Вирусы и их разновидности
еют, как правило, очень простой
алгоритм и составляют менее 0.5 процента от известных вирусов, то
рассматриваются только вирусы, относящиеся к "паразитическим".
Симптомы наличия вируса.
Основные симптомы вирусного поражения следующие:
Замедление работы некоторых программ.
Увеличение размеров файлов (особенно выполняемых).
Появление не существовавших ранее странных файлов.
Уменьшение объема доступной оперативной памяти (по сравнению с обычным
режимом работы).
Внезапно возникающие разнообразные видео и звуковые эффекты.
При всех перечисленных выше симптомах, а также при других странных
проявлениях в работе системы (неустойчивая работа, частые самостоятельные
перезагрузки и прочее) мы настоятельно рекомендуем Вам, немедленно
произвести проверку Вашей системы на наличие вирусов с помощью AVP. При
этом лучше, если программа будет иметь самую последнюю версию и самые
свежие обновления антивирусных баз.
Предохранения и способ лечения от вирусов.
WScript.KakWorm - это не совсем вирус, а интернет червь, причем способ его
распространения достаточно хитрый. Он распространяется по электронной
почте, но зараженное письмо не содержит вложения, заражен сам текст письма.
Т.е. однажды открыв письмо (или если у Вас включен режим предпросмотра, то
просто установив курсор на письмо) Вы заражаете Ваш компьютер. Более полную
информацию по этому червю Вы можете прочитать в вирусной энциклопедии.
Удаление:
Если Ваш компьютер еще не заражен KakWorm'ом (т.е. Вы не открывали
зараженное письмо) то чтобы избавиться от червя надо сделать следующее:
отключить режим предпросмотра в почтовой программе;
временно деактивировать AVP Монитор;
запустить почтовую программу;
удалить зараженное сообщение из всех папок (не открывая его);
сжать все папки;
активировать AVP Монитор.
Если Ваш компьютер уже заражен KakWorm'ом, то придется сделать следующее:
Выключить режим предпросмотра в почтовой программе.
Удалить из ветки "HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun"
системного реестра ключ "cAg0u = "C:WINDOWSSYSTEM(name).hta", где
"(name)" - это 8-символьное имя (например 68DAEF80.HTA).
Перегрузить компьютер.
Удалить следующие файлы:
KAK.HTA из C:Windows
KAK.HTM из C:WindowsSystem
(name).HTA из C:WindowsSystem, где (name) - это 8-символьное имя
KAK.HTA из C:WindowsStart MenuProgramsStartup
Удалить подпись по умолчанию в почтовом клиенте.
Удалить все зараженные сообщения из всех папок (как это описано выше).
При инсталляции червь I-Worm.PrettyPark копирует зараженный файл в
системный каталог Windows под именем FILES32.VXD и регистрирует его в
системном реестре таким образом, что файл FILES32.VXD запускается при
старте каждой программы. Для этого червь создает в системном реестре новый
ключ, который ключ ассоциирован с файлом FILES32.VXD (копией червя). Этот
файл имеет расширение VXD, однако он является не VxD-драйвером Win95/98, а
абсолютно нормальной программой Windows32.
Чтобы полностью избавиться от PrettyPark надо сделать следующее:
переименовать regedit.exe в regedit.com;
запустить regedit и установить
"HKEY_CLASSES_ROOTexefileshellopencommand" в ""%1" %*";
запустить AVP и пролечить компьютер;
переименовать regedit обратно.
При инсталляции в систему червь создает в системном каталоге Windows файлы
SKA.EXE и SKA.DLL и сохраняет файл WSOCK32.DLL с именем WSOCK32.SKA и
дописывает сегмент своего кода в файл WSOCK32.DLL.
Удаление зараженных файлов:
Необходимо удалить файлы SKA.EXE и SKA.DLL из системного каталога Windows,
заменить инфицированный файл WSOCK32.DLL на его незараженную копию
WSOCK32.SKA. Следует также найти и удалить первоначальный EXE-файл
HAPPY99.EXE.
Для дальнейшей защиты компьютера от данного червя достаточно всего лишь
установить атрибут "только чтение" у файла WSOCK32.DLL. Червь не в
состоянии заразить систему в этом случае, поскольку он не обрабатывает
атрибуты файлов.
Антивирусные программы
Если вы любитель новых программ, игрушек, ведете активную переписку по
электронной почте и используете при этом Word, либо просто хотите следовать
вышеуказанным правилам, вам необходимо использовать антивирус. Какой
антивирус самый лучший? Всё зависит от ваших вкусов и предпочтений, так что
решайте сами. Есть несколько параметров, по которым различные антивирусы
можно сравнить между собой. Судя по собственному опыту их использования и
мнениям специалистов, антивирусная программа, достойная к применению,
должна "уметь":
создавать аварийную дискету;
сканировать загрузочный сектор и создавать копию исходного загрузочного
сектора;
сканировать файлы, включая архивные (.ARJ, .ZIP, .RAR);
сканировать оперативную память;
автоматически сканировать диск по заранее заданному расписанию;
проверять файлы при их поступлении на компьютер и при обращении к дисковому
или сетевому устройству, сканировать эти устройства в поисках вирусов;
при перезагрузке проверять, не осталась ли в дисководе дискета, и
предупреждать об этом пользователя;
сканировать диск в фоновом режиме;
обнаруживать макро-вирусы в документах Word и Excel;
регистрировать результаты просмотра в виде отчета на экране или в
распечатке.
