Понедельник, 11.12.2017, 16:34

Защити своего электронного друга от порнобаннеров!!!

Меню сайта
Категории раздела
Вирусы [10]
clonezilla [0]
Acronis TrueImage [0]
Загрузочная флэшка [0]
Avira [0]
Linux [0]
Windows [0]
Софт [0]
Статистика

Онлайн всего: 1
Гостей: 1
Пользователей: 0
Форма входа
Поиск
Календарь
«  Февраль 2012  »
ПнВтСрЧтПтСбВс
  12345
6789101112
13141516171819
20212223242526
272829
Спонсоры
Друзья сайта
  • Диагностика электрооборудования
  • Лечебница доктора АЙБОЛИТА
  • Главная » 2012 » Февраль » 24 » Классификация вирусов
    23:33
    Классификация вирусов

    Вирус может внедрится в файлы трех типов: командные файлы (файлы с расширением ВАТ), загружаемые драйверы (файлы с расширением SYS или BIN в том числе IO.SYS MSDOS.SYS) и выполняемые двоичные файлы (файлы с расширениями ЕХЕ, СОМ). Возможно внедрение вируса в файлы данных, но эти случаи возникают либо в результате ошибки вируса, либо при проявлении вируса своих агрессивных свойств. Конечно, возможно существование вирусов, заражающих файлы, которые содержат исходные тексты программ, библиотечные или объектные модули, но подобные способы распространения вируса слишком экзотичны.

    Загрузочные (бутовые) вирусы заражают загрузочный (ВООТ) сектор флоппи-диска и ВООТ-сектор или Мaster-Boot сектор (MBR) винчестера. При инфицировании диска вирус в большинстве случаев переносит оригинальный Boot-Sector (или MBR) в какой либо другой сектор диска (например, в первый свободный). Если длина вируса больше длинны сектора, то в заражаемый сектор помещается первая часть вируса, остальные части помещаются в других секторах (например, в первых свободных). Затем вирус копирует системную информацию, хранящуюся в первоначальном загрузчике в свои коды и записывает их в загрузочный сектор (для MBR этой информацией является Disk Partition Table, для Boot-сектора дискет _ BIOS Parametr block.)

    Вирусы невидимки (Stealth) представляют собой весьма совершенные программы, которые перехватывают обращения DOS к зараженным файлам или секторам и подставляют вместо себя незараженные участки информации. Такие вирусы, использующие приемы маскировки, нельзя увидеть средствами операционной системы. Например, если просмотреть зараженный файл, нажав клавишу F3 в системе Norton Commander, то на экране будет показан файл, не содержащий вируса. Это происходит потому, что вирус, активно работающий вместе с операционной системой, при открытии файла на чтение немедленно удалил свое тело из зараженного файла, а при закрытии файла заразил его опять.

    Полиморфные вирусы или вирусы-"призраки". Достаточно трудно обнаруживаемые вирусы, не имеющие постоянных сигнатур (масок), т.е. не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же вируса-призрака не будут иметь ни одного совпадения.
    Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика.

    Действия против вируса в заражённом компьютере.

    Если AVP выдал сообщение о подозрении на заражение какого-либо объекта вирусом, то сделайте следующее:

    - скопируйте подозрительные файлы на дискету обычным способом, если подозрение выдано на какие-либо файлы;

    - скопируйте системные сектора, содержащие Boot-сектор (загрузочный сектор), Master Boot Record (главную загрузочную запись), Partition Table (таблицу разбиения диска), с помощью специальных программ (например Norton Disk Edit), если подозрение выдано на системные сектора;

    - каким-либо образом доставьте подозрительные объекты дистрибьютерам (дилерам), у которых Вы приобрели AVP, или непосредственно в Лабораторию Касперского.

    Резидентный вирус при заражении компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращение системы к объектам заражения (файлы и загрузочные сектора) и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера (в прочем некоторые вирусы могут "пережить" перезагрузку). Нерезидентные вирусы не заражают оперативную память компьютера и являются активными ограниченное время. Некоторые вирусы оставляют в памяти небольшие резидентные программы, которые не распространяют вирус. Такие вирусы считаются нерезидентными.

    По особенностям алгоритма можно выделить следующие группы вирусов:

    - Вирусы-спутники - это вирусы, не изменяющие файлы. Алгоритм работы этих вирусов состоит в том, что они создают для ЕХЕ файлов файлы-спутники, имеющие такое же имя, но с расширением СОМ. Вирус записывается в СОМ файл и никак не изменяет ЕХЕ файл. При запуске такого файла DOS первым обнаружит и выполнит СОМ файл то есть вирус, который затем запустит и ЕХЕ файл.

    - Вирусы-черви - вирусы, которые распространяются в компьютерной сети и, так же как и вирусы спутники, не изменяют файлы или сектора на дисках. Они проникают в память компьютера из компьютерной сети, вычисляют сетевые адреса других компьютеров и рассылают по этим адресам свои копии.

    - Паразитические - все вирусы, которые при распространении своих копий обязательно изменяют содержимое дисковых секторов или файлов. В эту группу попадают все вирусы, которые не являются червями или спутниками.

