|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|
|||||
|
|
X |
|
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
|
|||||
- |
|
|
|
|
|
d |
|
|
|
- |
|
|
|
|
d |
|
|
|||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
t |
|
||||
|
94P |
|
|
|
|
|
|
|
i |
|
P |
|
|
|
|
|
|
|
|
i |
|
|
||
|
|
|
|
|
|
|
|
|
r |
D |
|
Глава 4 |
||||||||||||
|
D |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
r |
||||
|
|
|
|
|
|
NOW! |
|
o |
|
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
BUY |
|
|
|
|
|
|
|
|
BUY |
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
wВ настоящее время количество таких взломов уменьшилось, но это может быть |
||||||||||||||||||||||||
w Click |
to |
|
|
|
|
|
|
|
|
w Click |
to |
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
m |
|
метоn |
|
m |
||||||||||||
|
толькоdf n |
затишьем перед бурей. Пользователи стали забывать о таком простомdf |
- |
|||||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
o |
|
w |
|
|
|
|
|
|
|
|
o |
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
||
. |
|
|
|
|
g |
.c |
|
|
. |
|
|
|
|
g |
.c |
|
||||||||
|
|
p |
|
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
|
|||
|
|
|
|
-xcha |
|
e |
|
|
|
|
|
|
-x cha |
e |
|
|
||||||||
|
де, |
|
|
|
|
подмена адресов, и хакеры могут воспользоваться |
|
|
|
|
|
|
|
|
|
|||||||||
|
|
как |
|
|
|
этим спокойствием. |
||||||||||||||||||
Количество новых пользователей Интернета растет с каждым днем, многие из них и не слышали о подобных способах взлома. Введи я на указанном в письме сайте параметры своей учетной записи, то, скорее всего, увидел бы простое сообщение об ошибке, а реально мои данные попали бы в руки хакеров.
Еще пять лет назад таким способом хакеры воровали пароли доступа к Интернету, но с расширением электронной коммерции могут появиться взломы интернетаккаунтов и другой важной информации.
Сейчас наиболее популярные письма, которые я получаю, построены в стиле: "Я сын какого-то шейха или китайского банкира, и мне нужна помощь в отмывании супер большой суммы денег с 6-ю нулями. Готов поделиться этими нулями". Не знаю, много ли народу попалось на этот развод, но, судя по тому, что такие письма рассылаются уже не первый год, значит, кого-то они ловят.
4.1.4. "И тебя вылечат, и меня..."
Даже самый защищенный компьютер с лучшим антивирусом когда-нибудь может быть заражен. Я это вижу постоянно. Чтобы своевременно избавляться от вирусов, вы должны регулярно выполнять несколько простых действий (помимо описанных в разд. 4.1.2), и антивирусник в автозапуске не понадобится, а если понадобится, то простой и не прожорливый к ресурсам компьютера.
Как мы уже знаем, если программа написана специально для вторжения в определенную среду, то она будет иметь уникальный код, и противовирусные системы ее могут пропустить даже мимо интеллектуальных анализаторов. В этом случае безопасность компьютера зависит от умения правильно распознать и нейтрализовать зловредную программу.
Обезвредить большинство заразы не так уж и сложно — просто завершаем работу программы и удаляем все ее файлы. Намного сложнее правильно определить исполняемый файл.
Корень системного диска
Регулярно следите за всем, что появляется у вас в корне системного диска. Вы должны знать, для чего предназначен каждый файл, и отмечать любые изменения. Для наблюдения лучше всего включить отображение скрытых файлов. Для этого нужно перейти в Панель управления и запустить компонент Свойства папки (Folder Options). Перед вами откроется окно, как на рис. 4.2. Здесь необходимо перейти на вкладку Вид (View) и поставить переключатель Показывать скрытые файлы и папки (Show hidden files and folders).
