Recherchez et supprimez les virus manuellement. Comment détecter et supprimer un virus. L'analyse du système. Détection à la volée. Comment faire face à un virus ou un cheval de Troie. Où se cache le virus. Pas d'accès Internet après la suppression du virus - Comment réparer Comment trouver un virus ne voit pas

Les auteurs de virus sont si rusés qu'ils peuvent attraper même un internaute expérimenté. En se connectant à Internet, un utilisateur augmente considérablement le risque d'infection virale de son système informatique. Même après avoir installé la protection antivirus la plus puissante, l'utilisateur ne peut pas être complètement sûr de l'invulnérabilité de son système. Mais comment alors trouver un virus? Comment se manifestent-ils ?

Signes d'une infection virale du système informatique

Les signes les plus courants d'un virus sont :

• lancement indépendant d'une connexion Internet si le lancement automatique d'une telle connexion est interdit ;
• l'utilisateur ne peut pas accéder à sa propre page sur un réseau social, ouvrir un service de messagerie ou accéder à des sites populaires. L'accès au site est complètement bloqué en raison d'un mot de passe incorrect, et des amis et connaissances se plaignent du spam provenant de l'utilisateur ;
• lenteur du chargement et de la réponse du système aux commandes de l'utilisateur : lancement du programme, connexion à Internet, copie d'un fichier, analyse antivirus, etc. ;
• les programmes précédemment installés ou les documents créés sont supprimés, certains programmes ne démarrent pas.

L'apparition des problèmes ci-dessus du système informatique indique la présence d'un virus et nécessite une analyse plus détaillée de l'ordinateur.

Comment détecter un virus à l'aide d'un antivirus ?

La présence d'un antivirus dans le système n'est pas une garantie de détection rapide d'une infection logicielle. La seule façon d'augmenter les chances de détecter et de traiter les virus avec un programme antivirus est plus récente et la base de données antivirus est constamment mise à jour. Sans cela, aucun antivirus ne reconnaîtra le nouveau virus.

La dernière version du programme antivirus doit être installée. Cette nécessité est due au changement constant des méthodes d'infection et de propagation des virus. Par conséquent, l'installation d'un ancien antivirus, contenant même les dernières mises à jour de la base de données virale, sera inutile. La dernière version de l'antivirus avec une base de données de virus mise à jour augmente les chances de détecter des virus flottant dans votre système informatique. Mais cela ne suffit pas pour assurer une protection maximale du système.

L'antivirus doit être lancé à partir d'un système tiers externe. Par exemple, vous pouvez retirer le disque dur et le connecter à un ordinateur sans virus. Si cela n'est pas possible, vous pouvez exécuter l'antivirus à partir d'un disque, par exemple à partir d'un Kaspersky Rescue Disk. Cela garantit que l'antivirus est géré à partir d'un système entièrement sécurisé qui n'est contrôlé avec précision par aucun virus. C'est une garantie d'efficacité maximale dans la recherche de virus dans le système informatique.

Comment trouver un virus en utilisant le Gestionnaire des tâches ?

Pour rechercher des virus par lui-même, l'utilisateur a besoin d'une assez bonne connaissance du processus du système d'exploitation. Pour reconnaître un virus, vous pouvez utiliser le "Gestionnaire des tâches". Avec cet outil simple, vous pouvez trouver des informations sur les processus en cours d'exécution. Le dispatcher est lancé à l'aide de la combinaison de touches « Ctrl + Shift + Esc » ou en appelant la fenêtre standard à l'aide de « Ctrl + Alt + Suppr ».

Faites attention aux processus avec des noms similaires aux noms des principaux processus système (explorer.exe, csrss.exe, système, svchost.exe, winlogon.exe), ainsi qu'aux processus avec un nom ou une description suspect. Les fichiers suspects sont vérifiés à l'aide d'une base de données de processus connus. Vous pouvez également utiliser un moteur de recherche pour rechercher le nom souhaité du processus suspect. Une attention particulière doit être accordée aux processus dont les noms ne sont mentionnés nulle part.

