Omega Roman

Trojan.Encoder, шифрующий файлы

28 Jan 10 17:28:23 GMT

Trojan.Encoder, шифрующий файлы

Благодаря работе вирусных аналитиков компании "Доктор Веб" и информации от одного из пользователей, пострадавшего от нового варианта Trojan.Encoder, удалось получить пароль к файлам, зашифрованным данной вредоносной программой.

Начало распространения новой модификации Trojan.Encoder зафиксировано 22 декабря. На сегодняшний день этим троянцем заражаются около 10 пользователей в сутки.

Зашифрованные Trojan.Encoder файлы имеют двойное расширение [исходное имя файла].[оригинальное расширение файла]_crypt_.rar (например, s7300653.jpg_crypt_.rar). Для блокировки доступа к документам троянец упаковывает их в Zip-архив с паролем, используя шифрование по стойкому к взлому алгоритму AES-256. Данный алгоритм принят в качестве стандарта шифрования правительством США и является одним из наиболее распространённых на сегодняшний день.

Теперь пользователи, пострадавшие от новой модификации Trojan.Encoder, смогут самостоятельно разархивировать зашифрованные файлы любым архиватором, в функционал которого входит возможность распаковки Zip-архивов. Для этого достаточно использовать следующий пароль:

HF8374-SF3GV-DFGT3G-343G2-VBBRT-34RGD-SE4GBB-4534V

Доктор Веб" запускает новый проект, посвященный борьбе с троянами Trojan.Winlock

28 Jan 10 17:25:40 GMT

Доктор Веб" запускает новый проект, посвященный борьбе с троянами Trojan.Winlock

Компания «Доктор Веб» запускает новый проект, который объединит в себе массу информации об опасном семействе троянцев, блокирующих доступ в Windows (Trojan.Winlock). В новом разделе сайта «Доктор Веб» можно узнать код разблокировки, а также обменяться с другими пользователями полезной и актуальной информацией о данной угрозе.

Компания «Доктор Веб» в рамках своего нового проекта соберет все данные, которые смогут помочь пострадавшим от троянцев, блокирующих доступ к операционной системе Windows.

В последние месяцы данный вид вредоносных программ получил очень широкое распространение, принося злоумышленникам огромные доходы. Страдают же в этой ситуации рядовые пользователи, которые поддаются на уловки вирусописателей и отправляют им платные SMS-сообщения.

Благодаря новому проекту компании «Доктор Веб» пользователи бесплатно смогут решить эту проблему, определив модификацию Trojan.Winlock, которой заразились, а также получив код разблокировки.

Кроме того, они смогут обменяться информацией о новых модификациях этой угрозы, с которыми справляются не все антивирусные продукты, поделиться последними кодами разблокировки.

Вот он http://www.netvir.ru/wiki/314/2089__Избавиться_от_...

Trojan.Winlock

28 Jan 10 17:23:31 GMT

Троянцем Trojan.Winlock заражены миллионы компьютеров

Эпидемия троянцев семейства Trojan.Winlock набирает обороты, особенно пострадали российские пользователи. В январе 2010 года количество россиян, пострадавших от вредоносных программ, требующих за разблокировку Windows отправить платное SMS-сообщение, составило несколько миллионов. Предположительные потери составляют сотни миллионов рублей.

Первые модификации Trojan.Winlock появились около 3-х лет назад. На тот момент они не представляли серьезной угрозы: автоматически удалялись с компьютера через несколько часов после установки, не запускались в Безопасном режиме Windows, а стоимость SMS-cообщений, которые требовали отправить авторы троянца, была не столь высокой, как сейчас (в среднем около 10 рублей в сравнении c 300-600 рублями).

С ноября 2009 года эта схема отъема денег пользуется все большим успехом у злоумышленников – новые модификации Trojan.Winlock становятся все более опасными. За снятие сообщения о блокировке Windows, которое выскакивает поверх всех окон и делает невозможным нормальную работу на компьютере, вирусописатели требуют гораздо больше денег. Троянцы уже не удаляются автоматически из системы в прошествии некоторого времени, но приобретают дополнительный функционал. В частности, они препятствуют запуску некоторых программ в зараженной системе (файловых менеджеров, антируткитов, утилит сбора информации, которая может помочь в лечении системы).

Вредоносные программы семейства Trojan.Winlock распространяются через уязвимости в Windows (в частности, Internet Explorer), вредоносные сайты (скачиваемые кодеки), эксплойты iframe, а также ботнеты (владельцы ботнета продают установку какой-либо вредоносной программы на зараженном компьютере).

Только за январь число пострадавших в России от блокировщиков Windows составило несколько миллионов пользователей. С учетом того, что средняя стоимость SMS-сообщения – 300-600 рублей, предположительные потери россиян от этого вида вредоносного ПО только в первом месяце 2010 года составили сотни миллионов рублей.

В связи с тем, что с каждым днем появляются новые модификации Trojan.Winlock, незащищенными остаются даже те пользователи, которые применяют постоянно обновляемые антивирусные решения различных производителей.

Для помощи пострадавшим компания «Доктор Веб» в специальном разделе своего официального сайта собрала всю актуальную информацию об этих троянцах. В частности, форму разблокировки, которая помогает бесплатно найти необходимый код. Только за первые 2 дня работы этого проекта его посетили сотни тысяч пользователей.

Как происходит заражение

28 Jan 10 17:18:36 GMT

Как происходит заражение

Как вирусы попадают в компьютер? Вы обязательно должны уяснить себе этот вопрос, чтобы по возможности перекрыть все возможные каналы поступления новых вирусов.

К счастью, вирус не может просто так появиться на компьютере (если, конечно, вы сами не разрабатываете его). Когда незараженный компьютер полностью изолирован от внешнего мира - от него отключены дисководы, он не подключен к локальной сети и в нем не установлен модем, вирус не может попасть в такой компьютер.

Компьютерный вирус не появится от того, что вы оставили на ночь открытой форточку и устроили сквозняк. Дождь и снег за окном также не могут служить источником возникновения компьютерного вируса.

Чтобы вирус проник на компьютер, необходимо, чтобы последний выполнил зараженную программу или загрузился с зараженной дискеты. Наиболее часто вирусы попадают в компьютер вместе с пиратским программным обеспечением, программами Freeware и Shareware.

Вот основные пути, по которым вирусы проникают в компьютер:

· получение программ с электронной доски объявлений и через глобальные сети;

· обмен дискетами и программами;

· проникновение вируса из локальной сети

Мы не можем сейчас предусмотреть все возможные пути проникновения вирусов в компьютер. Так, например, совсем недавно появился новый вид вирусов, распространяющихся через файлы документов текстового процессора Microsoft Word for Windows. После этого даже казавшееся ранее абсолютно безопасным копирование документов несет в себе опасность заражения.

Логические бомбы

28 Jan 10 17:17:31 GMT

Логические бомбы

Логической бомбой называется программа или ее отдельные модули, которые при выполнении определенного условия выполняют несанкционированные действия. Логическая бомба может сработать по достижении определенной даты, когда в базе данных появится или исчезнет запись и т. д. Условие, при котором бомба срабатывает, определяется ее создателем. Логическая бомба может быть встроена в вирусы, троянские программы или в обыкновенное программное обеспечение.

Широко известен случай, когда программист, разрабатывающий бухгалтерскую систему, заложил в нее логическую бомбу. Она периодически проверяла ведомости на получение зарплаты и когда из нее исчезла фамилия создателя программы, бомба уничтожила всю систему.

Логические бомбы используются шантажистами. Через определенное время, после того как программист, встроивший логическую бомбу, покидает компанию, она может полностью разрушить систему. Шантажист сообщает руководству компании, что в систему заложена логическая бомба и он может ее удалить (за определенную плату).

