОС, и она (по умолчанию) установлена на диске C:, то появится следующее сообщение:
1: C : \WINDOWS В какую копию Windows следует выполнить вход? Введите 1, нажмите Enter. Появится сообщение: «Введите пароль администратора»: Введите пароль, нажмите Enter (если пароля нет, просто нажмите Ente). Появится приглашение системы: C : \WINDOWS> Введите fixboot Появится сообщение: Конечный раздел: C://. Хотите записать новый загрузочный сектор в раздел C:? Введите y (что означает 'yes'). Появится сообщение: Файловая система в загрузочном разделе: NTFS (или FAT32). Команда FIXBOOT записывает новый загрузочный сектор. Новый загрузочный сектор успешно записан. На появившееся приглашение системы: C : \WINDOWS => введите fixmbr Появится сообщение: «ПРЕДУПРЕЖДЕНИЕ». На этом компьютере присутствует нестандартная или недопустимая основная загрузочная запись. При использовании FIXMBR можно повредить имеющуюся таблицу разделов. Это приведет к утере доступа ко всем разделам текущего жесткого диска. Если отсутствуют проблемы доступа к диску, рекомендуется прервать работу команды FIXMBR. Подтверждаете запись новой MBR? Введите y (что означает 'yes'). Появится сообщение: Производится новая основная загрузочная запись на физический диск \Device\Harddisk0\Partition0. Новая основная загрузочная запись успешно сделана. На приглашение системы C : \WINDOWS => введите exit, начнется перезагрузка ПК. Нажмите Del, войдите в BIOS Setup и установите загрузку с жесткого диска.
ПРИМЕЧАНИЯ 1. Поскольку описываемые методы лечения потенциально опасны (можно ухудшить ситуацию!), если Вы не чувствуете себя достаточно подготовленным, — обратитесь к специалистам! 2. Если на Вашем ПК установлено несколько операционных систем, чтобы при перезаписи MBR не затереть загрузчик другой ОС, — обратитесь к специалистам! 3. Рекомендую пользоваться надежными антивирусными программами (OpenOffice, Panda, Norton, Kasperskiy) с регулярно (не менее одного раза в неделю) обновляемыми базами. 4. Почаще делайте так называемый «бэкап», храните копии наиболее ценной информации на разных носителях (например, диски CD-RW, флэшки и т. д.). 5. Удаление загрузочных вирусов в ОС Windows 98/ME происходит путем перезаписи загрузочной записи MBR (команда FDISK /MBR). Ее можно выполнять и при работе в среде Windows (через сеанс MS-DOS). 6. Есть еще один эффективный способ лечения — низкоуровневое форматирование. Но, во-первых, этот способ деструктивен — уничтожает информацию на жестком диске, а во-вторых, опасен тем, что при неумелых действиях может вывести HDD из строя. Поэтому может быть рекомендован только специалистам.
Сообщение было успешно отредактировано НОЧНОЙ СТРЕЛОК (24-03-2012 00:58 GMT3 часа, назад) Как бы не стараться, но подлинной истины не найти не когда...
Прежде чем написать слово "Я" прочти
A stalker beats from far away but always certainly.
Silent Bob Одно время пользовался авастом. Вполне надёжный антивирь. Помнится, я устанавливал себе аваст после нод32, и прога нашла больше десятка вирусов.
Так бы и юзал аваст, но... Он любит сносить пиратские кряки программ. По этой причине перешёл на доктор веб.
ЦитатаПравда, заметил, что вирусы могут проникать через торрент и через ЖЖ, не знаю, что с этим делать.
У меня большая часть вирусов попадает через флешки и съёмный HDD. Тащу эту гадость с работы ._.
Всё университетская сетка заражена троянами и прочей пакостью. Иногда хочется поубивать преподов, пускающих к компам студентов с флешками без предварительного сканирования на вирусы. "Мне только титульный поправить..." Тьфу.
В результате каждую неделю приходится устраивать тотальную проверку компов на вирусы. Если попадается меньше 30 вирусов, что-то не так. Одно утешает, никаких серьёзных зловредов нет. Обычные трояны. И, конечно же, мой любимец Win32 BlackDoor.
Продолжая пользоваться сайтом, вы соглашаетесь с использованием файлов cookie. Страницы сайта могут содержать информацию, запрещенную для просмотра посетителям младше 18 лет. Авторское право на серию игр «S.T.A.L.K.E.R» и используемые в ней материалы принадлежит GSC Game World.
». Создан в 1999 году. Первый всемирно известный почтовый червь. Он заражал файлы документов MS Word и рассылал свои копии в сообщениях электронной почты при помощи MS Outlook. Вирус распространялся с бешеной скоростью, а потому сумма нанесенного им ущерба оценивается более чем в $100 млн. 
