Вирус портит exe файлы что делать

/ Классификация вирусов

Классификация компьютерных вирусов

по особенностям алгоритма вируса.

Классификация вирусов по среде обитания

По среде обитания вирусы можно разделить на:

Файловые вирусы. которые внедряются в выполняемые файлы (*.СОМ, *.ЕХЕ, *.SYS, *.BAT, *.DLL).

Загрузочные вирусы. которые внедряются в загрузочный сектор диска (Boot-сектор) или в сектор, содержащий системный загрузчик винчестера (Master Boot Record).

Макро-вирусы. которые внедряются в системы, использующие при работе так называемые макросы (например, Word, Excel).

Существуют и сочетания - например, файлово-загрузочные вирусы, заражающие как файлы, так и загрузочные сектора. Такие вирусы, как правило, имеют довольно сложный алгоритм работы, часто применяют оригинальные методы проникновения в систему и их труднее обнаружить.

Классификация вирусов по способам заражения

По способам заражения вирусы бывают резидентные и нерезидентные.

Резидентный вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращение операционной системы к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера. Нерезидентные вирусы не заражают память компьютера и являются активными лишь ограниченное время.

Классификация вирусов по деструктивным возможностям

По деструктивным возможностям вирусы можно разделить на:

безвредные. т. е. никак не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения);

неопасные. влияние которых ограничивается уменьшением свободной памяти на диске и графическими, звуковыми и пр. эффектами;

опасные - вирусы, которые могут привести к серьезным сбоям в работе;

очень опасные. могущие привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти и т. д.

Классификация вирусов по особенностям алгоритма

Здесь можно выделить следующие основные группы вирусов:

компаньон-вирусы (companion) - Алгоритм работы этих вирусов состоит в том, что они создают для ЕХЕ-файлов файлы-спутники, имеющие то же самое имя, но с расширением СОМ. При запуске такого файла DOS первым обнаружит и выполнит СОМ-файл, т. е. вирус, который затем запустит и ЕХЕ-файл;

вирусы-«черви» (worm) - вариант компаньон-вирусов. «Черви» не связывают свои копии с какими-то файлами. Они создают свои копии на дисках и в подкаталогах дисков, никаким образом не изменяя других файлов и не используя СОМ-ЕХЕ прием, описанный выше;

сетевые черви - смотрите ниже «сетевые вирусы»;

«паразитические» - все вирусы, которые при распространении своих копий обязательно изменяют содержимое дисковых секторов или файлов. В эту группу относятся все вирусы, которые не являются «червями» или «компаньон-вирусами»;

«студенческие» - крайне примитивные вирусы, часто нерезидентные и содержащие большое число ошибок;

«стелс»-вирусы (вирусы-невидимки, stealth), представляют собой весьма совершенные программы, которые перехватывают обращения DOS к пораженным файлам или секторам дисков и «подставляют» вместо себя незараженные участки информации. Кроме того, такие вирусы при обращении к файлам используют достаточно оригинальные алгоритмы, позволяющие «обманывать» резидентные антивирусные мониторы;

«полиморфик»-вирусы (самошифрующиеся или вирусы-призраки, polymorphic) - достаточно труднообнаруживаемые вирусы, не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик-вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика;

макро-вирусы - вирусы этого семейства используют возможности макроязыков (таких как Word Basic), встроенных в системы обработки данных (текстовые редакторы, электронные таблицы и т. д.). В настоящее время широко распространены макро-вирусы, заражающие документы текстового редактора Microsoft Word и электронные таблицы Microsoft Excel;

сетевые вирусы (сетевые черви) - вирусы, которые распространяются в компьютерной сети и, так же, как и компаньон-вирусы, не изменяют файлы или сектора на дисках. Они проникают в память компьютера из компьютерной сети, вычисляют сетевые адреса других компьютеров и рассылают по этим адресам свои копии. Такие вирусы иногда создают рабочие файлы на дисках системы, но могут вообще не обращаться к ресурсам компьютера (за исключением оперативной памяти). Сетевых вирусов известно всего несколько штук. Например, XMasTree, Вирус Морриса (Internet Worm).

На сегодняшний день сетевые вирусы не представляют никакой опасности, так как они нежизнеспособны в современных сетях, как глобальных (Internet), так и локальных (NetWare, NT). Однако это не мешает обычным DOS-вирусам и макро-вирусам поражать компьютерные сети (локальные и глобальные). Делают они это, в отличие от сетевых вирусов, не используя сетевые протоколы и «дыры» в программном обеспечении. Заражению подвергаются файлы на «общих» дисках на серверах и рабочих местах, через которые эти вирусы перебираются и на другие рабочие места, а часто и передаются в Internet.

Чтобы противостоять нашествию компьютерных вирусов, необходимо выбрать правильную стратегию защиты от них, в том числе программные антивирусные средства, грамотно используя которые Вы сможете предотвратить вирусную атаку. А если она все же произойдет, вовремя ее обнаружить, локализовать и успешно отразить, не потеряв ценной для Вас информации.

Классификация компьютерных вирусов

Вирусы можно разделить на классы по следующим основным признакам:

- среда обитания;

- операционная система (ОС);

- особенности алгоритма работы;

- деструктивные возможности.

В зависимости от среды обитания вирусы можно разделить на:

- файловые;

- загрузочные;

- макровирусы;

- сетевые.

Файловые вирусы либо различными способами внедряются в выполняемые файлы (наиболее распространенный тип вирусов), либо создают файлы-двойники (вирусы-компаньоны), либо используют особенности организации файловой системы (link-вирусы).

Загрузочные вирусы записывают себя либо в загрузочный сектор диска (boot-сектор), либо в сектор, содержащий системный загрузчик винчестера (Master Boot Record), либо меняют указатель на активный boot-сектор.

Макровирусы заражают файлы-документы и электронные таблицы нескольких популярных редакторов.

Сетевые вирусы используют для своего распространения протоколы или команды компьютерных сетей и электронной почты.

Существует большое количество сочетаний, например файлово-загрузоч-ные вирусы, заражающие как файлы, так и загрузочные сектора дисков. Такие вирусы, как правило, имеют довольно сложный алгоритм работы, часто применяют оригинальные методы проникновения в систему, используют "стеле-" и полиморфик-технологии. Другой пример такого сочетания — сетевой макровирус, который не только заражает редактируемые документы, но и рассылает свои копии по электронной почте.

Заражаемая операционная система (вернее, ОС, объекты которой подвержены заражению) является вторым уровнем деления вирусов на классы. Каждый файловый или сетевой вирус заражает файлы какой-либо одной или нескольких ОС — DOS, Windows, Win95/NT, OS/2 и т. д. Макровирусы заражают файлы форматов Word, Excel, Office 97. Загрузочные вирусы также ориентированы на конкретные форматы расположения системных данных в загрузочных секторах дисков.

