Инфицированный файл что с ним делать
Я научу вас ремонтировать свой компьютер!
Наверное, каждому из нас хотя бы раз в жизни приходило сообщение на электронный адрес, ICQ или в социальной сети сообщение от незнакомого человека, содержащее ссылку на фото друга или поздравление с каким-либо праздником.
И все вроде бы не предвещает беды, однако, при переходе по внешней ссылке на ваш компьютер попадает вредоносное программное обеспечение о котором вы даже не подозреваете. Позднее вы обнаруживаете, что все ваши файлы зашифрованы и вы не можете получить к ним доступ. Какие меры предпринимать в этой ситуации и есть ли способ вернуть себе то, что принадлежит по праву?
Стоит отметить, что абсолютно не важно, какая версия программного обеспечения установлена на ваш ПК, поскольку Critroni-вирус способен заражать любую современную ОС. Чтобы избавиться от вредоносной программы, необходимо иметь представление о том, что она из себя представляет и каким образом попадает на жесткий диск компьютера.
Определение и алгоритм работы шифровальных вирусов
В наши дни во всемирной сети все большее распространение получает так называемый CTB или Critroni вирусы. Это вредоносное ПО одна из разновидностей распространенных ранее троянов, получивших название CriptoLocker, направленных на проникновение на винчестер и шифрование хранимых на нем данных и вымогание оплаты за них. Инфицированные файлы можно определить по неизвестным для Windows расширениям файлов типа ctbl, xtbl, ctb2 и других, которые не может открыть ни одна программа. Прежде чем приступить к борьбе с вирусом, необходимо понять его алгоритм работы.
Еще одной распространенной категорией вредоносного программного обеспечения, распространенного на просторах интернет, являются трояны типа Ransom.Win32.Shade и Ransom.Win32.Onion. Алгоритм работы этих вирусов схож с принципом действия Critroni, своей областью локального заражения. Чтобы определить, что файлы инфицированы именно этими троянами, необходимо посмотреть какое расширение присвоено файлам. В случае с Ransom к имени файла добавляется приставка xtbl. Заражению подвергаются любые текстовые документы, фотографии, базы данных и другие документы.
При попытке открытия зараженных файлов пользователь получает уведомление о том, что они заражены и для восстановления доступа необходимо произвести оплату на указанный счет или номер телефона. Однако не следует спешить с оплатой, ведь для борьбы с этим видом трояна существует другой способ, который будет рассмотрен далее в этой статье.
Чего лучше не делать при заражении компьютера шифровальным вирусом
Большинство начинающих пользователей при обнаружении Critroni-вирусов устанавливают различные антивирусные программы, позволяющие избавиться от вредоносного ПО. Однако вместе с вирусом эти программы удаляют и инфицированные файлы, которые могут представлять большую ценность для их владельца. Ситуацию усугубляет еще и то, что восстановить потерянную информацию невозможно.
Другая категория юзеров пытается бороться с вирусом, изменяя расширение .xtbl на нормальное. Однако это не дает никаких результатов. Конечно, можно полностью избавиться от зловредной программы отформатировав жесткий диск и переустановив Windows, но это также приведет к потере всей хранимой документации на винчестере. Оказываются бесполезными и специальные программы-дешифраторы, поскольку в основе шифровальных вирусов лежит специальный программный код, нуждающийся в особом подходе.
Какую потенциальную угрозу представляют вирусы-вымогатели для компьютера
Ни для кого не секрет, что ни один из известных на сегодняшний день типов вирусов не принесет никакой пользы вашему компьютеру. Основным предназначением эти программ является заработок денег, путем вымогания их у неопытных пользователей. Помимо этого, в разработке вредоносного программного обеспечения заинтересованы и производители антивирусных программ, ведь именно за их помощью обращаются пользователи в случае столкновения с вирусами.
Так какую же потенциальную угрозу представляют Critroni-вируса для персонального компьютера? В их основе лежит нестандартный программный код, неизвестный большинству бесплатных антивирусных программ, поэтому вылечить файлы им не удастся. Удаление зараженных объектов также невыход, поскольку это приведет и к потере информации, как об этом писалось выше. Единственным выходом для локализации заражения является перемещение инфицированных файлов в специальный карантин.
