Nodevice.su
ГлавнаяСтатьиВирусыКогда поселился незванный гость...
Поиск по сайту:
пример: "ASUS dvd"









Фильтр файлов
Производитель:
Устройство:
Архив новостей:
« 07.2019
Пн Вт Ср Чт Пт Сб Вс
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31

Последние новости

Наша кнопка


Размести на своем сайте HTML код с нашей кнопкой.

Статья "Когда поселился незванный гость..."

Когда поселился незванный гость...



Когда поселился незванный гость...

Бывают ситуации, когда на компьютере без ведома владельца появляются различные вредные программки, пытающиеся осуществлять действия, порой препятствующие нормальной работе и вредящие программному обеспечению. За примерами далеко ходить не надо: интернет просто кишит различными троянцами, некоторые сайты (содержащие порно-ресурсы, крак-хак-странички, халява) норовят поменять начальную страничку, а то и закинуть программу, которая будет вопреки всем вашим действиям постоянно восстанавливать ссылку на свой сайт. Эта тема действительно актуальна, стоит взглянуть хотя бы на вопросы различных форумов и, несмотря на наличие уже одной похожей статьи ("Что скрывается в автозагрузке"), я решил повторно поднять этот вопрос, но рассмотреть его именно с позиции способов загрузки таких неприятных "гостинцев".

Сперва коротенько пробегусь по самым тривиальным и, пожалуй, известным практически всем местам и методам загрузки программ.

Реестр

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run.

Изначально содержит параметры:

- internat.exe - индикатор клавиатуры в System Tray
- LoadPowerProfile - загрузка пользовательского профиля (общее для всех)
- ScanRegistry - ежедневная проверка и архивация реестра
- SystemTray - загрузка System Tray
- TaskMonitor - планировщик заданий (дома я его всегда стираю из автозагрузки, чтоб не занимал место в памяти).

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices:

- LoadPowerProfile - аналогичен параметру с таким же названием в разделе Run, только здесь уже грузится профиль конкретного пользователя (после того, как в систему вошли под чьим-то именем).

Остальные разделы должны быть пустыми! Полный их список вы сможете посмотреть в упомянутой выше статье. Остальные параметры в этих разделах были добавлены другими программами, установленными на вашем компьютере. Как правило, по названию параметра легко догадаться о том, какую программу он запускает. Если вы сомневаетесь в правомерности нахождения здесь какого-либо параметра, экспортируйте этот кусочек реестра в reg-файл, затем сотрите подозрительный параметр, перезагрузите компьютер и проанализируйте, что изменилось: не исчезла ли какая-нибудь полезная программа, которая до этого всегда грузилась, не пропала ли проблема, подтолкнувшая вас на эксперименты.

Следующий пункт нашей программы: файлы win.ini, system.ini. Проверьте раздел [windows], параметры run, load. Там должно быть пусто. Некоторые интернет-черви и троянцы используют именно эту лазейку, чтобы каждый раз стартовать при загрузке. Так, в system.ini изначально отсутствует раздел [windows], однако если создать его, то внутри него можно прописать параметр load=имя_файла и с помощью этого запустить нужную программу. И если о загрузке в win.ini знают многие, то system.ini частенько остается за кадром, чем и пользуются различные троянские программы. Один раз ради эксперимента я заразил свой компьютер каким-то из этих вирусов (имя сейчас я вспомнить не могу), так он прописал свою загрузку во всех разделах реестра и файлах win.ini и system.ini. Так что если вы нашли где-то одну запись, не успокаивайтесь на достигнутом, а проверьте все возможные места загрузки.

Это были самые простые и общеизвестные способы загрузки программ, пора перейти к нетривиальным.

Проверьте, а у вас в меню Пуск->Программы->Автозагрузка есть ссылки на офисовские примочки? А ведь возможно просто подменить запускаемую с помощью них программу таким образом, чтобы грузился троянчик, а уже из него запускать требуемую программу. Я думаю, далеко не каждый сообразит поискать там причину всех проблем.

Следующий способ - это не совсем автозагрузка, но некоторые вирусы используют его, чтобы незаметно запускаться на компьютере. В разделе HKEY_CLASSES_ROOT\exefile\shell\open\command в параметре (По умолчанию) стоит команда обработки ехе-файлов. Там должно быть "%1" %*, но возможно запускать здесь какую-то программу, передавая ей в качестве параметра ехе-файл, который надо запустить. Программа запустит его, а затем выполнит свою вредоносную миссию.

Конечно, описанные способы весьма редки, но если не удается найти виновника проблем в других местах, то надо проконтролировать и эти возможности.