Безопасные вирусы

28 Jan 10 17:15:57 GMT

Безопасные вирусы

Много вирусов не выполняют деструктивных действий, а содержат своего рода шутки - забавные видео- или аудио-эффекты. Такие вирусы могут отображать на экране монитора разнообразные надписи, проигрывать на встроенном динамике компьютера простенькие мелодии и т. д. Тем не менее, большинство вирусов не содержат в себе абсолютно ничего интересного, кроме факта, что кому-то не лень было тратить свое время на такую ерунду.

Абсолютно безопасных вирусов небывает. Даже если они не выполняют явных разрушительных действий, в них могут содержаться ошибки, вызывающие неправильную работу операционной системы и пользовательских программ. Кроме того, внедряясь в программы, вирусы нарушают авторские права программистов.

В любом случае, если компьютер стал вести себя странно, следует сразу прекратить работу и проверить его на заражение вирусами. Возможно, быстрое обнаружение вируса не позволит ему нанести значительный ущерб.

Опасные вирусы

28 Jan 10 17:12:31 GMT

Опасные вирусы

Большую и самую опасную группу составляют вирусы, выполняющие разрушение программного обеспечения компьютера и файлов данных, записанных на его дисках.

Вирусы могут стирать файлы с жесткого диска, записывать мусор в отдельные секторы диска. Действие таких вирусов часто проявляется в разрушении файловой системы компьютера. Отдельные вирусы способны полностью уничтожить всю информацию на жестких дисках компьютера и дискетах, выполнив операцию форматирования.

Действие других вирусов менее бросается в глаза, и от этого они становятся еще опасней. Эти вирусы могут незаметно изменять данные в случайным образом выбранных файлах. Вы можете долгое время не замечать эти изменения, пока они не приведут к серьезным последствиям.

Интересный и опасный случай представляют вирусы, которые изменяют программную среду компьютера таким образом, что становятся ее неотъемлемой частью. Подобные вирусы очень сложно удалить. Если файлы, зараженные этими вирусами, просто удалить или восстановить с резервных копий, то система вообще может перестать работать.

В качестве примера можно привести файлово-загрузочный резидентный вирус OneHalf. Проникая в компьютер, вирус заражает главную загрузочную запись. Во время загрузки компьютера вирус постепенно шифрует секторы жесткого диска, начиная с самых последних. Когда резидентный модуль вируса находится в памяти, он контролирует все обращения к зашифрованным секторам и расшифровывает их, так что все программное обеспечение компьютера работает нормально. Если OneHalf просто удалить из оперативной памяти и загрузочного сектора, то станет невозможно правильно прочитать информацию, записанную в зашифрованных секторах диска.

Когда вирус зашифрует половину жесткого диска, он отображает на экране надпись:

Dis is one half.
Press any key to continue ...

После этого вирус ожидает, когда пользователь нажмет на какую-либо клавишу и продолжает свою работу. Для некоторых версий вируса отображаемая им надпись может несколько отличаться от приведенной нами.

Вирус OneHalf использует различные механизмы для своей маскировки. Он является стелс-вирусом и использует при распространении полиморфные алгоритмы. Обнаружение и удаление вируса OneHalf - достаточно сложная задача. Далеко не все антивирусные программы, которые определяют этот вирус могут его удалить. Например, антивирусная программа Norton Antivirus for Windows 95 версии 4.0 только обнаруживает OneHalf. Чтобы его удалить, пользователь должен вызвать специальную службу.

По итогам работы антивирусной скорой помощи АО “ДиалогНаука” вирус OneHalf занимает одно из первых мест по распространенности. Это связано с тем, что многие популярные антивирусные программы, например AIDSTEST, не обнаруживают этот вирус. Тем не менее, вы можете удалить OneHalf при помощи антивирусной программы Doctor Web. Эта программа позволяет обнаружить и полностью освободить компьютер от многочисленных вариантов вируса OneHalf. Doctor Web аккуратно расшифровывает все участки жесткого диска, зашифрованные вирусом. Операция расшифровки может занять значительное время, в зависимости от того, насколько много секторов диска вирус успел зашифровать.

Стелс-вирусы

28 Jan 10 17:11:21 GMT

Стелс-вирусы

Стелс-вирусы пытаются скрыть свое присутствие в компьютере. Они имеют резидентный модуль, постоянно находящийся в оперативной памяти компьютера. Этот модуль устанавливается в момент запуска зараженной программы или при загрузке с диска, зараженного загрузочным вирусом.

Резидентный модуль вируса перехватывает обращения к дисковой подсистеме компьютера. Если операционная система или другая программа считывают файл зараженной программы, то вирус подставляет настоящий, незараженный, файл программы. Для этого резидентный модуль вируса может временно удалять вирус из зараженного файла. После окончания работы с файлом он заражается снова.

Примером стелс-вируса может служить Magdzie.1114. Это файловый вирус, заражающий выполнимые файлы в формате EXE. При запуске зараженной программы в оперативной памяти устанавливается вирусный резидентный модуль, который перехватывает обращения к файловой системе компьютера. Если операционная система запускает или открывает для чтения файл зараженной программы, вирус временно удаляет из нее свой код. Обратное заражение происходит, когда операционная система закрывает файл.

Вирус Magdzie проявляется, удаляя все файлы, название которых начинается с CHKLIST. 27 мая вирус выводит на экран небольшой текст и движущийся графический узор.

Загрузочные вирусы действуют по такой же схеме. Когда какая-либо программа считывает данные из загрузочного сектора, они заменяются настоящим содержимым загрузочного сектора.

В качестве загрузочного вируса, использующего для маскировки стелс-технологию, можно привести вирус July29. Вирус распространяется, замещая главную загрузочную запись на жестких дисках и загрузочную запись на дискетах. Настоящие загрузочные секторы сохраняются. Когда программа пытается прочитать или записать данные в главную загрузочную запись жесткого диска или загрузочную запись дискеты, резидентный модуль вируса подставляет неинфицированный сектор.

Маскировка стелс-вирусов срабатывает только в том случае, если в оперативной памяти компьютера находится резидентный модуль вируса. Когда вы загружаете компьютер с системной дискеты, у вируса нет шансов получить управление и поэтому стелс-механизм не работает.

Большинство антивирусных программ требует, чтобы для проверки и лечения компьютера он был загружен с системной дискеты, на которой нет вирусов. Такая дискета должна быть подготовлена заранее. Более подробно об этой процедуре вы можете прочитать в разделе “Создание системной дискеты”.

Шифрующиеся и полиморфные вирусы

28 Jan 10 17:10:26 GMT

Шифрующиеся и полиморфные вирусы

Чтобы затруднить обнаружение, некоторые вирусы шифруют свой код. Каждый раз, когда вирус заражает новую программу, он зашифровывает собственный код, используя новый ключ. В результате два экземпляра такого вируса могут значительно отличаться друг от друга, даже иметь разную длину.

Естественно, вирус может работать только в том случае, если исполняемый код расшифрован. Когда запускается зараженная программа (или начинается загрузка с зараженной загрузочной записи) и вирус получает управление, он должен расшифровать свой код.

Процедура расшифровки не может сама быть зашифрована, в противном случае она не сможет работать. Этим пользуются антивирусные программы, использующие в качестве сигнатуры код процедуры расшифровки.

Тем не менее, авторы вирусов нашли выход из этой ситуации. Для шифрования вирусов они стали использовать не только разные ключи, но и разные процедуры шифрования. Два экземпляра таких вирусов не имеют ни одной совпадающей последовательности кода. Такие вирусы, которые могут полностью изменять свой код, получили название полиморфных. Наиболее известные из них - это Phantom-1, Natas, OneHalf, SatanBug.