Срок действия шифровальных вирусов
Если вредоносной программе удалось каким-либо способом пробраться на ваш компьютер и зашифровать ваши файлы, то ручная смена разрешения будет безрезультатной. Алгоритм работы Critroni-вирусов настроен таким образом, что в случае не поступления на счет вымогаемой оплаты, вы можете получать сообщения на электронную почту или различные программы-мессенджеры с угрозами о безвозвратном удалении ваших файлов.
На большинство пользователей такое психологическое давление оказывает существенное влияние и они с покорностью отправляют злоумышленникам необходимую сумму. Однако не многие пользователи задумываются о том, что будет после того, как киберпреступники получают эти деньги. Как правило, они попросту навсегда забывают о своих жертвах, а доверчивые юзеры остаются у разбитого корыта.
Когда указанное время ожидания в программном коде подходит к концу, вирус-вымогатель закрывается, после чего пользователю выводится всплывающее окно, в котором указано, что более подробная информация указана в текстовом файле DecryptAllFile, находящемся в папке документов. Однако не стоит расстраиваться, поскольку еще существует шанс вернуть свою информацию.
Как шифровальные вирусы проникают в операционную систему
Основным способом заражения ОС вредоносными программами являются зараженные сообщения, поступающие на email или другие сайты, часто посещаемые владельцем компьютера. Помимо этого очень часто можно поймать вирус через поддельные флеш-банеры или видеопроигрыватели, размещенные на различных интернет-сайтах.
Как только вирус попадает на жесткий диск компьютера, он активизируется и шифрует все попавшиеся на своем пути файлы. Если вы встретили на винчестере файлы с разрешением .cbf, .ctbl или .ctb2, то можете забыть о них, поскольку они не подлежат восстановлению. Также стоит отметить, что на сегодняшний день нет ни одной антивирусной программы, способной взломать программный код Critroni-вирусов. Если у вас нет специального ключа, то единственный выход — это перемещение инфицированных файлов в карантин или полное их удаление.
Как защитить себя от заражения шифровальным вирусом
На различных тематических интернет-ресурсах содержится большое количество информации по этому поводу, которая на практике оказывается бесполезной. Очень часто в процессе работы за компьютером с ним начинают происходить различные необъяснимые вещи: железо выходит из строя, операционная система выдает множество ошибок или операционную систему заражает вредоносное программное обеспечение. Как правило, это происходит при написании диплома или составлении квартальной отчетности на работе. Чтобы обезопасить себя от непредвиденных поворотов судьбы, желательно хранить резервную копию важной документации.
Однако не менее важным аспектом является и защита компьютера от вирусов. Для этого необходимо защитить свою операционную систему хорошим антивирусом, а также активирован и правильно настроен брандмауэр Windows, отвечающий за вашу безопасность во время работы в сети. Также необходимо соблюдать несколько главных правил: не скачивать подозрительные программы с сомнительных сайтов, не переходить по неизвестным ссылкам, прикрепленным в сообщении от неизвестных адресатов.
Помимо этого для защиты своей информации от вредоносного программного обеспечения рекомендуется производить периодическое резервное копирование всех данных, с помощью которых можно без особых проблем восстановить утерянные файлы.
Методы лечения инфицированных файлов от вирусов-вымогателей
Если вы по неосторожности стали жертвой вируса-вымогателя, зашифровавшего ваши персональные данные, необходимо попытаться вернуть доступ к ним. Для этого существует несколько простых способов лечения инфицированных вредоносным программным обеспечением объектов, которые мы рассмотрим далее в этой статье.
Одним из наиболее надежных в наши дни и проверенных временем методов является резервное копирование, позволяющее восстановить личную информацию в случае шифрования файлов.
Программное восстановление файлов. Принцип работы шифровальных вирусов основан на том, что вредоносная программа копирует файл, заражает его, внося свой программный код в код операционной системы, а оригинал удаляет. Таким образом, восстановить его нет никакой возможности. Однако при помощи некоторых утилит можно создать резервные копии еще не зараженных вирусом файлов. Стоит учитывать, что чем дольше на вашем компьютере орудует шифровальный вирус, тем больше информации впоследствии будет утеряно.