Pour déterminer le répertoire de lancement actuel d'un programme suspect, ouvrez la fenêtre "Propriétés" avec le bouton droit de la souris. Il contient des informations sur le fichier exécutable et le dossier où se trouve ce programme. Si le fichier.exe étudié a la propriété "Caché", vous ne devez pas faire confiance à ce fichier. L'emplacement du fichier dans le répertoire des fichiers temporaires tels que Temp et Temporary Internet Files est également suspect. La plupart des virus utilisent ces dossiers comme sites de lancement.

L'onglet "Détails" vous permet d'obtenir des informations sur la version et le développeur du programme. L'absence de ces informations nécessite une vérification obligatoire du programme sous enquête pour les logiciels malveillants.

Comment trouver un virus en utilisant le démarrage ?

Les virus sont souvent lancés dès le démarrage. Pour afficher la liste de ces programmes, allez dans "Démarrer" et ouvrez la fenêtre "Exécuter" en tapant la commande "msconfig". Une liste de programmes de démarrage apparaîtra dans la fenêtre qui apparaît. Un fichier suspect peut être désactivé pour le lancement. Pour ce faire, supprimez la coche qui la précède. Mais si, après le redémarrage de l'ordinateur, le programme désactivé redémarre automatiquement, alors ce fichier doit être examiné plus en détail.

Les conseils ci-dessus aideront l'utilisateur à recherche d'un virus sur l'ordinateur lorsqu'un comportement suspect du système est détecté.

Pensez-vous que vous pouvez trouver un virus et vous en débarrasser uniquement avec un logiciel antivirus ? Mais non vraiment. Maintenant, je vais vous décrire comment vous pouvez vous en débarrasser avec les bras tendus. Nous utiliserons le programme pour rechercher des fichiers par divers paramètres.

Vous devez d'abord comprendre ce qu'est un virus.
Virus est un fichier exécutable. Celles. il a exe ou dll (très rare). Si vous pensez logiquement, alors dans le processus de travail sur l'ordinateur, ces fichiers ne sont pas générés au hasard. Bien sûr, à moins que vous n'ayez téléchargé le fichier d'installation du programme sur Internet ou copié quelque chose avec une telle extension. Mais vous le savez et vous vous en souvenez, et les virus fonctionnent en catimini.

Il ne reste plus qu'à trouver. Un utilitaire portable gratuit vous aidera avec cela. RechercherMesFichiers... Nous ne l'utiliserons pas par sa signification directe, mais uniquement par sa capacité à rechercher par date et heure.

Soit dit en passant, les principales fonctionnalités du programme sont la recherche par modèles, créés/modifiés/accédés, attributs, tailles, textes ou fragments binaires, etc. Les résultats peuvent être enregistrés dans un fichier texte / html / csv / xml.

Initialement, le champ de recherche ressemble à ceci :

Après avoir installé la langue russe (il suffit de la décompresser dans le dossier du programme), cela change :

Cette méthode convient aux utilisateurs plus expérimentés et avancés qui connaissent les noms de fichiers.
Une autre bonne chose à propos de cette méthode de recherche de virus est qu'elle ne dépend pas de la pertinence de la base de données antivirus.
Eh bien, si vous considérez que ce programme ne nécessite pas d'installation, vous pouvez vous-même imaginer à quel point il est utile.

Par exemple, l'ordinateur a été bloqué par un ransomware SMS ou un bloqueur de Windows. Et vous démarrez de

Jusqu'à présent, je ne connais personne qui ne serait pas directement ou indirectement touché par les actions des virus informatiques. Les sociétés d'antivirus veulent beaucoup pour leurs produits, qui n'offrent jamais une protection adéquate. La question est, pourquoi s'embêter à acheter un logiciel antivirus ? Tout ce qui est créé par l'homme peut être détruit, cela s'applique à la fois aux antivirus et aux virus. Il est beaucoup plus difficile de tromper une personne qu'un programme. Par conséquent, cet article est consacré à la description de la méthode de détection et de désactivation des logiciels antivirus sans produit antivirus. Rappelez-vous qu'il n'y a qu'une seule chose, la valeur qui ne peut pas être contournée / brisée / trompée - c'est la Connaissance, votre propre compréhension du processus. Aujourd'hui, je vais vous expliquer avec des exemples concrets comment détecter et attraper les vers Internet et les logiciels espions sur votre ordinateur. Bien sûr, il existe de nombreux autres types, mais j'ai pris les plus courants et j'ai décidé d'écrire sur ce que j'avais en pratique, pour ne pas dire quelque chose de superflu. Si j'ai de la chance dans la recherche, je vous parlerai des virus de macro, des portes dérobées et des rootkits. Alors avant de commencer, je noterai que dans cet article je ne considère que le système d'exploitation de la famille NT connecté à Internet. J'ai moi-même Win2000 SP4, j'attrape des virus sur WinXP PE. Passons donc à une analyse rapide puis détaillée du système des vers et des espions. Avec une inspection rapide, nous détectons simplement la présence d'un programme et le localisons, une analyse détaillée est déjà en cours au niveau du fichier et du processus. Là, je vais vous parler de l'excellent programme PETools, mais tout a son temps.

