Пагрозы тыпу «вирус_exe.exe": што гэта і як з імі змагацца?

Сёння Інтэрнэт з'яўляецца дастаткова небяспечным віртуальнай прасторай, адкуль элемент можа падхапіць якую-небудзь заразу ў выглядзе віруса або выкананага кода. Адносна нядаўна з'явілася новая разнавіднасць пагроз, інтэрпрэтаваных як «вирус_exe.exe». Паспрабуем разабрацца ў тым, як такія пагрозы ўздзейнічаюць на сістэму, і як з імі змагацца аптымальным спосабам.

Вірус выдаляе EXE-файлы або блакуе іх: наступствы ўздзеяння

Вірусы, якія ўздзейнічаюць менавіта на выкананыя файлы, вядомыя досыць даўно (яшчэ з часоў DOS, калі Windows-сістэм і ў памоўцы не было). На світанку развіцця кампутарнай тэхнікі "экзешные» файлы з'яўляліся самымі асноўнымі ў сістэме. Нядзіўна, што вірусныя напады былі сканцэнтраваны менавіта на іх. Дарэчы, гэта тычыцца і некаторых мабільных девайсов, якія працуюць пад кіраваннем АС Windows.

Нажаль, сёння сітуацыя, калі вірус выдаляе EXE-аб'екты, пераназывае іх у падвойнае пашырэнне або проста замяняе сабой арыгінальныя файлы, выглядае ледзь не катастрафічнай.

Уласна, на сістэме гэта адлюстроўваецца так, што пры запуску нейкага прыкладання Windows выдае паведамленне пра тое, што такі аб'ект не знойдзены, альбо да яго няма доступу. Тут сітуацыя выяўляецца ў некалькіх варыянтах:

• вірус проста выдаляе выкананы файл;
• вірус інфікуе аб'ект з наступным блакаваннем.

Як ужо зразумела, у любой сітуацыі сістэма не распазнае шуканы аб'ект. Часцяком пагрозы гэтага тыпу пранікаюць у сістэму, калі вырабляецца, напрыклад, абнаўленне браўзэра або карыстацкай праграмы з сумнеўнай крыніцы. Многія юзэры па неспрактыкаванасці адключаюць антывірусную абарону ці нават пашырэння браўзэраў накшталт AdBlock, якія здольныя блакаваць усплывальныя рэкламныя вокны, выпадаючыя меню, аўтаматычна загружаныя кампаненты і т. Д. Гэтага рабіць нельга ні ў якім выпадку.

Вірус стварае файлы EXE: як гэта адбіваецца на сістэме?

Калі пагроза пачынае ўздзейнічаць на заражаны кампутар шляхам стварэння новых выкананых кампанентаў, тут таксама можна знайсці некалькі варыянтаў. У большасці выпадкаў вылучаюць два асноўных:

• ствараецца аб'ект з новай назвай «вірус» _exe.exe, дзе «вірус» - гэта імя файла, ці з арыгінальным імем;
• вірус дублюе «экзешные» файлы, ўбудоўваючы ў свае клоны шкоднасныя коды.

У першым выпадку знайсці і абясшкодзіць такую пагрозу аказваецца нашмат прасцей (крыху пазней гэта будзе паказана на прыкладзе віруса some-exe.exe). У другой сітуацыі справа ідзе некалькі складаней, паколькі ў большасці выпадкаў сама пагроза маскіруецца пад сістэмны працэс (дастаткова ўспомніць праблемы з аб'ектамі накшталт svchost.exe).

Ці ўсё антывірусы падыходзяць для лячэння?

Што тычыцца сродкаў выяўлення такіх пагроз, лячэння заражаных файлаў або ізаляцыі вірусаў у карантыне, тут не ўсё так проста. А многія бясплатныя антывірусныя пакеты наогул не падыходзяць.