Восстановить зараженные файлы с расширением vault можно при помощи теневых томов копий. Иными словами, есть небольшая вероятность того, что некоторые оригиналы зараженных файлов все-таки останутся не удаленными и их впоследствии можно будет восстановить. Хоть вероятность этого и невелика, однако, она существует и может сыграть вам на руку.
Помимо этого, с развитием интернет-технологий и методов хранения данных, в наши дни существует множество файлообменников и облачных хранилищ данных, позволяющих хранить важные файлы и документы на виртуальных дисках. Система безопасности на них значительно выше и вероятность их инфицирования значительно снижается.
Программная защита персонального компьютера от заражения вредоносным ПО
Защитить свои файлы от инфицирования вирусами можно и при помощи встроенных в операционную систему Windows специальных редакторов локальной политики. Они позволяют ограничить доступ к файлам посторонних программ, в результате чего шифровальный вирус при попытке заражения документа не сможет получить к нему доступ и заразить его.
Восстановление инфицированных файлов
Если ваши файлы были зашифрованы Critroni-вирусом, то нет смысла пробовать восстановить их при помощи антивирусных программ, поскольку ни одному современному антивирусу это не под силу. Однако эти программы позволяют локализовать область заражения и полностью удалить вредоносное программное обеспечение с компьютера.
Если вы не создали резервную копию данных или не поместили ценные документы на виртуальный диск облачного хранилища, то остается только один выход: перечислить необходимую сумму денег на счет вымогателя. Тем не менее нет стопроцентной гарантии того, что киберпреступник пришлет вам ключ, с помощью которого можно деактивировать вредоносную программу и возобновить доступ к зашифрованным файлам.
Как искать инфицированные файлы
Как заблокировать Critroni-вирус
При малейшем подозрении о заражении компьютера вирусом, первым делом, необходимо перейти в безопасный режим работы в сети. Для этого в операционной системе Windows предусмотрена клавиша F10.
В том случае, если шифровальный вирус уже успел зашифровать часть ваших файлов в один из неизвестных операционной системе форматов, то расшифровать их будет практически невозможно. Однако если нанесенный вирусом ущерб не слишком велик, то его деятельность можно заблокировать при помощи политики ограничения доступа программ.
Запись опубликована 01.07.2015 автором katrinas11 в рубрике Антивирусы. Отблагодари меня, поделись ссылкой с друзьями в социальных сетях:
Случалось ли так, что вам на Email, в Skype или ICQ приходило сообщение от неизвестного отправителя со ссылкой на фото вашего друга или поздравление с наступающим праздником? Вроде бы не ожидаешь никакой подставы, и вдруг при переходе по ссылке на компьютер загружается серьезный вредоносный софт. Вы не успеваете опомниться, как уже вирус зашифровал все файлы. Что делать в такой ситуации? Есть ли возможность восстановления документов?
Для того чтобы понять, как бороться с вредоносной программой, нужно знать, что она представляет собой и каким образом проникает в операционную систему. К тому же абсолютно не важно, какой версией Windows вы пользуетесь - Critroni-вирус направлен на инфицирование любой операционной системы.
Шифровальный компьютерный вирус: определение и алгоритм действия
На просторах Интернета появился новый компьютерный вирусный софт, известный многим под названием CTB (Curve Tor Bitcoin) или Critroni. Это усовершенствованный троян-вымогатель, схожий по принципу алгоритма с ранее известным вредоносным софтом CriptoLocker. Если вирус зашифровал все файлы, что делать в таком случае? Прежде всего нужно понять алгоритм его работы. Суть действия вируса в том, чтобы зашифровать все ваши файлы в расширения .ctbl, .ctb2, .vault, .xtbl или другие. При этом вы не сможете открыть их до тех пор, пока не заплатите запрошенную сумму денег.