Среди особенностей алгоритма работы вирусов выделяются следующие:

- резидентность;

- использование "стелс"-алгоритмов;

- само шифрование и полиморфичность;

- использование нестандартных приемов.

Резидентный вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращения ОС к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения компьютера или перезагрузки ОС. Нерезидентные вирусы не заражают память компьютера и сохраняют активность ограниченное время. Некоторые вирусы оставляют в оперативной памяти небольшие резидентные программы, которые не распространяют вирус. Такие вирусы считаются нерезидентными.

Резидентными можно считать макровирусы, поскольку они также присутствуют в памяти компьютера в течение всего времени работы зараженного редактора. При этом роль ОС берет на себя редактор, а понятие "перезагрузка операционной системы" трактуется как выход из редактора.

В многозадачных ОС время "жизни" резидентного DOS-вируса также может быть ограничено моментом закрытия зараженного DOS-окна, а активность загрузочных вирусов в некоторых операционных системах ограничивается моментом инсталляции дисковых драйверов ОС.

Использование "стеле"-алгоритмов позволяет вирусам полностью или частично скрыть себя в системе. Наиболее распространенным "стелс"-алго-ритмом является перехват запросов ОС на чтение-запись зараженных объектов и затем "стелс"-вирусы либо временно лечат их, либо подставляют вместо себя незараженные участки информации. В случае макровирусов наиболее популярный способ — запрет вызовов меню просмотра макросов. Один из первых файловых "стелс"-вирусов — вирус Frodo, первый загрузочный "стелс"-вирус — Brain.

Самошифрование и полиморфичность используются практически всеми типами вирусов для того, чтобы максимально усложнить процедуру обнаружения вируса. Полиморфик-вирусы (polymorphic) достаточно трудно поддаются обнаружению; они не имеют сигнатур, т. е. не содержат ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик-вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика.

Различные нестандартные приемы часто используются в вирусах для того, чтобы как можно глубже спрятать себя в ядре ОС (как это делает вирус "ЗАРАЗА"), защитить от обнаружения свою резидентную копию (вирусы TPVO, Trout2), затруднить лечение от вируса (например, помещают свою копию в Flash-BIOS) и т. д.

По деструктивным возможностям вирусы можно разделить на:

- безвредные, т. е. никак не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения);

- неопасные, влияние которых ограничивается уменьшением свободной памяти на диске и графическими, звуковыми и прочими эффектами;

- опасные вирусы, которые могут привести к серьезным сбоям в работе компьютера;

- очень опасные — в алгоритм их работы заведомо заложены процедуры, которые могут вызвать потерю программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти, и даже, как гласит одна из непроверенных компьютерных легенд, способствовать быстрому износу движущихся частей механизмов — вводить в резонанс и разрушать головки некоторых типов винчестеров.

Но даже если в алгоритме вируса не найдено ветвей, наносящих ущерб системе, этот вирус нельзя с полной уверенностью назвать безвредным, так как проникновение его в компьютер может вызвать непредсказуемые и порой катастрофические последствия. Ведь вирус, как и всякая программа, имеет ошибки, в результате которых могут быть испорчены как файлы, так и сектора дисков (например, вполне безобидный на первый взгляд вирус DenZuk довольно корректно работает с 360-килобайтовыми дискетами, но может уничтожить информацию на дискетах большего объема). До сих пор попадаются вирусы, определяющие СОМ или ЕХЕ не по внутреннему формату файла, а по его расширению. Естественно, что при несовпадении формата и расширения имени файл после заражения оказывается неработоспособным. Возможно также "заклинивание" резидентного вируса и системы при использовании новых версий DOS, при работе в Windows или с другими мощными программными системами. И так далее.

Файловые вирусы

К данной группе относятся вирусы, которые при своем размножении тем или иным способом используют файловую систему какой-либо (или каких-либо) ОС.

Файловые вирусы могут внедряться практически во все исполняемые файлы всех популярных ОС. На сегодняшний день известны вирусы, поражающие все типы выполняемых объектов стандартной DOS: командные файлы (ВАТ), загружаемые. драйверы (SYS, в том числе специальные файлы IO. SYS и MSDOS. SYS) и выполняемые двоичные файлы (ЕХЕ, СОМ). Существуют вирусы, поражающие исполняемые файлы других ОС — Windows З. х, Windows 95/NT, OS/2, Macintosh, Unix, включая VxD-драйверы Windows З. х и Windows 95.

Имеются вирусы, заражающие файлы, которые содержат исходные тексты программ, библиотечные или объектные модули. Возможна запись вируса и в файлы данных, но это случается либо в результате ошибки в вирусе, либо при проявлении его агрессивных свойств. Макровирусы также записывают свой код в файлы данных — документы или электронные таблицы, однако эти вирусы настолько специфичны, что вынесены в отдельную группу.

По способу заражения файлов вирусы делятся на overwriting, паразитические (parasitic), компаньон-вирусы (companion), link-вирусы, вирусы-черви и вирусы, заражающие объектные модули (OBJ), библиотеки компиляторов (LIB) и исходные тексты программ.

Overwriting-вирусы

Данный метод заражения является наиболее простым. вирус записывает свой код вместо кода заражаемого файла, уничтожая его содержимое. Естественно, что при этом файл перестает работать и не восстанавливается. Такие вирусы очень быстро обнаруживают себя, так как ОС и приложения довольно быстро перестают работать. Мне не известно ни одного случая, когда подобного типа вирусы были бы обнаружены "в живом виде" и стали причиной эпидемии.

К разновидности overwriting-вирусов относятся вирусы, записывающиеся вместо DOS-заголовка NewEXE-файлов. Основная часть файла при этом остается без изменений и продолжает нормально работать в соответствующей ОС, однако DOS-заголовок оказывается испорченным.

Parasitic-вирусы

К паразитическим относятся все файловые вирусы, которые при распространении своих копий обязательно изменяют содержимое файлов, оставляя сами файлы при этом полностью или частично работоспособными. Основными типами таких вирусов являются вирусы, записывающиеся в начало файлов (prepending), в конец файлов (appending) и в середину файлов (inserting). В свою очередь, внедрение вирусов в середину файлов происходит различными методами — путем переноса части файла в его конец или внедрения в заведомо неиспользуемые данные файла (cavity-вирусы).

