Hasta el momento no conozco a nadie que no haya sufrido directa o indirectamente la acción de los virus informáticos. Las empresas de antivirus exigen mucho de sus productos, que nunca ofrecen la protección adecuada. La pregunta es, ¿por qué comprar software antivirus? Todo lo creado por el hombre puede ser destruido, esto se aplica tanto a los antivirus como a los virus. Es mucho más difícil engañar a una persona que a un programa. Por lo tanto, este artículo está dedicado a describir un método para detectar y desactivar virus. software sin producto antivirus. Recuerde, sólo hay una cosa que no se puede eludir/romper/engañar: este es el Conocimiento, su propia comprensión del proceso. Hoy te hablaré de ejemplos reales cómo detectar y atrapar gusanos de Internet y software espía en su computadora. Por supuesto, hay muchos más tipos, pero tomé los más comunes y decidí escribir sobre lo que tenía en la práctica, para no decir nada innecesario. Si tiene suerte en su búsqueda, le informaré sobre virus de macro, puertas traseras y rootkits. Entonces, antes de comenzar, señalaré que en este artículo solo estoy considerando un sistema operativo de la familia NT conectado a Internet. Yo mismo tengo Win2000 SP4, detecto virus en WinXP PE. Así que pasemos a un análisis rápido y luego detallado del sistema en busca de gusanos y espías. Con una inspección rápida, simplemente detectamos la presencia de un programa y lo localizamos; ya se está realizando un análisis detallado a nivel de archivo y proceso. Allí hablaré del maravilloso programa PETools, pero todo tiene su tiempo.
Es lógico que para detectar y neutralizar un programa malicioso sea necesaria la existencia de dicho programa. La prevención sigue siendo prevención, hablaremos de ello más adelante, pero lo primero que debes hacer es determinar si hay algún virus en tu computadora. Cada tipo de malware tiene sus propios síntomas, que a veces son visibles a simple vista y otras completamente invisibles. Veamos cuáles son los síntomas generales de la infección. Dado que estamos hablando de un ordenador conectado a red global, entonces el primer síntoma es un consumo excesivamente rápido de, por regla general, el tráfico saliente, esto se debe al hecho de que muchos gusanos de Internet realizan funciones DDoS.
máquinas o simplemente robots. Como sabes, durante un ataque DDoS, la cantidad de tráfico saliente es igual a la cantidad máxima de tráfico por unidad de tiempo. Por supuesto, en un canal gigabit esto puede no ser tan notable si Ataque DDoS el ancho de una conexión de acceso telefónico, pero, por regla general, llama la atención la lentitud del sistema al abrir recursos de Internet (también me gustaría señalar que estamos hablando de virus que al menos de alguna manera se esconden en el sistema, porque hay No es necesario explicar nada si tiene un archivo en su carpeta de inicio (kfgsklgf.exe) que está atrapado por el firewall, etc.). El siguiente en la lista es la imposibilidad de acceder a muchos sitios web de empresas antivirus, fallos de funcionamiento programas pagos tipo CRC-error, esto ya se debe al hecho de que bastantes protectores comerciales admiten la función de verificar la paridad o integridad del archivo ejecutable (y no solo los protectores, sino también los propios desarrolladores de protección), lo cual se hace para proteger el programa de la piratería. No hablemos de eficiencia este método contra crackers y reversibles, pero esto puede funcionar perfectamente como señal de infección viral. Los creadores de virus principiantes pagan por procesos que no se pueden eliminar, ¿qué sucede cuando apagas o reinicias? la computadora viene un apagado prolongado de algún proceso, o incluso el ordenador se congela al apagarse. Creo que no es necesario hablar de procesos, ni tampoco de la carpeta de inicio, si hay algo incomprensible o nuevo allí, entonces quizás sea un virus, pero hablaremos de eso más adelante. Reinicios frecuentes de la computadora, desconexión de Internet, cancelación de programas antivirus, falta de disponibilidad del servidor de actualización sistemas microsoft, falta de disponibilidad de los sitios web de las empresas antivirus, errores al actualizar el antivirus, errores causados por cambios en la estructura de los programas pagos, mensaje de windows que los archivos ejecutables están dañados, la aparición de archivos desconocidos en el directorio raíz, esto es sólo una breve lista de síntomas de una máquina infectada. Además del malware directo, existe el llamado software espía, que es todo tipo de registradores de pulsaciones de teclas y dumpers. llaves electronicas, "ayudantes" no deseados para el navegador. Para ser honesto, según el método de detección, se pueden dividir en dos bandos opuestos. Digamos que un keylogger adjunto mediante una biblioteca dinámica al shell del sistema operativo es extremadamente difícil de detectar sobre la marcha, y viceversa, un asistente (complemento, barra de búsqueda, etc.) que surgió de la nada (complemento, barra de búsqueda, etc.) ) a Internet Explorer (por regla general) llama la atención inmediatamente, así que creo que es hora de dejar esta nota pesimista y pasar a prácticas realistas de detección y desactivación de malware.
%WINDIR%\Caché del controlador\driver.cab
luego desde las carpetas de actualización del sistema operativo, si las hay, luego desde %WINDIR%\system32\dllcache\ y solo entonces simplemente desde
%WINDIR%\system32\
Quizás el sistema operativo diga que los archivos están dañados y le solicite un disco con la distribución, ¡no esté de acuerdo! De lo contrario se recuperará y el agujero se abrirá nuevamente. Una vez que haya completado este paso, puede comenzar a localizar el virus. Ver qué aplicaciones se están utilizando conexión de red, un pequeño y útil programa llamado TCPView ayuda, pero algunos gusanos tienen un buen algoritmo de cifrado o, peor aún, se adjuntan a procesos o se hacen pasar por procesos. El proceso más común para enmascarar es sin duda el servicio svhost.exe, existen varios procesos de este tipo en el administrador de tareas, y lo más sorprendente es que puedes crear un programa con el mismo nombre y luego es casi imposible distinguir quién es. OMS. Pero existe una posibilidad y depende de la atención. En primer lugar, busque en el administrador de tareas (o mejor aún en Process Explorer) el desarrollador del programa. Para svhost.exe, por extraño que parezca, esto es M$; por supuesto, puede agregar información falsa al código del virus, pero aquí hay un par de matices. Lo primero y probablemente lo más importante es que un virus bien escrito no contiene una tabla de importación ni secciones de datos. Por lo tanto, dicho archivo no tiene recursos y, por lo tanto, no se puede escribir en los recursos del creador. O puede crear un recurso, pero luego aparecerá un tamaño de archivo adicional, lo cual es extremadamente indeseable para el creador del virus. También debo decir sobre svhost.exe, este es un conjunto de servicios del sistema y cada servicio es un archivo en ejecución con ciertos parámetros. En consecuencia, en el Panel de control -> Administración -> Servicios,
contiene todos los servicios cargados de svhost.exe, le aconsejo que cuente la cantidad de servicios y procesos en ejecución de svhost.exe, si no está de acuerdo, entonces todo ya está claro (simplemente no olvide comparar la cantidad de servicios en EJECUCIÓN servicios). Más detalles en el Apéndice A.
También cabe señalar que es posible que haya un virus entre los servicios, puedo decir una cosa al respecto, hay una lista de servicios en MSDN y en muchos otros lugares de la red, por lo que simplemente tomar y comparar no será suficiente. un problema. Después de estos pasos, podrás obtener el nombre de un archivo que puede ser un virus. Hablaré un poco más sobre cómo determinar directamente si un virus está presente o no, pero ahora dejemos el razonamiento y veamos algunos puntos más. Como probablemente ya sepa, para el funcionamiento normal del sistema operativo solo necesita 5 archivos en el directorio raíz, por lo que puede eliminar de forma segura todos los demás archivos, a menos, por supuesto, que pueda instalar programas en el directorio raíz. Por cierto, los archivos para funcionamiento normal, aquí están: ntldr
arranque.ini
archivo de paginación.sys
Bootfont.bin
NTDETECT.COM
No debería haber nada más. Si lo hay y no sabes de dónde viene, entonces ve al capítulo [Análisis detallado], también veremos cómo adjuntar procesos en el capítulo [Análisis detallado], y ahora hablemos de la ejecución automática. Naturalmente, el virus debe cargarse de alguna manera cuando se inicia el sistema. En consecuencia, observe las siguientes claves de registro en busca de programas sospechosos. (Y si ya ha encontrado un virus, busque el nombre del archivo en todas partes del registro y elimínelo):
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKLM\SOFTWARE\Microsoft\Active Setup\Componentes instalados
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskSchedulerHKLM\
SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServicioObjectDelayLoad
HKCU\Software\Microsoft\Windows\CurrentVersion\Ejecutar
Ya se ha dicho todo esto sobre la detección de gusanos simples. Eso sí, calcula uno bueno. virus oculto difícil. Detectar este gusano y desactivarlo me llevó unos 10 minutos, claro, sabía dónde buscar, esto simplificó la tarea. Sin embargo, digamos que es posible detectar una buena puerta trasera, un registrador de teclas, un virus oculto o simplemente un virus que utiliza la interceptación de llamadas a funciones API del sistema de archivos (entonces el virus resulta ser verdaderamente invisible), un virus de transmisión En general, hay una serie de otros matices, pero hoy en día hay muy pocos creadores de virus reales de tales creaciones. Es perturbador... Intentaré hablar de ellos en los siguientes artículos. Pasemos ahora al software espía o, como lo llama la burguesía, SpyWare. Lo explicaré nuevamente usando ejemplos de espías que atrapé personalmente, para que mis palabras no parezcan una fantasía vacía.