Часто встречаются вирусы Trojan-Ransom.Win32.Shade и Trojan-Ransom.Win32.Onion. Они очень похожи на СТВ своим локальным действием. Их можно различить по расширению зашифрованных файлов. Trojan-Ransom кодирует информацию в формате .xtbl. При открытии любого файла, на экран выводится сообщение о том, что ваши персональные документы, базы данных, фотографии и другие файлы были зашифрованы вредоносной программой. Чтобы расшифровать их, необходимо платно получить уникальный ключ, который хранится на секретном сервере, и только в этом случае вы сможете сделать дешифрование и криптографические действия со своими документами. Но не стоит переживать и тем более отправлять на указанный номер деньги, есть другой способ борьбы с таким видом киберпреступности. Если на ваш компьютер попал именно такой вирус, зашифровал все файлы .xtbl, что делать в такой ситуации?
Чего не стоит делать при проникновении шифровального вируса на компьютер
Случается, что в панике мы устанавливаем антивирусную программу и с ее помощью в автоматическом или ручном режиме удаляем вирусный софт, теряя вместе с ним и важные документы. Это неприятно, помимо того, на компьютере могут храниться данные, над которыми вы работали месяцами. Обидно терять такие документы без возможности их восстановления.
Если вирус зашифровал все файлы .xtbl, некоторые пытаются сменить их расширение, но это тоже не приводит к положительным результатам. Переустановка операционной системы и форматирование жесткого диска безвозвратно удалит зловредную программу, но вместе с этим вы потеряете и всякую возможность восстановления документов. В данной ситуации не помогут и специально созданные программы-дешифраторы, ведь софт-вымогатель запрограммирован по нестандартному алгоритму и требует особого подхода.
Чем опасен вирус-вымогатель для персонального компьютера
Совершенно понятно, что ни одна вредоносная программа не принесет пользу вашему персональному компьютеру. Для чего создается такой софт? Как ни странно, такие программы были созданы не только в целях выманивания у пользователей как можно большего количества денег. На самом деле вирусный маркетинг достаточно выгоден многим антивирусным изобретателям. Ведь если вирус зашифровал все файлы на компе, куда вы обратитесь в первую очередь? Естественно, за помощью профессионалов. Чем же шифровальные вирусы опасны для вашего ноутбука или персонального компьютера?
Алгоритм их работы нестандартный, поэтому обычным антивирусным обеспечением будет невозможно вылечить зараженные файлы. Удаление вредоносных объектов приведет к потере данных. Только перемещение в карантин даст возможность обезопасить другие файлы, которые зловредный вирус еще не успел зашифровать.
Срок действия шифровального вредоносного обеспечения
Если ваш компьютер заразился Critroni (вредоносной программой) и вирус зашифровал все файлы, что делать? .vault-, .xtbl-, .rar-форматы самостоятельно не расшифруешь, вручную поменяв расширение на .doc, .mp3, .txt и другие. В случае если в течение 96 часов вы не оплатите нужную сумму киберпреступникам, с вами будут вести запугивающую переписку по почте о том, что все ваши файлы безвозвратно удалятся. В большинстве случаев на людей действуют такие угрозы, и они неохотно, но послушно выполняют указанные действия, боясь потерять драгоценную информацию. Жаль, пользователи не понимают того факта, что киберпреступники не всегда верны своему слову. Получив деньги, они зачастую уже не беспокоятся о дешифровке ваших заблокированных файлов.
По истечении таймера вредоносной программы она автоматически закрывается. Но у вас еще есть шанс восстановления важных документов. На экране появится сообщение о том, что время истекло, и более детальную информацию о файлах вы сможете просмотреть в папке документов в специально созданном блокнот-файле DecryptAllFiles.txt.
Способы проникновения шифровальных вредоносных программ в операционную систему
Обычно вирусы-шифровальщики проникают в компьютер через зараженные сообщения, поступающие на электронную почту либо через фейковые загрузки. Это могут быть поддельные флеш-обновления или мошеннические видеопроигрыватели. Как только программа загружается на компьютер любым из этих способов, она сразу же шифрует данные без возможности их восстановления. Если вирус зашифровал все файлы .cbf, .ctbl, .ctb2 в другие форматы и у вас нет резервной копии документа, хранящегося на съемном носителе, считайте, что вам больше не удастся их восстановить. На данный момент антивирусные лаборатории не знают, как взломать такие шифровальные вирусы. Без необходимого ключа существует возможность только блокировать зараженные файлы, перемещать их в карантин или удалять.