Список не маленький, но обязательный. Иначе толку от такой программы не
будет никакого. Кроме вышеперечисленного антивирус должен быть надежен,
быстр и удобен в работе (отсутствие "зависаний" и прочих технических
проблем), качественно обнаруживать вирусы всех распространенных типов, не
иметь "ложных срабатываний", обладать возможностью лечения зараженных
объектов, периодически (чем чаще, тем лучше) обновляться (пополнять базу
новыми вирусами), быть мультиплатформенным (DOS, Windows, Windows95,
Windows NT, Novell NetWare, OS/2, Alpha, Linux и т.д.) и иметь возможность
администрирования сети.
На сегодняшний день существует несколько ведущих антивирусных пакетов:
российские Antiviral Toolkit Pro лаборатории Евгения Касперского
(www.avp.ru) и Dr. Web от "ДиалогНауки" (www.drweb.ru), а также западные
McAfee Total Virus Defence от Nеtwork Associates (www.macafee.com), Norton
AntiVirus от Symanteс (www.symantec.com) и некоторые другие.
Тема выбора антивируса требует отдельного разговора, поэтому в следующем
номере мы подробно остановимся на последних версиях этих продуктов,
разберём все их преимущества и недостатки, и даже проведём некоторые тесты.
До встречи через месяц. Предохраняйтесь и не болейте!
Новые вирусы.
www.kaspersky.ru
8-12-2001 Эпидемия интернет-червя Goner
Мировая эпидемия Интернет-червя Goner (другие названия - Gone и Pentagone)
началась на этой неделе во вторник 4 декабря. Начало было довольно бурным,
так что некоторые эксперты поспешили предупредить население, что этот вирус
по нанесенному им материальному ущербу может оставить далеко позади
печально известный вирус Love Bug. В принципе основания для этого были:
этот вирус удаляет с зараженного компьютера антивирусные и другие защитные
программы и оставляет компьютер на растерзание хакерам и другим вирусам.
Но по прошествии нескольких дней стало ясно, что не все так страшно. По
всей видимости, многочисленные вирусные эпидемии чему-то все-таки учат
пользователей ПК. По оценкам компании Computer Economics, вирус Love Bug,
появившийся в 1999 году, посетил по всему миру 40 млн компьютеров и заразил
из них 4,5 миллиона, а общий ущерб от его деятельности составил около 8,75
млрд дол. По данным этой же компании, с минувшего вторника вирус Goner
получили по электронной почте или через ICQ 800 тысяч обладателей
компьютеров по всему миру, но заразились из них только 7%, то есть только
56 тысяч человек по небрежности или недомыслию запустили присланный файл на
исполнение. К тому же после вируса Love Bug антивирусные компании добавили
в свои защитные программы целый ряд функций по автоматической очистке от
вирусов (особенно в ПО для корпоративных компьютерных сетей, где полагаться
на сознательность и подкованность рядовых пользователей было бы очень
наивно). Так что о миллионах заразившихся ! говорить рановато, и ущерб от
вируса Goner пока составляет порядка 5 млн дол.
То есть ему далеко и до чемпиона Love Bug, и до призеров (вирус Code Red
обошелся миру в 2,6 млрд дол., SirCam стоил около 1 млрд дол., а Nimda -
590 млн дол.).
Но расслабляться, конечно же, нельзя, ведь вирусописатели не дремлют и
постоянно придумывают что-то новое и изощренное.
8-12-2001 Informer.ru представляет антивирусный онлайн-сервис
Число онлайновых сервисов Рунета пополнилось антивирусным приложением.
Компания AV-online и портал Informer.ru объявили о запуске совместного
проекта. Теперь пользователи Сети смогут бесплатно установить на своих
сайтах информер, с помощью которого возможна удаленная проверка файлов на
наличие вирусов. Посмотреть, как выглядит новый информер, можно здесь .
Алгоритм работы сервиса будет следующим: файлы, предназначенные для
проверки, при помощи информера загружаются на сервер AV-online, где
средствами пакета DrWeb осуществляется их проверка. Помимо процедуры
проверки, пользователи также смогут получить доступ к статистике файлов,
прошедших проверку.
Собственную серию информеров предложила "Лаборатория Касперского" . В
состав этой серии вошли информеры, содержащие новости компании, новости
проекта VirusList.com , рейтинг top10 вирусов и перечень наиболее активных
вирусов дня.
Комментируя внедрение нового сервиса и новостных информеров, руководитель
проекта Informer.ru Елена Митькина заявила следующее: "Сервис AV-online, в
первую очередь, ориентирован на администраторов интернет-проектов. С его
помощью порталы, осуществляющие обмен файлами (почтовые сервисы), смогут
организовать их автоматическую проверку на наличие вирусов, что,
несомненно, будет оценено пользователями. Что
| | скачать работу |
Вирусы и их разновидности |