Comenzaré mi historia con los espías más comunes. En una revista muy conocida buen programador Las llamó correctamente pulgas de burro. El espía más simple suele esconderse detrás de una barra de herramientas de apariencia inocente. Sepa que si, de la nada, de repente aparece un nuevo botón o una barra de búsqueda en su navegador, considere que está siendo observado. Es muy visible que si la página de inicio de su navegador cambia repentinamente, no hay nada que decir. Por supuesto, perdóneme por algunos términos incorrectos. Los virus que cambian las páginas de inicio en el navegador no son necesariamente espías, sin embargo, como regla general, este es el caso y por eso los clasificaremos como espías aquí en este artículo. Veamos un ejemplo de la vida, cuando llegué al trabajo y vi una barra de búsqueda de aspecto extraño en el navegador de una computadora; cuando pregunté de dónde venía, nunca recibí nada. Tuve que resolverlo yo mismo. ¿Cómo puede un espía entrar al sistema? Existen varios métodos, como ya habrás notado estamos hablando de explorador de Internet, lo cierto es que el método más común para que un virus penetre en un sistema a través de un navegador es precisamente mediante el uso de la tecnología ActiveX, la tecnología en sí ya ha sido suficientemente descrita y no me detendré en ella. También puedes reemplazar la página de inicio, por ejemplo, con un simple script Java ubicado en la página; con el mismo javascript puedes incluso cargar archivos y ejecutarlos en un sistema vulnerable. El lanzamiento banal de un programa supuestamente para ver imágenes de sitios pagos de tendencia conocida contiene malware en el 98% de los casos. Para saber dónde buscar, diré que hay tres formas más comunes de localizar y trabajar los espías en la máquina de la víctima.
El primero es el registro y nada más, el virus puede permanecer en el inicio o no estar presente en la computadora, pero tiene un objetivo: reemplazar la página de inicio del navegador a través del registro. Si un virus o un script solo reemplazó una vez la página de inicio, no hay preguntas, solo necesita borrar esta clave en el registro, pero si después de la limpieza, después de un tiempo la clave aparece nuevamente, entonces el virus se está ejecutando y accede constantemente el registro. Si tiene experiencia trabajando con depuradores como SoftIce, puede establecer un punto de interrupción en el acceso al registro (bpx RegSetValueA, bpx RegSetValueExA) y monitorear qué programa, además de los estándar, accede al registro. Más adelante lógicamente. El segundo son precisamente los interceptores de eventos del sistema, los llamados ganchos. Normalmente, los ganchos se utilizan más en los registradores de teclas y son una biblioteca que monitorea y, si es posible, cambia los mensajes del sistema. Por lo general, ya existe un programa en sí y una biblioteca adjunta, por lo que al examinar el módulo principal del programa no obtendrá nada interesante.
Para obtener más información sobre este y el siguiente método, consulte el análisis detallado a continuación en el capítulo.
Y finalmente, la tercera forma es adjuntar su biblioteca a programas estándar SO, como explorer.exe y iexplorer.exe, en otras palabras, escribir complementos para estos programas. Aquí nuevamente, hay un par de formas, esto es adjuntar usando BHO (Gorlum escribió sobre el método de adjuntar en sí, aprovechando esta oportunidad para saludarlo y felicitarlo) y simplemente incrustar su biblioteca en el archivo ejecutable. la diferencia, según tengo entendido, es que el objeto auxiliar del navegador es descrito y propuesto por la propia corporación M$ y se utiliza como un complemento para el navegador, y la implementación de bibliotecas no es tanto un complemento. , sino más bien un programa autónomo, que recuerda más virus de archivo años pasados.
Para capacitación general, le proporcionaré claves de registro donde se pueden registrar productos de calidad inferior, en forma de barras de herramientas, botones y páginas de inicio del navegador.
página de inicio
Parámetro HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main StartPage.
HKEY_USERS\S-1-5-21-....\Software\Microsoft\Internet Explorer\parámetro Main StartPage (S-1-5-21-.... esta clave puede ser diferente en diferentes máquinas)
Registrar objetos como botones, barras de herramientas, etc.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
Aquí es donde se registran todos los “ayudantes”, y si no tiene ninguno, la clave debe estar vacía, si no está vacía, elimínela.
Entonces, si no está de acuerdo con estas claves y desea descubrirlo más a fondo, busque más.
Dado que al momento de escribir este artículo quería que fuera comprensible para todos, este capítulo puede parecer incomprensible para algunas personas, pero intenté simplificar todo lo mejor que pude. No te explicaré la arquitectura del archivo PE, aunque sí nos referiremos a ella. Hay muchos manuales más detallados en Internet e Iczelion escribió muy bien sobre archivos PE, tal vez algún día yo también lo describa.
Entonces, para comenzar un análisis detallado, necesitaremos algunas herramientas, yo uso en este caso y recomiendo usar PETools de NEOx y PEiD (generalmente puedes arreglártelas con un Soft Ice, pero es mejor tener más herramientas y más simples; para los inversores , Observo que ahora hablaremos sobre cómo ver la tabla de importación y el empaquetado de archivos, así que ignore la perversión que está a punto de ver)
Esto significa que, como ya dije, hubo un caso en el que de la nada aparecieron en el navegador una barra de búsqueda y una página de inicio. Después de verificar el registro, no encontré ningún cambio en la página de estadísticas ni ningún registro de complementos en el navegador. Tras una inspección más cercana, resultó que esta cadena de búsqueda (la barra de herramientas es más simple) aparece en todas las ventanas del sistema operativo. Esto ya cambió un poco la esencia del asunto. Supuse que dos espías, independientes entre sí, estaban haciendo esto, y fue por el método de infiltración. biblioteca dinámica. Al mismo tiempo, es necesario distinguir que si la barra de herramientas estaba solo en el navegador, significa que estaba incrustada en el proceso iexplorer.exe, pero la teníamos en todas partes, por lo que era necesario verificarla en el explorador. exe. Empecé a comprobar el navegador. Para hacer esto, inicié PETools y simplemente miré qué bibliotecas estaba usando el navegador. Tuve suerte con un creador de virus descuidado: en el contexto de las bibliotecas del sistema de %SYSTEMROOT% había un tal smt.dll con una ruta que iba a algún lugar en TEMP. Reinicie en modo seguro y elimine esta biblioteca, y todo está bien, el espía muere. Todo lo que queda es llamar a PETools nuevamente, hacer clic botón derecho del ratón Coloque el mouse sobre nuestro proceso y reconstruya el archivo. Este es el caso más simple en mi práctica. Pasemos al siguiente, busquemos y eliminemos la barra de herramientas. De la misma forma, miré el proceso explorer.exe y no encontré nada sorprendente. De esto se derivan dos opciones: o no me conozco todas las bibliotecas de memoria y la barra de herramientas se pierde entre ellas, o no tengo los conocimientos para encontrarla. Por suerte salió el primero. Pero ¿cómo se puede entonces distinguir una biblioteca real de una falsa? Te lo diré y lo entenderás por ti mismo. Como usted sabe, los fabricantes de virus persiguen la minimización y el cifrado del código. Es decir, como regla general, más de una barra de herramientas no estará abierta, en primer lugar, el código se puede reducir, lo que significa que es necesario y, en segundo lugar, si alguien (generalmente ni siquiera un antivirus, sino un competidor) descubre esto biblioteca, entonces el código no cifrado les resultará más fácil de entender. Por lo tanto, tomamos PEiD y realizamos un análisis masivo de las bibliotecas importadas. Las bibliotecas de Microsoft están escritas naturalmente en Visual C++ y no están empaquetadas con nada, por lo que si vemos (y acabo de ver un seUpd.dll sospechoso empaquetado con UPX) una biblioteca empaquetada o cifrada, entonces el 99% de las veces esto es lo que estaban buscando. Si lo comprueba o no es muy sencillo, muévelo en modo seguro y verás el resultado. Por supuesto, puedes desembalarlo, mirar la lista de diseños y pensar en lo que hace, pero no entremos en eso. Si no ha encontrado la biblioteca empaquetada, entonces es útil usar un editor de recursos como Restorator para ver las versiones del archivo, como ya dije, todas las bibliotecas de M$ lo tienen escrito allí. Aquí es donde los creadores de virus cometen errores. Deberían avergonzarse de escribir virus así. Finalmente, me gustaría señalar que la biblioteca *.dll no necesariamente puede integrarse en los procesos. El sistema operativo Windows tiene una aplicación útil llamada rundll32.exe y puedo ejecutar cualquier biblioteca mediante este proceso. Y al mismo tiempo, no es necesario escribir rundll32.exe myspy.dll al inicio, basta con escribirlo dentro del archivo infectado. Luego verá solo los suyos (archivos infectados que es poco probable que sean detectados por un antivirus) y el proceso rundll32.exe, y nada más. ¿Qué hacer en tales casos? Aquí tendremos que profundizar más en la estructura del archivo y del SO, por lo que dejaremos esto fuera del alcance de este artículo. En cuanto al empaquetado/cifrado del virus, esto se aplica no sólo a las bibliotecas, sino también a todos los archivos del sistema. Con esta agradable nota quiero finalizar la parte principal del artículo; se ha escrito mucho, pero esto es sólo el 1% de todos los métodos de detección. Puede que mi método no sea el mejor, pero lo uso yo mismo y es bastante productivo (bueno, solo que no en mi computadora). Si es posible, si es posible, escribiré una continuación sobre virus de macro, registradores de teclas y puertas traseras, en resumen, sobre lo que ya he detectado.