Первым полиморфным вирусом считают V2Px.1260. Он был создан Марком Вашбурном (Mark Washburn) в качестве экспериментального вируса. На настоящий момент существует огромное количество полиморфных вирусов. Вот только несколько их названий: Basilisk.1639, CeCe.1994, CeCe.1998, CommanderBomber, Dir-II.TheHndV, Flip.2153, Flip.2343, Flip.2365, Fly.1769, Holms.6161, Invisible.2926, Invisible.3223, RDA.Fighter.5871, RDA.Fighter.5969, RDA.Fighter.7408, RDA.Fighter.7802.

К сожалению, сегодня создавать полиморфные вирусы могут не только программисты, обладающие высокой квалификацией. Существует несколько готовых средств разработки таких вирусов. Они позволяют разрабатывать полиморфные вирусы без понимания того, как последние устроены.

Первым таким средством создания полиморфных вирусов стал Dark Angel MuTation Engine (иногда называется MtE или DAME), созданный болгарским автором вирусов известным, как Dark Avenger.

В состав MuTation Engine входит объектный модуль, который необходимо подключить к создаваемому вирусу, подробная документация и пример его использования. Благодаря MuTation Engine появилось много полиморфных вирусов. Среди них MtE.CoffeeShop, MtE.Darkstar, MtE.Dedicated.

Вслед за MuTation Engine появились еще несколько средств разработки полиморфных вирусов, имеющих различный уровень сложности и сервиса:

· AWME (Anti WEB Mutation Engine)

· CLME (Crazy Lord Mutation Engine)

· DSCE (Dark Slayer Confusion Engine)

· GCAE (Golden Cicada Abnormal Engine)

· NED (NuKE Encryption Device)

· SMEG (Simulated Metamorphic Encryption Generator)

· TPE (TridenT Polymorphic Engine)

· VICE (Virogen's Irregular Code Engine)

После появления очередного средства разработки полиморфных вирусов некоторые авторы вирусов создавали на их основе собственные вирусы.

Интересно, что AWME является отечественной разработкой и создан в Казани. По нашим сведениям, AWME ориентирован на противодействие антивирусной программе Doctor Web. Более подробно об этом можно прочитать в разделе “Doctor Web”. AWME распространяется в виде исходного текста на языке ассемблера.

Современные антивирусные средства, например Doctor Web, умеют не только успешно идентифицировать полиморфные вирусы, но также и удалять их из зараженной программы.

Шифрование кода вируса значительно усложняет процесс его исследования. Обычные программы не смогут дизассемблировать такой вирус. Тот, кто отважится разобраться в зашифрованном вирусе, должен будет разбираться с ним, выполняя код вируса команда за командой в пошаговом режиме отладчика.

Маскировка вирусов

28 Jan 10 17:06:39 GMT

Маскировка вирусов

Обычные вирусы, заражающие файлы, обнаружить достаточно легко. Для этого можно, например, записать длины всех выполнимых файлов и периодически проверять их. Идентифицировать такие вирусы также очень просто. Так как вирусы всегда дописывают к файлу одну и ту же последовательность кода, антивирусные программы могут просматривать выполнимые файлы и загрузочные секторы в поисках таких последовательностей. В большинстве случаев антивирусная программа может не хранить в себе шаблоны всех известных вирусов. Достаточно определенных характерных для данного вируса последовательностей, которые называются сигнатурами.

Например, для вируса BAT.Batman характерной может служить следующая последовательность (подробное описание вируса BAT.Batman смотри выше):

copy %0 b.com>nul
b.com
del b.com

Для вируса WinWord.Concept такой характерной последовательностью может служить одна из следующих строк:

see if we're already installed
iWW6IInstance
WW6Infector

Многие загрузочные вирусы также легко могут быть обнаружены простым просмотром загрузочных секторов жестких дисков компьютера и дискет. Например, вирус Stoned, содержит строки "Your PC is now Stoned!" и "LEGALISE MARIJUANA!".

Однако далеко не все вирусы ведут себя так грубо. Многие из них маскируют свое присутствие, используя для этого различные приемы. Вследствии естественного отбора антивирусными программами шанс выжить есть только у вирусов, применяющих разнообразные методы маскировки.

Комбинированные вирусы

28 Jan 10 17:05:16 GMT

Комбинированные вирусы

Большая часть вирусов не ограничивается заражением выполнимых файлов одного типа, например, только EXE- или только COM-файлов. Такие вирусы могут заражать и EXE- и COM-файлы. Некоторые вирусы также заражают еще и файлы оверлеев и драйверов.

Существуют файлово-загрузочные вирусы. Они распространяются как через выполнимые файлы, так и через загрузочные секторы жестких дисков и дискет. Если вы получите такой вирус, записав на свой компьютер зараженный выполнимый файл, то получив управление, вирус запишет свою копию в главную загрузочную запись или загрузочный сектор жесткого диска. Дальнейшее распространение вируса происходит уже двумя путями - при копировании с компьютера зараженных программ и через загрузочные секторы дискет, используемых на компьютере.

За счет того, что один и тот же вирус может заражать различные объекты - выполнимые файлы, драйверы, загрузочные секторы, он получает больше возможностей для распространения.

Вирусы в драйверах

28 Jan 10 17:04:01 GMT

Вирусы в драйверах

В операционной системе MS-DOS существует специальный вид программ, называемых драйверами. Драйверы запускаются только на этапе загрузки операционной системы, во время ее инициализации и интерпретации файла конфигурации CONFIG.SYS. Файлы драйверов обычно имеют расширение SYS.

Ряд вирусов разработан специально для заражения драйверов. Такие вирусы дописывают свой код к файлу драйвера и модифицируют его таким образом, чтобы вирус остался в оперативной памяти компьютера после загрузки драйвера.

Основные файлы операционной системы IO.SYS и MSDOS.SYS также могут быть заражены. Интересно, что в Microsoft Windows 95 файл MSDOS.SYS не содержит исполняемого кода, а предназначен для хранения параметров конфигурации системы:

[Paths]
WinDir=C:\WIN
WinBootDir=C:\WIN
HostWinBootDrv=C

[Options]
BootMulti=1
BootGUI=1
Network=0
;
;The following lines are required for compatibility with other programs.
;Do not remove them (MSDOS.SYS needs to be >1024 bytes).
;xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxa
...
;xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxs

Естественно, в случае заражения этого файла Windows 95 перестанет правильно работать.

Вирусы в COM и EXE файлах

28 Jan 10 17:03:03 GMT

Вирусы в COM и EXE файлах

Формат выполнимых COM-файлов достаточно прост, чтобы любой программист средней квалификации, знакомый с языком ассемблера, смог написать вирус.

Основная идея таких вирусов заключается в том, что вирус записывает свой код внутрь заражаемого файла. В самом простом случае вирус дописывает свой код в конец файла. Затем вирус считывает и сохраняет несколько первых байт заражаемого файла. На их место записывается команда передачи управления коду вируса.

После запуска зараженной программы управление передается первой команде, замененной вирусом на команду перехода. Поэтому управление сразу передается вирусу.

Получив управление, вирус выполняет действия, определенные его автором. Обычно в этот момент вирус заражает другие выполнимые файлы, устанавливает собственные резидентные модули, совершает другие противоправные действия.

Окончив эту работу, вирус восстанавливает первые команды зараженного файла и передает на них управление. Теперь начинает работать настоящая программа в ее неизменном виде.

Вирусы, заражающие выполнимые файлы, могут записывать свой код не только в конец файла. В качестве примера можно привести вирус Anarchy.2048 и Megadeth. Когда Megadeth заражает выполнимый COM-файл программы, он считывает и сохраняет в конце файла первые байты кода программы. Затем вирус записывает свой код в начало файла, поверх только что сохраненного кода программы.

Во время запуска программы код вируса сразу получает управление. Выполнив все свои действия, он восстанавливает начало зараженного файла, уничтожая свой код и передает ему управление.

