Detectarea unui virus necunoscut

Detectarea unui virus necunoscut

Această secțiune descrie situații pe care le-ar putea întâlni în cazul în care suspectează că computerul său este infectat cu un virus, dar nici unul dintre cele cunoscute programe anti-virus, acesta nu dă un rezultat pozitiv. Unde și cum să căutați un virus? Ce instrumente sunt necesare, ce metode ar trebui folosite și care reguli ar trebui urmate?

Prima regulă nu este de panică. Nu va duce la nimic bun. Nu sunteți primul și nu ultimul, al cărui computer a fost infectat, în afară de faptul că nu orice eșec al computerului este o manifestare a virusului. Prin urmare, mai des amintiți-vă zicala - "Diavolul nu este atât de groaznic cât este pictat". În plus, înfrângerea virusului nu este cel mai rău lucru care se poate întâmpla la un calculator.

Nu uitați, înainte de a utiliza software-ul antivirus și utilitarele, pentru a porni calculatorul dintr-o copie de rezervă DOS situată pe o dischetă protejată împotriva virusului și de scriere și apoi utilizați programele numai de pe dischete. Acest lucru este necesar pentru a asigura împotriva unui virus rezident, deoarece poate bloca munca programelor sau poate folosi munca lor pentru a infecta fișierele / discurile care urmează să fie scanate. Mai mult, există un număr mare de viruși care distrug datele de pe disc, dacă "bănuiesc" că codul lor poate fi detectat. Desigur, această cerință nu se aplică virușilor macro și discurilor marcate cu unul dintre noile formate (NTFS, HPFS) - după încărcarea DOS, acest hard disk nu va fi disponibil pentru programele DOS.

Detectarea virusului de boot

Sectoarele de boot sunt amplasate, de regulă, sunt programe mici, al căror scop este de a determina mărimea și limitele de unități logice (pentru MBR) sau un sistem de operare de boot (pentru sectorul de încărcare).

La început, trebuie să citiți conținutul sectorului suspect de prezența virusului. În acest scop, este convenabil să utilizați DISKEDIT din "utilitarele Norton" sau AVPUTIL din suita profesională AVP.

Unii viruși de boot pot fi detectate aproape imediat prin prezența diferitelor șiruri de text (de exemplu, „Stoned“ virusul conține liniile: „PC-ul este acum Stoned!“, „Legalizeze MARIJUANA!“). Unele virusuri care infectează sectorul de boot-disc, prin contrast, sunt definite de lipsa de linii care trebuie să fie prezente în sectorul de încărcare. Aceste linii includ numele fișierelor de sistem (de exemplu, șirul "IO SYSMSDOS SYS") și linia mesajelor de eroare. Absența sau modifica antetul rândului-boot-sector (un șir de caractere care conține numărul versiunii de DOS sau numele software-ului producătorului, de exemplu, „MSDOS5.0“ sau „MSWIN4.0“) poate fi, de asemenea un semnal al unei infecții virale, în cazul în care nu pe calculator instalat Windows95 / NT - aceste sisteme din motive necunoscute pentru mine înregistrate în antetul sectorului de boot de dischete siruri de text aleatoare.

Standard MS-DOS bootloader situat în MBR, ocupă mai puțin de jumătate din sector, și multe virusuri care infectează MBR-ul, pur și simplu văzută de creșterea în lungime de cod, care se află în sectorul MBR.

Cu toate acestea, există viruși care sunt injectați în încărcător fără a schimba șirurile de text și cu modificări minime ale codului de încărcare. Pentru a detecta un astfel de virus, în cele mai multe cazuri, discheta suficient de format cu un calculator neinfectat cunoscut, salvați-l ca fișier de sectorul de încărcare, apoi ceva timp să-l folosească pe computerul infectat (scriere / citire mai multe fișiere), apoi pe un calculator neinfectat pentru a compara sectorul său de boot cu cel original. Dacă codul sectorului de pornire se modifică, virusul este prins.

Motivația de mai sus se bazează pe faptul că încărcătorii standard (programele scrise de sistemul de operare în sectoarele de boot) implementează algoritmi standard pentru încărcarea sistemului de operare și sunt proiectați în conformitate cu standardele sale. Dacă discurile sunt formatate cu utilitare care nu fac parte din DOS (de exemplu, Disk Manager), apoi pentru a detecta virusul în ele, ar trebui să analizați algoritmul de lucru și design al încărcătoarelor create de un astfel de utilitar.