    - Студенческие - крайне примитивные, часто не резидентные и содержащие большое число ошибок.

    - Стелс-вирусы (вирусы-невидимки), представляющие собой весьма совершенные программы, которые перехватывают обращения ДОС к зараженным файлам или к секторам и подставляют вместо себя не зараженные участки информации.

    - Вирусы-призраки (полиморфные) достаточно трудно обнаруживаемые вирусы, не имеющие постоянных сигнатур (масок), т.е. не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же вируса-призрака не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика.


    Поскольку неизвестны случаи инфицирования IBM-совместимых компьютеров сетевыми "червями", а вирусы-"спутники" имеют, как правило, очень простой алгоритм и составляют менее 0.5 процента от известных вирусов, то рассматриваются только вирусы, относящиеся к "паразитическим".

    Симптомы наличия вируса.

    Основные симптомы вирусного поражения следующие:

    - Замедление работы некоторых программ.

    - Увеличение размеров файлов (особенно выполняемых).

    - Появление не существовавших ранее странных файлов.

    - Уменьшение объема доступной оперативной памяти (по сравнению с обычным режимом работы).

    - Внезапно возникающие разнообразные видео и звуковые эффекты.

    При всех перечисленных выше симптомах, а также при других странных проявлениях в работе системы (неустойчивая работа, частые самостоятельные перезагрузки и прочее) мы настоятельно рекомендуем Вам, немедленно произвести проверку Вашей системы на наличие вирусов с помощью AVP. При этом лучше, если программа будет иметь самую последнюю версию и самые свежие обновления антивирусных баз.

    Предохранения и способ лечения от вирусов.

    WScript.KakWorm - это не совсем вирус, а интернет червь, причем способ его распространения достаточно хитрый. Он распространяется по электронной почте, но зараженное письмо не содержит вложения, заражен сам текст письма. Т.е. однажды открыв письмо (или если у Вас включен режим предпросмотра, то просто установив курсор на письмо) Вы заражаете Ваш компьютер. Более полную информацию по этому червю Вы можете прочитать в вирусной энциклопедии.

    Удаление:

    Если Ваш компьютер еще не заражен KakWorm'ом (т.е. Вы не открывали зараженное письмо) то чтобы избавиться от червя надо сделать следующее:

    отключить режим предпросмотра в почтовой программе;
    временно деактивировать AVP Монитор;
    запустить почтовую программу;
    удалить зараженное сообщение из всех папок (не открывая его);
    сжать все папки;
    активировать AVP Монитор.

    Если Ваш компьютер уже заражен KakWorm'ом, то придется сделать следующее:

    Выключить режим предпросмотра в почтовой программе.
    Удалить из ветки "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" системного реестра ключ "cAg0u = "C:\WINDOWS\SYSTEM\(name).hta", где "(name)" - это 8-символьное имя (например 68DAEF80.HTA).
    Перегрузить компьютер.
    Удалить следующие файлы:
    KAK.HTA из C:\Windows
    KAK.HTM из C:\Windows\System
    (name).HTA из C:\Windows\System, где (name) - это 8-символьное имя
    KAK.HTA из C:\Windows\Start Menu\Programs\Startup
    Удалить подпись по умолчанию в почтовом клиенте.
    Удалить все зараженные сообщения из всех папок (как это описано выше).

    При инсталляции червь I-Worm.PrettyPark копирует зараженный файл в системный каталог Windows под именем FILES32.VXD и регистрирует его в системном реестре таким образом, что файл FILES32.VXD запускается при старте каждой программы. Для этого червь создает в системном реестре новый ключ, который ключ ассоциирован с файлом FILES32.VXD (копией червя). Этот файл имеет расширение VXD, однако он является не VxD-драйвером Windows, а абсолютно нормальной программой Windows32.

    Чтобы полностью избавиться от PrettyPark надо сделать следующее:

    переименовать regedit.exe в regedit.com;
    запустить regedit и установить
    "HKEY_CLASSES_ROOT\exefile\shell\open\command" в ""%1" %*";
    запустить AVP и пролечить компьютер;
    переименовать regedit обратно.

    При инсталляции в систему червь создает в системном каталоге Windows файлы SKA.EXE и SKA.DLL и сохраняет файл WSOCK32.DLL с именем WSOCK32.SKA и дописывает сегмент своего кода в файл WSOCK32.DLL.

    Удаление зараженных файлов:

    Необходимо удалить файлы SKA.EXE и SKA.DLL из системного каталога Windows, заменить инфицированный файл WSOCK32.DLL на его незараженную копию WSOCK32.SKA. Следует также найти и удалить первоначальный EXE-файл HAPPY99.EXE.

    Для дальнейшей защиты компьютера от данного червя достаточно всего лишь установить атрибут "только чтение" у файла WSOCK32.DLL. Червь не в состоянии заразить систему в этом случае, поскольку он не обрабатывает атрибуты файлов.

    Категория: Вирусы | Просмотров: 1196 | Добавил: mityi | Рейтинг: 0.0/0
    Всего комментариев: 0