Пошук та видалення вірусів вручну. Як виявити та видалити вірус. Аналіз системи. Виявлення на льоту. Як сомому впоратися з вірусом чи трояном. Де ховається вірус? Немає доступу до інтернету після видалення вірусу — Як відновити Як знайти вірус не бачить
Вірусописачі настільки хитрі, що можуть зловити на свій гачок навіть досвідченого інтернет-користувача. Підключаючись до мережі Інтернет, користувач значно підвищує ймовірність зараження системи свого комп'ютера вірусами. Навіть встановивши найпотужніший антивірусний захист, користувач не може повністю впевнений у невразливості своєї системи. Але як тоді знайти вірус? У чому вони виявляються?
Ознаки зараження системи комп'ютера вірусами
Найпоширенішими ознаками наявності вірусу є:
- самостійний запуск підключення до мережі Інтернет при встановленій забороні автоматичного запуску такого підключення;
- Користувач не може потрапити на власну сторінку в соціальній мережі, відкрити поштовий сервіс або увійти на популярні сайти. Вхід на сайт повністю блокується через невірний пароль, а друзі і знайомі скаржаться на спам, що приходить від користувача;
- повільне завантаження та реагування системи на команди користувача: запуск програми, підключення до мережі Інтернет, копіювання файлу, антивірусне сканування тощо;
- видалені раніше встановлені програми або створені документи, деякі програми не запускаються.
Поява перелічених вище проблем комп'ютерної системи вказує на наявність вірусу і вимагає більш детальної перевірки комп'ютера.
Як виявити вірус за допомогою антивірусу?
Наявність антивірусу у системі – це ще гарантія своєчасного виявлення програмної зарази. Підвищити ймовірність виявлення та ефективність лікування вірусів за допомогою антивірусної програми можна лише при встановленні її свіжішої версії та при постійному оновленні антивірусної бази даних. Без цього жодним антивірусом не буде розпізнано новий вірус.
Встановлено має бути остання версія антивірусної програми. Необхідність цього пов'язана з постійною зміною методів зараження та поширення вірусів. Тому встановлення старого антивірусу, що навіть містить останні оновлення вірусних баз, буде марна. Остання версія антивіруса із оновленою вірусною базою збільшує шанс виявлення вірусів, що плавають у системі вашого комп'ютера. Але цього замало забезпечення максимального захисту системи.
Запускати антивірус слід із зовнішньої сторонньої системи. Наприклад, можна зняти вінчестер та підключити його до комп'ютера без вірусів. Якщо немає такої можливості, можна запустити антивірус з диска, наприклад, з диска Kaspersky Rescue Disk. Так забезпечується управління антивірусом із повністю безпечної системи, яка точно не контролюється жодними вірусами. Це гарантує максимальну ефективність пошуку вірусів у системі комп'ютера.
Як знайти вірус за допомогою диспетчера завдань?
Для самостійного пошуку вірусів користувачеві потрібні досить добрі знання процесу роботи операційної системи. Для розпізнавання вірусу можна скористатися "Диспетчером завдань". За допомогою цього простого інструменту можна дізнатися інформацію про процеси, запущені в даний момент. Запуск диспетчера здійснюється за допомогою комбінації клавіш “Ctrl+Shift+Esc” або викликом стандартного вікна за допомогою “Ctrl+Alt+Del”.
Звернути увагу слід на процеси з іменами, подібними до назвами головних системних процесів (explorer.exe, csrss.exe, system, svchost.exe, winlogon.exe), а також на процеси, що мають підозріле ім'я або підозрілий опис. Підозрювальні файли перевіряються за допомогою бази даних відомих процесів. Можна також використовувати пошукову систему, запросивши потрібне ім'я підозрілого процесу. Особливу увагу треба приділити процесам, імена яких ніде не згадані.