Файловые черви

Файловые черви (worms) являются в некотором смысле разновидностью компаньон-вирусов, но при этом никоим образом не связывают свое присутствие с каким-либо выполняемым файлом. При размножении они всего лишь копируют свой код в какие-либо каталоги дисков в надежде, что эти новые копии будут когда-либо запущены пользователем. Иногда эти вирусы дают своим копиям "специальные" имена, чтобы подтолкнуть пользователя на запуск своей копии, например INSTALL. EXE или WINSTART. BAT.

Существуют вирусы-черви, использующие довольно необычные приемы, например, записывающие свои копии в архивы (ARJ, ZIP и пр.). К таким вирусам относятся "ArjVirus" и "Winstart". Некоторые вирусы записывают команду запуска зараженного файла в ВАТ-файлы (см. например, "Worm. Info").

Не следует путать файловые вирусы-черви с сетевыми червями. Первые используют только файловые функции какой-либо операционной системы, вторые же при своем размножении пользуются сетевыми протоколами.

OBJ-, LIB-вирусы и вирусы в исходных текстах

Вирусы, заражающие библиотеки компиляторов, объектные модули и исходные тексты программ, достаточно экзотичны и практически не распространены. Всего их около десятка. Вирусы, заражающие OBJ - и ЫВ-файлы, записывают в них свой код в формате объектного модуля или библиотеки.

Зараженный файл при этом не является выполняемым и не способен на дальнейшее распространение вируса в своем текущем состоянии. Носителем же "живого" вируса становится СОМ - или ЕХЕ-файл, получаемый в процессе компоновки зараженного OBJ/LIB-файла с другими объектными модулями и библиотеками. Таким образом, вирус распространяется в два этапа: на первом заражаются OBJ/LIB-файлы, на втором (компоновка) получается работоспособный вирус.

Заражение исходных текстов программ является логическим продолжением предыдущего метода размножения. При этом вирус добавляет к исходным текстам свой исходный код (в этом случае он должен содержать его) или свой шестнадцатеричный дамп (что технически легче). Зараженный файл способен на дальнейшее распространение вируса только после компиляции и компоновки (см. например, вирусы SrcVir, Urphin).

Алгоритм работы файлового вируса

Получив управление, вирус совершает следующие действия (приводим список наиболее общих действий вируса при его выполнении; для конкретного вируса список может быть дополнен, пункты могут поменяться местами и значительно расшириться).

- резидентный вирус проверяет оперативную память на наличие своей копии и инфицирует память компьютера, если копия вируса не найдена; нерезидентный вирус ищет незараженные файлы в текущем и (или) корневом каталогах, в каталогах, отмеченных командой PATH, сканирует дерево каталогов логических дисков, а затем заражает обнаруженные файлы;

- выполняет, если они есть, дополнительные функции: деструктивные действия, графические или звуковые эффекты и т. д. (дополнительные функции резидентного вируса могут вызываться спустя некоторое время после активизации в зависимости от текущего времени, конфигурации системы, внутренних счетчиков вируса или других условий; в этом случае вирус при активизации обрабатывает состояние системных часов, устанавливает свои счетчики и т. д.);

- возвращает управление основной программе (если она есть). Паразитические вирусы при этом либо восстанавливают программу (но не файл) в исходном виде (например, у СОМ-программы восстанавливается несколько первых байтов, у ЕХЕ-программы вычисляется истинный стартовый адрес, у драйвера восстанавливаются значения адресов программ стратегии и прерывания), либо лечат файл, выполняют его, а затем снова заражают. Компаньон-вирусы запускают на выполнение своего "хозяина", вирусы-черви и overwriting-вирусы возвращают управление DOS.

Метод восстановления программы в первоначальном виде зависит от способа заражения файла. Если вирус внедряется в начало файла, то он либо сдвигает коды зараженной программы на число байтов, равное длине вируса, либо перемещает часть кода программы из ее конца в начало, либо восстанавливает файл на диске, а затем запускает его. Если вирус записался в конец файла, то при восстановлении программы он использует информацию, сохраненную в своем теле при заражении файла. Это может быть длина файла, несколько байтов начала файла в случае СОМ-файла или несколько байтов заголовка в случае ЕХЕ-файла. Если же вирус записывается в середину файла специальным образом, то при восстановлении файла он использует еще и специальные алгоритмы.

Особые случаи

Внедрение вируса в DOS СОМ - и ЕХЕ-файлы. Выполняемые двоичные файлы DOS имеют форматы СОМ или ЕХЕ, различающиеся заголовком и способом запуска программ на выполнение. Расширение имени файла (.СОМ или. ЕХЕ) не всегда соответствует действительному формату файла, что, правда, никак не влияет на работу программы. Файлы СОМ и ЕХЕ заражаются по-разному, следовательно, вирус должен отличать файлы одного формата от другого. Вирусы решают эту задачу двумя способами: одни анализируют расширение имени файла (.СОМ. ЕХЕ), другие — заголовок файла. Первый способ далее будет называться заражением. СОМ-файлов (или. ЕХЕ-файлов), второй — заражением СОМ-файлов (или ЕХЕ-файлов).

В большинстве случаев вирус инфицирует файл корректно, т. е. по информации, содержащейся в теле вируса, можно полностью восстановить зараженный файл. Но, как и большинство программ, они часто содержат незаметные с первого взгляда ошибки. Из-за этого даже вполне корректно написанный вирус может необратимо испортить файл при его заражении. Например, вирусы, различающие типы файлов по расширению имени (.СОМ. ЕХЕ), очень опасны, так как портят файлы, у которых расширение имени не соответствует внутреннему формату.

Один из наиболее часто встречающихся примеров некорректного заражения файла — COMMAND. СОМ в Windows 95. Этот файл, по сути, является ЕХЕ-файлом, более того, имеет размер более 90 Кб, что невозможно для СОМ-файла. Поэтому вирусы, которые различают СОМ/ЕХЕ-файлы по расширению имени и не проверяют длины заражаемых СОМ-файлов (например, Junkie), портят такой COMMAND. СОМ, и он становится неработоспособным.

Примитивная маскировка. При инфицировании файла вирус может производить ряд действий, маскирующих и ускоряющих его распространение. К подобным действиям можно отнести обработку атрибута read-only, снятие его перед заражением и восстановление после. Многие файловые вирусы считывают дату последней модификации файла и восстанавливают ее после заражения. Для маскировки своего распространения некоторые вирусы перехватывают прерывание DOS, возникающее при обращении к защищенному от записи диску (INT 24h), и самостоятельно обрабатывают его.