Detectarea unui virus de fișier

După cum sa menționat, virusii sunt împărțiți în rezidenți și nerezidenți. Virușii rezidenți care s-au întâlnit până acum au fost mult mai vicleni și mai sofisticați decât cei nerezidenți. Deci, mai întâi, să luăm în considerare cel mai simplu caz - înfrângerea computerului de un virus necunoscut necunoscut. Acest virus este activat la începutul oricărui program infectat, efectuează tot ce trebuie, transferă controlul către transportatorul de programe și în viitor (spre deosebire de virușii rezidenți) nu va interfera cu funcționarea acestuia. Pentru a detecta un astfel de virus, trebuie să comparați lungimea fișierelor pe hard disk și în copii de distribuție (menționarea importanței stocării acestor copii a devenit deja obișnuită). Dacă acest lucru nu ajută, atunci ar trebui să comparați copii de distribuție cu octetul byte de către programele utilizate. În prezent, au fost dezvoltate o mulțime de utilități pentru o astfel de comparare a fișierelor, cea mai simplă (utilitatea COMP) este conținută în DOS.

Există încă o modalitate de a identifica vizual un fișier DOS infectat cu virus. Se bazează pe faptul că fișierele executabile, ale căror cod sursă este scris într-un limbaj de nivel înalt, au o anumită structură. În cazul Borland sau Microsoft C / C ++ segment de cod este la începutul fișierului, și chiar în spatele lui - segmentul de date, iar la începutul acestui segment ar trebui să se alinieze drepturi de autor producător compilator. Dacă dumpul unui astfel de fișier este urmat de o altă bucată de cod în spatele segmentului de date, este probabil ca fișierul să fie infectat cu un virus.

Același lucru este valabil și pentru majoritatea virușilor care infectează fișierele Windows și OS / 2. În fișierele executabile ale acestor sisteme de operare, destinația de plasare standard este în ordinea următoare: segmentul (ele) de cod urmat de segmentele de date. Dacă există un alt segment al codului din spatele segmentului de date, acesta poate servi și ca un semnal pentru prezența virusului.

Trebuie remarcat faptul că rezidentul DOS-blocantele sunt adesea lipsiți de putere, dacă lucrați în DOS-fereastră sub Windows95 / NT, deoarece Windows95 / NT permite virusului să lucreze „în jurul valorii de“ blocant (ca, într-adevăr, și toate celelalte programe rezidente). Dozătoarele DOS nu pot, de asemenea, să oprească răspândirea virușilor Windows.

Metodele de detectare a virușilor de fișiere și boot-uri de mai sus sunt potrivite pentru majoritatea virușilor rezidenți și nerezidenți. Cu toate acestea, aceste metode nu funcționează dacă virusul este implementat utilizând tehnologia stealth, ceea ce face inutil să utilizați majoritatea blocatorilor rezidenți, utilitarele de comparare a fișierelor și citirea în sectoare.

Manifestările tipice ale virușilor macro sunt:

  • Word: incapacitatea de a converti un document Word infectat într-un alt format.
  • Word: fișierele infectate au formatul Șablon (șablon), deoarece atunci când infectați viciile Word, convertiți fișierele din formatul documentului Word în Șablon.
  • Numai Word 6: incapacitatea de a scrie un document într-un alt director / pe alt disc prin comanda "Save As".
  • Excel / Word: în directorul STARTUP există fișiere "străine".
  • Versiunile Excel 5 și 7: prezența foilor suplimentare și ascunse în Cartea.

Pentru a verifica prezența virusului în sistem, puteți utiliza elementul de meniu Instrumente / Macro. Dacă se găsesc "macro-uri străine", acestea pot aparține virusului. Cu toate acestea, această metodă nu funcționează în cazul virușilor stealth care interzic funcționarea acestui element de meniu, care, la rândul său, este un motiv suficient pentru a considera sistemul infectat.

Multe viruși au erori sau funcționează incorect în diferite versiuni de Word / Excel, ceea ce duce la emiterea mesajelor de eroare Word / Excel, de exemplu:

Dacă apare un astfel de mesaj când se editează un document nou sau o tabelă și nu se cunosc macrocomenzi de utilizatori, acest lucru poate fi, de asemenea, un semn de infectare a sistemului.

Un semnal despre virus sunt modificări ale fișierelor și ale configurației sistemului Word, Excel și Windows. Multe viruși modifică elementele de meniu Instrumente / Opțiuni într-un fel sau altul - permit sau interzice funcțiile "Prompt pentru salvarea șablonului normal", "Permite salvarea rapidă", "Protecția împotriva virușilor". Anumiți viruși instalați o parolă pe fișiere atunci când sunt infectați. Un număr mare de viruși creează noi secțiuni și / sau opțiuni în fișierul de configurare Windows (WIN.INI).