Для визначення поточної директорії запуску підозрілої програми слід правою кнопкою миші відкрити вікно "Властивості". Тут міститься інформація про файл і папку, де виконується ця програма. Якщо досліджуваний файл.exe має властивість "Прихований", довіряти такому файлу не слід. Розташування файлу в каталозі тимчасових файлів, таких як Temp і Temporary Internet Files, також є підозрілим. Більшістю вірусів ці папки використовуються як майданчик для запуску.
Вкладка “Докладно” дозволяє отримати відомості про версію та розробника програми. Відсутність цих відомостей вимагає обов'язкової перевірки досліджуваної програми на шкідливість.
Як знайти вірус за допомогою автозавантаження?
Найчастіше запуск вірусів здійснюється із автозавантаження. Для перегляду списку таких програм треба перейти в Пуск і відкрити вікно Виконати, набравши команду msconfig. У вікні з'явиться список програм автозавантаження. Підозрювальний файл можна вимкнути на запуск. Для цього знімається галочка навпроти нього. Але якщо після перезапуску комп'ютера деактивована програма знову автоматично запустилася, цей файл варто детальніше дослідити.
Наведені вище поради допоможуть користувачеві в пошуку вірусу на комп'ютеріпри виявленні підозрілої поведінки системи
Думаєте знайти вірус і позбутися його можна тільки з антиврусом? А ось ні. Зараз опишу вам як можна позбавитися його маючи прямі руки. Будемо використовувати програму для пошуку файлів за різними параметрами.
Для початку потрібно зрозуміти, що таке вірус.
Вірус- це файл, що виконується. Тобто. він має exe або dll (дуже рідко). Якщо логічно подумати, то в процесі роботи за комп'ютером такі файли не створюються випадковим чином. Звичайно, якщо Ви не скачали з Інтернету файл інсталяції програми або не скопіювали щось з таким розширенням. Але Ви ж про це знаєте і пам'ятаєте, а віруси працюють нишком.
Залишилося лише знайти. У цьому вам допоможе безкоштовна портабельна утиліта SearchMyFiles. Будемо її використовувати не за прямим значенням, а тільки використовувати її можливість пошуку за датою та часом.
До речі, основні можливості програми, це пошук за шаблонами, часом створення/зміни/доступу (created/modified/accessed), атрибутами, розмірами текстових або бінарних фрагментів та інші. Результати можна зберегти у файлі формату text/html/csv/xml.
Для початку посилання:
Спочатку вікно пошуку є таким виглядом:
Після встановлення російської мови (просто розпакувати її в папку з програмою) воно змінюється:
Думаю багато хто вже здогадався що тут треба робити. Якщо ні, дивимось на скріншот:
Отже:
- Вказуємо папки, де слід шукати (зазвичай це системний диск повністю).
- Вказуємо маску для файлів (*.exe; *.dll).
- Вказуємо час файлу. Якщо ви знаєте час, коли вірус був виявлений, можете вказати його. Там багато різних параметрів. Я ж рекомендую вказати або за Вчора, або вказати інтервал з якого за скільки. Можна вказати як доступ, і створення.
Цей спосіб підійде більш досвідченим та просунутим користувачам, які знають назви файлів.
Ще цей метод пошуку вірусів хороший тим, що не залежить від актуальності бази даних антивірусу.
Ну а якщо враховувати, що ця програма не вимагає установки, то самі можете уявити наскільки вона корисна.