[L'analyse du système]

Il est logique que pour détecter et neutraliser un programme malveillant, un tel programme doit exister. La prévention reste la prévention, nous en parlerons plus tard, mais la première étape consiste à déterminer s'il y a des virus sur l'ordinateur. Chaque type de malware, respectivement, a ses propres symptômes, qui sont parfois visibles à l'œil nu, parfois invisibles du tout. Voyons quels sont les symptômes de l'infection en général. Puisque nous parlons d'un ordinateur connecté à un réseau mondial, le premier symptôme est une consommation excessivement rapide, en règle générale, du trafic sortant, cela est dû au fait que de nombreux vers Internet exécutent des fonctions DDoS.
des voitures ou simplement des robots. Comme vous le savez, dans une attaque DDoS, la quantité de trafic sortant est égale à la quantité maximale de trafic par unité de temps. Bien sûr, sur un canal gigabit, cela peut ne pas être aussi perceptible si une attaque DdoS est menée avec la largeur d'une connexion commutée, mais en règle générale, le ralentissement du système lors de l'ouverture des ressources Internet est frappant (je voudrais aussi à noter que nous parlerons de virus qui se cachent d'une manière ou d'une autre dans le système, car vous n'avez rien à expliquer si vous avez un fichier kfgsklgf.exe dans votre dossier de démarrage qui est attrapé par un pare-feu, etc.). le suivant sur la liste est l'impossibilité d'accéder à de nombreux sites de sociétés antivirus, les dysfonctionnements de programmes payants tels que CRC-error, cela est déjà dû au fait que de nombreux protecteurs commerciaux prennent en charge la fonction de vérification de la parité ou de l'intégrité du fichier exécutable (et pas seulement les protecteurs, mais aussi les développeurs de protection eux-mêmes), ce qui a été fait pour protéger le programme contre le piratage. Nous ne parlerons pas de l'efficacité de cette méthode contre les crackers et les reversers, cependant, elle peut parfaitement fonctionner comme alarme en cas d'infection virale. Le paiement des créateurs de virus novices pour les processus non tuables est que lorsque l'ordinateur est éteint ou redémarré, un processus se termine pendant une longue période, ou l'ordinateur se bloque à la fin du travail. Je pense qu'il n'est pas nécessaire de parler des processus, ainsi que du dossier de démarrage, s'il y a quelque chose d'incompréhensible ou de nouveau, il peut s'agir d'un virus, mais nous en reparlerons plus tard. Redémarrages fréquents de l'ordinateur, pannes d'Internet, arrêt des programmes antivirus, inaccessibilité du serveur de mise à jour du système Microsoft, inaccessibilité des sites Web des sociétés antivirus, erreurs lors de la mise à jour de l'antivirus, erreurs causées par des changements dans la structure des programmes payants, message Windows qui les fichiers exécutables sont endommagés, l'apparition de fichiers inconnus dans le répertoire racine, ce n'est qu'une courte liste des symptômes de la machine infectée. En plus des programmes malveillants directs, il existe des soi-disant logiciels espions, il s'agit de toutes sortes d'enregistreurs de frappe, de dumpers de clés électroniques, d'"aides" indésirables au navigateur. Pour être honnête, selon la méthode de détection, ils peuvent être divisés en deux camps opposés. Supposons qu'un keylogger attaché par une bibliothèque dynamique au shell du système d'exploitation soit extrêmement difficile à détecter à la volée, et vice versa, un assistant (plug-in, barre de recherche, etc.) venu de nulle part vers Internet Explorer ( en règle générale) attire tout de suite l'attention. Je pense qu'il est temps de laisser cette note pessimiste et de passer à des pratiques réalistes pour détecter et désactiver les logiciels malveillants.