Скорость распространения. Говоря про файловые вирусы, необходимо отметить такую их черту, как скорость распространения. Чем быстрее распространяется вирус, тем вероятнее возникновение эпидемии этого вируса. Чем медленнее распространяется вирус, тем сложнее его обнаружить (если, конечно, этот вирус пока неизвестен антивирусным программам). Понятия "быстрого" и "медленного" вируса (Fast infector, Slow infector) являются достаточно относительными и используются только как характеристика вируса при его описании.

Нерезидентные вирусы часто являются медленными — большинство из них при запуске заражает один или два-три файла и не успевает заполонить компьютер до запуска антивирусной программы (или появления новой версии антивируса, настроенной на данный вирус). Существуют, конечно, нерезидентные быстрые вирусы, которые при запуске ищут и заражают все выполняемые файлы, однако такие вирусы очень заметны: при запуске каждого зараженного файла компьютер некоторое (иногда достаточно длительное) время активно работает с винчестером, что демаскирует вирус.

Скорость резидентных вирусов обычно выше, чем у нерезидентных, — они заражают файлы при каких-либо обращениях к ним. В результате на диске оказываются зараженными все или почти все файлы, которые постоянно используются в работе.

Скорость распространения резидентных файловых вирусов, заражающих файлы только при их запуске на выполнение, будет ниже, чем у вирусов, заражающих файлы и при их открытии, переименовании, изменении атрибутов файла и т. д. Многие вирусы при создании своей копии в оперативной памяти компьютера пытаются занять область памяти с самыми старшими адресами, разрушая временную часть командного интерпретатора COMMAND. COM. По окончании работы зараженной программы временная часть интерпретатора восстанавливается, при этом происходит открытие файла COMMAND. COM и, если вирус заражает файлы при их открытии, его заражение. Таким образом, при запуске подобного вируса первым будет заражен файл COMMAND. COM.

Загрузочные вирусы

Загрузочные вирусы заражают загрузочный (boot) сектор гибкого диска и boot-сектор или Master Boot Record (MBR) винчестера. Принцип действия загрузочных вирусов основан на алгоритмах запуска ОС при включении или перезагрузке компьютера: после необходимых тестов установленного оборудования (памяти, дисков и т. д.) программа системной загрузки считывает первый физический сектор загрузочного диска и передает управление на А. С: или CD-ROM, в зависимости от параметров, установленных в BIOS Setup.

В случае дискеты или CD-диска управление получает boot-сектор диска, который анализирует таблицу параметров диска (ВРВ — BIOS Parameter Block), высчитывает адреса системных файлов ОС, считывает их в память и запускает на выполнение. Системными файлами обычно являются MSDOS. SYS и IO. SYS, либо IBMDOS. COM и IBMBIO. COM, либо другие в зависимости от установленной версии DOS, и/или Windows, или других ОС. Если же на загрузочном диске отсутствуют файлы операционной системы, программа, расположенная в boot-секторе диска, выдает сообщение об ошибке и предлагает заменить загрузочный диск.

В случае винчестера управление получает программа, расположенная в MBR винчестера. Она анализирует таблицу разбиения диска (Disk Partition Table), вычисляет адрес активного boot-сектора (обычно этим сектором является boot-сектор диска С:), загружает его в память и передает на него управление. Получив управление, активный boot-сектор винчестера проделывает те же действия, что и boot-сектор дискеты.

При заражении дисков загрузочные вирусы подставляют свой код вместо какой-либо программы, получающей управление при загрузке системы. Принцип заражения, таким образом, одинаков во всех описанных выше способах: вирус "заставляет" систему при ее перезапуске считать в память и отдать управление не оригинальному коду загрузчика, а коду вируса.

Макровирусы

Макровирусы (macro viruses) являются программами на языках (макроязыках), встроенных в некоторые системы обработки данных (текстовые редакторы, электронные таблицы и т. д.). Для своего размножения такие вирусы используют возможности макроязыков и при их помощи переносят себя из одного зараженного файла (документа или таблицы) в другие. Наибольшее распространение получили макровирусы для Microsoft Word, Excel и Office 97.

Для существования вирусов в конкретной системе необходимо наличие встроенного в систему макроязыка с возможностями:

1) привязки программы на макроязыке к конкретному файлу;

2) копирования макропрограмм из одного файла в другой;

3) получения управления макропрограммой без вмешательства пользователя (автоматические или стандартные макросы).

Вирус создаёт файлы с расширением exe - Лечение компьютерных вирусов

16.02.2016, 16:55 Вирус создаёт файлы с расширением exe

Здравствуйте!

К сожалению, принесла с работы вирус.

Видимое проявление его деятельности: вирус создаёт файлы с расширением exe в тех папках, с которыми я работаю.

17.02.2016, 22:52 Вирус создаёт файлы с расширением exe

Если будет возможность поставьте полное сканирование на ночь, поскольку активных троянов в логах я не вижу.

Trojan. ProxyHijacker, HKLM\SOFTWARE\CLASSES\Autodesk 3ds Max 2013.DynamicNS. [ac1b72ef118847ef9b78901c699917e9],

- скорее всего от кряка для 3Ds Max

Trojan. Downloader, C:\Users\Albina\AppData\Local\Temp\KMP_4.0.4.6.exe. [dee96ff25a3fcb6b193fe98bf0123ec2],

- скорее всего от активатора Windows можно проверить на Virustotal. com и принять конкретное решение.

PUP. Optional. InstallCore, C:\Users\Albina\Downloads\AdobeApplicationManager_inst. exe. [4e791849fc9dc1754035661b1ee6ff01],

- можете просто отправить в Корзину.

PUP. Optional. NextLive, C:\AdwCleaner\Quarantine\C\Program Files\Mobogenie\nengine. dll. vir. [dceb91d02079270f4120d76424ddef11],

PUP. Optional. WindowsProtectManger, C:\AdwCleaner\Quarantine\C\ProgramData\WindowsMangerProtect\ProtectWindowsManager. exe. vir. [4b7ca9b89405e353cbf791ac966bad53],

PUP. Optional. NextLive, C:\AdwCleaner\Quarantine\C\Users\Albina\AppData\Local\genienext\nengine. dll. vir. [b7101e43eeab8da9e97892a958a923dd],

PUP. Optional. NextLive, C:\AdwCleaner\Quarantine\C\Users\Albina\AppData\Roaming\newnext. me\nengine. dll. vir. [f7d05e03adec1b1bb0b1ef4cf30ed62a],

PUP. Optional. Amonetize, C:\AdwCleaner\Quarantine\C\Windows\system32\installd. exe. vir. [4e799fc2029780b6305e381912efbd43],

PUP. Optional. MultiPlug. UNS, C:\FRST\Quarantine\C\Users\Все пользователи\TheAdBlock\TheAdBlock. exe. [9136fe63e9b08fa7ba8ccaacd32ff010],

- карантины с прошлого лечения или лечения на других форумах - перемещены и неопасны

PUP. Optional. Amonetize, C:\Program Files\Common Files\Config\uninstinethnfd. exe. [3394075a188140f651093b242ad7629e],

- тоже лучше проверить на Virustotal. com для принятия окончательного решения.