Никаких exeили pif-файлов в корне диска быть не должно. Единственный comфайл, который может лежать в корне диска C:, — это ntdetect.com. Все остальные
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|||
|
X |
|
|
|
|
|
|
|||
- |
|
|
|
|
|
d |
|
|||
F |
|
|
|
|
|
|
|
t |
|
|
СоветыP |
|
i |
|
|||||||
хакера |
||||||||||
D |
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
NOW! |
o |
|||||
|
|
|
to BUY |
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
wдолжны иметь расширения sys, bin, ini или bat, и их нельзя запускать |
||||||||||
w Click |
|
.n |
|
|
|
m |
||||
нениеdf |
|
|
o |
|
||||||
w |
|
|
|
|
|
|
|
|
|
|
. |
|
|
|
|
|
|
.c |
|
||
|
p |
|
|
|
|
g |
|
|
||
|
|
|
-xcha |
|
e |
|
||||
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
P |
|
|
|
|
|
|
|
|
i |
|
D |
|
|
|
|
|
|
95 |
|||
|
|
|
|
|
|
|
|
r |
||
|
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
на выпол- |
||||||||||
w Click |
to |
|
|
|
|
|
m |
|||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
||
Файл с расширением bat — это командный файл, который может запускать другие программы, поэтому наличие такого зверя тоже должно вызывать подозрение, особенно, если его название отличается от autoexeс.bat. Да, в корне должен быть только один (или не одного) файл с расширением bat.
Файлы с расширением bat сами по себе не могут быть вирусами, но это командные файлы, которые могут запускать другие программы и те же вирусы. Именно поэтому за ними тоже надо следить. В корне диска может быть только файл autoexec.bat.
Чтобы вам проще было вести наблюдение, никогда не устанавливайте программы и не копируйте файлы в корень диска. Заведите для этого отдельные папки.
Автозагрузка
Вирусы появляются, где угодно, но чаще всего — в системных каталогах или в корне системного диска. Если за корневым каталогом следить легко (тут не так уж и много файлов), то в системных каталогах (\Windows, \Windows\System, \Windows\System32) искать намного сложнее, потому что здесь исполняемых файлов пруд пруди. В последнее время еще одним любимым местом обитания зловредного кода стал кэш для временных файлов из Интернета. И это логично, ведь сейчас над компьютером властвует браузер.
Вирусы чаще всего стараются попасть в автозагрузку, а это упрощает нам жизнь. В Windows есть утилита msconfig (в некоторых конфигурациях она может отсутствовать), с помощью которой можно легко узнать, что в системе запускается автоматически.
Чтобы воспользоваться утилитой, в меню Пуск в строке поиска введите имя программы msconfig.exe. Нажмите клавишу <Enter>, и перед вами откроется главное окно программы, которое состоит из нескольких вкладок. Нас будет интересовать предпоследняя — Автозагрузка (Startup). Перейдите на эту вкладку, и вы увидите окно, как на рис. 4.3.
Все имена, которые отобразятся в этом окне, должны быть вам знакомы. В принципе, если даже по незнанию отключить какой-либо флажок, то работу Windows это не нарушит. Может только пропасть какой-то значок в системной области возле часов или исчезнуть некая возможность. Чаще всего первое.
Весь список состоит из пяти колонок, нам понадобятся три:
Элемент автозагрузки (Startup Item) — произвольное имя загружаемой программы. Чаще всего это полное название программы, иногда включает наименование компании;
Команда (Command) — команда, которая выполняется, или путь к файлу;
Расположение (Location) — местоположение загрузки программы.
Наблюдайте за названиями, которые здесь отображаются. Если появилась программа, которую вы не устанавливали, то моментально удалите ее. Следите за все-
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
C |
|
E |
|
|
|
|||||
|
|
X |
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
|||||
- |
|
|
|
|
d |
|
|
- |
|
|
|
|
|
d |
|
|||||||
|
F |
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
|
t |
|
||
|
96P |
|
|
|
|
|
|
i |
|
P |
|
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
D |
|
Глава 4 |
||||||||||||
|
D |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
r |
||||
|
|
|
|
|
|
NOW! |
o |
|
|
|
|
|
|
NOW! |
o |
|||||||
|
|
|
|
|
BUY |
|
|
|
|
|
|
|
BUY |
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
wми строками, которые могут вызвать подозрение, например, чужая программа (так |
||||||||||||||||||||||
w Click |
to |
|
|
|
|
|
|
w Click |
to |
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
m |
|
|
n |
|
|
|
m |
|||||||||
|
маскируютсяdf n |
вирусы), странное название или имя запускаемого файла и т. д.df |
|
|
|
|
|
|
||||||||||||||
|
|
|
|
|
|
|
|
|
o |
|
w |
|
|
|
|
|
|
|
|
o |
|
|
|
w |
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
||
. |
|
|
|
|
g |
.c |
|
|
. |
|
|
|
|
g |
.c |
|
||||||
|
|
p |
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
|||
|
|
|
|
-xcha |
e |
|
|
|
|
|
-x cha |
|
e |
|
||||||||
На рис. 4.3 в списке есть одна строка, в которой показан запускаемый файл y.exe с именем "y". Ни один производитель не будет называть так программу, и это должно зародить у вас подозрения. Для проверки можно убрать галочку напротив этой строки и перезагрузить компьютер.