[Détecter à la volée]

% WINDIR% \ Cache de pilotes \ driver.cab
puis à partir des dossiers de mise à jour du système d'exploitation, le cas échéant, puis à partir de% WINDIR% \ system32 \ dllcache \ et alors seulement à partir de
% WINDIR% \ system32 \

Peut-être que le système d'exploitation dira que les fichiers sont endommagés et demandera un disque avec le kit de distribution, n'êtes pas d'accord ! Sinon, il récupérera et le trou sera à nouveau ouvert. Une fois cette étape terminée, vous pouvez commencer à localiser le virus. Un petit programme TCPView pratique vous aide à voir quelles applications utilisent la connexion réseau, mais certains vers ont un bon algorithme de cryptage ou pire, s'attachent à des processus ou se déguisent en processus. Le processus de déguisement le plus courant est sans aucun doute le service svhost.exe, il existe plusieurs processus de ce type dans le Gestionnaire des tâches, et ce qui est le plus frappant, c'est que vous pouvez créer un programme du même nom et qu'il est alors presque impossible de distinguer qui est qui. Mais il y a une chance et dépend de l'attention. Tout d'abord, regardez dans le gestionnaire de tâches (ou mieux dans le programme Process Explorer) du développeur du programme. Avec svhost.exe, ce n'est pas étrange M $, bien sûr, vous pouvez ajouter de fausses informations au code du virus, mais il y a quelques nuances ici. Le premier et probablement le principal est qu'un virus bien écrit ne contient ni tables d'importation, ni sections de données. Par conséquent, un tel fichier n'a pas de ressources et, par conséquent, ne peut pas être écrit dans les ressources du créateur. Ou, vous pouvez créer une ressource, mais une taille de fichier supplémentaire apparaîtra, ce qui est hautement indésirable pour un créateur de virus. Je dois également dire à propos de svhost.exe, il s'agit d'un ensemble de services système et chaque service est un fichier en cours d'exécution avec certains paramètres. En conséquence, dans le Panneau de configuration -> Administration -> Services,
contient tous les services chargés svhost.exe, je vous conseille de compter le nombre de services en cours d'exécution et de processus svhost.exe, sinon, alors tout est clair (n'oubliez pas de comparer le nombre de services en cours d'exécution). Plus de détails dans l'annexe A.
Il convient également de noter qu'il est possible qu'il y ait un virus parmi les services, je peux dire une chose à cela, il y a une liste de services sur MSDN et de nombreux autres endroits sur le réseau, donc il suffit de prendre et de comparer le problème ne pas être. Après de telles actions, vous pouvez obtenir le nom du fichier, qui est probablement un virus. Je vais parler un peu plus loin de la façon de déterminer le virus directement ou non, mais maintenant, sortons de la discussion et voyons quelques points supplémentaires. Comme vous le savez probablement déjà, pour un fonctionnement normal du système d'exploitation, seuls 5 fichiers sont nécessaires dans le répertoire racine, vous pouvez donc supprimer tous les autres fichiers en toute sécurité, à moins bien sûr que vous parveniez à mettre des programmes dans le répertoire racine. Au fait, les fichiers pour un fonctionnement normal, les voici : ntldr
boot.ini
fichierpage.sys
Bootfont.bin
NTDETECT.COM
Il ne devrait pas y avoir autre chose. Si c'est le cas et que vous ne savez pas d'où cela vient, allez au chapitre [Analyse détaillée]. Nous envisagerons également de rattacher les processus dans le chapitre [Analyse détaillée], et parlons maintenant de l'exécution automatique. Naturellement, le virus doit être chargé d'une manière ou d'une autre au démarrage du système, en règle générale. En conséquence, nous examinons les clés de registre suivantes pour les programmes suspects. (Et si vous avez déjà trouvé un virus, recherchez le nom du fichier partout dans le registre et supprimez-le) :
HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ Notify
HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ Userinit
HKLM \ LOGICIEL \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ Shell
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run HKLM \ SOFTWARE \ Microsoft \ Active Setup \ Composants installés
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorateur \ SharedTaskSchedulerHKLM \
LOGICIEL \ Microsoft \ Windows \ CurrentVersion \ ShellServ viceObjectDelayLoad
HKCU \ Logiciel \ Microsoft \ Windows \ CurrentVersion \ Exécuter
Tout cela a été dit sur la détection des vers simples. Bien sûr, trouver un bon virus caché est difficile. Trouver ce ver et l'éliminer m'ont pris environ 10 minutes, bien sûr, je savais où chercher, cela a simplifié la tâche. Cependant, disons pour détecter une bonne porte dérobée, un keylogger, un virus furtif, ou simplement un virus qui utilise l'interception des appels aux fonctions API du système de fichiers (alors le virus s'avère être vraiment invisible), un virus de streaming, en général, il Il y a un certain nombre d'autres nuances, mais de telles créations il y a vraiment peu, peu de vrais virmakers de nos jours. Ça bouleverse... Je vais essayer d'en parler dans les articles suivants. Passons maintenant aux logiciels espions, ou, comme les appellent les SpyWare bourgeois. Encore une fois, je vais expliquer en utilisant les exemples d'espions que j'ai personnellement attrapés, afin que mes paroles ne ressemblent pas à un fantasme vide.