Сверхстрашного в логе не видно, все нежелательные программы неактивны и просто лежат по своим папкам без попытки загрузиться или запуститься

Всё, что вы хотели знать о вирусах

Но кто бы мог подумать, что электронному чуду техники свойственны болезни похожие на человеческие. Он, так же как и человек может подвергнуться атаке «вируса» но компьютерного. И если не принять мер, компьютер скоро «заболеет» т. е. начнет выполнять неправильные действия или вообще «умрет» т. е. повреждения нанесенные «вирусом» окажутся очень серьезными. О том что такое компьютерные вирусы и как с ними бороться пойдет речь далее.

Что такое компьютерный вирус?

На сегодняшний день можно выделить несколько основных типов вредоносных программ:

В свое время наибольшую распостраненность имели именно класические вирусы — но их создатели редко задавались конкретной целью навредить конечному пользователю, а скорее создавались из позновательных целей. Нынешние же вирусописатели преследуют абсолютно четкие и понятные цели — деньги, и их «детища» стали куда опаснее своих предшественников. Итак позвольте представить самых опасных хищников сегодняшнего информационного пространства — это Трояны и Черви.

Троян или troj получил свое название благодаря сходству между методом заражения и знаменитым тактическим ходом при осаде Трои. Пример заражения трояном — вам приходит письмо от некой «знакомой» с текстом: — «Привет! Я только вернулась с моря — так клево отдохнула! Вот мои фотки — посмотри.», и вложенными фаилами с расширением «.JPG ». Вот эти самые фаилы это и есть троянский конь в недрах которого спрятан вредоносный код. Наиболее часто встречающиеся источники заражения — электронная почта, сайты знакомств, сайты с музыкой, сайты с бесплатным ПО. Что делает «троян »? Как правило его задача открыть путь для остальных вирусов, выступить первым плацдармом. Как избежать заражения «трояном»? Здесь все как в жизни — предохраняйтесь и избешайте случайных связей =). Это правило справедливо для любых вирусов и другого вредоносного ПО. Если вам прислали электронное письмо — прежде чем смотреть вложенные фаилы проверьте отправителя, сохраните вложение на компьютер и проверьте его антивирусом, и только после этого открывайте.

Червь или Worm — особенность этих программ в эволюции и автономности. Червь попадая на компьютер как правило атакует почтовые программы и интернет пейджеры. После получения доступа к почте или пейджеру он начинает рассылать письма/сообщения содержащие видоизмененную версию самого себя. После чего либо самоликвидируется, либо заражает запускаемые фаилы (EXE, COM, BAT). Поскольку вирус самоизменяется то до момента определения его в базе вашего антивируса он неуязвим. Вот почему сегодня лицензионный антивирус это насущная потребность любого владельца ПК.

Компьютерный вирус — это специально написанная небольшая по размерам программа, которая может «приписывать» себя к другим программам (т. е. «заражать» их), а также выполнять различные нежелательные действия на компьютере. Программа, внутри которой находится вирус, называется зараженной. Когда такая програmmа начинает работу, то сначала управление получает вирус. Вирус находит и «заражает» другие программы, а также выполняет какие-нибудь вредные действия (например, портит файлы или таблицу размещения файлов (FAT) на диске, «засоряет» оперативную память и т. д.). Для маскировки вируса действия по заражению других программ и нанесению вреда могут выполняться не всегда, а скажем, при выполнении определенных условий. После того как вирус выполнит нужные ему действия, он передает управление той програmmе, в которой он находится, и она работает как обычно. Тем самым внешне работа зараженной програmmы выглядит так же, как и незараженной.

Многие разновидности вирусов устроены так, что при запуске зараженной программы, вирус остается в памяти компьютера и время от времени заражает программы и выполняет нежелательные действия на компьютере.

Все действия вируса могут выполняться очень быстро и без выдачи каких либо сообщений, по этому пользователю очень трудно, практически невозможно, определить, что в компьютере происходит что-то необычное.

Пока на компьютере заражено относительно мало программ, наличие вируса может быть практически незаметным.

Однако по прошествии некоторого времени на компьютере начинает твориться что-то странное, например:

• некоторые программы перестают работать или начинают работать неправильно;


• на экран выводятся посторонние сообщения, символы и т. д.;


• работа на компьютере существенно замедляется;


• некоторые файлы оказываются испорченными и т. д.

К этому моменту, как правило, уже достаточно много (или даже большинство) тех программ, с которыми вы работаете, являются зараженными вирусом, а некоторые файлы и диски — испорченными. Более того, зараженные программы с Вашего компьютера могли быть уже перенесены с помощью дискет или локальной сети на компьютеры ваших коллег и друзей.

Некоторые вирусы ведут себя очень коварно. Они вначале незаметно заражают большое числопрограmm и дисков, а затем наносят очень серьезные повреждения, например, форматируют весь жесткий диск на компьютере, естественно после этого восстановить данные бывает просто невозможно. А бывают вирусы, которые ведут себя очень скрытно, и портят понемногу данные на жестком диске или сдвигают таблицу размещения файлов (FAT).

Таким образом, если не принимать мер по защите от вируса, то последствия заражения могут быть очень серьезными. Например, в начале 1989г. вирусом, написанным американским студентом Моррисом, были заражены и выведены из строя тысячи компьютеров, в том числе принадлежащих министерству обороны США. Автор вируса был приговорен судом к трем месяцам тюрьмы и штрафу в 270 тыс. дол. Наказание могло быть и более строгим, но суд учел, что вирус не портил данные, а только размножался.

Для того, чтобы программа-вирус была незаметной, она должна иметь небольшие размеры. По этому вирусы пишут обычно на низкоуровневых языках Ассемблер или низкоуровневыми командами языка СИ.

Вирусы пишутся опытнымипрограmmистами или студентами просто из любопытства или для отместки кому-либо или предприятию, которое обошлось с ними недостойным образом или в коммерческих целях или в целях направленного вредительства. Какие бы цели не преследовал автор, вирус может оказаться на вашем компьютере и постарается произвести те же вредные действия, что и у того, для кого он был создан.

Следует заметить, что написание вируса — не такая уж сложная задача, вполне доступная изучающему програmmирование студенту. Поэтому еженедельно в мире появляются все новые и новые вирусы. И многие из них сделаны в нашей стране.