Теперь хотелось бы описать действительно редкие, но и наиболее тяжело идентифицируемые способы загрузки программ. Эта информация была почерпнута из журнала Хакер № 11.01. Эти способы загрузки были найдены при разработке известного трояна Donald Dick.

Для операционных систем Windows 9x возможно загружать программу с помощью драйвера VxD. Полный список загружаемых драйверов находится в разделе HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD. В Windows NT/2000 нет VxD драйверов, но в разделе HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SessionManager в параметре BootExecute можно прописать программу, которая будет грузиться еще до загрузки графической оболочки и сервисов. Есть и более хитрые способы, но они еще более экзотические. Вызывает серьезные сомнения возможность отловить "диверсантов", загружаемых такими способами, вручную. Лучше доверить это специалистам, то есть AVP, DrWeb и другим антивирусам, так как этими способами грузятся только их непосредственные клиенты.

Конечно, написанное выше, не охватывает АБСОЛЮТНО всех способов автозагрузки, но 95% перекрывает наверняка. По крайней мере, большинство возникающих по этой теме вопросов статья должна разрешить. Главное, не бойтесь думать и экспериментировать, и все у вас получится.



Автор статьи: DaBoogie
Обсудить статью на форуме Версия для печати

Комментарии к статье:

К данной статье комментарии пока что отсутствуют.
Добавить комментарий
Ваше имя:
Ваш e-mail:
Введите код:
Ваше сообщение:
После модерации Ваш комментарий в течение двух дней будет добавлен на сайт

Статьи категории Вирусы

Cтраницы: Следущая 1 2 Следущая Последняя
Новые драйвера Топ DLL-файлов Топ мануалов Популярные запросы
Драйвер Intex IT-305WC Windows XP, 2000, 98, ME DLL-файл binkw32.dll Panasonic KX-TC 1481, 1484, 1486 umax astra 4450 драйвер windows 10 x64
Драйвер Lapara LA-1300k-x5 Windows 7 DLL-файл xinput1_3.dll Pioneer DEH-P3600MP sven rx 300
Драйвер Lexmark X1290 Windows XP, 2000, 2003 DLL-файл Mss32.dll Becker AUDIO 10 ECE TYP 6021 tlp-x100
Драйвер HP ENVY m4 series Intel Management Engine Interface (MEI) Windows 8 64-bit DLL-файл OpenAL32.dll SONY XR-3750 easier cap utv007
Драйвер HP ENVY m4 series IDT High-Definition (HD) Audio Driver Windows 8 64-bit DLL-файл MSCOMCTL.OCX Panasonic KX-TC 1401, 1405 MTU2MzM4NzEzOA'"`
Драйвер HP ENVY m4 series IDT High-Definition (HD) Audio Driver Windows 8 64-bit DLL-файл KERNEL32.DLL Panasonic KX-TC 1503 PIONEER 430
Драйвер HP ENVY dv7 series 3D DriveGuard Windows 8 64-bit DLL-файл msvcr71.dll Pioneer DEH-P4650MP SONY XGA
Драйвер HP ENVY dv7 series Intel Rapid Storage Technology Driver Windows 8 64-bit DLL-файл COMDLG32.OCX Dialon F10 bbk
Драйвер HP ENVY dv7 series Realtek Card Reader Driver Windows 8 64-bit DLL-файл binkw32.dll Pioneer DEH-P3630MP ad-7173s
Драйвер HP ENVY dv7 series Ralink Bluetooth Software Driver Windows 8 64-bit DLL-файл d3dx9_30.dll APC BACK-UPS - 600 2d80sr
Драйвер HP ENVY dv7 series Realtek Local Area Network (LAN) Driver Windows 8 64-bit DLL-файл storm.dll Sony DCR-DVD105E Foxconn sata
Драйвер HP ENVY dv7 series Intel Bluetooth Driver Windows 8 64-bit DLL-файл openal32.dll SONY CDX-F5500X sata
Драйвер HP ENVY dv7 series Qualcomm Atheros AR9000 Series Wireless LAN Driver Windows 8 64-bit DLL-файл msvcp71.dll APC SMART-UPS V/S - 1000 Canon F 159500
Драйвер HP ENVY dv7 series Ralink 802.11 Wireless LAN Adapter Windows 8 64-bit DLL-файл lame_enc.dll Pioneer DEH-4050 canon f 159500
Драйвер HP ENVY dv7 series Ralink Bluetooth Software Driver Windows 8 64-bit DLL-файл COMCTL32.OCX Scher-Khan Magicar 5 bu-cr