| категории |
|
 |
| Новое на форуме |
|
|
| Наш опрос |
|
|
| Статистика |
|
|
|
ВИРУСЫ.КАК С НИМИ БОРОТЬСЯ?(ОЧЕНЬ ПОЛЕЗНАЯ СТАТЬЯ)
Сегодня столкнулась с неожиданной проблемой - не могу войти на
некоторые сайты, доступ блокируется. Начала в сети искать информацию -
выяснилось - появился вирус, блокирующий доступ к сайтам.
Вирус - это программа, способная к самостоятельному размножению,
выполнению команд, и др. действиям зачастую БЕЗ ВЕДОМА ПОЛЬЗОВАТЕЛЯ.
Как правило, это вредоносная программа, которая в лучшем случае пошутит над вами, мешая работать:
- Выдавать ложные ошибки\сообщения.
- Трясти курсор мыши.
- Подменять вводимые символы с клавиатуры.
- Вкл\выкл монитор\мышь\клавиатуру.
- Выдвигать лоток сдрома.
- Менять местами иконки рабочего стола.
- Изменять системное время.
- Перегружать\выключать компьютер.
- Загружать процессор\память на 100%.
... а как максимум - сделает ВСЁ, что в неё пропишет создатель, как то:
- Заразит ваши файлы, дописывая себя в конец каждого.
- Уничтожить\испортит ваши файлы\данные\операционную систему.
- Найдет\расшифрует\отловит ваши пароли доступа к чему-либо и отошлет хозяину.
- Выведет из строя "железные" составляющие: процессор\мат.плата\опер.память\жесткий диск\сдром...
- Откроет доступ к вашему компьютеру, превращая его в послушного зомби.
Подцепить заразу не так уж и сложно. Причем, сам процесс заражения может быть выполнен как с вашим участием, так и без него.
Какая основная "прелесть" живет в сетке? Нет, не фильмы и музыка на
сервере... а сетевые черви блуждающие в поисках подходящей жертвы.
Атака и заражение происходит без вашего участия, так как червь
использует уязвимые сетевые сервисы, запущенные на вашей машине. Как
бороться
с этой напастью - используем фаервол, однако речь сейчас о другом.
Обнаружить и обезвредить уже приютившегося у вас зверька должен
антивирус.
Все остальные вирусы обычно распространяются через
зараженные файлы, которые пользователь открывает на своем компьютере.
Наиболее часто подвержены заражению исполняемые файлы с расширением
*.exe, *.com, *.bat . А также в приложениях, имеющих встроенные языки
(макросы).
Однако, современные вирусы где только не приживаться :
Word(*.doc, *.xls), музыка (*.mp3), флэшки (*.swf), фильмы (*.avi),
картинки (*.ipg, *.jpeg, *.gif, *.png, *.bmp), IE (*.htm, *.html,
*.vbs, *.js, *.htt). При запуске такого файла, вирус начинает свое
черное дело - выполняя свои деструктивные действия и заражая собой
другие файлики.
========
Как узнать о том, заразились вы или нет? Давайте ознакомимся с основными признаками заражения:
1. Сильное торможение компьютера, ошибки в программах, зависание, перезагрузки (о виндоус :-] ).
2. Многочисленные сбои в работе программ.
3. Произвольный, без вашего участия, запуск на компьютере каких-либо программ;
4. Непонятные окошки, запрашивающие какие либо действия.
5. Частое обращение к жесткому диску (часто мигает лампочка на системном блоке);
6. Исчезновение места\файлов\каталогов на жестком диске.
7. Появление новых файлов, особенно ссылок на них в автозагрузку.
8. Новые процессы в диспетчере задач (sys.exe, system.exe, sysdll.exe, fE5bD.exe).
9. Не стандартное поведение системы (медленная загрузка, выкл, и др).
10. При наличии на вашем компьютере межсетевого экрана(фаервола),
появление предупреждений о попытке какой-либо из программ вашего
компьютера выйти в интернет, хотя вы это никак не инициировали.
