Пошук І Видалення Вірусів Своїми Силами

Поки що я не знаю нікого, хто б прямо чи непрямо не постраждав від дій комп’ютерних вірусів. Антивірусні компанії багато хочуть за свої продукти, які так і не забезпечують належного захисту. Питається, навіщо взагалі тоді купувати антивірусне ПЗ?
Все що створено людиною може бути знищене, це відноситься як до антивірусів, так і до вірусів. Людини обдурити набагато складніше, ніж програму. Тому ця стаття присвячена опису методики виявлення і деактивації вірусного програмного забезпечення без установки антивіруса.
Передмова
Запам’ятайте є тільки одна річ, цінність яку неможливо оминути/зламати/обдурити – це Знання, власне розуміння процесу. Сьогодні я розповім на реальних прикладах як виявити і впіймати у себе на комп’ютері Інтернет-хробаків і шпигунських програм. Звичайно є ще багато видів, але я взяв найпоширеніші і вирішив написати про те, що було у мене на практиці, щоб не сказати чого зайвого. Якщо пощастить в пошуку розповім про макро-віруси, бекдори і руткіти.
Отже перед тим як приступись, зазначу, в даній статті розглядаю тільки операційну систему сімейства nt, підключену до інтернету. У мене самого варто win2000 sp4, віруси ловлю на winxp pe. Отже перейдемо до втікача, а потім і детального аналізу системи на предмет черв’яків і шпигунів.
Побіжним оглядом ми просто обнаружаем наявність програми і локалізуємо її, детальний аналіз вже йде на рівні файлу і процесів. Там я розповім про прекрасну програмі petools, втім всьому свій час.
Аналіз системи
Логічно, що для того щоб виявити і знешкодити шкідливу програму необхідно існування такої програми. Профілактика залишається профілактикою, про неї поговоримо пізніше, проте треба насамперед визначити чи є на комп’ютері взагалі віруси. Для кожного типу шкідливих програм відповідно є свої симптоми, які іноді видно неозброєним оком, іноді зовсім непомітні. Давайте подивимося, які взагалі бувають симптоми зараження.
Оскільки ми ведемо мову про комп’ютері, підключеному до глобальної мережі, то першим симптомом є надмірно швидкий витрата, як правило, вихідного трафіку, це обумовлюється тим, що дуже багато інтернет-черв’яки виконують функції ddos-машин або просто ботів.
Як відомо , при ddos атаці величина вихідного трафіку дорівнює максимальній величині трафіку за одиницю часу. Звичайно, на гігабітному каналі це може бути і не так помітно якщо проводиться ddos атака шириною з dialup з’єднання, але як правило кидається в очі загальмованість системи при відкритті інтернет ресурсів (Ще хотілося б відзначити, що мова піде про віруси, які хоч якось приховують себе системі, адже не треба пояснювати нічого якщо у вас в папці Автозавантаження лежить файл kfgsklgf.exe який ловиться фаерволлом тощо). наступне за списком, це неможливість зайти на багато сайтів антивірусних компаній, збої в роботі платних програм типу crc error, це вже обумовлено тим, що досить багато комерційні протектори підтримують функцію перевірки парності або ж цілості виконуваного файлу (і не тільки протектори, але і самі розробники захистів), що зроблено для захисту програми від злому. Не будемо говорити про ефективність даного методу проти крякеров і реверсеров, однак сигналізацією до вірусного зараження це може спрацювати ідеально.Якщо Ви все-таки підхопили вірус, тоді Вам доведеться вдатися до послуги видалення вірусів на Вашому комп’ютері.
Плата початківців вирмейкеров за яких ми убиваємо процеси, що при вимиканні або перезавантаження комп’ютера йде тривалий завершення якогось-процесу, або ж взагалі комп’ютер зависає при завершенні роботи. Думаю про процеси говорити не треба, а так само про папку автозавантаження, якщо там є щось незрозуміле або нове, то, можливо, це вірус, однак про це пізніше.
Часта перезавантаження комп’ютера, виліт з інтеренету, завершення антивірусних програм, недоступність сервера оновлення системи microsoft, недоступність сайтів антивірусних компаній, помилки при оновленні антивіруса, помилки викликані зміною структури платних програм, повідомлення windows, що виконувані файли пошкоджені, поява невідомих файлів в кореневому каталозі, це лише короткий перелік симптомів зараженої машини.
Крім прямих шкідливих програм існує так зване шпигунської програмне забезпечення, це всілякі кейлогери, дампер електронних ключів, небажані “помічники” до браузеру. Чесно кажучи, за методом виявлення їх можна розділити на два протилежних табори.
Припустимо кейлоггер, приєднаний динамічною бібліотекою до оболонці операційної системи виявити на льоту вкрай складно, і навпаки, казна-звідки взявся помічник (плагін, рядок пошуку і т. д.) до internet explorer у (як правило) впадає в очі відразу ж. Отже, я думаю, настав час залишити цю песимістичну ноту і перейти до реалістичної практиці виявлення і деактивації шкідливого програмного забезпечення.