Загрози типу «вірус_exe.exe»: що це і як з ними боротися?
Сьогодні Інтернет є досить небезпечним віртуальним простором, звідки користувач може підхопити якусь заразу в вигляді вірусу
Содержание
Вірус видаляє EXE-файли або блокує їх: наслідки впливу
Віруси, що впливають саме на виконувані файли, відомі досить давно (ще з часів DOS, коли Windows-систем і в помині не було). На зорі розвитку комп`ютерної техніки «екзешние» файли були самими основними в системі. Не дивно, що вірусні атаки були зосереджені саме на них. До речі, це стосується і деяких мобільних девайсів, що працюють під управлінням ОС Windows.
На жаль, сьогодні ситуація, коли вірус видаляє EXE-об`єкти, перейменовує їх в подвійне розширення або просто замінює собою оригінальні файли, виглядає мало не катастрофічною.
Власне, на системі це відображається так, що при запуску якогось додатку Windows видає повідомлення про те, що такий об`єкт не знайдено або до нього немає доступу. Тут ситуація проявляється в декількох варіантах:
- вірус просто видаляє виконуваний файл;
- вірус інфікує об`єкт з подальшим блокуванням.
Як вже зрозуміло, в будь-якій ситуації система не розпізнає шуканий об`єкт. Частенько загрози цього типу проникають в систему, коли проводиться, наприклад, оновлення браузера або користувальницької програми з сумнівного джерела. Багато користувачів через недосвідченість відключають антивірусний захист або навіть розширення браузерів на зразок AdBlock, які здатні блокувати спливаючі рекламні вікна, що випадають меню, автоматично завантаження та т. Д. Цього робити не можна ні в якому разі.
Вірус створює файли EXE: як це відбивається на системі?
Коли загроза починає впливати на заражений комп`ютер шляхом створення нових виконуваних компонентів, тут теж можна знайти кілька варіантів. У більшості випадків виділяють два основних:
- створюється об`єкт з новою назвою «вірус» _exe.exe, де «вірус» - це ім`я файлу, або з оригінальним ім`ям;
- вірус дублює «екзешние» файли, вставляють в свої клони шкідливі коди.
У першому випадку знайти і знешкодити цей загрозливий стан виявляється набагато простіше (трохи пізніше це буде показано на прикладі вірусу some-exe.exe). У другій ситуації справа дещо складніша, оскільки в більшості випадків сама загроза маскується під системний процес (досить згадати проблеми з об`єктами на зразок svchost.exe).
Чи всі антивіруси годяться для лікування?
Що стосується засобів виявлення таких загроз, лікування заражених файлів або ізоляції вірусів в карантині, тут не все так просто. А багато безкоштовні антивірусні пакети взагалі не годяться.
Відомо чимало випадків, коли ті ж безкоштовні пакети AVG і Avira при виявленні загроз типу «вірус_exe.exe», які заражали виконувані файли (зауважте, не видаляли або підміняли їх), при невдалій спробі лікування інфікованих об`єктів навіть не поміщали їх в карантин, а , що називається, безсовісно видаляли. До чого це призводило? До повної перевстановлення всієї системи.
Оптимальні засоби пошуку та видалення
Якщо вже поміркувати над деякими питаннями ефективного і безпечного пошуку і лікування, тут варто звернути увагу на портативні утиліти начебто Dr. Web CureIt! або KVRT «Лабораторії Касперського».
Однак, як показує практика, для найглибшого сканування (аж до оперативної і системної пам`яті) найпотужнішим засобом є спеціальні програми на зразок Kaspersky Rescue Disk. Принцип їх роботи полягає в тому, що спочатку створюється завантажувальний USB або оптичний носій, з якого відбувається запуск антивірусного сканера ще до завантаження Windows. При цьому такі сканери здатні знаходити навіть глибоко приховані або ретельно замасковані об`єкти, які не розпізнаються штатними або портативними антивірусами.
Наприклад, вірус Windows, EXE-файли або папки (з додаванням в їх назву розширення .exe) визначаються досить швидко, в той час як штатні сканери створені об`єкти можуть пропускати. До того ж часто може змінюватися і шлях до системних файлів, в результаті чого звернення відбувається не до оригінального файлу, а до його небезпечного клону навіть на стадії завантаження.
Віруси типу «_exe.exe»: ручне видалення на прикладі загрози some_exe.exe
Тепер вивчимо різновид загроз із загальною назвою «вірус_exe.exe» на конкретному прикладі.
Як вже говорилося, виявити його можна досить просто. Для початку зупиняємо однойменний процес в диспетчері завдань, а потім задаємо пошук в Провіднику або будь-якому іншому файловому менеджері, а в якості умови в рядок вписуємо або повне ім`я, або * exe.exe * (зірочки в рядку ставити обов`язково). В принципі, можна вчинити і простіше, оскільки сам файл «прописується» в папці System32. Видаляємо його звідти. Після цього видаляємо аналогічну динамічну бібліотеку some_dll.dll (якщо видалення неможливо, спочатку обидва об`єкти потрібно просто перейменувати).
Тепер заходимо в редактор системного реєстру (команда regedit в меню «Виконати», що викликається клавішами Win + R), де знову використовуємо пошук (або з головного меню, або поєднанням Ctrl + F). Задаємо в пошуку повна назва, а результати повністю видаляємо.
Якщо з яких-небудь причин наслідки впливу вірусу все одно проявляються, знаходимо файл HOSTS, розташований в каталозі etc папки drivers, який в свою чергу знаходиться в директорії System32 основного томи (Windows) на системному диску, відкриваємо його і видаляємо всі рядки, що знаходяться нижче значення «# :: 1 localhost». Перевантажуємо систему, і все працює нормально. Як бачимо, при цьому навіть антивірусний сканер не потрібен.
висновок
Ось коротко і все, що стосується вірусів, які впливають на виконувані EXE-файли. Методика їх виявлення та блокування досить проста. Однак найкраще використовувати відновлювальні «диски порятунку», що не пропустити загрозу і не займатися її усуненням вручну.