11. Друзья или знакомые говорят вам о сообщениях от вас, которые вы не отправляли;
======= Инструкция
У МЕНЯ ВИРУС!!! Что мне делать?!! Вот руководство к действиям:
1. ВЫДЕРНИТЕ СЕТЕВОЙ КАБЕЛЬ-МОДЕМ и, при возможности, смените все важные
пароли через комп друга\соседа, поскольку в том случае, если вирус
ориентировался на кражу такой информации, то он уже отправил данные
хозяину - значит счёт идёт на минуты\секунды.
2. Если у вас не
стоял антивирус до заражения, значит теперь есть повод поставить %)
Выбираем, устанавливаем и настраиваем антивирус. Однако, зачастую вирус
блокирует установку\запуск антивируса, поэтому прежде...
3.
...неплохо бы сразу проверить автозагрузку на наличие новых программ
(если вы конечно в курсе, что там было до заражения). Для этой задачи
потребуется прога Starter.
4. Жмем alt+ctrl+del и ищем
подозрительный процесс (его имя совпадает с именем в автозагрузке).
Убиваем его. Жестоко и беспощадно =]
5. Теперь найдём подозрительный файл и поищем, где он лежит. Попробуем переименовать\переместить его куда-нить или удалить.
6. Если вам не удается ни переименовать, ни завершить процесс - вирус
хорошо защищен. Обычно при таком подходе вы едва ли сможете запустить
антивирус. Вам не повезло и придется лечить винт, присоединив его к
компу друга или с мультизагрузочного СД.
А теперь - вот вам
кучка софта для реализации этих простых шести пунктов излечения.
Программы вам скорее всего понадобятся, поскольку, как правило, виндовые
утилиты уничтожаются\блокируются вредоносным кодом вирусного процесса.
======= Файловая система
Непосредственно проследить хождение вируса по вашей файловой системе помогут следующие утилиты.
Вы сможете определить место нахождение тела вируса, отследить его
размножение, определить местоположение лог-файла в случае кейлогера.
Также программы помогут разблокировать файл, выгрузить инжектированную в процесс вредоносную длл и многое другое.
Filemon v6.*
http://www.sysinternals.com/ntw2k/source/filemon.shtml
Логирование всех операций с файлами - открытие, запись, чтение... Есть система фильтров.
Unlocker 1.*
http://ccollomb.free.fr/unlocker/
Утилита позволяющая разблокировать файл, занятый другим процессом.
Работает в полуавтоматическом режиме. Не всегда справляется с задачей.
Advanced Process Manipulation
http://www.diamondcs.com.au/index.php?page=apm
Позволяет делать довольно сложные вещи, такие как- выгрузка отдельных модулей процесса.
DLL Control by Sanja
http://virusinfo.info/soft/DllCtrl.zip
Программа командной строки, позволяющая загружать и выгружать dll.
Классика жанра - внедриться в процесс и вызвать "изнутри" этого процесса
Использование:
DllCtrl.exe -unloadall c:\virus.dll
DllCtrl.exe -unload 1234(pid) c:\virus.dll
DllCtrl.exe -unload notepad.exe c:\virus.dll -resolve
======= Реестр
Выследить прописку вируса в реестре вам также не составит труда. Даже самый изощрённый автозапуск будет отслежен.
С помощью этих утилит вы также можете ограничить доступ к реестру,
исключая его повреждение, либо восстановить его после вирусной атаки из
резервной копии.
Regmon v7.*
http://www.sysinternals.com/ntw2k/source/regmon.shtml
Логирование всех операций с реестром - открытие, запись, чтение... Есть система фильтров.
RegProtector
http://sec-123.narod.ru/rgp10.exe
Монитор реестра. Логирует все изменения, может блокировать доступ, ограничивать только на чтение и др.
RegKey LastWriteTime Scaner
http://russian.softpicks.net/softwa...er_ru-22416.htm
Крохотная программа для поиска в реесте ключей, измененных/созданных в выбранном интервале времени.
Найденные ключи можно быстро открыть в regedit.
ERUNT 1.*
http://aumha.org/downloads/erunt.zip
http://www.larshederer.homepage.t-online.de/erunt/
Утилита для сохранения и восстановления файла реестра, работающая через командную строку.
По этой причине идеально подходит для настройки автоматического бэкапа с помощью планировщика заданий.
Прога проста как две копейки, но работает великолепно.