Detectarea unui virus rezident

În cazul în care computerul a găsit urme de activitate a virusului, dar schimbări vizibile în fișiere și sectoare de sistem ale discului nu este respectat, este foarte posibil ca computerul este lovit de unul dintre -virusov „stealth“. În acest caz, trebuie să încărcați DOS de pe o dischetă fără virus care conține o copie de siguranță a DOS și să acționați ca un virus nerezident. Cu toate acestea, uneori acest lucru este nedorit și, în unele cazuri, imposibil (cunoscut, de exemplu, cazurile de cumpărare de computere noi infectate cu virusul). Apoi, este necesar să se detecteze și să se neutralizeze partea rezidentă a virusului, efectuată de tehnologia "stealth". Se pune întrebarea: unde în memorie și cum să căutați un virus sau partea rezidentă a acestuia? Există mai multe moduri de a infecta memoria.

1. Virusul poate pătrunde în tabelul vectorilor de întrerupere

Dacă există vreun virus în tabela vectorilor de întrerupere, utilitarul care afișează hartă de alocare a memoriei (de exemplu, AVPTSR.COM, AVPUTIL.COM) începe să "facă zgomot".

2. Virusul poate integra mai multe moduri în DOS: într-un driver de sistem arbitrar, clipboard-ul de sistem, DOS în cealaltă zonă de lucru (de exemplu, o regiune de sistem stivă sau într-un spațiu liber, și tabele DOS BIOS)

Un virus încorporat în tampon de sistem ar trebui să reducă numărul total de tampoane; altfel va fi distrusă prin operațiile de citire ulterioare de pe disc. Este destul de ușor să scrie un program care contorizează numărul de tampoane de fapt, prezente în sistem, și compară rezultatul cu valoarea comenzii BUFFERE, situat în CONFIG.SYS fișier (dacă BUFFERE comanda lipsește, valoarea utilizată în mod implicit de către DOS).

3. Virusul poate pătrunde în zona de program sub forma:

  • un program rezident separat sau un bloc de memorie separat (MCB);
  • în interiorul sau "lipit" de orice program rezident.

4. Virusul poate pătrunde în limita memoriei alocate pentru DOS

Atenție vă rog! Capacitatea RAM poate fi redusă cu 1 sau mai multe kilobyte și ca urmare a utilizării memoriei extinse sau a unor tipuri de controlere. În același timp, următoarea imagine este tipică: în secțiunea "tăiat", conținutul majorității octeților este zero.

5. Virusul poate fi încorporat în programe rezonabile de memorie cunoscute sau "lipit" de blocurile de memorie deja existente

Posibil infectate cu virus de fișier DOS, care sunt rezidente (de exemplu, IO.SYS, msdos.sys, COMMAND.COM), drivere încărcate (ANSY.SYS, COUNTRY.SYS, RAMDRIVE.SYS), și altele. Pentru a detecta un astfel de virus este mult mai dificil, din cauza scăzut viteza de răspândire a acestuia, însă probabilitatea atacului unui astfel de virus este mult mai mică. Din ce în ce au început să se întâlnească viruși „scamatorie“, care modulează antete blocuri de memorie sau „ieftin“ DOS, astfel încât codurile bloc cu virusul devine una cu blocul de memorie precedent.

Există virusi cunoscuți care nu utilizează întreruperi atunci când infectează fișiere sau discuri, dar lucrează direct cu resursele DOS. Când căutați un virus similar, trebuie să investigați cu atenție modificările din structura internă a sistemului DOS infectat: lista de drivere, tabele de fișiere, stive DOS etc. Aceasta este o lucrare foarte amănunțită și, având în vedere numărul mare de versiuni ale DOS, necesită abilități foarte mari pentru utilizatori.

Detectarea unui virus Windows rezident este extrem de dificilă. Virusul, fiind în mediul Windows ca aplicație sau VxD-dvayver, este aproape invizibil, deoarece mai multe zeci de aplicații și VxD sunt active în același timp, iar virusul nu se deosebește de acestea prin semne externe. Pentru a detecta programul de virusi în listele de aplicații active și VxD, trebuie să înțelegeți bine "insidele" Windows și să aveți o înțelegere deplină a driverelor și aplicațiilor instalate pe acest computer.

Prin urmare, singura modalitate acceptabilă de a captura un virus Windows rezident este de a încărca DOS și de a verifica fișierele de pornire Windows utilizând metodele descrise mai sus.

Articole similare