Вторник, 19.03.2024, 11:26

c 9:00 до 19:00 часов

Hack новости Профайл Выход

лучший в Донецке

Вы вошли как Гость · Группа "Гости" · RSS
Меню
Ваш IP адрес

44.197.251.102

Google

Вход
Статистика




МЕТА - Украина. Рейтинг сайтов
Онлайн всего: 1
Гостей: 1
Пользователей: 0
Hack Советы

    В том случае, если вы не уделяете достаточного внимания безопасности компьютера, то вполне возможно, что он «начнет жить своей жизнью, независимой от вас». И это действительно так! В современном интернете живут самые настоящие «разумные сущности», которые путешествуют с одного компьютера на другой. Самым распространенным видом таких сущностей являются черви. Попадая в потенциальный компьютер-донор, они могут выполнять без ведома пользователя различные действия, характер которых ограничен только фантазией автора вирусного кода.
 
    Но чтобы продолжить свою работу даже после перезагрузки системы, они должны быть вновь загружены в память компьютера. Для этого они вносят некоторые изменения в системные области. Эти изменения позволяют получать вредоносному коду управление вне зависимости от действий пользователя. Рассмотрим ряд таких изменений:
 
• Червь может создавать исполнимый exe-файл с произвольным, в общем случае, именем, но на практике создаются файлы с «говорящим» названием, чтобы ввести пользователя в заблуждение. При этом имена созданных файлов очень похожи на имена системных файлов операционной системы. Некоторые черви заимствовали у вирусов способность инфицировать уже существующие, в том числе и системные файлы, или перезаписывают их своим файлов.
 
• Ряд червей также создают динамические библиотеки и помещают их в системные папки операционной системы. Такие файлы, как правило, используются червями для создания «задних выходов» (backdoor) в системе безопасности компьютера. Благодаря таким «выходам» злоумышленник может беспрепятственно получить доступ к компьютеру. Например, один из видов червя MyDoom - I-Worm.Mydoom.aa создает в системной папке Windows файл tcp5424.dll и регистрирует его в реестре, создавая ключ HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32 {Default} = "%SysDir%\tcp5424.dll.
 
• Также возможны изменения системных файлов win.ini и system.ini. Но в настоящее время такой способ не используется, т.к. в операционных системах выпущенных начиная с Windows 2000 эти файлы оставлены исключительно для совместимости со старыми версиями операционных систем, и не используются загрузчиком Windows при загрузке операционной системы.
 
    Помимо перечисленных, вредоносные программы также могут вносить изменения в такие ветви реестра:
 
o Ветвь: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion, ключи: Run, RunOnce, RunOnceEx, RunServices, RunServicesOnce. Внесение изменений в данные ключи системного реестра обеспечивают автоматическую загрузку вредоносного кода в оперативную память компьютера и передачу ему управления
 
o Ветвь: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion, ключ: Run. Таким образом, например, регистрировал зараженные файлы вирус Email-Worm.Win32.Bagle.ax
 
o Если внести в системный реестр такую запись: HKEY_CLASSES_ROOT\exefile\shell\open\command {Default} = %SystemDir%\wintask.exe %1 %*), то запуск всех exe-файлом будет происходить через вызов зараженного файла wintask.exe. Этот метод характерен для вируса I-Worm.Navidad. Если удалить зараженный файл, не внеся соответствующих корректировок в систмный реестр, то запуск всех exe-файлов станет невозможным o Вирус Email-Worm.Win32.LovGate.ad создает такую запись в системном реестре Windows: HKCR\txtfile\shell\open\command {default}="Update_OB.exe %1", переопределяя таким образом вызов всех текстовых файлов а себя.
 
    Помимо указанных выше значений ситемного реестра, вирусы также могут изменять и другие значения в реестре, например:
 
o HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WOW\boot o HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32
o HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WinLogon o HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
o HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components
o HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug
 
    Устранение последствий заражения
 
    Ввиду того, что черви практически никогда не используют методы шифрования или полиформизма, обнаружить их проще. Можно выделить алгоритм действий для борьбы с ними вручную:
 1. Провести анализ запущенных процессов при помощи Диспетчера задач Windows.
 2. Провести анализ открытых в системе портов при помощи встроенной команды Netstat.
 3. Выгрузить из памяти компьютера подозрительные процессы.
 4. Провести анализ системного реестра Windows по приведенным выше ветвям при помощи системной утилит Regedit.exe.
 5. Восстановить значения этих ключей на стандартные значения, принятые по умолчанию в операционной системе.
 6. Найти все инфицированные файлы, используя данные о запущенных процессах и значениях системного реестра.
 7. Удалить инфицированные файлы или заменить на оригинальные.
 8. Перегрузить операционную систему.
 
    После проведения всех перечисленных выше меропритий, необходимо провести повторный анализ запущенных процессов и ключей системного реестра и открытых портов. Если ключи реестра не изменились и в памяти компьютера не обнаружено подозрительных процессов, то мероприятия по дезинфекции компьютера можно считать успешными. Иначе необходимо будет повторять эти мероприятия до тех пор, пока изменений в реестре и процессах будут повторяться.
 
    Однако, приведенные в данной статье мероприятия следует производить на заведомо инфицированном компьютере. Более того, некоторые черви могут использовать технологию backdoor, затрудняя процесс анализа. После проведения ручного удаления вредоносного кода рекумендуется все же провести поиск вирусов при помощи антивирусного программного обеспечения. Кроме того, использование антивирусного ПО способно предотвратить заражение компьютера.
 
    Внимание! Все приведенные в данной статье советы предназначены исключительно в ознакомительных целях и не преследуют своей целью предоставления информации для написания заведомо вредоносного кода. Автор статьи не несет никакой ответственности за применение данных советов злоумышленниками.

Все права принадлежат Hack сервису© 2009 - 2024 (icq 370134086)
Компьютерная помощь Донецк|Установка Windows| Восстановление Windows| Установка программ| Лечение вирусов| Восстановление системы| Диагностика компьютера| Монтаж сетей| Установить Windows| Ремонт компьютеров Донецк| Удаление вирусов| Авто на свадьбу| Обслуживание компьютеров| Ремонт компьютера| Компьютерный сервис| Переустановка Windows| Настройка компьютера| it аутсорсинг| Скорая компьютерная помощь| Компьютерное обслуживание| Аренда авто Донецк| Абонентское обслуживание компьютеров| Компьютерная помощь| Срочный ремонт компьютеров| Создание сайтов| Графическая реклама| Визитки| Постеры| web-дизайн| настройка MacBook| Акциионные предложения| Модернизация компьютеров| Лучший компьютерный сервис Донецка