Наприклад, заблокувався комп'ютер СМС здирником або блокатором windows. А ви завантажуєтеся з
Поки що я не знаю нікого, хто прямо чи опосередковано не постраждав від дій комп'ютерних вірусів. Антивірусні компанії багато хочуть за свої продукти, які так і не забезпечують належного захисту. Постає питання, навіщо взагалі тоді купувати антивірусне ПЗ? Все що створено людиною може бути знищено, це стосується як антивірусів, так і вірусів. Людину обдурити набагато складніше, ніж програму. Тому ця стаття присвячена опису методики виявлення та деактивації вірусного програмного забезпечення без антивірусного продукту. Запам'ятайте, є тільки одна річ, цінність якої неможливо обійти/зламати/обдурити - це Знання, власне розуміння процесу. Сьогодні я розповім на реальних прикладах як виявити та зловити у себе на комп'ютері Інтернет-хробаків та шпигунське ПЗ. Звичайно є ще багато видів, але я взяв найпоширеніші і вирішив написати про те, що було на практиці, щоб не сказати чого зайвого. Якщо пощастить у пошуку розповім про макро-віруси, бекдори та руткіти. Отже перед тим як розпочатись, зазначу, в цій статті розглядаю тільки операційну систему сімейства NT, підключену до інтернету. У мене самого стоїть Win2000 SP4, віруси ловлю на WinXP PE. Отже перейдемо до побіжного, а потім детального аналізу системи на предмет черв'яків і шпигунів. Побіжним оглядом ми просто виявляємо наявність програми та локалізуємо її, детальний аналіз вже йде на рівні файлу та процесів. Там я розповім про чудову програму PETools, втім усьому свій час.
[Аналіз системи]
Логічно, що для того щоб виявити та знешкодити шкідливу програму необхідно існування такої програми. Профілактика залишається профілактикою, про неї поговоримо пізніше, проте треба насамперед визначити чи є на комп'ютері взагалі віруси. Для кожного типу шкідливих програм, відповідно, є свої симптоми, які іноді видно неозброєним оком, іноді непомітні зовсім. Погляньмо, які взагалі бувають симптоми зараження. Оскільки ми ведемо мову про комп'ютер, підключений до глобальної мережі, то першим симптомом є надмірно швидка витрата, як правило, вихідного трафіку, це обумовлюється тим, що багато інтернет-хробаків виконують функції DDoS-
машин або просто ботів. Як відомо, при DDoS атаці величина вихідного трафіку дорівнює максимальній величині трафіку за одиницю часу. Звичайно, на гігабітному каналі це може бути і не так помітно якщо проводиться DdoS атака шириною з діалап з'єднання, але як правило кидається в очі загальмованість системи при відкритті інтернет ресурсів (Ще хотілося б відзначити, що мова піде про віруси, які хоч якось приховують себе системі, адже не треба пояснювати нічого (якщо у вас в папці Автозавантаження лежить файл kfgsklgf.exe, який ловиться фаєрволлом і т.д.). наступне за списком, це неможливість зайти на багато сайтів антивірусних компаній, збої в роботі платних програм типу CRC-error, це вже обумовлено тим, що багато комерційних протекторів підтримують функцію перевірки парності або цілості виконуваного файлу (і не тільки протектори, але і самі розробники захисту), що зроблено для захисту програми від злому. Не будемо говорити про ефективність цього методу проти крякерів та реверсерів, проте сигналізацією до вірусного зараження це може спрацювати ідеально. Плата вірмейкерів-початківців за не вбиваються процеси, що при виключенні або перезавантаженні комп'ютера йде тривале завершення якого-небудь процесу, або ж взагалі комп'ютер зависає при завершенні роботи. Думаю про процеси говорити не треба, а так само про папку автозавантаження, якщо там є щось незрозуміле чи нове, то, можливо, це вірус, проте про це пізніше. Часте перезавантаження комп'ютера, виліт з інтернету, завершення антивірусних програм, недоступність сервера оновлення системи microsoft, недоступність сайтів антивірусних компаній, помилки при оновленні антивірусу, помилки спричинені зміною структури платних програм, повідомлення windows, що файли, що виконуються, пошкоджені, поява невідомих файлів у корені це лише короткий перелік симптомів зараженої машини. Крім прямих шкідливих програм існує так зване шпигунське програмне забезпечення, це всілякі кейлоггери, дампери електронних ключів, небажані "помічники" до браузера. Чесно кажучи, за методом виявлення їх можна поділити на два протилежні табори. Допустимо кейлоггер, приєднаний динамічною бібліотекою до оболонки операційної системи виявити на льоту вкрай складно, і навпаки, помічник, що казна-звідки взявся (плагін, рядок пошуку і т.д.) до Internet Explorer "у (як правило) впадає в очі відразу ж. я думаю, настав час залишити цю песимістичну ноту і перейти до реалістичної практики виявлення та деактивації шкідливого програмного забезпечення.