Me gustaría expresar mi gratitud a todas las personas con las que me comunico por existir.
Y también a las personas que influyeron en mí y de alguna manera me encaminaron por el camino correcto:
1dt.w0lf, MozgC, Mario555, c0Un2_z3r0, _4k_, foster, etc.
[Apéndice A]
Lista de servicios del sistema svhost.exe (WinXP)
Cliente DHCPvchost.exe -k netsvcs
Cliente DNS svchost.exe -k NetworkService
Actualizar automáticamente svchost.exe -k netsvcs
Inicio de sesión secundario svchost.exe -k netsvcs
Administrador de discos lógicos svchost.exe -k netsvcs
El lanzamiento del servidor DCOM procesa svchost -k DcomLaunch
Instrumental de administración de Windows svchost.exe -k netsvcs
Cliente de seguimiento de enlaces modificado svchost.exe -k netsvcs
Módulo de soporte NetBIOS sobre TCP/IP svchost.exe -k LocalService
Navegador de computadora svchost.exe -k netsvcs
Determinar el hardware del shell svchost.exe -k netsvcs
Estación de trabajo svchost.exe -k netsvcs
Servidor svchost.exe -k netsvcs
Servicio de restauración del sistema svchost.exe -k netsvcs
Servicio de hora de Windows svchost.exe -k netsvcs
Servicio de registro de errores svchost.exe -k netsvcs
Servicios de criptografía svchost.exe -k netsvcs
Ayuda y soporte svchost.exe -k netsvcs
Temas svchost.exe -k netsvcs
Notificación de eventos del sistema svchost.exe -k netsvcs
Llamada a procedimiento remoto (RPC) svchost -k rpcss
Centro de seguridad svchost.exe -k netsvcs
Administrador de conexión automática acceso remoto svchost.exe -k netsvcs
Protocolo HTTP SSLsvchost.exe -k HTTPFilter
Extensiones del controlador WMI svchost.exe -k netsvcs
Servicio de carga de imágenes (WIA) svchost.exe -k imgsvc
Servicios de aprovisionamiento de redvchost.exe -k netsvcs
Servicio de número de serie de medios portátiles
svchost.exe -k netsvcs
Compatibilidad con cambio rápido de usuario
svchost.exe -k netsvcs
Almacenamientos extraíblesvchost.exe -k netsvcs
Dispositivo PnP genérico Hostsvchost.exe -k LocalService
Gestión de aplicacionesvchost.exe -k netsvcs
Servicios de transferencia inteligente en segundo planovchost.exe -k netsvcs
Administradores de conexión de acceso remotovchost.exe -k netsvcs
Conexiones de redsvchost.exe -k netsvcs
Sistema de eventos COM+svchost.exe -k netsvcs
Servicio de descubrimiento de SSDP svchost.exe -k LocalService
Servicio de ubicación de red (NLA) svchost.exe -k netsvcs
Servicios de terminal svchost -k DComLaunch
Telephonysvchost.exe -k netsvcs
Windows Audiosvchost.exe -k netsvcs
Accediendo a dispositivos HIDsvchost.exe -k netsvcs
Enrutamiento y acceso remotosvchost.exe -k netsvcs
Anunciador svchost.exe -k LocalService
Programadores de tareasvchost.exe -k netsvcs
Servicio de mensajería svchost.exe -k netsvcs
----------- Un total de seis procesos cuando todos los servicios se están ejecutando -------
Contenido
Por eso, hoy te hablaremos sobre cómo eliminar manualmente un virus de tu computadora. Además, veremos qué troyanos se pueden encontrar, cómo se manifiestan y dónde se pueden introducir en el ordenador. Comencemos rápidamente a estudiar nuestro tema de hoy.
Bueno, pero antes de eliminar manualmente un virus de su computadora, vale la pena hablar con usted sobre qué tipo de infección se encuentra generalmente en su computadora. De hecho, en la mayoría de los casos, esto determina cómo se debe realizar el tratamiento. Entonces empecemos.
El primer virus es un troyano. Es un archivo malicioso que se “instala” en el sistema operativo e incluso lo daña. Por ejemplo, daña o destruye documentos importantes. Ahora hay muchos de ellos.
El segundo tipo de virus bastante común es una variedad de ransomware. Son archivos que ingresan al sistema y lo bloquean. Pero no destruyéndolos, sino sólo encriptándolos. Al final de dicho cifrado, por regla general, queda el correo electrónico del creador, al que se debe transferir una cierta cantidad de dinero para devolver los documentos a su forma original.
El tercer virus que puede detectar son, por supuesto, varios complementos del navegador o spam. Como regla general, interfieren mucho con su trabajo en Internet. Esto sucede debido al hecho de que la página de inicio del usuario puede cambiar, además se ubicará todo en el navegador. pancartas publicitarias. Cuando los usuarios ven esta imagen, piensan en cómo encontrar virus en su computadora manualmente y luego eliminarlos. Ahora intentaremos resolver esto.
Entonces, antes de encontrar virus manualmente y deshacerse de ellos de una vez por todas, intentemos descubrir qué puede indicarle que hay una infección informática en el sistema. Después de todo, si detecta señales a tiempo, puede evitar daños a una gran cantidad de archivos y la pérdida del sistema operativo.
El primer signo, el más obvio, no son más que mensajes de su programa antivirus. "Malderá" algunos documentos y archivos, dándole el nombre del supuesto virus. Es cierto que a veces un antivirus se comporta de esta manera en relación con varios cracks y "tabletas" para juegos de computadora. Sin embargo, esto no se puede ignorar.
El segundo escenario es que su computadora comience a ralentizarse. Aquí es cuando los usuarios empiezan a pensar activamente en cómo eliminar el virus manualmente, especialmente si no tienen un antivirus. Entonces, tan pronto como notes que tu sistema se ha vuelto lento, comienza a hacer sonar la alarma.
El siguiente escenario es que nuevos programas que no instalaste comenzaron a aparecer en tu computadora. Un movimiento bastante común entre las infecciones informáticas.
Además, la publicidad en el navegador también puede indicar que su computadora está infectada. Cambiar pagina de inicio sin posibilidad de recuperación, carteles publicitarios por todas partes: todas estas son señales bastante alarmantes. Entonces, veamos rápidamente cómo funciona desde una computadora manualmente.
Bueno, lo primero que debemos hacer es empezar por buscar los lugares donde radica la infección. A veces esto es muy difícil de hacer. Especialmente si no tienes un programa antivirus. En general, veamos qué se puede hacer en esta situación.
Entonces, cuando decidas derrotar al virus tú mismo, tendrás que encontrar la carpeta en la computadora en la que está almacenado. A veces, la infección se revela creando sus propios procesos en Ábrelo (Ctrl + Alt + Supr), luego ve a la pestaña "procesos". Ahora busque allí cualquier línea sospechosa (tendrá un nombre extraño o incluso estará firmada con jeroglíficos) y haga clic en el botón "mostrar ubicación del archivo". Listo, se ha encontrado el virus.
Es cierto que no todo es siempre tan fácil y sencillo. Si está pensando en cómo eliminar manualmente un virus de su computadora, también debe saber que las infecciones informáticas suelen estar bien ocultas. Al mostrar carpetas, marque la casilla de verificación "mostrar y carpetas". Ahora buscar será mucho más fácil.