Как избежать заражения компьютера вирусом
Зловещий вирус зашифровал все файлы .xtbl. Что делать? Вы уже перечитали массу ненужной информации, которую пишут на большинстве веб-сайтов, и ответ не находите. Так случается, что в самый неподходящий момент, когда срочно нужно сдавать отчет на работе, дипломную в университете или защищать свою профессорскую степень, компьютер начинает жить своей жизнью: ломается, заражается вирусами, зависает. Вы должны быть готовы к таким ситуациям и держать информацию на сервере и съемном носителе. Это позволит в любой момент переустановить операционную систему и через 20 минут работать за компьютером, как ни в чем не бывало. Но, к сожалению, мы не всегда такие предприимчивые.
Чтобы избежать заражения компьютера вирусом, прежде всего необходимо установить хорошую антивирусную программу. У вас должен быть правильно настроен брандмауэр Windows, который защищает от попадания различных вредоносных объектов через Сеть. И наиболее важное: не качайте софт с непроверенных сайтов, торрент-трекеров. Чтобы избежать заражения компьютера вирусными программами, следите за тем, на какие ссылки вы переходите. Если вам на электронную почту пришло письмо от непонятного адресата с просьбой или предложением посмотреть, что за ссылкой спрятано, лучше всего переместить сообщение в спам или удалить вообще.
Чтобы в один прекрасный момент не вышло так, что вирус зашифровал все файлы .xtbl, лаборатории антивирусного программного обеспечения советуют бесплатный способ защиты от заражения шифровальными вирусами: раз в неделю осуществлять резервное копирование данных и осмотр их состояния.
Вирус зашифровал все файлы на компьютере: способы лечения
Если вы стали жертвой киберпреступности и данные на вашем компьютере были заражены одним из шифровальных видов вредоносных программ, тогда самое время попытаться восстановить файлы.
Существует несколько способов бесплатного лечения зараженных документов:
- Наиболее распространенный метод и, наверное, самый действенный в нынешний момент - резервное копирование документов и последующее восстановление в случае непредвиденного заражения.
- Программное восстановление файлов. Алгоритм CTB-вируса работает интересным образом. Попадая в компьютер, он копирует файлы, шифрует их, а оригиналы документов удаляет, тем самым исключая возможность их восстановления. Но с помощью программного софта Photorec или R-Studio вы можете успеть сохранить некоторые нетронутые оригинальные файлы. Следует знать, что чем дольше вы пользуетесь компьютером после его заражения, тем меньше вероятность восстановления всех необходимых документов.
- Если вирус зашифровал все файлы .vault, есть еще один неплохой способ их дешифровки - использование теневых томов копий. Конечно, вирус будет пытаться навсегда и безвозвратно удалить их все, но случается и так, что некоторые файлы остаются нетронутыми. В этом случае у вас будет хоть и маленький, но шанс их восстановления.
- Существует возможность хранения данных на файлообменниках, таких как DropBox. Его можно установить на компьютер в виде локального отображения диска. Естественно, шифровальный вирус будет и его инфицировать. Но в этом случае гораздо реальнее восстановить документы и важные файлы.
Программное предотвращение инфицирования вирусом персонального компьютера
Если вы боитесь попадания зловещего вредоносного софта на ваш компьютер и не хотите, чтобы коварный вирус зашифровал все файлы, следует использовать редактор локальной политики или Windows-группы. Благодаря этому интегрированному софту можно настроить политику ограничения программ - и тогда вас не будут беспокоить мысли об инфицировании компьютера.
Как восстановить зараженные файлы
Если CTB-вирус зашифровал все файлы, что делать в данном случае, чтобы восстановить необходимые документы? К сожалению, в нынешнее время ни одна антивирусная лаборатория не может предложить расшифровку ваших файлов, но обезвреживание инфекции, ее полное удаление с персонального компьютера возможно. Выше указаны все действенные методы информационного восстановления. Если же вам слишком дороги ваши файлы, а вы не побеспокоились сделать их резервную копию на съемный носитель или интернет-диск, тогда вам придется оплатить запрошенную киберпреступниками сумму денег. Но нет никакой вероятности, что вам будет выслан ключ дешифрования даже после оплаты.