Je vais commencer mon histoire avec les espions les plus courants. Dans un magazine notoire, un bon programmeur les a correctement appelées puces d'âne. L'espion le plus simple se cache souvent derrière une barre d'outils d'apparence innocente. Sachez que si, tout à coup, sorti de nulle part, vous avez un nouveau bouton ou une barre de recherche dans le navigateur, alors considérez que vous êtes suivi. Il est très clair que si la page de démarrage de votre navigateur a soudainement changé, il n'y a rien à dire. Bien sûr, je vous demande de me pardonner pour certaines inexactitudes dans les termes. Les virus qui modifient les pages de démarrage dans le navigateur ne sont pas nécessairement des espions, cependant, en règle générale, ils le sont, et permettez-moi donc de les classer comme des espions ici dans cet article. Prenons un exemple de la vie, lorsque je suis arrivé au travail et que j'ai vu une barre de recherche d'apparence étrange dans le navigateur d'un ordinateur, lorsque j'ai demandé d'où elle venait, je n'ai jamais rien reçu. Je devais le découvrir moi-même. Comment un espion peut-il entrer dans le système ? Il existe plusieurs méthodes, comme vous l'avez déjà remarqué, nous parlons d'Internet Explorer, le fait est que la méthode la plus courante pour qu'un virus pénètre dans le système via un navigateur consiste à utiliser la technologie ActiveX, la technologie elle-même a déjà été suffisamment décrit et je ne m'y attarderai pas. Vous pouvez également remplacer la page de démarrage, par exemple, par un simple script Java situé sur la page, avec le même javascript vous pouvez même télécharger des fichiers et les exécuter sur un système vulnérable. Un lancement banal d'un programme censé afficher des images provenant de sites payants d'une direction bien connue dans 98% des cas contient des logiciels malveillants. Afin de savoir où chercher, je dirai qu'il existe trois manières les plus courantes pour les espions de localiser et de travailler sur la machine de la victime.
Le premier est le registre et rien de plus, le virus peut s'installer au démarrage ou ne pas être présent du tout sur l'ordinateur, mais il a le même objectif - remplacer la page de démarrage du navigateur via le registre. Si un virus ou un script n'a remplacé la page de démarrage qu'une seule fois, il n'y a pas de questions, il vous suffit d'effacer cette clé dans le registre, mais si après l'effacement, après un certain temps, la clé réapparaît, alors le virus est en cours d'exécution et en permanence accède au registre. Si vous avez de l'expérience avec les débogueurs tels que SoftIce, vous pouvez définir un point d'arrêt sur l'accès au registre (bpx RegSetValueA, bpx RegSetValueExA) et suivre quel programme, en plus des programmes standard, accède au registre. Plus loin, selon la logique, déjà. Le second est précisément les intercepteurs d'événements système, les soi-disant crochets. En règle générale, les crochets sont davantage utilisés dans les enregistreurs de frappe et constituent une bibliothèque qui surveille et, si possible, modifie les messages système. Habituellement, il y a déjà le programme lui-même et la bibliothèque qui lui est attachée, donc en examinant le module principal du programme, vous n'obtiendrez rien d'intéressant.
Pour plus de détails sur cette méthode et la suivante, voir l'analyse détaillée ci-dessous dans le chapitre.