Recuerde también que muy a menudo se “asientan” en carpeta de ventanas. Por ejemplo, la mayoría de los troyanos se encuentran en System32. Alguna infección puede "registrarse" en el archivo host. Conocemos los lugares favoritos de los virus. ¿Pero cómo deshacerse de ellos?
El primer escenario es eliminar la infección automáticamente. Más precisamente, de forma semiautomática. Se trata de o por la presencia de virus mediante un programa antivirus.
Para garantizar una protección de datos confiable, abastecerse buen antivirus. Dr.Web es genial. Si no te gusta, también puedes probar Nod32. Él también hace un trabajo bastante bueno.
Haz una verificación profunda. Después de que el programa te dé los resultados, intenta desinfectar los documentos automáticamente. ¿No funciono? Luego bórralos. Es cierto que si está pensando en cómo eliminar manualmente un virus de su computadora, lo más probable es que los análisis antivirus no le hayan ayudado. Veamos qué más se puede hacer.
El segundo paso para curar el sistema es, por supuesto, eliminar los diversos contenidos que el virus le ha enseñado. Esto es bastante común. Entonces, mira el “panel de control” y desde allí ve a “agregar o quitar programas”. Espere un momento hasta que el contenido de su computadora complete la verificación.
Cuando aparezca la lista de programas frente a ti, elimina todo lo que no utilices. Presta especial atención al contenido que no instalaste. O el hecho de que apareciera como un “tráiler” después de completar la instalación de algún otro “programa”. Haga clic derecho en la línea deseada y luego seleccione el comando "eliminar". ¿Listo? Luego puedes pensar más en cómo eliminar el virus manualmente de tu computadora.
Ahora recurramos a algunos servicios y técnicas que definitivamente nos ayudarán. Si conoce el nombre del virus (especialmente si encuentra spam), entonces le conviene buscar una infección mediante el registro de su computadora.
Para ir al servicio requerido, presione la combinación de teclas Win + R y luego ejecute el comando "regedit". Mira lo que aparece frente a ti. En el lado izquierdo de la ventana hay carpetas con nombres largos y poco claros. Es en ellos donde a menudo se esconden los virus. Pero facilitaremos un poco nuestra tarea de búsqueda. Simplemente vaya a "editar" y luego haga clic en "buscar". Escriba el nombre del virus y luego realice el escaneo.
Después de recibir los resultados, se deben borrar todas las líneas que aparezcan. Para hacer esto, haga clic en cada uno de ellos por turno y luego seleccione el comando requerido. ¿Está todo listo? Luego reinicie su computadora. Ahora ya sabe cómo eliminar manualmente un virus de su computadora.
Los usuarios principiantes de ordenadores a menudo se encuentran en una situación difícil, porque otros usuarios más avanzados consideran que las preguntas que tienen son triviales. Es por esta razón que muy a menudo las respuestas a estas preguntas son difíciles de encontrar en Internet, o las responde una persona que ya ha olvidado lo que significa ser principiante, lo que significa que utiliza terminología y técnicas que solo confundir aún más al principiante.
Esto también se aplica a una tarea tan trivial como buscar y eliminar virus.
decidí crear instrucciones paso a paso, en el que te mostraré cómo actuaría si encontrara malware.
Al principio tiene sentido hablar de los signos que indican clara o indirectamente una infección viral.
En primer lugar, se trata de una notificación que muestra el antivirus instalado en su computadora. Esta notificación puede verse diferente y su texto puede diferir según el programa antivirus específico.
Pero no se apresure a entrar en pánico de inmediato. Siempre existe la posibilidad de que el antivirus haya cometido un error o haya ido a lo seguro.
no me canso de repetir eso ¡El software antivirus no es una panacea!
Ningún antivirus en el mundo puede ser 100% efectivo, ya que los desarrolladores de virus y malware SIEMPRE están un paso por delante: primero aparece un virus y solo entonces comienzan a combatirlo.
Muchos usuarios novatos tienen una idea errónea sobre cómo funciona un antivirus. Creen que el antivirus en su trabajo se guía únicamente por las bases de datos antivirus, que se actualizan diariamente. Esto es cierto, pero en parte.
Cada día aparecen cientos y miles de nuevos virus y no siempre se les asigna un nombre único con el que se ingresan en la base de datos antivirus. Sólo el malware verdaderamente único recibe este privilegio. Todos los demás "bienes de consumo virales" se crean, por regla general, utilizando programas de diseño auxiliares, y un antivirus puede detectar dichos virus según ciertos criterios (analizador heurístico).
Si un programa o archivo se comporta de forma sospechosa en opinión del antivirus, es decir, el comportamiento se ajusta a ciertos criterios incluidos en el antivirus, entonces lo bloqueará y mostrará un mensaje. De hecho, el archivo puede ser bastante inofensivo.
Por lo tanto, un antivirus debe percibirse únicamente como una alarma, que bien puede tener (y suele tener) falsos positivos.
Sin embargo, si el antivirus “duda” y bloquea algo, entonces deberías escanear tu computadora por completo. Al mismo tiempo, recomendaría hacer esto no solo usando el antivirus instalado en su computadora, sino también una solución alternativa. Es decir, después cheque completo antivirus instalado, realice un segundo análisis con otro programa antivirus, del que hablaré un poco más adelante.
Cualquier situación de emergencia también puede ser un motivo para revisar su computadora en busca de virus. Por ejemplo, la computadora comenzó a ralentizarse o reiniciarse repentinamente, comenzaron a aparecer errores al iniciar programas o al operar el sistema operativo... En general, cualquier comportamiento anormal de la computadora debe tomarse como una señal; vale la pena verificar el computadora con antivirus.
Como ya mencioné, desde mi punto de vista, sería correcto verificar su computadora no solo con el antivirus instalado en ella, sino también con una segunda solución antivirus bien probada.
¡Con esto NO me refiero a instalar un segundo antivirus en su computadora! ¡NO! ¡Esto no se puede hacer!
Me refiero al uso de escáneres antivirus que se pueden descargar y ejecutar sin instalación, o mejor aún, incluso desde una unidad flash USB de arranque.
El hecho es que si su computadora está infectada, el virus puede esconderse en el sistema y bloquear los intentos del antivirus instalado para detectarlo o eliminarlo.
Cuando inicia su computadora desde una unidad flash creada especialmente, iniciará su propio sistema operativo (generalmente Linux). Esto significa que se podrá acceder a todos los archivos de su disco duro porque no estarán protegidos por el sistema operativo. sistema windows, que está instalado en el disco duro de su computadora.
De esta manera, podemos comprobar de forma más eficaz todos los rincones de su disco duro y es más probable que detectemos amenazas.
Estas unidades flash de arranque le permiten crear muchos antivirus modernos. Es decir, puedes ir al menú del antivirus instalado en tu computadora y usarlo para crear unidad flash USB de arranque. Pero esto siempre que su antivirus tenga dicha función. Puede obtener información sobre esto en el sistema de ayuda de su programa antivirus.
Prefiero utilizar la utilidad Dr.Web LiveDisk. Kaspersky y otros desarrolladores líderes de programas de seguridad tienen una solución similar, pero yo estoy más acostumbrado a trabajar con este programa en particular, así que mostraré todo el proceso usando su ejemplo.
Necesitaremos una unidad flash en blanco con una capacidad de 1 GB o más, o una unidad flash con 1 GB de espacio libre.
La utilidad Dr.Web LiveDisk se puede descargar desde el sitio web oficial.
Una vez descargado el archivo, conecte la unidad flash USB a su computadora y ejecute el archivo descargado.
Se iniciará un programa que detectará todos los dispositivos USB disponibles conectados a su computadora. Deberá seleccionar una unidad flash de la lista.
La utilidad no elimina archivos de la unidad flash, pero normalmente marco la casilla que le permite formatear completamente la unidad flash y colocar en ella solo archivos Dr.Web LiveDisk. Me gusta más esta opción, ya que para eliminar Dr.Web LiveDisk, en cualquier caso, es necesario formatear la unidad flash. Por lo tanto, es más fácil transferir inmediatamente los archivos necesarios, formatear la unidad flash y crear Dr.Web LiveDisk. Cuando ya no necesite el disco de arranque, formatee la unidad flash nuevamente y devuélvale todos los archivos.
Descargamos e instalamos un antivirus con las últimas bases de datos antivirus en una unidad flash. Esto significa que si desea utilizar esta unidad flash después de un tiempo, las bases de datos antivirus que contiene ya estarán desactualizadas.
Es posible actualizar las bases de datos antivirus sin crear una nueva unidad flash, pero normalmente no lo hago. El punto es que similar situaciones problemáticas Rara vez tengo problemas con los virus y me resulta más fácil recrear una unidad flash USB de arranque con un antivirus que asignar una unidad flash separada para estos fines y, si es necesario, actualizar la base de datos antivirus en ella.
Entonces, la unidad flash está lista. Reinicie la computadora y comience desde la unidad flash.