======= Процессы
Процессы - самая интересная и важная часть. Чем быстрее вирусный
процесс будет уничтожен, тем меньше дров зверь успеет наломать в
системе.
Приведённые программы способны не только обнаружить скрытый процесс, но и уничтожить его.
Гарантия уничтожения - 100% - ничто не устоит и не скроеться. Процессы антивирусов и фаерволов тоже отлично гасятся =]
ProcViewer
http://www.virusinfo.info/soft/ProcViewer1.rar
Простая, но эффективная альтернатива таскменеджеру - показывает запущенные процессы.
Видит скрытые процессы троянов, которые невозможно обнаружить при помощи большинства существующих просмотрщиков процессов.
Advanced Process Termination
http://www.diamondcs.com.au/index.php?page=apt
Програмка убивающая любые процессы. Может быть полезна что бы убить процессы созданные вирусами.
DelayDel
http://www.virusinfo.info/soft/delaydel.rar
Консольная программа сля удаления "неудаляемых" файлов после перегрузки.
Использование: delaydel.exe
Kernel PS v0.4
http://www.virusinfo.info/soft/knlps04.rar
Если не справились предыдущие - эта прога не подведёт. Просто зверь - убъёт ЛЮБОЙ процесс.
Программа работает с командной строкой. Позволяет получить список всех
запущенных процессов, в том числе и скрытых. Не работает на Win9x/ME.
Так же позволяет убить любой процесс, в том числе и защищённый системой, а так же процессы руткитов.
======= Автозагрузка
Оперативно просмотреть основные и не только основные ключи и места автозагрузки вам помогут эти программы.
Крайне полезны не только для борьбы с заразой
Autoruns
http://www.sysinternals.com/ntw2k/f.../autoruns.shtml
Программа позволяющая просмотреть список программ запускающихся при старте Windows.
Большое приемущество данной программы, это опция скрыть компоненты Windows имеющие цифровую подпись Microsoft.
Это значительно облегчает поиск ненужных и вредных программ.
Auto Start Control 2.*
http://www.asc.h11.ru/
Знает очень много ключей автозапуска, в т.ч. недокументированных или плохо документированных.
И может показать их (только непустые) для всех пользователей, имеющих учетные записи на данном компьютере.
Silent Runners.vbs
http://www.silentrunners.org
Скриптик для анализа автозагрузки. Знает некоторые нестандартные методы запуска программ.
Starter 5.*
http://www.lemnews.com/dl/Starter.rar
Очень полезная утилитка от CodeStuff (http://codestuff.mirrorz.com/).
Программа позволяет управлять запуском программ при старте Windows (из
мест типа Автозагрузка и реестра) и процессами при работе - все как на
ладони, видно кто и что использует.
Установка не требуется, все очень информативно и удобно. К тому же красиво. Может пригодиться при чистке реестра от вирусов.
======= Сторожи
Парочка утилит, которые работают в качестве сторожей и просто не позволят вирусу забуриться, вовремя его остановив.
Рекомендуются к применению. Более подробно данный класс программ рассмотрен здесь:
ВЫБЕРИ СВОЙ Anti-spy
Security Task Manager 1.6C
http://www.neuber.com/taskmanager/
кряк под неё есть на www.keygen.ru
Накрученный до предела task manager:
- показ степени опасности запущенных процессов для системы
- анализ инфы о производителе
- путь к файлу
- время запуска процесса
- степень загрузки проца, его тип
- тип окна: обычное окно, невидимое окно, библиотека, плагин для IE, и т.д.
- сертификация процесса
- анти-кейлогер
- время запуска проги в симбиозе с запущеной
На основе выше написанной информации рассчитывает рейтинг опасности.
WinTasks Pro v 5.0
Примерно то же самое.
Качественный анализ и оценка процессов в системе, подробнейшая информация о них.
======= Сетевая активность
Теперь несколько программ, мониторящих сетевые подключения. Они
позволят вам получить минимальную информацию о сетевой активности.
С помощью них, вы будете информированы о сетевых подключениях, состоянии подведомственных вам машин в сети.
TCPView v2.*
http://www.sysinternals.com/Utilities/TcpView.html
Мониторинг TCP\UDP соединений. В Windows NT, 2000 и XP TCPView даже
отображает имя процесса, отображение адресата\отправителя. Включает в
себя tcpvcon.