[Виявлення на льоту]
%WINDIR%\Driver Cache\driver.cab
потім з папок оновлення ОС, якщо такі є, після цього з %WINDIR%\system32\dllcache\ і вже потім просто з
%WINDIR%\system32\
Можливо, ОС скаже, що файли пошкоджені та попросить диск із дистрибутивом, не погоджуйтесь! А то він відновиться і знову буде відкрита дірка. Коли ви зробите цей крок можна приступати до локалізації вірусу. Подивитися які програми використовують мережне підключення, допомагає маленька зручна програма TCPView, проте деякі черв'яки мають хороший алгоритм шифрації або гірше за те, прикріплюються до процесів або маскуються під процеси. Найпоширеніший процес для маскування - це, безсумнівно, служба svhost.exe, в диспетчері завдань таких процесів кілька, а найдивовижніше, можна створити програму з таким же ім'ям і тоді відрізнити, хто є хто практично неможливо. Але шанс є і залежить від уважності. Насамперед подивіться у диспетчері завдань (а краще у програмі Process Explorer) розробника програм. У svhost.exe це не дивно M$, звичайно можна додати фальшиву інформацію і в код вірусу, проте тут є пара нюансів. Перший і напевно головний полягає в тому, що добре написаний вірус не містить таблиці імпорту, не секцій даних. Тому ресурсів такого файлу немає, а, отже, записати в ресурси творця не можна. Або можна створити ресурс, проте тоді з'явиться зайвий обсяг файлу, що вкрай небажано вірмейкер. Ще треба сказати про svhost.exe, це набір системних служб та кожна служба – це запущений файл із певними параметрами. Відповідно в Панелі управління -> Адміністрація -> Служби,
містяться всі завантажувані служби svhost.exe, раджу підрахувати кількість працюючих служб і процесів svhost.exe, якщо не сходитися, то вже все зрозуміло (тільки не забудьте порівнювати кількість працюючих служб). Докладніше у додатку А.
Треба також відзначити, що можливо і серед служб є вірус, на це можу сказати одне, список служб є і на MSDN і ще десь у мережі, так що просто взяти і порівняти проблеми не складе. Після таких дій ви зможете отримати ім'я файлу, який можливо є вірусом. Про те, як визначати безпосередньо вірус чи ні, я розповім трохи далі, а зараз відірвемося від міркувань і подивимося ще кілька моментів. Як ви, напевно, вже знаєте, для нормальної роботи ОС необхідно всього 5 файлів у кореневому каталозі, тому всі інші файли ви можете сміливо видаляти, якщо, звичайно, не примудряєтеся ставити програми в кореневий каталог. До речі, файли для нормальної роботи, ось вони: ntldr
boot.ini
pagefile.sys
Bootfont.bin
NTDETECT.COM
Більше нічого не повинно бути. Якщо є і ви не знаєте, звідки воно там з'явилося, то переходьте до розділу [Детальний аналіз]. Приточування до процесів ми так само розглянемо в розділі [детальний аналіз], а зараз поговоримо про автозапуск. Звичайно вірус повинен якось завантажуватися при старті системи, як правило. Відповідно дивимося такі ключі реєстру щодо підозрілих програм. (А якщо ви вже знайшли вірус, то шукайте ім'я файлу скрізь у реєстрі та видаляйте):
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\SharedTaskSchedulerHKLM\
SOFTWARE\Microsoft\Windows\CurrentVersion\ShellSer viceObjectDelayLoad
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Це все було сказано про детектування простих хробаків. Звичайно, обчислити добрий прихований вірус складно. Виявлення цього черв'яка та його деативація зайняли у мене близько 10 хвилин часу, звичайно, я знав, де шукати, це спростило завдання. Однак допустимо на виявлення гарного бекдора, кейлоггера, стелс-вірусу, або ж просто вірусу, в якому використовується перехоплення викликів API-функцій файлової системи (тоді вірус виходить дійсно невидимим), потокового вірусу, загалом, є ще ряд нюансів, однак таких творів справді мало, мало справжніх вірмейкерів у наші дні. Засмучує... Постараюся розповісти про них у наступних статтях. тепер перейдемо до шпигунських програм, або, як їх називають буржуї SpyWare. Поясню знову на прикладах шпигунів, яких я ловив сам особисто, щоб мої слова не здавалися порожньою фантазією.