Испорченные и зараженные файлы

Компьютерный вирус может испортить, т. е. изменить ненадлежащим образом, любой файл на имеющихся в компьютере дисках. Но некоторые виды файлов вирус может «заразить». Это означает, что вирус может «внедриться» в эти файлы, т. е. изменить их так, что они будут содержать вирус, который при некоторых обстоятельствах может начать свою работу.

Следует заметить, что тексты программ и документов, информационные файлы баз данных, таблицы табличных процессоров и другие аналогичные файлы не могут быть заражены обычным вирусом, он может их только испортить. Заражение подобных файлов делается только Макро-вирусами. Эти вирусы могут заразить даже ваши документы.

Загрузчик операционной системы и главная загрузочная запись жесткого диска. Вирусы, поражающие эти области, называются загрузочными или BOOT-вирусами. Такой вирус начинает свою работу при начальной загрузке компьютера и становится резидентными, т. е. постоянно находится в памяти компьютера. Механизм распространения — заражение загрузочных записей вставляемых в компьютер дискет. Часто такие вирусы состоят из двух частей, поскольку загрузочная запись имеет небольшие размеры и в них трудно разместить целикомпрограmmу вируса. Часть вируса располагается в другом участке диска, например в конце корневого каталога диска или в кластере в области данных диска (обычно такой кластер объявляется дефектным, чтобы исключить затирание вируса при записи данных).

Драйверы устройств Файлы, указываемые в предложении DEVICE файла CONFIG. SYS. Вирус, находящийся в них начинает свою работу при каждом обращении к соответствующему устройству. Вирусы, заражающие драйверы устройств, очень мало распространены, поскольку драйверы редко переписывают с одного компьютера на другой. То же относится и к системным файлам DOS (MSDOS. SYS и IO. SYS) — их заражение также теоретически возможно, но для распространения вируса малоэффективно.

Как правило, каждая конкретная разновидность вируса может заражать только один или два типа файлов. Чаще всего встречаются вирусы, заражающие исполняемые файлы. На втором месте по распространенности загрузочные вирусы. Некоторые вирусы заражают и файлы, и загрузочные области дисков. Вирусы, заражающие драйверы устройств, встречаются крайне редко, обычно такие вирусы умеют заражать и исполняемые файлы.

Классификация вирусов

Вирусы можно делить на классы по разным признакам. Вот, например, по признаку вероломности:

• вирусы, моментально поражающие компьютер. форматируют жесткий диск, портят таблицу размещения файлов, портят загрузочные сектора, стирают так называемое Flash-ПЗУ (где находится BIOS) компьютера (вирус «Чернобыль»), другими словами, как можно быстрее наносят непоправимый урон компьютеру. Сюда же можно отнести и результаты обид програmmистов, пишущих вирусы, на антивирусные программы. Имеются в виду так называемые аллергии на определенные антивирусные программы. Эти вирусы достаточно вероломны. Вот, например, аллергия на Dr. Web при вызове этой программы, не долго думая, блокирует антивирус, портит все, что находится в директории с антивирусом и C:WINDOWS. В результате приходится переустанавливать операционную систему и затем бороться с вирусом другими средствами.


• вирусы, рассчитанные на продолжительную жизнь в компьютере. Они постепенно и осторожно заражают программу за программой, не афишируя, свое присутствие и производят подмену стартовых областей программ на ссылки к месту, где расположено тело вируса. Кроме этого они производят незаметное для пользователя изменение структуры диска, что даст о себе знать, только когда некоторые данные уже будут безнадежно утеряны (например, вирус "OneHalf-3544","Yankey-2C«).

По признаку способов передачи и размножения тоже можно провести разделение.

Раньше вирусы в основном поражали только исполняемые файлы (с расширениями .com и .exe ). Действительно, ведь вирус это программа и она должна выполняться.

Теперь вирусы отправляют электронной почтой как демонстрационные программки или как картинки, например, если по электронной почте пришел файл «PicturesForYou. jpg», не спешите его смотреть, тем более что он пришел неизвестно откуда. Если посмотреть на название повнимательнее, то окажется, что оно имеет еще 42 пробела и действительное расширение. exe. То есть реально полное имя файла будет таким:

«PicturesForYou. jpg. exe». Теперь любому понятно, что на самом деле несет в себе эта картинка. Это не файл рисунка, который при активизации вызывает просмотрщик рисунков, а наглый чуточку завуалированный вирус, который только и ждет когда его активизируют щелчком мыши или нажатием клавиши. Такой вирус вы сами загружаете себе на компьютер, под оболочкой какой-нибудь картинки, как «Троянского коня ». Отсюда и жаргонное название таких вирусов как «Трояны ».

На данный момент существуют такие оболочки информационных каналов как Internet Explorer, Outlook Express, Microsoft Office. Сейчас появились немногочисленные классы так называемых «Макро-вирусов ». Они содержат скрытые команды для данных оболочек, которые нежелательны для рядового пользователя. И этот код уже не является кодом для компьютера, то есть это уже не программа, а текст программы, выполняемый оболочкой. Таким образом, он может быть записан в любом необходимом формате. html. htm — для Internet Explorer. doc. xls. xlw. txt. prt, или любой другой — для Microsoft Office и т. д. Такие вирусы наносят вред только определенного характера, ведь оболочка не имеет команд, к примеру, для форматирования жесткого диска. Но все же этот вид вирусов заслуживает внимания, ведь с помощью скрытых гиперссылок он способен самостоятельно загрузить из Интернета на ваш компьютер тело вируса, а некоторые вирусы способны обновляться и загружаться по частям через Интернет с определенных серверов.

Вот, например, одним из японских студентов разработан именно такой вирус, который подключает небольшой «загрузчик» к любому формату входных данных из Интернета. Далее этот загрузчик самостоятельно скачивает из Интернета с сервера с IP-адресом Babilon5 тела вируса. Этих тел четыре. Каждая из них способна самостоятельно разрушать ваш компьютер, но имеет определенное назначение. Этот вирус по типу является гибридом между макро-вирусами и обычными вирусами. Но надо отметить, что именно гибриды являются наиболее живучими, хитрыми, опасными и многочисленными среди вирусов.

Совсем недавно нашумел скандал о программисте, который, как утверждают эксперты, создал и начал распространение макро-вируса, заражавшего текстовые файлы для Microsoft Word. Его вычислили по дате и времени создания исходного документа, которое хранится в невидимых частях. doc файлов. Возможно, что файл был создан другим человеком до того, как к нему был приделан вирус, тогда вопрос о злоумышленнике остается открытым. Но эксперты утверждают, что это именно он.