Para hacer esto, puede usar el menú de inicio. Ud. diferentes fabricantes En placas base y computadoras portátiles, este menú se abre presionando diferentes botones en el teclado, pero generalmente es la tecla Esc o una de teclas de función- F9, F11, F12. La forma más segura de saber qué tecla en su caso abre el menú de inicio es consultar las instrucciones de su computadora portátil o placa base. Bueno, o incluso más fácil: pregúntale a Yandex. Para hacer esto, formulemos una consulta de búsqueda, por ejemplo, "tecla del menú de inicio de la computadora portátil asus".
Esta tecla debe presionarse inmediatamente después de encender la computadora. Por lo general, no mantengo presionada la tecla, simplemente la presiono rápida y repetidamente hasta que aparece el menú.
Seleccione la unidad flash del menú y comenzará el proceso de arranque.
De forma predeterminada, el idioma de la interfaz está configurado en inglés, pero podemos solucionar la situación cambiando al ruso, presionando la tecla F2 y seleccionando el idioma.
Para seleccionar un idioma, puede utilizar las teclas del cursor: flechas hacia arriba y hacia abajo. Para confirmar la selección, presione la tecla ENTER.
Esta unidad flash es solución integral para solucionar varios tipos de problemas, por lo que existe, por ejemplo, una utilidad para probar la memoria de la computadora que puede ejecutar ahora mismo. Pero utilizo las flechas para seleccionar Dr.Web LiveDisk y presiono la tecla ENTER.
El quirófano estará cargado. sistema linux y comenzará inmediatamente escáner antivirus Dr.Web CureIt! Exactamente el mismo escáner se puede descargar e iniciar desde Windows, pero, como dije antes, es mucho más correcto y eficiente trabajar desde una unidad flash que desde un sistema operativo cargado desde un disco duro, así que comencemos.
Puede iniciar un análisis rápido o configurar un análisis personalizado, en el que puede especificar los objetos y áreas del disco que desea analizar.
Lanzaré uno rápido haciendo clic en el botón "Iniciar escaneo".
Una vez completado el análisis, recibiremos información sobre las amenazas detectadas y podremos neutralizarlas seleccionando la acción más adecuada: seleccione objetos y haga clic en el botón "Desarmar".
Este fue el método más fácil y rápido para eliminar virus de su computadora.
Dr.Web CureIt! tiene configuraciones y, si lo desea, puede familiarizarse con ellas en las instrucciones, cuyo enlace ya le he proporcionado anteriormente.
Bueno, la unidad flash Dr.Web LiveDisk en sí, como ya mencioné, no es solo un escáner antivirus, sino un conjunto completo de utilidades diseñadas para restaurar la funcionalidad de la computadora y diagnosticarla parcialmente. Aquí no sólo puede eliminar virus, sino también editar el registro de Windows o trabajar con archivos y carpetas en su disco duro. También existe un navegador con el que podrás obtener la información que necesitas de Internet.
Una unidad flash como esta ha venido al rescate más de una vez y me ha ayudado a restaurar más de una computadora...
Esto, en opinión del ciudadano medio, es un problema determinado que impide que la computadora funcione. En realidad, se trata de un programa malicioso que está integrado en el sistema operativo. Algunos de ellos pueden copiarse a sí mismos, infectando cada vez más archivos, mientras que otros simplemente interfieren con el correcto funcionamiento de las aplicaciones y no se reproducen. También difieren en el grado de peligro para el sistema.
En este artículo consideraremos las siguientes preguntas:
Una persona se entera de la presencia de virus de dos formas.
La primera es una señal antivirus. El segundo son los problemas, las imágenes extrañas y los fallos del programa. También puede reconocer un virus en su computadora observando su ubicación y tipo. La mayoría de las veces se trata de archivos con la extensión .exe que inician algún proceso que ralentiza el sistema.
En el primer caso, el virus se pone en cuarentena en la computadora, donde espera entre bastidores. En el segundo, sin las medidas adecuadas, el programa comienza a copiarse a sí mismo, integrándose en el funcionamiento de los navegadores y Componentes del sistema. Si al usuario le preocupa que la computadora esté infectada, la forma más sencilla es utilizar antivirus instalado. Esta es una forma confiable de descubrir que hay un virus en su computadora.
A veces él mismo señala un problema.Este mensaje indica que el programa ha neutralizado la amenaza y que todo está bien con la computadora. Al mismo tiempo, si un mensaje similar a este aparece en el navegador o parpadea en toda la pantalla, entonces es una señal de fraude. Esta no es una oferta para deshacerse del problema, sino su imposición. Un clic en dicha notificación e incluso una computadora "limpia" está en riesgo. Los estafadores que desarrollan estos sitios de una sola página pretenden además obligar al usuario a gastar dinero para resolver el problema.
Habrá información sobre el archivo sospechoso y lo que hizo el programa con él.Su antivirus siempre almacena informes sobre las operaciones y acciones realizadas. Se pueden rastrear yendo al elemento del menú especial "informes" o similar.
La respuesta a la pregunta de qué hacer si hay un virus en su computadora es ejecutar un antivirus y “limpiar” la máquina. En algunos casos particularmente avanzados, es posible que sea necesaria la reinstalación o la recuperación del sistema. Este es un caso extremo.
Los usuarios que trabajan en Internet sin un antivirus tienen todas las posibilidades de detectar un programa malicioso. Siguiendo las instrucciones, intentan descargar e instalar el antivirus, pero nada funciona. El caso es que el algoritmo de funcionamiento de algunos programas maliciosos incluye el bloqueo de su instalación.
Todo termina en esta etapa.Antes de instalar protección en su computadora, veamos los virus informáticos más comunes y sus tipos.
Probablemente se haya encontrado repetidamente en los medios con información de que ha aparecido un nuevo virus terrible que puede provocar una nueva epidemia terrible y casi el fin de Internet. o lo que apareció nueva tecnología La escritura de virus, basada en el uso de los bits menos significativos de píxeles de imágenes gráficas, y el cuerpo del virus es casi imposible de detectar. O... muchas otras cosas aterradoras. A veces los virus imparten casi inteligencia y conciencia de uno mismo. Esto sucede porque muchos usuarios, confundidos por la compleja clasificación y los detalles del mecanismo de funcionamiento de los virus, olvidan que, en primer lugar, cualquier virus es programa de computadora, es decir. un conjunto de comandos (instrucciones) del procesador diseñados de una determinada manera. No importa en qué forma exista este conjunto (un archivo ejecutable, un script, parte del sector de arranque o un grupo de sectores fuera del sistema de archivos); es mucho más importante que este programa no pueda tomar el control, es decir. comenzar a ejecutar. Grabado en tu disco duro, pero un virus que no se ha iniciado es tan inofensivo como cualquier otro archivo. La tarea principal en la lucha contra los virus no es detectar el cuerpo del virus, sino prevenir la posibilidad de que se lance. Por lo tanto, los fabricantes de virus competentes mejoran constantemente no sólo la tecnología para introducir software malicioso en el sistema, sino también los métodos de inicio y operación encubiertos.
¿Cómo se infecta una computadora con malware (virus)? La respuesta es obvia: debe estar ejecutándose algún programa. Lidio con derechos administrativos, preferentemente sin el conocimiento del usuario y sin que éste lo note. Los métodos de inicio se mejoran constantemente y se basan no sólo en el engaño directo, sino también en las características o deficiencias del sistema operativo o del software de la aplicación. Por ejemplo, el uso de la ejecución automática para medios extraíbles en la familia de sistemas operativos Windows ha provocado la propagación de virus en unidades flash. Las funciones de ejecución automática generalmente se llaman desde medios extraíbles o compartidos. carpetas de red. En la ejecución automática el archivo se procesa. Ejecución automática.inf. Este archivo determina qué comandos ejecuta el sistema. Muchas empresas utilizan esta función para ejecutar instaladores de sus productos de software, sin embargo, los fabricantes de virus también han comenzado a utilizarla. Como resultado, puede olvidarse de la ejecución automática por conveniencia cuando trabaja en una computadora. - Los usuarios más competentes han desactivado esta opción para siempre.
Para desactivar las funciones de ejecución automática en Windows XP/2000, importe el archivo reg al registro.