Почну я свою розповідь із найпоширеніших шпигунів. В одному відомому журналі один хороший програміст правильно назвав їх бліхами ослика. Найпростіший шпигун дуже часто ховається за невинним на вигляд тулбаром. Знайте, що якщо у вас, раптом, звідки не візьмися, з'явилася нова кнопка або рядок пошуку в браузері, то вважайте, що за вами стежать. Дуже чітко видно, якщо у вас раптом змінилася стартова сторінка браузера, тут вже й говорити нема чого. Звичайно, прошу пробачити мені певну некоректність у термінах. Віруси, що змінюють стартові сторінки в браузері, зовсім не обов'язково будуть шпигунами, проте, як правило, це так і тому дозвольте тут у цій статті віднести їх до шпигунів. Розглянемо приклад з життя, коли я прийшов на роботу і побачив на одному комп'ютері дивного вигляду рядок пошуку в браузері, на моє запитання, звідки вона взялася, я так нічого і не отримав. довелося розбиратися самому. Як взагалі може пролізти шпигун у систему? Є кілька методів, як ви вже помітили йдеться про Internet Explorer, справа в тому, що найпоширеніший метод проникнення вірусу в систему через браузер - це саме за допомогою технології ActiveX, саму технологію вже досить описали і зациклюватися я на її розгляді не буду. Так само замінити стартову сторінку, наприклад, можна простим Java-скриптом, розташованим на сторінці, тим же JavaScript можна навіть закачувати файли і виконувати їх на вразливій системі. Банальний запуск програми нібито для перегляду картинок із платних сайтів відомого напрямку у 98% випадків містить шкідливе ПЗ. Для того щоб знати, де шукати скажу, що існує три найбільш поширені способи, як шпигуни розташовуються і працюють на машині жертви.
Перший – це реєстр і нічого більше, вірус може сидіти в автозавантаженні, а може і взагалі не бути присутнім на комп'ютері, але мета у нього одна – це замінити через реєстр стартову сторінку браузера. Якщо вірус або скрипт лише одного разу замінив стартову сторінку, питань немає, лише треба очистити цей ключ в реєстрі, якщо ж після очищення, через деякий час ключ знову з'являється, то вірус запущений і постійно здійснює звернення до реєстру. Якщо ви маєте досвід роботи з відладниками типу SoftIce, то можете поставити точку зупинки на доступ до реєстру (bpx RegSetValueA, bpx RegSetValueExA) і простежити, яка програма, крім стандартних, здійснює звернення до реєстру. Далі за логікою вже. Другий - це саме перехоплювачі системних подій, що так називають хуки. Як правило, хуки використовуються більше в кейлоггерах, і є бібліотекою, яка відстежує і по можливості змінює системні повідомлення. Зазвичай вже є сама програма і прикріплена до неї бібліотека, тому досліджуючи головний модуль програми ви нічого цікавого не отримаєте.
Докладніше про цей і наступний спосіб дивіться нижче в розділі детальний аналіз.