Et enfin, la troisième façon consiste à attacher votre bibliothèque à des programmes de système d'exploitation standard tels que explorer.exe et iexplorer.exe, en d'autres termes, en écrivant des plugins pour ces programmes. Ici, encore une fois, il existe plusieurs façons, il s'agit d'une pièce jointe utilisant BHO (Gorlum a écrit sur la méthode de pièce jointe elle-même, salut et honneur à lui) et en incorporant simplement votre bibliothèque dans le fichier exécutable. La différence, si je comprends bien, est que le Browser Helper Object est décrit et proposé par la société M $ elle-même, et est utilisé comme plug-in pour le navigateur, et la mise en œuvre des bibliothèques n'est plus tant un plug-in en tant que programme autonome, rappelant davantage un virus de fichier d'antan.

Je vous fournirai des clés de registre pour la formation générale, où les produits de qualité inférieure peuvent être enregistrés, sous la forme de barres d'outils, de boutons et de pages de démarrage du navigateur.

page de démarrage
Paramètre HKEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ Main StartPage.
HKEY_USERS \ S-1-5-21 -.... \ Software \ Microsoft \ Internet Explorer \ Main StartPage paramètre (S-1-5-21 -... cette clé peut être différente sur différentes machines)

Enregistrer des objets tels que des boutons, des barres d'outils, etc.

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Curr entVersion \ Explorer \ Browser Helper Objects \
C'est là que tous les "helpers" sont enregistrés et si vous n'en avez pas, alors la clé doit être vide, sinon vide, alors supprimez-la.

Donc, si vous n'êtes pas d'accord avec ces touches et que vous voulez mieux comprendre, alors cherchez plus loin.

[À la recherche de mieux]