Рис. 4.3. Окно отображения автоматически запускаемых программ в msconfig
В колонке Расположение (Location) видно, откуда запускается программа. Здесь могут быть следующие варианты:
Основной загрузчик (Common Startup) — находится в меню Пуск | Все про-
граммы | Автозагрузка (Start | All Programs | Startup). За этими программами легко наблюдать и без специализированных утилит;
путь в реестре — если указано значение в таком виде, то вы можете просмотреть соответствующие ключи через программу Редактор реестра (regedit).
Если у вас нет подходящей утилиты, то придется самостоятельно просматривать реестр. Автоматически запускаемые программы можно увидеть в следующих разделах реестра:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run;
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce;
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run.
Пример списка автоматически загружаемых программ, полученный при просмотре реестра, приведен на рис. 4.4. Он идентичен перечню, сформированному утилитой msconfig.
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|||
|
X |
|
|
|
|
|
|
|||
- |
|
|
|
|
|
d |
|
|||
F |
|
|
|
|
|
|
|
t |
|
|
СоветыP |
|
i |
|
|||||||
хакера |
||||||||||
D |
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
NOW! |
o |
||||
|
|
|
|
BUY |
|
|
||||
w Click |
to |
|
|
|
|
|
m |
|||
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
. |
|
|
|
|
|
|
.c |
|
||
|
p |
|
|
|
|
g |
|
|
||
|
|
df |
|
|
n |
e |
|
|||
|
|
|
-xcha |
|
|
|
|
|
||
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|||
|
|
X |
|
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
P |
|
|
|
|
|
|
|
|
i |
|
|
D |
|
|
|
|
|
|
97 |
||||
|
|
|
|
|
|
|
|
r |
|||
|
|
|
|
|
|
NOW! |
o |
||||
|
|
|
|
|
BUY |
|
|
|
|||
w Click |
to |
|
|
|
|
m |
|
||||
|
|
|
|
|
|||||||
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
|
. |
|
|
|
|
|
.c |
|
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
|
df |
|
|
n |
e |
|
|
||
|
|
|
|
-x cha |
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
Рис. 4.4. Список автоматически загружаемых программ в реестре
С помощью специальной программы или через реестр мы узнаем имя файла, который выполняется. Не забывайте, что нужно удалить не только ссылку на программу в реестре, но и сам файл. Возможно, что он запускается еще при каких-то условиях, и тогда все может восстановиться в автозапуске, и зловредная программа снова будет стартовать автоматически.
Если файл не удаляется, то, скорее всего, он сейчас выполняется, и нужно завершить работу программы. Для этого совершите следующие действия:
1.Нажмите комбинацию клавиш <Ctrl>+<Alt>+<Del>. Если у вас серверная ОС, то откроется окно с шестью кнопками для выбора выполняемых действий. Нажмите здесь кнопку Диспетчер задач (Task Manager). В клиентской версии ОС сразу появится окно Диспетчер задач (Windows Task Manager).
2.В Диспетчере задач (рис. 4.5) перейдите на вкладку Процессы (Processes).
3.Найдите нужный процесс и нажмите кнопку Завершить процесс (End Process).
Когда будете отслеживать программы, обязательно обращайте внимание на каждую букву. Хакеры очень искусно умеют маскировать плоды своего творчества. Например, однажды я написал троянского коня, который должен был перезагружать компьютер начальника. Файл я назвал Internat32.exe и поместил в автозапуск через реестр. Целый месяц никто не мог понять, почему компьютер так нестандартно себя ведет. Его тестировали даже профессиональные администраторы, но ничего не нашли. А дело в том, что в системе есть программа Internat.exe, и ее выполнение критично для системы, поэтому ни один администратор не обратил внимание на файл с искаженным названием Internat32, хотя такого не должно быть.