І, нарешті, третій спосіб це прикріплення своєї бібліотеки до стандартних програм ОС, таких як explorer.exe та iexplorer.exe, простіше кажучи написання плагінів до цих програм. Тут знову ж таки є пара методів, це прикріплення за допомогою BHO (про сам метод прикріплення писав Gorlum, користуючись нагодою привіт йому і шана) і просто впровадження власної бібліотеки в виконуваний файл. різниця, якою розумію її я в тому, що Browser Helper Object описано і запропоновано самою корпорацією M$, і використовується як плагін до браузера, а впровадження бібліотек - це вже не стільки плагін, скільки як самодостатня програма, що більше нагадує файловий вірус минулих років.
Надам вам для загального навчання ключі реєстру, куди можуть прописатися недоброякісні товари у вигляді тулбарів, кнопок та стартових сторінок браузера.
Стартова сторінка
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main параметр StartPage.
HKEY_USERS\S-1-5-21-....\Software\Microsoft\Internet Explorer\Main параметр StartPage (S-1-5-21-.... цей ключ може бути різним на різних машинах)
Реєстрування об'єктів типу кнопок, тулбарів тощо.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\
Ось тут реєструється всі "помічники" і якщо у вас таких немає, то ключ повинен бути порожній, якщо не порожній, то видаляйте.
Отже, якщо у вас не все гаразд із цими ключами, і ви хочете розібратися далі, то дивимось далі.
[Шукаємо краще]
Оскільки до моменту написання цієї статті я хотів зробити її зрозумілою всім, то цей розділ може і здатися деяким людям незрозумілим, але я намагався спростити все як міг. Я не поясню вас архітектуру PE-файлу, хоча ми будемо до неї звертатися. Детальніше є безліч мануалів у мережі, а про PE-файли добре було написано Iczelion"ом. Може бути, коли не будь, та опишу теж.
Отже, приступаючи до детального аналізу нам знадобляться деякі інструменти, я використовую в цьому випадку і раджу використовувати PETools by NEOx і PEiD (Можна взагалі обійтися одним Soft Ice"ом, але краще більше інструментів та простіше, для реверсерів зазначу, що зараз піде мова про перегляді таблиці імпорту та упакованості файлу, тому пропустіть повз вуха те збочення, яке ви зараз повернете)
Отже, як я вже казав, був такий випадок, що у браузері з'явився незрозуміло звідки рядок пошуку та стартова сторінка. Перевіривши реєстр, я не знайшов зміни статевої сторінки, а також не знайшов реєстрації плагінів у браузері. При детальному огляді виявилося, що цей рядок пошуку (тулбар простіше) з'являється у всіх вікнах ОС. Це вже трохи змінювало суть справи. Я припустив, що займаються цим два незалежні один від одного шпигуни і саме методом впровадження динамічної бібліотеки. При цьому треба розрізняти, що якщо тулбар був би тільки в браузері, значить, він впровадився в процес iexplorer.exe, але у нас був він скрізь, отже, перевіряти треба було в explorer.exe. Я почав переглядати браузер. Для цього я запустив PETools і просто переглянув, які бібліотеки використовує браузер. Мені підвернувся успіх в особі недбайливого вірмейкера, на тлі системних бібліотек з %SYSTEMROOT% красувалася якась smt.dll з