Мы уже говорили, что размер выполнимых файлов в формате COM обычно не превышает 65536 байт. В принципе, можно создать COM файлы большего размера, но для этого они должны самостоятельно загружать себя. Большинство вирусов, заражающих COM-файлы, следят, чтобы суммарный размер файла и вируса не превышал данного значения. Если это условие не выполняется, заражение не происходит.

Среди вирусов, заражающих только COM-файлы, существуют и своего рода шедевры. Например, вирус Micro-92 имеет длину всего 92 байта. Вирус резидентный. Существует только в качестве академического. Автор вируса, Соловьев Михаил Анатольевич, прислал его непосредственно Лозинскому, гарантируя, что он не получит дальнейшего распространения.

Однако рекорд продержался недолго. Игорь Данилов создал вирус Micro-66 длиной 66 байт. Он существует только в качестве коллекционного экземпляра, никогда не распространялся и распространяться не будет. На момент написания книги самый короткий из известных нам вирусов имел длину 58 байт.

Процедура заражения вирусами EXE-файлов немного отличается от только что рассмотренной нами. Такие вирусы должны учитывать, что EXE-файлы имеют заголовок. При заражении вирус записывает себя в файл программы и может изменить заголовок EXE-файла.

Вирус Carbuncle

28 Jan 10 17:02:21 GMT

Вирус Carbuncle

Вирус Carbuncle также представляет собой вирус-спутник, но работает не так, как вирус CloneWar.

При запуске вирус Carbuncle создает в текущем каталоге файл CARBUNCL.COM. Для маскировки этому файлу присваивается атрибут скрытый. Затем вирус ищет в текущем каталоге выполнимые файлы. Если вирус найдет в каталоге файл с расширением EXE, то он изменяет его расширение на CRP и создает пакетный файл с таким же именем. Этот файл получает расширение BAT. В него вирус записывает несколько команд MS-DOS, позволяющих запустить файл вируса CARBUNCL.COM и саму зараженную программу. Ниже мы привели пример такого файла для зараженной программы PROGRAM.EXE.

@ECHO OFF
CARBUNCL
RENAME PROGRAM.CRP PROGRAM.EXE
PROGRAM.EXE
RENAME PROGRAM.EXE PROGRAM.CRP
CARBUNCL

Если пользователь решит запустить зараженную программу и введет в системном приглашении имя программы без указания расширения, то операционная система просмотрит весь каталог в поисках файла с таким именем. Так как файл с расширением EXE она не обнаружит, то будет выполнен файл с расширением BAT.

Чтобы замаскировать исполнение нескольких команд пакетного файла, команда @ECHO OFF отключает вывод на экран исполняемых команд пакетного файла.

Следующая строка пакетного файла, созданного вирусом, запускает сам вирус CARBUNCL.COM. Затем зараженному файлу возвращается его настоящее расширение EXE и выполняется его запуск. После того как программа отработает, ее расширение опять заменяется на CRP. В конце снова запускается файл вируса CARBUNCL.COM.

Так как после заражения программы файл с расширением EXE уже не существует, то если при запуске программы указать ее полное имя с расширением, операционная система не сможет найти этот файл и на экране появится предупреждающее сообщение:

Bad command or file name

Вирус CloneWar ведет себя в этой ситуации значительно лучше. В этом случае сразу будет запущена настоящая программа. Вирус просто не получит управления.

Вирус Carbuncle занимается не только распространением своих копий. В некоторых случаях он может уничтожить зараженный файл. При запуске файл вируса проверяет значение системного таймера и если оно меньше или равно 16, то вирус записывает свой код в файл первого зараженного файла в текущем каталоге.

Внутри файла вируса содержатся следующие текстовые строки:

@ECHO OFF
CARBUNCL
RENAME
PC CARBUNCLE: Crypt Newsletter 14

Вирус CloneWar

28 Jan 10 17:01:29 GMT

Вирус CloneWar

Под таинственным названием CloneWar скрывается целая группа вирусов-спутников. Во избежании путаницы их различают по длине файла вируса-спутника. На время написания книги были известны 5 вариантов вируса CloneWar длинной 228, 246, 261, 546 и 923 байт. Механизм их распространения полностью соответствует описанной нами технологии. Вирус выполняет поиск в текущем каталоге выполнимых файлов с расширением EXE. Затем он создает файл с таким же именем, но с расширением COM и записывает себя в него.

Когда пользователь вводит после системного приглашения имя зараженной программы без расширения, то запускается файл с расширением COM, который содержит вирус. Он заражает другие EXE файлы, а затем запускает зараженную программу.

Самая короткая из известных версий вируса CloneWar имеет длину 228 байт. Версия 246 вируса CloneWar содержит внутри себя небольшой стих:

Beyond
The rim of the star-light
My love
Is wand'ring in star-flight
I know
He'll find in star-clustered reaches
Love
Strange love a star woman teaches.
I know
His journey ends never
His star trek
Will go on forever.
But tell him
While he wanders his starry sea
Remember, remember me.

Самая большая версия вируса, имеющая длину 923 байта, проверяет значение системного таймера и в некоторых случаях исполняет через динамик компьютера небольшую мелодию. Затем код вируса зацикливается, вызывая зависание компьютера.

Со временем идея вируса-спутника получила дальнейшее развитие. Кто-то из писателей вирусов резонно заметил, что любой выполнимый файл можно переименовать, а затем создать файл с таким же именем, но содержащий код вируса. Когда пользователь запускает свою программу, на самом деле запускается программа-вирус. Она заражает другие программы, а затем загружает в оперативную память и исполняет настоящую программу пользователя.

Простейшие вирусы-спутники используют всего несколько функций операционной системы - поиск файла с заданным именем в текущем каталоге, переименование файла и создание нового файла. Подобные средства работы с файлами существуют фактически во всех системах программирования. Поэтому написать подобный вирус может практически любой начинающий программист, в распоряжении которого есть система разработки программ, которая может создавать выполнимые файлы.

Вирус Ball

28 Jan 10 17:00:07 GMT

Вирус Ball

Первый раз мы столкнулись с вирусами много лет назад, еще будучи студентами московского инженерно физического института. В то время персональные компьютеры еще только начали появляться и были большой редкостью. Наша кафедра снимала несколько часов машинного времени в неделю в одном научном институте.

И вот в один прекрасный день на экране компьютера появился небольшой шарик. Он перемещался по экрану, отражаясь от его границ и некоторых символов. Первое время мы были в ужасной панике, думая что испортили дорогостоящий компьютер IBM PC/XT и все его программное обеспечение.

После перезагрузки шарик исчезал и мы надеялись, что дефект пропадет сам собой. Только через несколько дней мы решили сказать об этом местным инженерам. Они прореагировали очень спокойно, сообщив нам, что это компьютерный вирус Ping Pong, живущий на их компьютерах очень давно.

Для борьбы с вирусом использовали специальную антивирусную программу SCAN фирмы McAfee. Она легко находила вирус на дискетах и жестких дисках компьютеров, а затем удаляла его. После такой процедуры вирус долгое время не появлялся и некоторое время мы жили спокойно.

Однако кроме нас машинное время снимали много других организаций и каждый приходил работать со своими дискетами, поэтому вирус кочевал с дискеты на дискету. Вылечить его было практически невозможно, так как очень сложно было заставить всех пользователей проверить все свои дискеты.

Впоследствии выяснилось, что вирус Ping Pong, он же вирус Ball, распространялся через загрузочные секторы дискет и дисков. Оригинальный загрузочный сектор записывается на свободное место. Соответствующий сектор помечается как испорченный (Bad cluster). Испорченный кластер несколько уменьшал доступный размер дисков и дискет, но мы списывали это на их низкое качество.

Вирусы в загрузочных секторах дисков

28 Jan 10 16:58:55 GMT

Вирусы в загрузочных секторах дисков

Сразу после включения питания компьютера начинает работать процедура проверки POST (Power On Self Test). В ходе проверки определяется конфигурация компьютера, проверяется работоспособность основных его подсистем. Процедура POST записана в микросхеме постоянного запоминающего устройства, расположенного на системной плате компьютера.