Например, вирус Win32.HLLM. Klez. один из разновидностей опасного сетевого червя распространяется путем рассылки своих копий по электронной почте. Кроме того, этот червь может распространяться по локальной сети, заражая компьютеры, диски которых являются разделяемыми сетевыми ресурсами, доступными для записи. Попадая в систему, червь рассылает себя по адресам, найденным в адресной книге Windows. в базе данных ICQ и в локальных файлах. Зараженные письма, рассылаемые данным червем, используют одну из сравнительно давно известных ошибок в системе безопасности Internet Explorer. которая позволяет вложенному в письмо программному файлу (с вирусом) автоматически запуститься при простом просмотре почты в программах Outlook и Outlook Express .

Попробуем рассмотреть способы маскировок и защит, применяемых вирусами против нас рядовых пользователей и антивирусных программ.

Вероломность - это основной и самый быстрый способ сделать пакость до обнаружения. Вирус «Чернобыль». например, полностью стирает BIOS (стартовую программу, расположенную в микросхеме ПЗУ, обеспечивающую работу компьютера). После такого компьютер вообще ничего не сможет выдать на экран. Но его работа легко блокируется, если внутри компьютера установлен переключатель, запрещающий писать в область ПЗУ. По этому это был первый, но и, как я думаю, последний представитель аппаратных вирусов.

Регенеративные вирусы делят свое тело на несколько частей и сохраняют их в разных местах жесткого диска. Соответственно эти части способна самостоятельно находить друг друга и собираться для регенерации тела вируса. Программа — антивирус обнаруживает и убивает лишь тело вируса, а части этого тела не заложены в антивирусной базе, так как являются измененными. От таких вирусов помогает целенаправленное низкоуровневое форматирование жесткого диска. Предварительно необходимо принять осторожные меры по сохранению информации.

Хитрые вирусы прячутся не только от нас, но и от антивирусных программ. Эти «хамелеоны» изменяют сами себя с помощью самых хитрых и запутанных операций, применяя и текущие данные (время создания файла) и используя чуть ли не половину всего набора команд процессора. В определенный момент они, конечно же, по хитрому алгоритму превращаются в подлый вирус и начинают заниматься нашим компьютером. Это самый трудно обнаруживаемый тип вирусов, но некоторые антивирусные программы, такие как «Dr. Web», способны с помощью так называемого эвристического анализа обнаруживать и обезвреживать и подобные вирусы.

«Невидимые» вирусы чтобы предотвратить свое обнаружение применяют так называемый метод «Stelth ». Он заключается в том, что вирус, находящийся в памяти резидентно, перехватывает обращения DOS (и тем самым прикладных программ) к зараженным файлам и областям диска и выдает их в исходном (незараженном) виде. Разумеется этот эффект наблюдается только на зараженном компьютере — на «чистом» компьютере изменения в файлах и загрузочных областях диска можно легко обнаружить. Но некоторые антивирусные программы могут обнаруживать вирусы — «невидимки» даже на зараженных компьютерах.

Сетевой червь «Randon» появился в марте 2003 года. Распространятся по IRC-каналам и ресурсам локальных сетей и заражает компьютеры под управлением операционных систем Windows2000 и Windows XP. Для проникновения на компьютер он подключается к локальной сети или IRC-серверу. сканирует находящийся на нем пользователей, устанавливает с ними соединение по порту 445 и пытается подобрать пароль из встроенного списка наиболее часто используемых фраз. В случае успешного взлома системы «Random» пересылает на нее троянскую программу «Apher». которая, в свою очередь, загружает с удаленного Web-сайта остальные компоненты червя. После этого «Randon» устанавливает свои компоненты в системном каталоге Windows. регистрирует свой основной файл. Для сокрытия присутствия в памяти использует специальную утилиту «HideWindows». которая также является компонентом червя. Благодаря ей он оказывается невидимым для пользователя, так что активный процесс «Randon» можно обнаруживать только в диспетчере задач Windows. Его побочные эффекты — создание на зараженной машине большого объема избыточного трафика и переполнение IRC-каналов .

Основные методы защиты от компьютерных вирусов

Для защиты от вирусов можно использовать:

• Общие средства защиты информации, которые полезны также как страховка от физической порчи дисков, неправильно работающих программ или ошибочных действий пользователей;


• профилактические меры, позволяющие уменьшить вероятность заражения компьютерным вирусом;


• специализированные программы для защиты от вирусов.


• Общие средства защиты информации полезны не только для защиты от вирусов. Имеются две основные разновидности этих средств:


• копирование информации — создание копий файлов и системных областей дисков;

Разграничение доступа предотвращает несанкционированное использование информации, в частности, защиту от изменений программ и данных вирусами, неправильно работающими программами и ошибочными действиями пользователей.

Несмотря на то, что общие средства защиты информации очень важны для защиты от компьюторных вирусов, все же их одних недостаточно. Необходимо применять специализированные программы для защиты от компьютерных вирусов.

Эти программы можно разделить на несколько видов:

Программы — детекторы позволяют обнаруживать файлы, зараженные одним из нескольких известных вирусов.

Программы — доктора, или фаги. «лечат вирусы » зараженные программы или диски, «выкусывая» из зараженных программ тело вируса, т. е. восстанавливая программу в том состоянии, в котором она находилась до заражения вирусом.

Программы — ревизоры сначала запоминают сведения о состоянии программ и системных областей дисков, а затем сравнивают их состояние с исходным. При выявлении несоответствий, об этом сообщается пользователю.

Доктора — ревизоры — это гибриды ревизоров и докторов, т. е. программы, которые не только обнаруживают изменения в файлах и системных областях дисков, но и могут автоматически вернуть их в исходное состояние.

Программы — фильтры располагаются резидентно в оперативной памяти компьютера и перехватывают те обращения к операционной системе, которые используются вирусами для размножения и нанесения вреда, и сообщают о них пользователю. Пользователь может разрешить или запретить выполнение соответствующей операции.

Программы — вакцины, или иммунизаторы. модифицируют программы и диски таким образом, что это не отражается на работе программ, но вирус, от которого производится вакцинация, считает эти программы и диски уже зараженными. Эти программы крайне неэффективны и далее не рассматриваются.

Ни один тип антивирусных программ по отдельности не дает, к сожалению, полной защиты от компюторных вирусов. По этому наилучшей стратегией защиты от вирусов является многоуровневая, «эшелонная» оборона.

Опишем структуру этой обороны.

Средствам разведки в «обороне» от вирусов соответствуют программы — детекторы, позволяющие проверять вновь полученное программное обеспечение на наличие вирусов.