Как найти зараженные файлы
Чтобы увидеть список зараженных файлов, можно перейти по такому пути: "Мои документы"\.html или "C:"\"Пользователи"\"Все пользователи"\.html. Этот html-лист содержит данные не только о случайных инструкциях, но также и о зараженных объектах.
Как заблокировать шифровальный вирус
Как только компьютер был инфицирован вредоносным программным обеспечением, первое необходимое действие со стороны пользователя - включение безопасного режима с сетью. Это осуществляется нажатием на клавишу клавиатуры F10.
Если на ваш компьютер случайным образом попал Critroni-вирус, зашифровал все файлы в .rar, .ctbl, .ctb2, .xtbl, .vault, .cbf или любой другой формат, в таком случае уже тяжело восстановить их. Но если вирус еще не успел внести много изменений, есть вероятность его блокировки с помощью политики ограниченного доступа программ.
В данной статье рассмотрим ситуацию, когда на компьютере появилось сообщение о том, что на нём обнаружен вирус, он работает медленно или с ошибками, и какие действия пользователь должен предпринять в таком случае, и как обезопасить свои данные от утери.
На самом деле, если пользователь обнаружил сообщение об обнаружении вируса – это хорошо. Это значит, что антивирусная программа обнаружила вирус и скорее всего удалит его без участия пользователя.
Данное сообщение совсем не означает, что компьютер заражен вирусом. Просто вы загрузили или скопировали на компьютер инфицированный вирусом файл и антивирусная программа скорее всего удалила его до того, пока от него начнут появляться проблемы. Таким же образом антивирусная программа может сообщить об обнаружении интернет страницы, которая заражена вирусами и дальнейшее использование которой может привести к возникновению проблем с компьютером.
Другими словами, сообщение об обнаружении вируса при правильном использовании компьютера совсем не означает, что он уже заражен или повреждён. Это означает, что вы не должны пользовать инфицированной страницей или зараженным файлом. Система просто предупреждает вас о возможной проблеме в случае их использования.
Также можно перейти к антивирусной программе и проверить карантин или логи определения вирусов, чтобы посмотреть более детальную информацию о вирусе и о том какие действия к нему были применены.
Если на компьютере не используется антивирусная программа
Если на компьютере не используется антивирусная программа и компьютер начал работать медленно или с ошибками, то существует большая вероятность того, что он заражен вирусами. Также, данная ситуация может произойти в случае использования антивирусной программы с неактуальной антивирусной базой.
Если на компьютере не установлена антивирусная программа, то её необходимо как можно скорее установить. Конечно же, качественных бесплатных антивирусных программ существует не так уж много. Можно рассмотреть одну из них, предоставляемую компанией Microsoft – Microsoft Security Essentials. Данная антивирусная программа защитит и очистит компьютер от вирусов.
Но имейте ввиду, что использование данной программы будет актуально только для версий Windows до 7 (включительно). Начиная с Windows 8, в операционной системе уже предусмотрено использование встроенной антивирусной программы Windows Defender, который уже установлен и готов к работе.
Если антивирусная программа не обнаружила вирус
Если на компьютере установлено антивирусное ПО, но у вас есть подозрения о наличии вирусов, попробуйте установить ещё одну антивирусную программу и проверить с её помощью компьютер.
Некоторые разработчики предлагают антивирусные программы с пробным периодом использования или даже онлайн версии. Используя такие программы можно бесплатно просканировать свой компьютер на предмет наличия вирусов.
Более сложные случаи инфицирования компьютера
Некоторые вирусы и другие типы вредоносного программного обеспечения проникают насколько глубоко в систему, что удалить их оттуда становится довольно проблематично. Особенно антивирусными программами, которые были установлены после заражения компьютера, так как вирусы имели достаточно времени чтобы размножиться и загрузить дополнительное вредоносное ПО.
В таком случае не обойтись без загрузки в Безопасном режиме. Загружаясь в Безопасном режиме, Windows не загружает сторонние приложения (к которым также относятся и вирусы). Таким образом можно запустить антивирусную программу без вмешательства вирусов.