Если компьютер имеет энергонезависимую память (CMOS-память), из нее считываются значения текущих даты и времени, конфигурация дисковой подсистемы. Заметим, что CMOS-память установлена практически на всех компьютерах. Она отсутствовала только на первых моделях компьютеров IBM PC и IBM PC/XT.

Затем процедура POST проверяет, вставлена ли дискета в дисковод A:. Если дискета вставлена, тогда дальнейшая загрузка операционной системы происходит с дискеты. Если дискета не вставлена, загрузка выполняется с жесткого диска.

Практически все современные системные платы и версии программы Setup позволяют изменить порядок загрузки компьютера. Например, вы можете указать, что компьютер сразу должен загружаться с жесткого диска и только в случае отсутствия жесткого диска загрузка будет выполняться с дискеты.

Последовательность загрузки операционной системы MS-DOS с дискеты и с жесткого диска немного различаются. Мы опишем оба случая, так как это важно для понимания механизма распространения загрузочных вирусов.
Загрузка компьютера с системной дискеты

Если загрузка компьютера происходит с дискеты, то процедура POST считывает с нее загрузочную запись (Boot Record) в оперативную память. Эта запись всегда расположена в самом первом секторе дискеты и представляет собой маленькую программу. Кроме программы загрузочную запись содержит структуру данных, определяющую формат дискеты и т. д. Затем процедура POST передает управление загрузочной записи.

Получив управление, загрузочная запись приступает непосредственно к загрузке операционной системы. Она считывает с дискеты и загружает в оперативную память файлы IO.SYS и MSDOS.SYS. Для операцилнных систем, совместимых с MS-DOS эти имена могут отличаться. Например в операционной системе IBM PC-DOS загружаются файлы IBMIO.COM IBMSYS.COM.

Затем, если на дискете записан файл конфигурации CONFIG.SYS, анализируется его содержимое и загружаются указанные в нем драйверы.

После этого с дискеты считывается командный процессор COMMAND.COM и управление передается ему. Командный процессор завершает загрузку операционной системы и выполняет команды, записанные в файле AUTOEXEC.BAT.

После выполнения команд, записанных в файле AUTOEXEC.BAT, командный процессор отображает на экране системное приглашение и ожидает ввода команд:

A:\>

Файлы CONFIG.SYS и AUTOEXEC.BAT могут отсутствовать. Если отсутствует файл AUTOEXEC.BAT, тогда после окончания загрузки операционной системы командный процессор предлагает ввести текущую дату и время:

Current date is Fri 15-04-1996
Enter new date (mm-dd-yy):

Current time is 2:28:33.47p
Enter new time:

Если вы не желаете изменять дату и время, нажмите два раза клавишу <Enter>. В этом случае дата и время останутся без изменения, и на экране появится системное приглашение MS-DOS. Вы можете создать на системной дискете пустой файл AUTOEXEC.BAT, тогда дата и время запрашиваться не будут и после загрузки операционной системы на экране сразу появится системное приглашение.
Загрузка компьютера с несистемной дискеты

Мы рассмотрели вариант загрузки компьютера с системной дискеты. Возможен вариант, при котором пользователь случайно или по ошибке попытается загрузить компьютер с несистемной дискеты. На такой дискете отсутствуют файлы операционной системы IO.SYS, MSDOS.SYS и COMMAND.COM. Тем не менее, загрузочная запись присутствует даже на несистемной дискете.

Когда процедура POST считывает и передает управление загрузочной записи, она определяет, что дискета несистемная (так как на ней отсутствуют файлы операционной системы) и отображает на экране соответствующее сообщение:

Non-System disk or disk error
Replace and press any key when ready

В некоторых случаях сообщение может иметь другой внешний вид:

This disk is not bootable

If you wish to make it bootable,
run the DOS program SYS after the
system has been loaded

Please insert a DOS diskette into
the drive and strike any key...

Эти сообщения означают, что дискета не содержит необходимых файлов и загрузить операционную систему с нее невозможно. Вам предлагается вставить в компьютер системную дискету и перезагрузить компьютер.

В разделе “Создание системной дискеты” мы расскажем, как из несистемной дискеты сделать системную.

Загрузочный вирус может распространяться как через системные, так и через несистемные дискеты
Загрузка компьютера с жесткого диска

Загрузка компьютера с жесткого диска происходит несколько сложнее. Процедура POST считывает с жесткого диска главную загрузочную запись (MBR - Master Boot Record) и записывает ее в оперативную память компьютера. Главная загрузочная запись содержит программу первоначальной загрузки и таблицу разделов, в которой описаны все разделы жесткого диска.

Формирование главной загрузочной записи и таблицы разделов происходит во время первоначальной установки компьютера и разделения его жестких дисков на разделы и логические диски. Обычно эту операцию делают один раз, используя для этого команду FDISK операционной системы MS-DOS.

Главная загрузочная запись хранится в самом первом секторе жесткого диска. Поэтому процедура POST всегда знает, где она расположена.

Затем управление передается только что прочитанной с диска программе первоначальной загрузки. Она анализирует содержимое таблицы разделов, выбирает активный раздел и считывает загрузочную запись активного раздела (Boot Record). Загрузочная запись активного раздела аналогична загрузочной записи системной дискеты и выполняет те же самые функции. Она считывает в оперативную память файлы IO.SYS и MSDOS.SYS, анализирует файл конфигурации CONFIG.SYS, записанный на диске активного раздела, и загружает указанные в нем драйверы. После этого управление передается командному процессору COMMAND.COM. Командный процессор завершает загрузку операционной системы, а затем выполняет команды, записанные в файле AUTOEXEC.BAT.
Как работает загрузочный вирус

При заражении дискеты или жесткого диска компьютера загрузочным вирусом, последний заменяет загрузочную запись или главную загрузочную запись. Настоящая загрузочная запись или главная загрузочная запись обычно не пропадает (некоторые вирусы не сохраняют исходной загрузочной записи). Вирус копирует их в один из свободных секторов (рис. 1.1).

Таким образом, вирус получает управление сразу после завершения процедуры POST. Затем он, как правило, действует по стандартному алгоритму. Вирус копирует себя в конец оперативной памяти, уменьшая при этом объем свободной оперативной памяти. После этого он перехватывает несколько функций BIOS, так что обращение к ним передает управление вирусу. В конце вирус загружает в оперативную память компьютера настоящий загрузочный сектор и передает ему управление. Далее компьютер загружается как обычно, но вирус уже находится в памяти и может контролировать работу всех программ и драйверов.

Рис. 1.1. Загрузочный вирус

Обычно загрузочный вирус заражает компьютер, когда пользователь загружает компьютер с дискеты, на которой уже есть вирус (вне зависимости от того системная эта дискета или нет). Чаще всего это происходит случайно. Вы работаете с дискетой и оставляете ее в дисководе A: компьютера. Если теперь вы перезагрузите компьютер или произойдет сбой работы компьютера из-за скачка питания, то загрузка компьютера начинается с зараженной дискеты и управление получает вирус. Он сразу заражает жесткий диск компьютера, устанавливает себя резидентным в памяти. Затем вирус загружает компьютер обычным образом. Если дискета загрузочная, то произойдет загрузка операционной системы, в противном случае на экране появляется предложение вставить в дисковод A: системную дискету и перезагрузить компьютер.

Теперь даже после перезагрузки компьютера с жесткого диска путем выключения питания удалить вирус нельзя, так как он уже записан на жестком диске. Сразу после включения питания компьютера вирус опять получит управление и разместит себя резидентно в памяти.