шляхом, що йде, кудись у TEMP. Перезавантаження в безпечному режимі та видалення цієї бібліотеки, і все в нормі, шпигун убитий. Залишилося тільки знову викликати PETools, клацнути правою кнопкою миші на нашому процесі і провести перескладання файлу. Це найпростіший випадок у моїй практиці. Перейдемо до наступного, знаходимо та вбиваємо тулбар. Тим же чином я переглянув процес explorer.exe і нічого кидається в очі, не знайшов. З цього випливають два варіанти, або я не знаю напам'ять усіх бібліотек, і тулбар загубився серед них, або мені не дано за знаннями його виявити. На щастя, вийшло перше. Але як тоді відрізнити справжню бібліотеку від фальшивої. я скажу, а ви вже зрозумієте самі. Як відомо, вірмейкери женуться за мінімалізацією та зашифрованістю коду. Тобто не один тулбар як правило не лежатиме у відкритому вигляді, по-перше код можна зменшити, а значить потрібно, і по-друге якщо хтось (частіше навіть не антивірус, а конкурент) виявить цю бібліотеку то йому незашифрований код легше зрозуміти . Тому беремо PEiD і проводимо масове сканування бібліотек, що імпортуються. Бібліотеки від microsoft природно написані на visual C++ і нічим не упаковані, тому якщо ми бачимо (а я якраз побачив підозрілу seUpd.dll упаковану UPX) упаковану або зашифровану бібліотеку, то 99% це те, що ми шукали. Перевірить це чи ні дуже просто, перемістіть в безпечному режимі її і подивіться результат. Звичайно, можна було б розпакувати, подивитися дизасм лістинг і подумати, що ж вона робить, але не будемо в те поглиблюватися. Якщо ви не знайшли все ж таки упаковану бібліотеку, то корисно редактором ресурсів типу Restorator подивитися версії файлу, як я вже говорив у всіх бібліотек від M$ там так і написано. Ось на таких справах проколюються вірмейкери. Соромно повинно їм взагалі писати такі віруси. Насамкінець хочу ще помітити, що бібліотека *.dll не обов'язково може впровадитись у процеси. У Windows є така корисна програма, як rundll32.exe, і я можу запускати за допомогою цього процесу будь-яку бібліотеку. І при цьому не обов'язково в автозавантаженні писати rundll32.exe myspy.dll достатньо прописати це всередині зараженого файлу. Тоді ви будете бачити тільки свої (заражені файли, які малоймовірно детектуватимуться антивірусом) і процес rundll32.exe, і більше нічого. Як бути у таких випадках? Тут вже доведеться заглиблюватися в структуру файлу та ОС, тому залишимо це за межами цієї статті. Щодо упакованості/зашифрованості вірусу відноситься не тільки до бібліотек, а й до всіх системних файлів. На цій приємній ноті я хочу закінчити головну частину статті, написано було багато, проте це лише 1% усіх способів виявлення. Мій спосіб нехай і не найкращий, але я ним користуюсь сам і досить продуктивно (добре тільки не на своєму комп'ютері). По можливості якщо вийде, напишу продовження про макро-віруси, кейлоггери та бекдори, словом про те, що я вже ловив.
[Подяки]
Хотілося б висловити подяку всім, з ким я спілкуюся за те, що вони є.
А так само людям, хто вплинув на мене і хоч як небудь направив на шлях правдивий мене:
1dt.w0lf, MozgC, Mario555, c0Un2_z3r0, _4k_, foster, etc.