Para Windows 7 y versiones posteriores, puede desactivar la reproducción automática utilizando el subprograma de reproducción automática en el Panel de control. En este caso, el cierre se aplica a al usuario actual. Una forma más confiable de protegerse contra la introducción de virus transportados en dispositivos extraíbles es bloquear la ejecución automática para todos los usuarios que utilizan políticas de grupo:
Intentaré explicar el mecanismo de infección de la computadora de un visitante del sitio de forma simplificada usando un ejemplo. No hace mucho, mientras visitaba un sitio bastante popular, recibí una notificación del programa de monitoreo de inicio (PT Startup Monitor) de que la aplicación rsvc.exe intentando escribir en el registro. FAR eliminó con éxito la aplicación y PT Startup Monitor canceló los cambios en el registro. Un análisis de las páginas del sitio reveló la presencia de un extraño código Javascript que realiza operaciones para convertir cadenas de datos que no son texto significativo. Javascript es compatible con la mayoría de los navegadores modernos y se utiliza en casi todas las páginas web. El script descargado de dichas páginas se ejecuta mediante el navegador de Internet. Como resultado de numerosas transformaciones de las líneas mencionadas anteriormente, se obtuvo un código bastante simple:
iframe src="http://91.142.64.91/ts/in.cgi?rut4" ancho=1 alto=1 estilo="visibilidad: oculto"
Es decir, la ejecución de un script CGI de un servidor con dirección IP 91.142.64.91 (que no tiene nada que ver con el sitio visitado) en una ventana separada (etiqueta iframe) de 1 píxel de ancho y 1 píxel de alto, de forma invisible. ventana. El resultado es muy probable que sea una infección viral. Especialmente si no hay antivirus o este no responde a la amenaza. Este ejemplo de redirección oculta de un visitante a un sitio malicioso utilizando la etiqueta "iframe" probablemente no sea muy relevante hoy en día, pero demuestra plenamente cómo, mientras visita un sitio legal, puede visitar otro, no muy legal, sin que nadie se dé cuenta. saberlo. Lamentablemente, no existe una garantía absoluta contra la infección viral y hay que estar preparado para el hecho de que tendrás que hacer frente al virus por tu cuenta.
Recientemente, una de las principales direcciones en el desarrollo de malware ha sido el uso de todo tipo de métodos para protegerlos de la detección por herramientas antivirus: la llamada tecnología rootkit. Estos programas a menudo no son detectados por los programas antivirus o no los eliminan. En este artículo intentaré describir una técnica más o menos universal para detectar y eliminar software malicioso de un sistema infectado.
Eliminar un virus de “alta calidad” se está convirtiendo en una tarea cada vez más trivial, ya que los desarrolladores proporcionan a dicho virus propiedades que hacen que su solución sea lo más difícil posible. A menudo, un virus puede funcionar en modo kernel y tiene capacidades ilimitadas para interceptar y modificar funciones del sistema. En otras palabras, el virus tiene la capacidad de ocultar sus archivos, claves de registro, conexiones de red, - todo lo que pueda ser señal de su presencia en el sistema infectado. Puede eludir cualquier firewall, sistemas de detección de intrusiones y analizadores de protocolos. Y, entre otras cosas, puede funcionar en modo de arranque seguro de Windows. En otras palabras, el malware moderno es muy difícil de detectar y neutralizar.
El desarrollo de los antivirus tampoco se detiene: se mejoran constantemente y, en la mayoría de los casos, podrán detectar y neutralizar el malware, pero tarde o temprano habrá una modificación del virus que también lo será. difícil para cualquier antivirus desde hace algún tiempo. Por tanto, detectar y eliminar un virus por su cuenta es un trabajo que tarde o temprano tendrá que realizar cualquier usuario de ordenador.
Hola.
Nos interesa tu candidatura, pero te invitamos a rellenar
nuestro formulario de currículum corporativo y enviarlo a [correo electrónico protegido]
No se garantiza una respuesta, pero si su currículum nos interesa, lo haremos
Le llamaremos dentro de unos días. No lo olvide
Indique su número de teléfono y el puesto al que se postula. Preferiblemente
Indique también sus deseos salariales.
Puede descargar nuestro membrete desde el siguiente enlace.
http://verano-konwektor.pl/resume.exe
El análisis de los encabezados de la carta mostró que fue enviada desde una computadora en Brasil a través de un servidor ubicado en Estados Unidos. Y el membrete de la empresa se ofrece para descargar desde un servidor en Polonia. Y esto es con el contenido en ruso.
Está claro que no verá ningún membrete y lo más probable es que reciba un programa troyano en su computadora.
Descargando el archivo resume.exe. Tamaño: 159744 bytes. No lo voy a lanzar todavía.
Copio el archivo a otras computadoras donde están instalados varios antivirus, solo para comprobar su efectividad nuevamente. Los resultados no son tan buenos: el antivirus Avast 4.8 Home Edition permaneció delicadamente en silencio. Se lo pasé a Symantec y la misma reacción: sólo funcionó AVG 7.5 Free Edition. Parece que este antivirus está ganando popularidad por una buena razón.
Realizo todos los experimentos en una máquina virtual con el sistema operativo Windows XP. Cuenta con derechos de administrador, ya que la mayoría de las veces los virus se introducen con éxito en el sistema solo si el usuario es un administrador local.
Estoy lanzando. Después de un tiempo, el archivo infectado desapareció, parece que el virus empezó su trabajo sucio.
El comportamiento del sistema no ha cambiado externamente. Obviamente es necesario reiniciar. Por si acaso, desactivo las conexiones TCP en el firewall. Solo dejo permitidas las conexiones salientes a través de UDP:53 (DNS); es necesario darle al virus al menos alguna oportunidad de mostrar su actividad. Como regla general, después de la introducción, el virus debe comunicarse con el host o con un servidor determinado en Internet, una señal de lo cual serán las solicitudes de DNS. Aunque, nuevamente, a la luz de lo anterior, un virus inteligente puede disfrazarlos y, además, puede eludir el firewall. De cara al futuro, diré que en este caso particular esto no sucedió, pero para un análisis confiable de la actividad de la red, es mejor pasar todo el tráfico de una máquina infectada a través de otra no infectada, donde puede estar seguro de que el firewall Se siguen las reglas y el analizador de tráfico (yo usé Wireshark) revela lo que realmente es.
Reiniciando. Exteriormente, nada ha cambiado, excepto que es imposible acceder a Internet, ya que yo mismo desactivé esta posibilidad. No ha aparecido nada nuevo ni en las rutas de inicio, ni en los servicios, ni en los catálogos del sistema. Ver el registro del sistema solo da una pista: el sistema no pudo iniciar el misterioso servicio grande48. No pude tener tal servicio y este evento coincidió con el momento de la implementación. Lo que más sugiere una implementación exitosa es la ausencia de una entrada sobre el servicio grande48 en el registro y la ausencia de un segundo mensaje en el registro del sistema sobre un error al iniciar el servicio después de reiniciar. Lo más probable es que se trate de algún defecto de los creadores del virus. Aunque es insignificante, ya que la mayoría de los usuarios no ven el registro de eventos y, en el momento de sospecha de infección, es posible que esta entrada en el registro ya no esté presente.
1. Seguramente debe haber tráfico “por la izquierda”. Esto se puede determinar utilizando analizadores de protocolo. Usé Wireshark. Inmediatamente después de la descarga, lo ejecuto primero. Todo está correcto, hay un grupo de solicitudes DNS (como resultó más tarde, una vez cada 5 minutos) para determinar las direcciones IP de los nodos ysiqiyp.com, irgfqfyu.com, updpqpqr.com, etc. De hecho, a todos los sistemas operativos Windows les gusta conectarse cuando es necesario y los antivirus no pueden actualizar sus bases de datos, por lo que es bastante difícil determinar si el tráfico es un virus. Normalmente es necesario pasar el tráfico a través de una máquina no infectada y analizar seriamente su contenido. Pero este es un tema aparte. En principio, un signo indirecto de anomalía en la actividad de la red del sistema pueden ser valores significativos en los contadores de tráfico del proveedor durante el tiempo de inactividad del sistema, contadores de las propiedades de la conexión VPN, etc.
2. Intentemos utilizar programas para buscar rootkits. Ahora existen muchos programas de este tipo y son fáciles de encontrar en Internet. Uno de los más populares es el de Mark Russinovich, que se puede descargar desde la sección Windows Sysinternals del sitio web de Microsoft. No requiere instalación. Descomprimir y ejecutar. Haga clic en "Escanear". Después de un breve escaneo vemos los resultados:
Por cierto, incluso sin profundizar en el contenido de las líneas, se puede notar inmediatamente que hay registros o archivos que son muy “recientes” en cuanto al momento en que fueron creados/modificados (columna "Marca de tiempo"). Deberíamos estar interesados principalmente en archivos con descripciones (columna "Descripción") - "Oculto de la API de Windows"- oculto de la API de Windows. Ocultar archivos, entradas de registro y aplicaciones, por supuesto, no es normal. Dos archivos - grande48.sys
Y Yoy46.sys
- esto es exactamente lo que estamos buscando. Este es el rootkit deseado, registrado bajo la apariencia de controladores, o una parte del mismo que garantiza el secreto. La presencia de otros en la lista fue una sorpresa para mí. El control mostró que estos son normales. controladores de windows XP. Además, el virus ocultó su presencia sólo en la carpeta \sistema32
, y sus copias en \system32\dllcache
permaneció visible.