Comme au moment d'écrire ces lignes, je voulais le rendre compréhensible pour tout le monde, ce chapitre peut sembler incompréhensible pour certaines personnes, mais j'ai essayé de tout simplifier au maximum. Je ne vous expliquerai pas l'architecture du dossier PE, même si nous y ferons référence. Il existe de nombreux manuels plus détaillés sur le net, et Iczelion a bien écrit sur les fichiers PE.
Donc, en commençant une analyse détaillée, nous aurons besoin de quelques outils, dans ce cas j'utilise et conseille d'utiliser PETools by NEOx et PEiD en visualisant le tableau d'importation et d'emballage du fichier, alors ignorez la perversion dont vous allez maintenant être témoin)
Ainsi, comme je l'ai déjà dit, il y a eu un cas où la barre de recherche et la page de démarrage sont apparues dans le navigateur à partir d'une source incompréhensible. Après avoir vérifié le registre, je n'ai pas trouvé de modifications sur la page de statistiques, et je n'ai pas non plus trouvé l'enregistrement de plugins dans le navigateur. Après examen détaillé, il s'est avéré que cette chaîne de recherche (la barre d'outils est plus simple) apparaît dans toutes les fenêtres de l'OS. Cela changeait déjà un peu le fond du problème. J'ai supposé que deux espions indépendants faisaient cela et que c'était la méthode d'injection d'une bibliothèque dynamique qui le faisait. En même temps, il faut distinguer que si la barre d'outils n'était que dans le navigateur, cela veut dire qu'elle était embarquée dans le processus iexplorer.exe, mais nous l'avions partout, il fallait donc la vérifier dans explorer.exe. J'ai commencé à vérifier le navigateur. Pour ce faire, j'ai exécuté PETools et j'ai juste regardé les bibliothèques utilisées par le navigateur. J'ai eu de la chance face à un virmaker imprudent, dans le contexte des bibliothèques système de% SYSTEMROOT%, il y avait des smt.dll avec un chemin allant quelque part dans TEMP. Redémarrage en mode sans échec et suppression de cette bibliothèque et tout va bien, l'espion est tué. Il ne reste plus qu'à appeler à nouveau PETools, faire un clic droit sur notre processus et reconstruire le fichier. C'est le cas le plus simple dans ma pratique. Passons au suivant, trouvez et tuez la barre d'outils. De la même manière, j'ai regardé le processus explorer.exe et je n'ai rien trouvé de frappant. Cela implique deux options, soit je ne connais pas toutes les bibliothèques par cœur, et la barre d'outils se perd parmi elles, soit je n'ai pas les connaissances nécessaires pour la trouver. Heureusement, le premier est sorti. Mais comment, alors, pouvez-vous distinguer une vraie bibliothèque d'une fausse ? Je vais vous le dire, et vous comprendrez par vous-même. Comme vous le savez, les créateurs de virus recherchent la minimisation et le cryptage du code. C'est-à-dire que plus d'une barre d'outils, en règle générale, ne sera pas sous forme ouverte, d'une part, le code peut être réduit, ce qui signifie qu'il est nécessaire, et d'autre part, si quelqu'un (le plus souvent même pas un antivirus, mais un concurrent) découvre cette bibliothèque, alors il lui est plus facile de comprendre le code en clair... Par conséquent, nous prenons PEiD et effectuons une analyse en bloc des bibliothèques importées. Les bibliothèques de Microsoft sont naturellement écrites en Visual C ++ et ne sont pas emballées avec quoi que ce soit, donc si nous voyons (et je viens de voir un seUpd.dll suspect emballé avec UPX) une bibliothèque emballée ou cryptée, alors 99% de c'est ce que nous nous recherchons. Il est très facile de le vérifier ou non, de le déplacer en mode sans échec et de voir le résultat. Bien sûr, on pourrait le déballer, regarder la liste des désastres et réfléchir à ce qu'il fait, mais n'entrons pas là-dedans. Si vous n'avez pas trouvé la bibliothèque compressée, alors il est utile avec un éditeur de ressources comme Restorator de voir les versions du fichier, comme je l'ai déjà dit pour toutes les bibliothèques de M$ il y est écrit. C'est sur de telles matières que les virmakers sont percés. Ils devraient avoir honte d'écrire de tels virus. Enfin, je voudrais également noter que la bibliothèque * .dll n'est pas forcément introduite dans les processus. Windows a une application utile comme rundll32.exe, et je peux exécuter n'importe quelle bibliothèque en utilisant ce processus. Et il n'est pas nécessaire d'écrire rundll32.exe myspy.dll au démarrage, il suffit de l'écrire dans le fichier infecté. Ensuite, vous ne verrez que les vôtres (fichiers infectés peu susceptibles d'être détectés par un antivirus) et le processus rundll32.exe, et rien d'autre. Que faire dans de tels cas ? Ici, vous devrez déjà vous plonger dans la structure du fichier et du système d'exploitation, nous laisserons donc cela en dehors du cadre de cet article. En ce qui concerne l'empaquetage/chiffrement du virus, cela s'applique non seulement aux bibliothèques, mais aussi à tous les fichiers système. Sur cette note agréable, je veux terminer la partie principale de l'article, beaucoup de choses ont été écrites, mais cela ne représente que 1% de toutes les méthodes de détection. Ma méthode, bien que pas la meilleure, mais je l'utilise moi-même et de manière assez productive (enfin, pas sur mon ordinateur). Si possible, si possible, j'écrirai une suite sur les virus de macro, les keyloggers et les backdoors, en un mot, sur ce que j'ai déjà attrapé.

[Remerciements]

Je tiens à exprimer ma gratitude à tous ceux avec qui je communique pour le fait qu'ils le sont.
Et aussi aux personnes qui m'ont influencé et m'ont au moins en quelque sorte dirigé sur le vrai chemin :
1dt.w0lf, MozgC, Mario555, c0Un2_z3r0, _4k_, famille d'accueil, etc.

[Annexe A]
Liste des services système svhost.exe (WinXP)