Чтобы загрузиться в Безопасном режиме перезагрузите компьютер удерживая клавишу Shift. Запустите антивирусную программу после загрузки компьютера в Безопасном режиме и перезагрузите его после этого снова.
Если вредоносное программное обеспечение насколько повредило систему, что после удаления вирусов Windows не загружается или продолжает работать неправильно, то можно попробовать сбросить его к заводским настройкам или осуществить чистую установку операционной системы.
Но имейте ввиду, что осуществляя это на компьютере будут удалены все файлы и программы, поэтому побеспокойтесь о сохранности данных заранее.
В этой статье рассказано о вирусах, заражающих ЕХЕ-файлы. Приведена классификация таких вирусов, подробно рассмотрены алгоритмы их работы, отличия между ними достоинства и недостатки.
Вирусы — это хорошая гимнастика для ума, хотя многие думают, что написать вирус на языке высокого уровня весьма трудно. Это не совсем так. Писать на языке Pascal довольно легко, правда величина полученного кода вызывает благоговейный трепет.
Для каждого типа вирусов представлены исходные тексты с подробными комментариями.Также приведены основные сведения о структуре и принципах работы ЕХЕ-программы.
Структура и процесс загрузки ЕХЕ-программы
В отличие от СОМ-программ, ЕХЕ-программы могут состоять из нескольких сегментов (кодов, данных, стека). Они могут занимать больше 64Кбайт.ЕХЕ-файл имеет заголовок, который используется при его загрузке.Заголовок состоит из форматированной части, содержащей сигнатуру и данные, необходимые для загрузки ЕХЕ-файла, и таблицы для настройки адресов (Relocation Table). Таблица состоит из значений в формате сегмент:смещение. К смещениям в загрузочном модуле, на которые указывают значения в таблице, после загрузки программы в память должен быть прибавлен сегментный адрес, с которого загружена программа.
При запуске ЕХЕ-программы системным загрузчиком (вызовом функции DOS 4Bh) выполняются следующие действия:
1. Определяется сегментный адрес свободного участка памяти,размер
которого достаточен для размещения программы.
2.Создается и заполняется блок памяти для переменных среды.
3.Создается блок памяти для PSP и программы (сегментЮОООЬ — PSP;
В поля PSP заносятся соответствующие значения.
4.Адрес DTA устанавливается равным PSP:0080h.
5.В рабочую область загрузчика считывается форматированная часть
заголовка ЕХЕ-файла.
6.Вычисляется длина загрузочного модуля по формуле:
7.Определяется смещение загрузочного модуля в файле, равное
8.Вычисляется сегментный адрес (START_SEG) для загрузки -обычно это PSP+lOh.
9.Считывается в память загрузочный модуль (начиная с адреса
10.Для каждого входа таблицы настройки:
a)читаются слова I_OFF и I_SEG;
c)читается слово по адресу RELO_SEG:I_OFF;
d)к прочитанному слову прибавляется START_SEG;
e)результат запоминается по тому же адресу (RELO_SEG:I_OFF).
11.Распределяется память для программы в соответствии с МахМет
12.Инициализируются регистры, выполняется программа:
b) АХ=результат проверки правильности идентификаторов драйверов, указанных в командной строке;
ЕХЕ-вирусы условно можно разделить на группы, используя в качестве признака для деления особенности алгоритма. Вирусы, замещающие программный код (Overwrite) Такие вирусы уже стали раритетом. Главный их недостаток — слишком грубая работа. Инфицированные программы не исполняются, так как вирус записывается поверх программного кода, не сохраняя его. При запуске вирус ищет очередную жертву (или жертвы), открывает найденный файл для редактирования и записывает свое тело в начало программы, не сохраняя оригинальный код. Инфицированные этими вирусами программы лечению не подлежат.