Permítanme recordarles que Windows XP utiliza un mecanismo especial de protección de archivos del sistema llamado Protección de archivos de Windows (PMA). El objetivo del PMA es restablecer automáticamente importantes archivos del sistema cuando sean eliminados o reemplazados por copias obsoletas o sin firmar. Todo el sistema archivos de windows Los XP están firmados digitalmente y figuran en una base de datos especial utilizada por el PMA. Se utiliza una carpeta para almacenar copias de archivos. \system32\dllcache
y, en parte, \Windows\caché del controlador
. Cuando elimina o reemplaza uno de los archivos del sistema, WFP copia automáticamente la copia "correcta" de la carpeta \dllcache. Si el archivo especificado no está en la carpeta \dllcache, Windows XP le pedirá que inserte el CD de instalación de Windows XP en su unidad de CD. Intente eliminar vga.sys de \system32 y el sistema lo restaurará inmediatamente utilizando una copia de dllcache. Y la situación en la que, con el sistema de recuperación de archivos en ejecución, el archivo del controlador está en \dllcache y no es visible en \system32, esto también es un signo adicional de la presencia de un rootkit en el sistema.
El paso más importante que queda es eliminar el virus. La forma más sencilla y fiable es iniciar en otro sistema operativo no infectado y evitar que se inicien los controladores del rootkit.
Usemos una consola estándar. recuperación de windows. Tome el disco de instalación de Windows XP y arranque desde él. En la primera pantalla, seleccione el segundo elemento del menú: presione R.
Seleccione un sistema (si hay varios):
Ingrese la contraseña del administrador.
La lista de controladores y servicios se puede ver usando el comando listasvc:
De hecho, la lista contiene Yoy46 , sin embargo, falta grande48, lo que indica que el archivo del controlador grande48.sys está presente en secreto en el sistema, pero no está cargado:
La Consola de recuperación le permite denegar o permitir que los controladores y servicios comiencen a usar comandos desactivar Y permitir. Prohibimos el inicio de Yoy46 con el comando:
Emitimos el comando EXIT y el sistema se reinicia.
Después de reiniciar, el controlador del rootkit no se cargará, lo que facilitará la eliminación de sus archivos y la limpieza del registro de sus entradas. Puedes hacerlo manualmente o puedes utilizar algún tipo de antivirus. El más eficaz, desde mi punto de vista, será un escáner gratuito basado en el conocido antivirus Dr.Web de Igor Danilov. Puede descargarlo desde aquí: http://freedrweb.ru
Allí también puede descargar "Dr.Web LiveCD", una imagen de disco que le permite restaurar la funcionalidad de un sistema afectado por virus en estaciones de trabajo y servidores que ejecutan Windows\Unix, copiar información importante a un medio extraíble u otra computadora, si las acciones de los programas maliciosos imposibilitaron el inicio de la computadora. Dr.Web LiveCD no sólo ayudará a limpiar su computadora de archivos infectados y sospechosos, sino que también intentará curar los objetos infectados. Para eliminar el virus, debe descargar una imagen (un archivo con la extensión .iso) del sitio web DrWeb y grabarla en un CD. Se creará un disco de inicio, después del inicio, desde el cual será guiado por un menú simple y claro.
Si por alguna razón no es posible utilizar Dr.Web LiveCD, puede probar el escáner antivirus Dr.Web CureIt!, que se puede iniciar arrancando en otro sistema operativo, por ejemplo con Winternals ERD Commander. Para escanear un sistema infectado, debe especificar su disco duro (modo de escaneo personalizado). El escáner lo ayudará a encontrar los archivos de virus y todo lo que tiene que hacer es eliminar las entradas asociadas con él del registro.
Dado que los virus han aprendido a registrarse para iniciarse en modo de inicio seguro, no está de más comprobar la rama del registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\SafeBoot
Secciones:
Mínimo- lista de controladores y servicios iniciados en modo seguro
Red- Lo mismo, pero con soporte de red.
Permítanme agregar que hay una nueva clase de rootkit, cuyo representante es Puerta trasera.MaosBoot, apareció a finales de 2007. Este programa troyano se escribe solo en el archivo de inicio. sector duro disco y proporciona una instalación oculta de su controlador en la memoria. El propio controlador Rootkit se escribe directamente en los últimos sectores. disco fisico, evitando sistema de archivos, que oculta su presencia en el disco. En general, el principio no es nuevo: hace unos diez años, el malware se disfrazaba de forma similar en las pistas de copia de seguridad de los disquetes y unidades de disco duro, sin embargo, resultó ser muy eficaz, ya que la mayoría de los antivirus todavía no pueden realizar la tarea de eliminar BackDoor.MaosBoot. El sector de arranque mencionado anteriormente no se verifica y los sectores al final del disco no están conectados de ninguna manera con el sistema de archivos y, naturalmente, no detectará dicho rootkit. Es cierto que Dr.Web (y, en consecuencia, Cureit) se adapta bastante bien a BackDoor.MaosBoot.
Si tienes dudas sobre algún archivo, puedes utilizar el servicio antivirus online gratuito virustotal.com. A través de un formulario especial en pagina de inicio sitio web, cargue un archivo sospechoso y espere los resultados. El servicio virustotal utiliza versiones de consola de muchos antivirus para escanear el archivo sospechoso. Los resultados se muestran en la pantalla. Si el archivo es malicioso, con un alto grado de probabilidad podrá determinarlo. Hasta cierto punto, el servicio se puede utilizar para seleccionar el "mejor antivirus".
enlace a uno de los hilos del foro en el sitio web virusinfo.info, donde los usuarios publican enlaces a varios recursos dedicados a la protección antivirus, incl. y comprobaciones online de tu ordenador, navegador, archivos...
A veces, como resultado de acciones incorrectas de un virus (o antivirus), el sistema deja de cargarse por completo. Déjame darte un ejemplo típico. Los programas maliciosos intentan infiltrarse en el sistema utilizando diversos métodos, incluso bastante inusuales. En curso oreja, incluso antes de que el usuario se registre, se inicia el "Administrador de sesión" (\SystemRoot\System32\smss.exe), cuya tarea es iniciar subsistemas y servicios de alto nivel del sistema operativo. En esta etapa, se inician los procesos CSRSS (Client Server Runtime Process), WINLOGON (Windows Logon), LSASS (LSA shell) y los servicios restantes con el parámetro Start=2 de la clave de registro.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Servicios
La información destinada al administrador de sesión se encuentra en la clave de registro.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\Session Manager
Una de las formas de infiltrarse en el sistema es reemplazar el archivo DLL por CSRSS. Si miras el contenido del post.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\Session Manager\SubSystems
Entonces encontrarás los significados.
ServerDll=basesrv, ServidorDll=winsrv. Las bibliotecas basesrv.dll y winsrv.dll son los archivos de sistema "correctos" cargados por el servicio CSRSS en un sistema normal (no infectado). Esta entrada del registro se puede cambiar por una entrada que garantice la carga, por ejemplo, en lugar de basesrv.dll, el malicioso basepvllk32.dll:
ServerDll=basepvllk32 (o algún otro dll que no sea basesrv y winsrv)
Esto asegurará que el malware tome el control en el próximo reinicio. Si su antivirus detecta y elimina el basepvllk32 integrado, sin modificar la entrada del registro, el inicio del sistema finalizará con una "pantalla azul de la muerte" (BSOD) con el error STOP c000135 y un mensaje sobre la imposibilidad de cargar basepvllk32.
Puedes mejorar la situación así:
Inicie en la consola de recuperación (o cualquier otro sistema) y copie el archivo basesrv.dll de la carpeta C:\WINDOWS\system32 a la misma carpeta con el nombre basepvllk32.dll. Después de lo cual el sistema se iniciará y podrá editar manualmente la entrada del registro.
- inicie usando Winternals ERD Commander y corrija la entrada del registro a ServerDll=basesrv. O realice una reversión del sistema utilizando un punto de restauración.
Otro ejemplo típico. Programas maliciosos se registra como depurador para el proceso explorer.exe, creando una entrada de registro como:
"Depurador"="C:\Archivos de programa\Microsoft Common\wuauclt.exe"
Eliminar wuauclt.exe con un antivirus sin eliminar la entrada del registro hace que sea imposible iniciar explorer.exe. Como resultado, obtienes un escritorio en blanco, sin botones ni accesos directos. Puede salir de la situación utilizando la combinación de teclas CTRL-ALT-DEL. Seleccione "Administrador de tareas" - " Nueva tarea" - "Examinar": busque y ejecute el editor de registro regedit.exe. Luego elimine la clave
HKM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
y reiniciar.
En el caso de que sepa exactamente cuándo se infectó el sistema, volver a un punto de restauración anterior a este evento es una forma bastante confiable de deshacerse de la infección. A veces tiene sentido no realizar una reversión completa, sino parcial, restaurando el archivo de registro del SISTEMA, como se describe en el artículo "Problemas al cargar el sistema operativo" en la sección "Windows".