Client DHCP svchost.exe -k netsvcs
Client DNS svchost.exe -k NetworkService
Mise à jour automatique svchost.exe -k netsvcs
Connexion secondaire svchost.exe -k netsvcs
Gestionnaire de disque logique svchost.exe -k netsvcs
Démarrer les processus du serveur DCOM svchost -k DcomLaunch
Instrumentation de gestion Windows svchost.exe -k netsvcs
Client de suivi des liens modifié svchost.exe -k netsvcs
NetBIOS sur TCP/IP Helper svchost.exe -k LocalService
Navigateur d'ordinateur svchost.exe -k netsvcs
Déterminer le matériel du shell svchost.exe -k netsvcs
Poste de travail svchost.exe -k netsvcs
Serveur svchost.exe -k netsvcs
Service de restauration du système svchost.exe -k netsvcs
Service de temps Windows svchost.exe -k netsvcs
Service de journalisation des erreurs svchost.exe -k netsvcs
Services de chiffrement svchost.exe -k netsvcs
Aide et support svchost.exe -k netsvcs
Thèmes svchost.exe -k netsvcs
Notification d'événement système svchost.exe -k netsvcs
Appel de procédure distante (RPC) svchost -k rpcss
Centre de sécurité svchost.exe -k netsvcs
Gestionnaire de connexion automatique d'accès à distance svchost.exe -k netsvcs
HTTP SSLsvchost.exe -k HTTPFilter
Extensions de pilote WMI svchost.exe -k netsvcs
Service de téléchargement d'images (WIA) svchost.exe -k imgsvc
Service de mise en réseau svchost.exe -k netsvcs
Service de numéro de série de supports portables
svchost.exe -k netsvcs
Compatibilité de changement d'utilisateur rapide
svchost.exe -k netsvcs
Stockage amovible svchost.exe -k netsvcs
Hôte de périphérique PnP générique svchost.exe -k LocalService
Gestion des applications svchost.exe -k netsvcs
Service de transfert intelligent en arrière-plan svchost.exe -k netsvcs
Gestionnaire de connexion d'accès à distance svchost.exe -k netsvcs
Connexions réseau svchost.exe -k netsvcs
COM + Système d'événements svchost.exe -k netsvcs
Service de découverte SSDP svchost.exe -k LocalService
Service de localisation réseau (NLA) svchost.exe -k netsvcs
Services de terminaux svchost -k DComLaunch
Téléphonie svchost.exe -k netsvcs
Windows Audiosvchost.exe -k netsvcs
Accès aux périphériques HID svchost.exe -k netsvcs
Routage et accès distant svchost.exe -k netsvcs
Annonciateur Svchost.exe -k LocalService
Planificateur de tâches svchost.exe -k netsvcs
Messenger svchost.exe -k netsvcs
------ Six processus au total pour tous les services -------

Où est gratuit ?

Habituellement, nous ne cherchons pas les virus, ils nous trouvent eux-mêmes. Mais il y a ceux qui ont besoin de virus, et même ceux qui collectent ces virus. Dans l'article d'aujourd'hui, je vais vous parler de ces personnes et de la façon de créer un virus inoffensif pour tester les outils de protection, et de l'endroit où télécharger les virus pour leur étude ultérieure.

Soit dit en passant, dans l'article "", vous pouvez trouver un grand nombre d'échantillons de toutes sortes de programmes malveillants : virus, chevaux de Troie, botnets, etc.

Pourquoi télécharger des virus et qui en a besoin ?

Tout d'abord, les virus sont nécessaires aux personnes impliquées dans la sécurité de l'information. Parmi eux, il y a ceux qui ont besoin de tester le travail des logiciels antivirus. Les virus peuvent également être nécessaires à ceux qui essaient d'étudier leur comportement lors d'une infection du système.

Il n'y a pas beaucoup de telles personnes, mais elles le sont. Ici canaliser l'un d'eux. L'auteur de la chaîne fait des vidéos et des critiques de virus. D'accord, l'expression « Revues de virus » semble plutôt inhabituelle.

Savoir! Télécharger les virus pour leur étude plus approfondie sur ton ordinateur tout à fait légal. Mais les utiliser pour se propager et infecter d'autres utilisateurs - NON. Pour cela, vous pouvez être giflé un temps décent. Par conséquent, réfléchissez bien avant d'enfreindre la loi !

De plus, si vous n'êtes pas familiarisé avec le sujet, je vous déconseille fortement de télécharger des virus. Si vous décidez néanmoins de télécharger, alors le site www.site n'assume aucune responsabilité pour vos actes ultérieurs et pour tout dommage causé à votre ordinateur.

Test antivirus EICAR

Si vous avez besoin d'un virus à vérifier, mais que vous n'avez aucune envie ou capacité de télécharger des virus, vous pouvez créer vous-même un virus inoffensif en quelques secondes seulement.

Le test antivirus Eicar est un petit morceau de texte défini comme un virus par tous les antivirus modernes. Il est généralement utilisé pour vérifier le fonctionnement des programmes de protection.

Voici le code lui-même :

X50 ! P% @ AP)