TCPVcon v2.*
http://www.sysinternals.com/Utilities/TcpView.html
Показывает все открытые сокеты. Работает из под командной строки.
TDIMon v1.*
http://www.sysinternals.com/Utilities/TdiMon.html
TCP/IP МОНИТОР
ShareEnum v1.*
http://www.sysinternals.com/Utilities/ShareEnum.html
Сканирует вашу сеть и мониторит параметры безопасности, указывает на дыры.
Remote Recover v2.*
http://www.sysinternals.com/Utiliti...oteRecover.html
Имея доступ к системам через LAN или WAN, вы можете системным дискам x86 NT.
Вы можете восстанновить данные. При доступе на запись можно проверять chkdsk'ом, форматировать диски.
======= Контроль целостности файлов
MD5summer
http://www.md5summer.org/
Отличная утилита, позволяющая подсчитать в указанной папке чек-сумму
всех файлов по алгоритму md5\sh1. А затем при надобности - провести
сравнение.
Крайне полезная вещь - после установки на винду всех патчей делаешь чек-снимок файлов в C:\WINDOWS
Очень мне помогла однажды, когда коварный трой умело спрятался в
системе и возрождался как ни в чём ни бывало после перезагрузки...
Если вдруг происходят подозрительные явления - проводишь сравнение - выявляешь изменённые файлы.
Ну, далее в зависимости от опыта и желания - либо расковырять их
дизассемблером, либо просто сменить на старые из зараннее сделанного
бэкапа.
======= В борьбе с руткитами
Несколько программ, способных отлавливать самый опасный и изощрённый тип вируса - руткиты.
Руткит опасен тем, что он тщательно прячется, скрывает своё пребывание в системе.
Антивирусы против них зачастую бессильны.
RootkitRevealer
http://www.sysinternals.com/ntw2k/f...kitreveal.shtml
Программа для обнаружения руткитов от Sysinternals
VICE
http://www.rootkit.com/project.php?id=20
Программа для обнаружения руткитов
Phunter
http://www.virusinfo.info/soft/phunter.zip
Программа для поиска скрытых процессов.
Antikit
http://anti-virus.by/download_files/antikit.zip
Программка, отлавливающая руткиты, обнаружить которые не может большинство антивирусов. Запуск из командной строки.
======= Откат на точку восстановления
Виндовыми средствами эту процедуру лучше не делать - возможности слабенькие и функциональности никакой.
Используем спец-утилиты:
ShadowUser Pro 2.*
http://www.shadowstor.com
Включив программу, можно делать что угодно - тестировать вирусы и
трояны, мучить системные настройки, проверять сомнительные программы.
После перезагрузки все изменения будут отменены, а предыдущее состояние восстановлено.
Помимо режима автоматического отката после каждой перезагрузки, в ShadowUser есть режим ручного выхода.
Отличие от RestoreIT :
- не требует наличия собственного скрытого раздела на винчестере
- мгновенная скорость отката
RestoreIT v 6.*
http://www.farstone.com
Превосходная система защиты компьютера от вирусов, программных сбоев и ошибок пользователя.
Фиксируешь текущее состояние машины путем создания контрольной точки, а
программа отслеживает и сохраняет в защищенном разделе диска все
изменения файловой системы.
При необходимости программа возвратит требуемый диск в одно из ранее зафиксированных состояний.
Отличие от ShadowUser :
- не требует перезагрузки
|
| Категория: Мои статьи | Добавил: тоха (08.02.2011)
|
| Просмотров: 1392
| Рейтинг: 5.0/1 |
Добавлять комментарии могут только зарегистрированные пользователи. [ Регистрация | Вход ] |
|
| профиль |
Гость
Группа: Гости
Время:07:15
Гость, мы рады вас видеть. Пожалуйста зарегистрируйтесь или авторизуйтесь!
|
|
| музыка |
|
|
| uin бесплатно |
бесплатная регестрация icq
|
|
| раздатчик бонусов |
|
|
|
| наша кнопка |
наша кнопочка! поставь к себе на сайт. |
|
| рекламма |
 |
|
|