Дальнейшее распространение зависит от особенностей вируса. Обычно применяется простая схема. Если вы вставите в дисковод дискету, не зараженную вирусом, и обратитесь к ней, например, чтобы считать названия записанных на ней файлов, вирус получает сигнал, что дискета вставлена в дисковод. Вирус считывает загрузочную запись с дискеты и записывает ее в какой-либо другой сектор дискеты. Вместо оригинальной загрузочной записи записывается код вируса.

Некоторые вирусы, например Joshi, форматируют на дискете дополнительную дорожку. Информация с этой дорожки не может быть считана и записана обычными средствами операционной системы. Вирус может использовать эту дорожку для хранения настоящего загрузочного сектора и некоторых своих модулей. Надо заметить, что использование дополнительных дорожек не является изобретением писателей вирусов. Эта методика применяется многими системами защиты от копирования

Интересный эффект получается, если дискета или диск последовательно заражены несколькими загрузочными вирусами. В зависимости от того, какие секторы эти вирусы используют для хранения настоящего загрузочного сектора, возможны два случая.

В первом случае, когда вирусы используют различные секторы, они будут работать вместе. Сначала получает управление вирус, заразивший дискету последним. Он выполняет свою работу и загружает второй вирус, который заразил дискету раньше. В принципе такая цепочка вирусов может быть достаточно длинной. Последний вирус, который получит таким образом управление, в конце концов загрузит настоящий загрузочный сектор.

Обычно перед заражением диска (или дискеты), загрузочные вирусы проверяют, был ли он заражен ранее. Поэтому повторное заражение одним вирусом не происходит. Если же после заражения диска одним вирусом, его заразит другой загрузочный вирус, то первый вирус посчитает, что он не заражал диск раньше и заразит его еще раз. В результате может потеряться исходная загрузочная запись и компьютер зависнет во время загрузки.

Во втором случае вирусы, заразившие дискету, хранят настоящий загрузочный сектор в одном и том же месте. Когда второй вирус заражает дискету, он записывает код первого вируса в сектор, где первый вирус хранит настоящую загрузочную запись. В результате исходная загрузочная запись оказывается безвозвратно утерянной, а компьютер зависает: второй вирус будет снова и снова считывать и запускать свой вирусный код

Резидентные и нерезидентные вирусы

28 Jan 10 16:57:01 GMT

Резидентные и нерезидентные вирусы

Операционная система MS-DOS является однозадачной. В любой момент времени может работать только одна программа. Когда пользователь закончит с ней работать, программа выгружается из оперативной памяти и пользователь может запустить новую программу. Естественно, это не всегда удобно. Например, если вы пишете в текстовом редакторе финансовый отчет, вам может потребоваться калькулятор. Очень неудобно для запуска калькулятора каждый раз завершать текстовый редактор, а потом запускать его снова.

Чтобы как-то смягчить неудобства, вызванные однозадачностью MS-DOS, был создан механизм резидентных программ. При запуске резидентной программы она сразу возвращает управление операционной системе, но оставляет в оперативной памяти резидентный модуль.

Даже если потом запускаются другие программы этот модуль остается в памяти. Затем, когда пользователь нажимает определенную комбинацию клавиш или при другом условии резидентная программа может активизироваться и выполнить некоторую работу.

В качестве примера можно привести программы резидентных калькуляторов. Они могут быть загружены из командной строки операционной системы или из файла AUTOEXEC.BAT и остаются резидентными в памяти. Если пользователь нажимает определенную комбинацию клавиш, на экране появляется панель калькулятора. Пользователь может выполнить любые вычисления и вернуться в свою программу. Резидентные программы могут выполнять и другие действия. Например, они могут выполнять функции будильника.

Механизм резидентных программ, предусмотренный для сугубо мирных целей, был использован авторами вирусов. Обычные, нерезидентные вирусы получают управление и становятся активными только во время запуска зараженной программы. После запуска вирусом настоящей программы, он окончательно теряет управление, до тех пор, пока зараженная программа опять не будет запущена. За это небольшое время вирус должен заразить другие программы и выполнить заложенные в него автором дополнительные функции.

Резидентный вирус, получив управление, оставляет в оперативной памяти компьютера небольшой модуль, который остается активным вплоть до перезагрузки компьютера. Резидентный модуль вируса может использоваться для решения самых различных задач.

Обычно он применяется для заражения новых программ. Резидентный модуль отслеживает запуск или открытие файлов программ, проверяет, не были ли они уже заражены, и если нет, то заражает их.

Интересно, что если на компьютере, зараженном резидентным вирусом, поражающим выполнимые файлы при их открытии, запустить антивирусную программу, которая не может определить этот вирус, то по окончании проверки окажутся зараженными все проверяемые выполнимые файлы.

Некоторые разновидности вирусов, называемые стелс-вирусами, используют резидентный модуль, чтобы замаскировать свое присутствие. Они могут перехватывать обращения к файловой системе и скрывать изменение длины зараженных файлов. Более подробно о стелс-вирусах вы можете прочитать в разделе “Маскировка вирусов”.

И, конечно, резидентный модуль используется для создания всевозможных спецэффектов. Здесь все зависит от фантазии и знаний, которыми обладает автор вируса. Те, кто попроще, могут испортить данные, записываемые на диск, замедлить работу компьютера. Более изысканные в программировании и менее злобные авторы создают всевозможные видеоэффекты и звуковые композиции.

Любая резидентная программа, и в том числе резидентные модули вирусов, уменьшают объем доступной оперативной памяти. Это изменение можно заметить с помощью команды MEM, входящей в состав операционной системы MS-DOS.

Команда MEM отображает информацию об использовании оперативной памяти компьютера. С помощью нее можно узнать, сколько оперативной памяти установлено на компьютере, сколько памяти занято и сколько свободно для использования:

Memory Type Total Used Free
---------------- -------- -------- --------
Conventional 640K 204K 436K
Upper 0K 0K 0K
Reserved 384K 384K 0K
Extended (XMS) 15 360K 14 336K 1 024K
---------------- -------- -------- --------
Total memory 16 384K 14 924K 1 460K

Total under 1 MB 640K 204K 436K

Total Expanded (EMS) 1 024K (1 048 576 bytes)
Free Expanded (EMS) 1 024K (1 048 576 bytes)

Largest executable program size 436K (446 256 bytes)
Largest free upper memory block 0K (0 bytes)
MS-DOS is resident in the high memory area.

Команда MEM позволяет подробно исследовать резидентные модули, загруженные в память. Для этого при вызове команды ей надо указать дополнительные параметры. Подробное описание команды MEM изложено в десятом томе “Библиотеки системного программиста” - “Компьютер IBM PC/AT, MS-DOS и Windows. Вопросы и ответы”. ‡Здесь мы приведем только основные сведения.

MEM [/CLASSIFY | /DEBUG] [/PAGE]

Если указать дополнительный параметр /CLASSIFY (или /C), то будет представлена информация по каждому резидентному модулю, размещенному в оперативной памяти.

Вместо параметра /CLASSIFY можно указать параметр /DEBUG (или /D). В этом случае будет собрана дополнительная информация о загруженных драйверах.

Команда MEM выводит на экран очень много информации. Так как экран компьютера может одновременно отображать ограниченное количество строк, то выполняется свертка изображения. Дополнительный параметр /PAGE (или /P) позволяет после заполнения очередного экрана выдерживать паузу.

Вирусы могут оставлять в оперативной памяти резидентные модули. Фактически все загрузочные вирусы и большинство файловых вирусов являются резидентными.

Резидентные модули вируса могут затруднить его обнаружение и удаление. Чтобы не дать вирусу шанс получить управление и оставить резидентный модуль в памяти, рекомендуется для проверки компьютера выполнять загрузку с чистой системной дискеты.