[Додаток А]
Список системних служб svhost.exe (WinXP)
DHCP-клієнтsvchost.exe -k netsvcs
DNS-клієнт svchost.exe -k NetworkService
Автоматичне оновлення svchost.exe -k netsvcs
Вторинний вхід до системи svchost.exe -k netsvcs
Диспетчер логічних дисків svchost.exe -k netsvcs
Запуск серверних процесів DCOM svchost -k DcomLaunch
Інструментарій керування Windows svchost.exe -k netsvcs
Клієнт відстеження зв'язків, що змінилися svchost.exe -k netsvcs
Модуль підтримки NetBIOS через TCP/IP svchost.exe -k LocalService
Оглядач комп'ютерів svchost.exe -k netsvcs
Визначення обладнання оболонки svchost.exe -k netsvcs
Робоча станція svchost.exe -k netsvcs
Сервер svchost.exe -k netsvcs
Служба відновлення системи svchost.exe -k netsvcs
Служба часу Windows svchost.exe -k netsvcs
Служба реєстрації помилок svchost.exe -k netsvcs
Служби криптографії svchost.exe -k netsvcs
Довідка та підтримка svchost.exe -k netsvcs
Теми svchost.exe -k netsvcs
Повідомлення про системні події svchost.exe -k netsvcs
Дистанційний виклик процедур (RPC) svchost -k rpcss
Центр безпеки svchost.exe -k netsvcs
Диспетчер автопідключень віддаленого доступу svchost.exe -k netsvcs
Протокол HTTP SSLsvchost.exe -k HTTPFilter
Розширення драйверів WMI svchost.exe -k netsvcs
Служба завантаження зображень (WIA)svchost.exe -k imgsvc
Служба забезпечення мережі svchost.exe -k netsvcs
Служба серійних номерів переносних мультимедійних пристроїв
svchost.exe -k netsvcs
Сумісність швидкого перемикання користувачів
svchost.exe -k netsvcs
Знімні ЗУsvchost.exe -k netsvcs
Вузол універсальних PnP-пристроївvchost.exe -k LocalService
Управління програмами svchost.exe -k netsvcs
Фонова інтелектуальна служба передачі svchost.exe -k netsvcs
Диспетчер з'єднань віддаленого доступуsvchost.exe -k netsvcs
Мережеві з'єднанняsvchost.exe -k netsvcs
Система подій COM+svchost.exe -k netsvcs
Служба виявлення SSDP svchost.exe -k LocalService
Служба мережі (NLA)svchost.exe -k netsvcs
Служби терміналівsvchost -k DComLaunch
Телефоніяsvchost.exe -k netsvcs
Windows Audiosvchost.exe -k netsvcs
Доступ до пристроїв HIDsvchost.exe -k netsvcs
Маршрутизація та віддалений доступsvchost.exe -k netsvcs
Оповіщувач svchost.exe -k LocalService
Планувальник завдань svchost.exe -k netsvcs
Служба повідомлень svchost.exe -k netsvcs
------ Разом шість процесів під час роботи всіх служб -------
Зміст
Де безкоштовно?
Зазвичай ми не шукаємо вірусів, вони самі знаходять нас. Але є такі, яким віруси потрібні, і навіть ті, що ці віруси колекціонують. У сьогоднішній статті я розповім про таких людей і про те, як створити нешкідливий вірус для перевірки інструментів захисту, і про те, де завантажити віруси для їхнього подальшого вивчення.
До речі, у статті «», ви можете знайти величезну кількість зразків всіляких шкідливих програм: вірусів, троянів, ботнетів і т.д.
Навіщо качати віруси та кому це треба?
Насамперед віруси потрібні людям, які займаються інформаційною безпекою. Серед них є такі, яким необхідно протестувати роботу антивірусного ПЗ. Ще віруси можуть знадобитися тим, хто намагається вивчити їхню поведінку під час зараження системи.
Таких людей небагато, але вони є. Ось каналодного з них. Автор каналу знімає відео та робить огляди вірусів. Погодьтеся, фраза "Огляди вірусів" звучить досить незвично.
Знайте! Завантажити віруси для їх подальшого вивчення на своєму комп'ютеріцілком законно. А ось використовувати їх для поширення та зараження інших користувачів – НІ. За це вам можуть вліпити солідний термін. Тому добре подумайте перед тим, як порушувати закон!
Також, якщо ви не розумієтеся на темі, то я настійно не рекомендую завантажувати віруси. Якщо ви все ж таки вирішили качати, то сайт www.сайт не несе ніякої відповідальності за ваші наступні вчинки і за будь-яку шкоду завдану вашому комп'ютеру.
Тест антивірусів EICAR
Якщо вам потрібний вірус для перевірки, але немає бажання чи можливості завантажувати віруси, то можете буквально за кілька секунд створити нешкідливий вірус самі.
Eicar тест антивірусів - це невеликий шматок тексту, який визначається як вірус усіма сучасними антивірусами. Зазвичай його використовують для перевірки роботи програм захисту.
Ось сам код:
X5O!P%@AP)