На переднем крае обороны находятся программы-фильтры (резидентные программы для защиты от вируса). Эти программы могут первыми сообщить о вирусной атаке и предотвратить заражение программ и диска.

Второй эшелон обороны составляют программы-ревизоры, программы-доктора и доктора-ревизоры. Ревизоры обнаруживают нападение даже тогда, когда вирус сумел «просочиться» через передний край обороны. Программы-доктора применяются для восстановления зараженных программ, если ее копий нет в архиве. Но они не всегда проводят лечение правильно. Доктора-ревизоры обнаруживают нападение вируса и лечат вирусы — зараженные файлы, причем контролируют правильность лечения вирусов, а в случае невозможности лечения вирусов обязательно рекомендуют удаление вирусов (зараженных фаилов).

Самый глубокий эшелон обороны — это средства разграничения доступа. Они не позволяют вирусам и неверно работающим программам, даже если они проникли в компьютер, испортить важные данные.

И, наконец, в «стратегическом резерве» находятся архивные копии информации и «эталонные» дискеты с программными продуктами. Они позволяют восстановить информацию при ее повреждении на жестком диске.

Программы — детекторы и доктора

В большинстве случаев для обнаружения вируса, заразившего компьютер, можно найти уже разработанные программы-детекторы. Эти программы проверяют, имеется ли в файлах на указанном пользователем диске специфическая для данного вируса комбинация байтов. При ее обнаружении в каком-либо файле на экран выводится соответствующее сообщение. Многие детекторы имеют режим лечения вирусов или удаления вирусов.

Следует отметить, программа — детектор может обнаруживать только те вирусы, которые ей известны (т. е. занесены в антивирусную базу данных этой программы).

Один из лучших представителей таких программ является Dr. WEB .

Dr. Web Security Space — решение вопроса комплексной защиты ПК от интернет-угроз: вирусов, руткитов, почтовых червей, хакерских утилит, компьютерных мошенников, спама, фишинговых сообщений, зараженных интернет-страниц и кибер-преступности, направленной против детей. Продукт обеспечивает защиту рабочих станций под управлением Microsoft Windows 2000/XP/Vista/7 (для 32- и 64-битных систем). Также доступны версии для операционных систем MAC OS X и Linux.

Компоненты защиты: антивирус, антируткит, антишпион, веб-антивирус, антиспам, родительский контроль.

Другой вариант — это KIS Касперского.

Все в ней отличается удобным и понятным интерфейсом. Программа выполнена для операционной системы Windows XP и Windows Vista. что позволяет ей работать параллельно с другими приложениями. «Лаборатория Касперского» является российским лидером в области разработки систем антивирусной безопасности.

Также мы рекомендуем продукты компании AVAST.

Это проверенные в работе защитники вашего компьютера — лечение большинства вирусов и удаление вирусов в случае их критической угрозы или неизлечимости.

Большинство программ — детекторов имеют также и функцию «доктора», т. е. они пытаются вернуть зараженные файлы и области диска в их исходное состояние — лечить вирусы. Те файлы, которые не удалось лечить, как правило, делаются неработоспособными или удаляются.

Профилактика против заражения вирусом

Рассмотрим некоторые меры, которые позволяют уменьшить вероятность заражения компьютера вирусом, а также свести к минимуму ущерб от заражения вирусом, если оно все-таки произойдет.

1. Неплохо бы иметь и при необходимости обновлять архивные и эталонные копии используемых пакетов программ и данных. Перед архивацией данных целесообразно проверить их на наличие вируса.


2. Целесообразно так же скопировать на дискеты служебную информацию вашего диска (FAT. загрузочные сектора ) и CMOS (энергонезависимая память компьютера). Копирование и восстановление подобной информации можно выполнить с помощью программы Rescue программного комплекса Norton Utilities.


3. Следует устанавливать защиту от записи на архивных дискетах.


4. Не следует заниматься нелицензионным и нелегальным копированием программного обеспечения с других компьютеров. На них может быть вирус.


5. Все данные, поступающие извне, стоит проверять на вирусы, особенно файлы, «скачанные» из Интернета.


6. Надо заблаговременно подготовить восстанавливающий пакет на дискетах с защитой от записи.


7. На время обычной работы, не связанной с восстановлением компьютера, стоит отключить загрузку с дискеты. Это предотвратит заражение загрузочным вирусом.


8. Используйте программы — фильтры для раннего обнаружения вирусов.


9. Периодически проверяйте диск программами - детекторами или докторами — детекторами или ревизорами для обнаружения возможных провалов в обороне.


10. Обновляйте базу антивирусных программ.


11. Не допускайте к компьютеру сомнительных пользователей.

В заключение хотелось бы предостеречь от слишком рьяной борьбы с компьютерными вирусами. Ежедневный запуск полного сканирования жесткого диска на наличие вирусов так же не блестящий шаг в профилактике заражений. Единственный цивилизованный способ защиты от вирусов я вижу в соблюдении профилактических мер предосторожности при работе на компьютере. А так же нужно прибегать к помощи специалистов для борьбы с компьютерным вирусом. Кроме того, даже если вирус все-таки проник на компьютер, это не повод для паники.

Нередко главной бедой Интернета являются не вирусы и хакеры, а такое распространенное явление, как компьютерная безграмотность.

Внедрение вируса в DOS COM - и EXE-файлы

Внедрение вируса в DOS COM - и EXE-файлы - раздел Компьютеры, Компьютерные вирусы Выполняемые Двоичные Файлы Dos Имеют Форматы Com Или Exe, Различающиеся Загол.

Выполняемые двоичные файлы DOS имеют форматы COM или EXE, различающиеся заголовком и способом запуска программ на выполнение. Расширение имени файла (".COM" или ".EXE") не всегда соответствует действительному формату файла, что, правда, никак не влияет на работу программы. Файлы COM и EXE заражаются по-разному, следовательно вирус должен отличать файлы одного формата от другого. Вирусы решают эту задачу двумя способами: одни анализируют расширение имени файла (".COM", ".EXE"), другие - заголовок файла. Первый способ далее будет называться заражением. COM - (или. EXE-) файлов, второй - заражением COM - (или EXE-) файлов.

Один из наиболее часто встречающися примеров некоррекного заражения файла - COMMAND. COM от Windows95. Этот файл по сути является EXE-файлом, более того имеет размер более 90K, что невозможно для COM-файла. Поэтому вирусы, которые различают COM/EXE файлы по расширению имени и не проверяют длины заражаемых COM-файлов (например, "Junkie"), портят такой COMMAND. COM, и он становится неработоспособным.

style="display:inline-block;width:300px;height:250px"
data-ad-client="ca-pub-6667286237319125"
data-ad-slot="5736897066">