Избавиться от троянца (Trojan.Winlock.origin), блокирующего доступ к системе (sms-сообщения)

14 Jan 10 16:05:20 GMT

Trojan.Winlock обладает особенностью, позволяющей ему удалять себя через 2 часа после запуска. Для тех, кто не хочет ждать, специалисты компании «Доктор Веб» подготовили специальную форму, в которую можно ввести текст предполагаемого sms-сообщения и получить код разблокировки.

ЗАХОДИМ СЮДА

http://news.drweb.com/show/?i=304&c=9&p=..

Жмём специальный раздел сайта

Запустить сеанс ползователя - (OK)

Выбираем код на который у вас просит отправить SMS.

Уcтанавливаем Kaspersky Virus Removal Tool 9.0.0.722 13.01 http://www.netvir.ru/blog/1916/5462 и сканируем систему (если антивирус незапускается или пропадает тогда Антивирусная утилита AVZ - 4.32. http://www.netvir.ru/blog/1916/5173 )

Как бороться с сетевым червем Net-Worm.Win32.Kido

04 Jan 10 22:17:16 GMT

Как бороться с сетевым червем Net-Worm.Win32.Kido (другие названия: Conficker, Downadup) [версия утилиты для удаления - 3.4.13]

Симптомы заражения
При наличии зараженных компьютеров в локальной сети повышается объем сетевого трафика, поскольку с этих компьютеров начинается сетевая атака.

Антивирусные приложения с активным сетевым экраном сообщают об атаке Intrusion.Win.NETAPI.buffer-overflow.exploit.

Невозможно получить доступ к сайтам большинства антивирусных компаний, например, avira, avast, esafe, drweb, eset, nod32, f-secure, panda, kaspersky и т.д.

Попытка активации Антивируса Касперского или Kaspersky Internet Security с помощью кода активации на машине, которая заражена сетевым червем Net-Worm.Win32.Kido, может завершиться неудачно и возникает одна из ошибок:
Ошибка активации. Процедура активации завершилась с системной ошибкой 2.
Ошибка активации. Невозможно соединиться с сервером.
Ошибка активации. Имя сервера не может быть разрешено.

Краткое описание семейства Net-Worm.Win32.Kido
Создает на съемных носителях (иногда на сетевых дисках общего пользования) файл autorun.inf и файл RECYCLED\{SID<....>}\RANDOM_NAME.vmx
В системе червь хранится в виде dll-файла со случайным именем, состоящим из латинских букв, например c:\windows\system32\zorizr.dll
Прописывает себя в сервисах - так же со случайным именем, состоящим из латинских букв, например knqdgsm.
Пытается атаковать компьютеры сети по 445 или 139 TCP порту, используя уязвимость в ОС Windows MS08-067.
Обращается к следующим сайтам для получения внешнего IP-адреса зараженного компьютера (рекомендуем настроить на сетевом брандмауэре правило мониторинга обращения к ним):
http://www.getmyip.org
http://getmyip.co.uk
http://www.whatsmyipaddress.com
http://www.whatismyip.org
http://checkip.dyndns.org

Удаление сетевого червя производится с помощью специальной утилиты KK.exe. Операционные системы MS Windows 95/MS Windows 98/MS Windows Me не подвержены заражению данным сетевым червем.

С целью предохранения от заражения на всех рабочих станциях и серверах сети необходимо провести следующий комплекс мер:
Установить патчи, закрывающие уязвимости MS08-067, MS08-068, MS09-001 (на данных страницах вам необходимо выбрать операционную систему, которая установлена на зараженном компьютере, скачать нужный патч и установить его).

Удостовериться, что пароль учетной записи локального администратора устойчив ко взлому - пароль должен содержать не менее шести символов, с использованием разных регистров и/или цифр. Либо сменить ранее установленный пароль локального администратора.

Отключить автозапуск исполняемых файлов со съемных носителей, запустив утилиту KK.exe с ключом -a:

Для ОС Windows XP/Server: Пуск - Выполнить - наберите команду kk.exe -a - после ввода команды нажмите Enter.
Для OC Windows Vista: Пуск - Все программы - Стандартные - Выполнить - наберите команду kk.exe -a - после ввода команды нажмите Enter.
Заблокировать доступ к TCP-портам: 445 и 139 с помощью сетевого экрана.

Блокировать TCP-порты 445 и 139 необходимо только на время лечения. Как только будет пролечена вся сеть, можно разблокировать эти порты.

Скачать :KK - http://letitbit.net/download/2694.28cd652edfcac947...

Избавляемся от вируса win32.sality.aa

15 Dec 09 19:31:59 GMT

Избавляемся от вируса win32.sality.aa Лечим последствия вируса win32.sality.aa Не так давно пришлось столкнуться с вирусом sality.aa или же Sector.17 по классификации DrWeb. и хотел вот рассказать как я избавлялся от этой заразы. Прежде всего, этот вирус по своим характеристикам и последствиям не так далеко ушел от Kido, который бушует в сети. Кроме того он все еще не выпадает из топ 20 вирусов Лаборатории Касперского. Итак, прежде всего мы удаляем сам вирус утилитой Cureit DrWeb. http://omega2018.mylivepage.ru/blog/261/4913 это не сложно сделать. Следующий шаг это исправление изменений внесенных вирусом. Для этого скачиваем архив sality off пройдя по ссылке и запускаем ехе файл, потом вносим изменения в реестр с помощью файлов, находящихся внутри. http://omega2018.mylivepage.ru/file/1340/5463_sali...

И как же бороться с вирусом?

15 Dec 09 19:05:22 GMT

Как мы заметили, сейчас становится все сложнее вручную бороться с вирусами и последствиями заражения. Вирусы все изощреннее и чаще всего наносят непоправимый урон операционной системе Windows.

И как же бороться с вирусом, как можно вылечить последствия заражения?

Первый способ, это вручную. Все вредоносные программы вносят изменения в реестр и копируют свое ядро в определенные папки, для последующих запусков при включении компьютера.
С флешки удалить вирус не составляет труда и как это делается описано в статье про защиту от вирусов с флешки. А вот с самим компьютером дело обстоит все гораздо сложнее. Вирус заносит свои данные в реестр и в большинстве случаев блокирует доступ к нему, как и к безопасному режиму, диспетчеру задач Windows, настройкам системы. Тем самым закрывает пути для ручной работы. Для пользователей хорошо знающих операционную систему это, конечно же, не преграда. А для обычных среднестатистических пользователей непреодолимая преграда, да и нет особой необходимости в том чтоб копаться в системе. Ведь на то есть антивирусные программы.

Второй вариант - Антивирусное решение. На фоне растущего числа вирусов и способов заражения, защита выполненная программно наиболее надежная и практичная. Антивирус в плане удаления вирусов работает на ура. А вот излечивание зараженных файлов и восстановление настроек слегка хромает, это уже зависит от того каким антивирусом вы лечите компьютер.
Самая простая и надежная схема удаления вирусов и последствий заражения выглядит так:
- Наличие антивирусной программы. Обновить базы и проверить свой компьютер.
- При нахождении и удаления вируса запомнить название (кодификатор, например, virus.win32.kido) вредоносной программы. Если их много, то лучше эти данные взять из файла отчета программы.
- Выявить последствия заражения, если они есть.
- В интернете с помощью кодификатора найти утилиты восстановления. Скачать их и установить.
- Проверить, восстановились ли те последствия, которые вы выявили.

Все нужные программы и утилиты можно найти на сайте в поиске!

Как удалить вирус autorun?...

15 Dec 09 17:56:35 GMT

Как удалить вирус autorun?

Локальные диски начали открываться в новом окне либо вообще перестали открываться. Антивирус находит вирус Autorun (Virus.Win32.Small), но ничего не может сделать. Как удалить вирус autorun?