== Mayo de 2008. ==
Suma
Esta adición apareció un año después de que se escribiera el artículo principal. Aquí decidí publicar las soluciones más interesantes que surgieron en el proceso de lucha contra el malware. Algo así como notas breves.
Después de eliminar el virus, ningún antivirus funciona.
El caso es interesante porque el método de bloqueo del software antivirus también se puede utilizar en la lucha contra archivos de virus ejecutables. Todo comenzó con el hecho de que después de eliminar un virus bastante primitivo, el Stream Anti-Virus con licencia no funcionó. Reinstalar y limpiar el registro no ayudó. Un intento de instalar Avira Antivir Personal Free tuvo éxito, pero el antivirus no se inició. EN registro del sistema Hubo un mensaje de tiempo de espera al iniciar el servicio "Avira Antivir Guard". El reinicio manual finalizó con el mismo error. Además, no se estaban ejecutando procesos innecesarios en el sistema. Había cien por ciento de confianza en que no había virus, rootkits u otras cosas desagradables (malware) en el sistema.
En algún momento intenté iniciar utilidad antivirus AVZ. El principio de funcionamiento de AVZ se basa en gran medida en la búsqueda de diversas anomalías en el sistema en estudio. Por un lado, esto ayuda en la búsqueda de malware, pero por otro, es bastante natural sospechar de componentes de antivirus, antispyware y otro software legítimo que interactúa activamente con el sistema. Para suprimir la respuesta de AVZ a objetos legítimos y simplificar el análisis de los resultados del análisis del sistema marcando objetos legítimos con colores y filtrándolos de los registros, se utiliza una base de datos. archivos seguros AVZ. Recientemente lanzado por completo servicio automático, permitiendo a todos enviar archivos para reponer esta base de datos.
Pero: ¡el archivo ejecutable avz.exe no se inició! Cambio el nombre de avz.exe a musor.exe; todo comienza bien. Una vez más AVZ resultó ser un asistente indispensable en la solución del problema. Al realizar comprobaciones, aparecieron las siguientes líneas en los resultados:
Peligro: depurador de procesos "avz.exe"="ntsd-d"
Peligro: depurador de procesos "avguard.exe"="ntsd-d"
:.
Ésta ya era una pista seria. Una búsqueda en el registro utilizando el contexto "avz" condujo a un descubrimiento en el hilo
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image Opciones de ejecución de archivos
Sección con nombre avz.exe que contiene un parámetro de cadena llamado "Depurador" y significado.
Y, como resultó más tarde, en la rama especificada no solo estaba la sección "avz.exe", sino también secciones con los nombres de los módulos ejecutables de casi todos los antivirus conocidos y algunas utilidades de monitoreo del sistema. ntsd.exe en sí es un depurador de Windows completamente legal, presente de manera estándar en todas las versiones del sistema operativo, pero dicha entrada en el registro hace imposible iniciar una aplicación cuyo nombre de archivo ejecutable coincida con el nombre de la sección ???.exe.
Después de eliminar del registro todas las secciones denominadas ???.exe y que contenían la entrada "Debugger" = "ntsd -d", la funcionalidad del sistema se restauró por completo.
Como resultado del análisis de la situación utilizando el parámetro "ntsd -d" para bloquear el inicio de archivos ejecutables, surgió la idea de utilizar la misma técnica para combatir los propios virus. Por supuesto, esto no es una panacea, pero hasta cierto punto puede reducir la amenaza de que su computadora sea infectada por virus con nombres de archivos ejecutables conocidos. Para que sea imposible ejecutar archivos llamados ntos.exe, file.exe, system32.exe, etc. en el sistema. puede crear un archivo de registro para importar al registro:
ventanas Editor de registro Versión 5.00
"Depurador"="ntsd -d"
"Depurador"="ntsd -d"
"Depurador"="ntsd -d"
:.. etc.
Tenga en cuenta que el nombre de la partición no contiene la ruta del archivo, por lo que este método no se puede utilizar para archivos de virus cuyos nombres coincidan con los nombres de archivos ejecutables legales, pero los archivos en sí no están ubicados de manera estándar en el sistema de archivos. Por ejemplo, Explorer.exe se encuentra en la carpeta \WINDOWS\ y el virus se encuentra en otro lugar: en la raíz del disco, en la carpeta \temp, \windows\system32\. Si crea una partición llamada "Explorer .exe"; luego, después de iniciar sesión, obtendrá un escritorio en blanco porque el Explorador de archivos no se inicia. Peor aún, si crea una partición con el mismo nombre que un servicio del sistema (winlogon.exe, csrss.exe, smss.exe, services.exe, lsass.exe), terminará con un sistema bloqueado. Si el virus está ubicado en C:\temp\winlogon.exe y el módulo de inicio de sesión legítimo es C:\WINDOWS\SYSTEM32\winlogon.exe, la creación de una partición llamada winlogon.exe provocará que el servicio winlogon no pueda iniciarse y el El sistema falla con una pantalla azul de la muerte (BSOD).
Pero, aun así, no hay que esperar que el código solicitado por el virus sea el adecuado en cada caso concreto. Así como no debes esperar que el virus se autodestruya honestamente, y más aún, no debes enviar SMS. Cualquier virus se puede eliminar, incluso si los antivirus no lo detectan. Los métodos para eliminar un virus ransomware no son diferentes de los métodos para eliminar cualquier otro malware, quizás con una diferencia: no debería perder el tiempo tratando de lidiar con la basura en el entorno de un sistema infectado, excepto quizás para desarrollar sus propias habilidades. y ampliar tus conocimientos.
La forma más sencilla y eficaz es arrancar desde otro sistema no infectado y, conectándose a uno infectado, eliminar los archivos de virus y corregir las entradas que haya realizado en el registro. Ya escribí sobre esto arriba, en la parte principal del artículo, pero aquí simplemente intentaré delinear algunas opciones breves para eliminar el virus.
El uso de Dr.Web LiveCD es la forma más sencilla y no requiere conocimientos especiales. Descargue la imagen iso del CD, grábela en un disco, inicie desde el CD-ROM e inicie el escáner. Usando Winternals ERD Commander. Arranca desde allí, se conecta al sistema infectado y regresa a un punto de recuperación con una fecha anterior a que ocurriera la infección. Elige un menú Herramientas del sistema - Restaurar sistema. Si no se puede realizar una reversión con ERD Commander, intente buscar manualmente los archivos de registro en los datos puntos de control y restaurarlos a directorio de windows. Describí en detalle cómo hacer esto en el artículo "Trabajar con el Registro". Arrancar en otro sistema operativo y eliminar manualmente el virus. La forma más difícil, pero más eficaz. Lo más conveniente es utilizar el mismo ERD Commander como otro sistema operativo. El método para detectar y eliminar un virus puede ser el siguiente:
Vaya al disco del sistema infectado y escanee los directorios del sistema en busca de archivos ejecutables y archivos de controladores con una fecha de creación cercana a la fecha de infección. Mueva estos archivos a una carpeta separada. Presta atención a los catálogos.
\Windows
\Windows\sistema32
\Windows\system32\controladores
\Windows\Tareas\
\RECICLADOR
\Información del Volumen del Sistema
Directorios de usuarios \Documentos y configuraciones\Todos los usuarios Y \Documentos y configuraciones\nombre de usuario
Es muy conveniente utilizar FAR Manager para buscar dichos archivos, con la clasificación por fecha habilitada para el panel donde se muestra el contenido del directorio (combinación CTRL-F5). Se debe prestar especial atención a los archivos ejecutables ocultos. También existe una utilidad eficaz y sencilla de Nirsoft: SearchMyFiles, cuyo uso permite, en la gran mayoría de los casos, detectar fácilmente archivos maliciosos incluso sin utilizar un antivirus. Método para detectar archivos maliciosos según el tiempo de creación
Conéctese al registro del sistema infectado y busque enlaces a los nombres de estos archivos. El registro en sí no le impide copiarlo primero (en su totalidad o al menos aquellas partes donde se encuentran los enlaces anteriores). Usted elimina los enlaces o cambia los nombres de los archivos que contienen por otros, por ejemplo: file.exe a file.ex_, server.dll a server.dl_, driver.sys a driver.sy_.
Este método no requiere conocimientos especiales y en los casos en que el virus no cambia la fecha de modificación de sus archivos (y esto todavía es muy raro), tiene un efecto positivo. Incluso si los antivirus no detectan el virus.
Si los métodos anteriores no dieron resultados, solo queda una cosa: la búsqueda manual opciones posibles lanzando un virus. En el menú Herramientas administrativas Comandante ERD" y hay elementos:
Ejecuciones automáticas- información sobre los parámetros de inicio de la aplicación y el shell del usuario.
Servicio y conductor Gerente- información sobre los servicios y controladores del sistema.