Вядома нямала выпадкаў, калі тыя ж бясплатныя пакеты AVG і Avira пры выяўленні пагроз тыпу «вирус_exe.exe», якія заражалі выкананыя файлы (заўважце, ня выдалялі або падмянялі іх), пры няўдалай спробе лячэння інфіцыраваных аб'ектаў нават не змяшчалі іх у карантын, а , што называецца, бессаромна выдалялі. Да чаго гэта прыводзіла? Да поўнай пераўсталёўцы ўсёй сістэмы.

Аптымальныя сродкі пошуку і выдалення

Калі ўжо задавацца пытаннямі эфектыўнага і бяспечнага пошуку і лячэння, тут варта звярнуць увагу на партатыўныя ўтыліты накшталт Dr. Web CureIt! або KVRT «Лабараторыі Касперскага».

Аднак, як паказвае практыка, для самага глыбокага сканавання (аж да аператыўнай і сістэмнай памяці) самым магутным сродкам з'яўляюцца спецыяльныя праграмы накшталт Kaspersky Rescue Disk. Прынцып іх працы складаецца ў тым, што першапачаткова ствараецца загрузны USB або аптычны носьбіт, з якога адбываецца запуск антывіруснага сканара яшчэ да загрузкі Windows. Пры гэтым такія сканеры здольныя знаходзіць нават глыбока схаваныя або старанна замаскіраваныя аб'екты, якія не распазнаюцца штатнымі або партатыўнымі антывірусамі.

Да прыкладу, вірус Windows, EXE-файлы ці тэчкі (з даданнем у іх назва пашырэння .exe) вызначаюцца досыць хутка, у той час як штатныя сканеры створаныя аб'екты могуць прапускаць. Да таго ж часцяком можа змяняцца і шлях да сістэмных файлаў, у выніку чаго зварот адбываецца не да арыгінальнага файлу, а да яго небяспечнаму клону нават на стадыі загрузкі.

Вірусы тыпу «_exe.exe»: ручное выдаленне на прыкладзе пагрозы some_exe.exe

Цяпер вывучым разнавіднасць пагроз з агульнай назвай «вирус_exe.exe» на канкрэтным прыкладзе.

Як ужо гаварылася, выявіць яго можна досыць проста. Для пачатку спыняем аднайменны працэс у Дыспетчару задач, а затым задаем пошук у Правадыру або любым іншым файлавым мэнэджару, а ў якасці ўмовы ў радок ўпісваем альбо поўнае імя, альбо * exe.exe * (зорачкі ў радку ставіць абавязкова). У прынцыпе, можна паступіць і прасцей, паколькі сам файл «прапісваецца» ў тэчцы System32. Выдаляем яго адтуль. Пасля гэтага выдаляем аналагічную дынамічную бібліятэку some_dll.dll (калі выдаленне немагчыма, спачатку абодва аб'екта трэба проста перайменаваць).

Зараз заходзім ў рэдактар сістэмнага рэестра (каманда regedit ў меню «Выканаць», выкліканым клавішамі Win + R), дзе зноў выкарыстоўваем пошук (альбо з галоўнага меню, або спалучэннем Ctrl + F). Задаем ў пошуку поўная назва, а вынікі цалкам выдаляем.

Калі па якіх-небудзь прычынах наступствы ўздзеяння віруса ўсё роўна праяўляюцца, знаходзім файл HOSTS, размешчаны ў каталогу etc тэчкі drivers, які ў сваю чаргу знаходзіцца ў дырэкторыі System32 асноўнага тома (Windows) на сістэмным дыску, адкрываем яго і выдаляем ўсе радкі, якія знаходзяцца ніжэй значэння «# :: 1 localhost». Абцяжарваем сістэму, і ўсё працуе нармальна. Як бачым, пры гэтым нават антывірусны сканер не патрэбны.

заключэнне

Вось сцісла і ўсё, што тычыцца вірусаў, якія ўздзейнічаюць на выкананыя EXE-файлы. Методыка іх выяўлення і блакавання дастаткова простая. Аднак лепш за ўсё выкарыстоўваць аднаўленчыя «дыскі выратавання», што не прапусціць пагрозу і не займацца яе ліквідацыяй ўручную.