На самом деле, вопрос “Как удалить вирус Autorun?” встречается в интернете достаточно часто. Вирус Autorun - далеко не самая страшная зараза, однако досадить он может достаточно, чтобы заставить пользователя приложить все усилия для его безболезненного уничтожения. Итак, давайте вместе взглянем, что же делает вирус autorun и рассмотрим наиболее простой и понятный способ борьбы с ним.

Что такое вирус Autorun, как он вредит вам и вашему компьютеру?

В мире компьютерной безопасности популярный вирус Autorun называется Virus.Win32.Small, однако, хотя его и способен обнаружить почти каждый современный антивирус, уничтожить его без последствий под силу далеко не каждому. Для начала, расскажем вам о том, чем же занимается столь интересный вирус и какие его симптомы вы должны обнаружить, чтобы начинать бить тревогу.

Вирус autorun проникая в ваш компьютер создает от 4 до 13 файлов маски autorun.*
Autorun.~ex
autorun.bat
autorun.bin
Autorun.exe
Autorun.ico
AUTORUN.INF
autorun.inf
Autorun.ini
autorun.reg
autorun.srm
autorun.txt
autorun.vbs
autorun.wsh

в корневых каталогах разделов жесткого диска (C:/ , D:/ , E:/ и т.д), а также в папке Windows/System32

Итак, как только вирус заразил ваш пк, все ваши локальные диски, флешки, mp3 плееры и фотоаппараты внезапно начнут открываться в новых окнах. Действительно, ничего страшного, однако довольно неудобно. Ко всему прочему, вирус autorun самостоятельно правит ветку системного реестра Windows, отвечающую за отображение скрытых и системных файлов. По умолчанию, скрытые и системные файлы скрываются в проводнике windows xp, открыть их можно при помощи контекстного меню Сервис - Свойства папки, вкладки Вид - Скрытые файлы и папки, а также Вид - Скрывать защищенные системные файлы (реккомендуется).

Вирус autorun запрещает открывать скрытые и системные файлы, что может помешать нормальной работе пользователя персонального компьютера.

Вся хитрость и коварство сего вируса состоит в том, что борльшинство антивирусов хоть и удаляют его, не восстанавливают значения поврежденного системного реестра windows, что ведет к тому, что локальные диски и USB запоминающие устройства совсем перестают открываться. При попытке открыть локальный диск двойным щелчком мыши, пользователю будет открыто окно с ошибкой:

autorun.* не является приложением Win32

Если вам не мешает жить поврежденная операционная система, можете не предпринимать никаких действий. Если же вы хотите удалить вирус autoeun раз и навсегда, читайте следующий раздел.
Как удалить вирус Autorun?

Есть несколько способов избавить от вируса Autorun или Virus.Win32.Small, однако мы рассмотрим самый быстрый, простой и понятный из них. Для удаления вируса была разработана специальная утилита, размером всего 108 Kb и звучным названием AntiAutorun.

Итак, вам нужно

Скачать antiautorun

http://omega2018.mylivepage.ru/file/1340/5462_anti...

По завершению скачивания, запускаем antiautorun и видим приветсвующий текст.

В открывшемся окне описано назначение программы, а также объяснение, как можно избежать дальнейшего заражения компьютера с флешки или mp3 плеера (к данному вопросу мы вернемся немного позже).

Итак, читаем инструкции и жмем OK. В ответ получаем отчет о поиске и удалении файлов вируса, а также приглашение посетить сайт разработчиков. поздравляем - вирус autorun полностью удален из вашей операционной системы.
Как обезопасить себя от заражения вирусом Autorun с флешек, mp3 плееров и прочих запоминающих устройств

Сделать это очень просто: при подключении любого запоминающего USB устройства зажмите клавишу SHIFT - это предотвратит автозапуск проводника, встроенный в Windows по-умолчанию. Далее запустите Antiautorun и проверьте, есть ли на подключенном устройстве вирусы. Готово, можете безопасно работать.

Вирусы используют USB-модемы

07 Dec 09 14:53:27 GMT

Вирусы используют USB-модемы для набора платных телефонных номеров

Ряд пользователей «Мегафона» на Юге России столкнулись со случаями несанкционированных международных вызовов с установленных в USB-модемах sim-карт. Причиной стали так называемые дайлеры — вредоносные программы, без ведома пользователя подключающиеся к одному из зарубежных интернет-провайдеров. С аналогичными проблемами столкнулись и абоненты МТС в тех же южных регионах России.

Кто рискует. За последние 12 месяцев российские операторы мобильной связи продали около 2 млн USB-модемов.

Абоненты «Вымпелкома» не сталкивались с подобными проблемами, поскольку этот оператор продает модемы в комплекте со специальным тарифным планом. Они предназначены исключительно для интернет-доступа, а голосовые услуги для владельцев таких sim-карт недоступны. CDMA-оператор «Скай линк» для защиты своих абонентов от дайлеров разработал услугу «запрет международных вызовов», а также предлагает им бесплатно скачать антивирусную программу.

Руководитель Центра глобальных исследований и анализа угроз «Лаборатории Касперского» Александр Гостев считает, что речь идёт о троянских программах, которые запускают дозвон на платные номера. В результате таких звонков со счёта пользователя списываются серьёзные суммы. Сами по себе такие программы известны давно, они используют любые установленные на компьютере модемы, в том числе и беспроводные, отмечает Гостев.

Вредоносные программы-дайлеры ранее использовали dial-up модемы, но по мере отказа пользователей от этих модемов в пользу ADSL-доступа и широкополосных технологий проблема этих вирусов пошла было на спад. И вот быстро растущая популярность USB-модемов возродила дайлеры к жизни.

Пока что сотовые операторы возлагают надежды на антивирусное ПО. Так «Мегафон» и МТС рекомендуют абонентам пользоваться антивирусными программами, а «Вымпелком» продает модемы с предустановленным антивирусом Dr.Web. Частные пользователи в России в последние годы тратят все больше денег на безопасность компьютера: в 2008 г. производители программных средств безопасности заработали в этом сегменте в два с лишним раза больше, чем годом ранее.

SMS Reader

07 Dec 09 14:51:51 GMT

Мошенники обманывают пользователей, предлагая получить тексты СМС с чужих номеров

В последнее время в Рунете распространяется программа SMS Reader v.11.4.3 Russian edition, которая используется злоумышленниками для реализации мошеннической схемы. Создатели программы, определяемой Dr.Web как Trojan.Fraudster.6, предлагают пользователям получить тексты СМС-сообщений с любого абонентского номера, который он укажет. По словам разработчиков, данная программа запускается с любого ПК и требует лишь подключение к Интернету.

Скачавшему SMS Reader с сайта www.ubs***.ru, пользователю предлагается заполнить таблицу, указав при этом телефонный номер, распечатки СМС которого он хочет посмотреть, а также ФИО человека, на которого этот номер зарегистрирован. При этом, по уверениям разработчиков данной схемы, SMS Reader способен получать данные по 6 крупным российским операторам связи, что на самом деле не соответствует действительности.

В дальнейшем программа проводит якобы проверку данных и сообщает пользователю, что найдено определенное количество СМС за указанный им период. При этом неважно, указан ли номер действующего абонента, или совершенно случайные ФИО и бессмысленный набор цифр — данная функция является лишь прикрытием, т.к. никакого обмена информацией по внешнему каналу программой не проводится.

Для прочтения «полученных» СМС создатели SMS Reader требуют отправить на специальный номер СМС стоимостью 3-4 у.е.. Если пользователь делает это, то выводится сообщение, что «оператор передал СМС в зашифрованном виде». Для того чтобы текст стал читабельным, пользователю предлагается СМС-дешифратор, для чего требуется отослать ещё одно СМС. Если пользователь совершит все указанные действия, программа завершит свою работу.

На самом деле за данной программой скрывается очередная мошенническая модель, цель которой — отъём средств у пользователей. Никаких расшифрованных текстов СМС пользователь не получает и получить не может по причине отсутствия данного функционала в SMS Reader.