Эти вирусы получили свое название из-за алгоритма размножения:
к каждому инфицированному файлу создается файл-спутник. Рассмотрим более подробно два типа вирусов этой группы:
Вирусы первого типа размножается следующим образом. Для каждого инфицируемого ЕХЕ-файла в том же каталоге создается файл с вирусным кодом, имеющий такое же имя, что и ЕХЕ-файл, но с расширением СОМ. Вирус активируется, если при запуске программы в командной строке указано только имя исполняемого файла. Дело в том, что, если не указано расширение файла, DOS сначала ищет в текущем каталоге файл с заданным именем и расширением СОМ. Если СОМ-файл с таким именем не найден, ведется поиск одноименного ЕХЕ-файла. Если не найден и ЕХЕ-файл, DOS попробует обнаружить ВАТ (пакетный) файл. В случае отсутствия в текущем каталоге исполняемого файла с указанным именем поиск ведется во всех каталогах, доступных по переменной PATH. Другими словами, когда пользователь хочет запустить программу и набирает в командной строке только ее имя (в основном так все и делают), первым управление получает вирус,код которого находится в СОМ-файле. Он создает СОМ-файл еще к одному или нескольким ЕХЕ-файлам (распространяется), а затем исполняет ЕХЕ-файл с указанным в командной строке именем. Пользователь же думает, что работает только запущенная ЕХЕ-программа.
Вирус-спутник обезвредить довольно просто — достаточно удалить
СОМ-файл.
Вирусы второго типа действуют более тонко. Имя инфицируемого
ЕХЕ-файла остается прежним, а расширение заменяется каким-либо
другим, отличным от исполняемого (СОМ, ЕХЕ и ВАТ), Например,
файл может получить расширение DAT (файл данных) или OVL (про-
граммный оверлей). Затем на место ЕХЕ-файла копируется вирусный код. При запуске такой инфицированной программы управление получает вирусный код, находящийся в ЕХЕ-файле. Инфицировав еще один или несколько ЕХЕ-файлов таким же образом, вирус возвращает оригинальному файлу исполняемое расширение (но не EХЕ, а СОМ, поскольку ЕХЕ-файл с таким именем занят вирусом), после чего исполняет его. Когда работа инфицированной программы закончена, ее запускаемому файлу возвращается расширение неисполняемого. Лечение файлов, зараженных вирусом этого типа, может быть затруднено,если вирус-спутник шифрует часть или все тело инфицируемого файла,а перед исполнением его расшифровывает.
Вирусы, внедряющиеся в программу (Parasitic) Вирусы этого вида самые незаметные: их код записывается в инфицируемую программу, что существенно затрудняет лечение зараженных файлов. Рассмотрим методы внедрения ЕХЕ-вирусов в ЕХЕ-файл.
Способы заражения ЕХЕ-файлов
Самый распространенный способ заражения ЕХЕ-файлов такой: в конец файла дописывается тело вируса, а заголовок корректируется (с сохранением оригинального) так, чтобы при запуске инфицированного файла управление получал вирус. Похоже на заражение СОМ-файлов, но вместо задания в коде перехода в начало вируса корректируется собственно адрес точки запуска программы. После окончания работы вирус берет из сохраненного заголовка оригинальный адрес запуска программы, прибавляет к его сегментной компоненте значение регистра DS или ES (полученное при старте вируса) и передает управление на полученный адрес.
Следующий способ — внедрение вируса в начало файла со сдвигом кода
Вирусы, замещающие программный код ( Overwrite ) Как уже говорилось, этот вид вирусов уже давно мертв. Изредка появляются еще такие вирусы, созданные на языке Assembler, но это, скорее, соревнование в написании самого маленького overwrite-вируса. На данный момент самый маленький из известных overwrite-вирусов написан Reminder’ом (Death Virii Crew group) и занимает 22 байта.
Алгоритм работы overwrite-вируса следующий:
1. Открыть файл, из которого вирус получил управление.
2. Считать в буфер код вируса.
4. Искать по маске подходящий для заражения файл.
5. Если файлов больше не найдено, перейти к пункту 11.
6. Открыть найденный файл.
7. Проверить, не заражен ли найденный файл этим вирусом.
8. Если файл заражен, перейти к пункту 10.
9. Записать в начало файла код вируса.
10. Закрыть файл (по желанию можно заразить от одного до всех фай-
лов в каталоге или на диске).
12. Завершить программу.
Ниже приведен листинг программы, заражающей файлы таким способом.
Читайте также: