Кругом вирусы

[ta-kun]

дело вот в чем в один прекрасный день я обнаружил у себя вирус я не долго думая форматнул весь системный диск ( там кроме винды не чего нет) пере чего переустановил винду, поставил свой любимый вирус Avast! antivirus и тут беда все ехе шники на всех 3 моих винтах этот антивирус счетает вирусами.

Я поставил другой антивирус AVG (думая что глюк в антивирусе) но все повторилость.

Act антивирусы счетают все ехе вирусом. Что это такое и как это лечить??

ps

Все ехе работают без проблем и запускаются.

[Saule]

дело вот в чем в один прекрасный день я обнаружил у себя вирус я не долго думая форматнул весь системный диск ( там кроме винды не чего нет) пере чего переустановил винду, поставил свой любимый вирус Avast! antivirus и тут беда все ехе шники на всех 3 моих винтах этот антивирус счетает вирусами.

Я поставил другой антивирус AVG (думая что глюк в антивирусе) но все повторилость.

Act антивирусы счетают все ехе вирусом. Что это такое и как это лечить??

ps

Все ехе работают без проблем и запускаются.

Значит, у вас был червь, который заразил ваши .ехе файлы и не смотря на то, что всё пока что у вас там работает, компьютер довольно серьезно инфицирован и его нужно лечить.

Только вот чтобы посоветовать вам какое-либо лечение, нужно знать хотябы название вашего вируса. Как его определяют AVG или Avast!? HiddenDragon, Hidrag, Jeefo, Parasite?

[GUST]

Saule:

Так разве ФОРМАТ полный диска не удаляет всю нечисть? Куда же она прячется?

Мне казалось, что СИС/ОСь, занимается своим делом, но когда ***.ЕХЕ файлы из старой "закваски", да на других дисках и сразу в ВИРУС? попадают...

Предполагаю:

1. ОСЬ после полного ФОРМАТА и инсталла чиста и целомудрена!

2. Ставим на неё всё что треба. С дополнением и апдейтом. Естесно: полный скан всех дисков. Хотя заметил, можно обойтись! Все старые файлы тут же блокируются, если обвирусели! Поэтому, не делаю этот полный скан уже несколько лет.

Достаточно иметь полную прогу Антивируса. (КасперовичЬ у меня отдыхает, глухо. Спит, надёжно развалясь...)

Допускаю расширение: AVG или Avast!? HiddenDragon, Hidrag, Jeefo, Parasite (на досуге займусь этим)

Хотя я дальше Нортона антивируса не уходил.

Где я пролетел в очередной раз? :(

[termal]

ta-kun:

так ведь не факт что вирус был только на системном диске, видать он и на двух других хардах, формат всех дисков поможет :(

[Saule]

Saule:

Так разве ФОРМАТ полный диска не удаляет всю нечисть? Куда же она прячется?

Мне казалось, что СИС/ОСь, занимается своим делом, но когда ***.ЕХЕ файлы из старой "закваски", да на других дисках и сразу в ВИРУС? попадают...

Если в системе (имееться в виду компьютер в целом, а не только именно системный диск), либо на каком либо CD-R-/CD-RW-диске, который был записан уже на зараженной вирусом машине, либо если вы пользуйтесь флэшками для переноса/хранения информации (USB Flash Memory Storage) или дискетами, останеться хоть 1 зараженный .ехе файл, который будет запущен на вашем компьютере, то всё начнется сначала и очень быстро все остальные .ехе файлы будут заражены.

Кстати, это не значит, что все зараженные .ехе файлы обязательно должны быть удалены, почти всё поддаеться лечению, нужно только знать от чего именно лечим :(

HiddenDragon, Hidrag, Jeefo, Parasite (на досуге займусь этим)

Я могу тебе в этом помочь :(

Win32.HLLP.HiddenDragon/Win32.Hidrag/Jeefo - файловый вирус, который представляет собой резидентную Windows-программу ( т.е. PE EXE-файл).

Дееспособен под всеми существующими на сегодняшний день ОС Windows.

В коде вируса содержатся следующие зашифрованные тексты:

Hidden Dragon virus. Born in a tropical swamp.

Manages the power save features of the computer.

Power Manager

PowerManagerMutant

Свое первое название - "Hidrag" - вирус получил по фрагментам первого текста - "Hidden Dragon".

Второе - "Jeefo" - по фрагменту кода этого же текста в зашифрованном виде, который случайным образом выглядит в теле вируса как "I jeefo !".

Код программы Win32.HLLP.HiddenDragon защищен крипт-кодом, который расшифровывается при запуске вируса с помощью специально встроенной процедуры расшифровки прямо в память машины без создания каких-либо временных файлов. Cостоит из двух частей - основного кода и дополнительной секции, в которой вирус может хранить служебную информацию.

Инсталирует себя в систему двумя способами (в зависимости от того, из какого файла производится его 1-й запуск на чистом компьютере - из того, в котором содержится только оригинальная вирусная программа, или из зараженного .ехе файла):

1. При запуске зараженно файла вирус определяет имя каталога, в который установлена ОС Windows, и копирует себя в него под названием

C:\WINDOWS\svchost.exe

Данный файл обладает следующими характерными особенностями:

- размер файла: 36352 байта;

- атрибуты: "Архивный" и "Системный" ("Аrchive" и "Hidden", благодаря чему при настройках системы "по умолчанию" данный файл невозможно обнаружить, т.к. Windows не показывает "скрытые" файлы);

- дата модификации: 24.08.2001 года (всегда одна и та же);

Файл svchost.exe остается резидентно в памяти компьютера вплоть до завершения работы Windows. Для возможности активизации этого файла при каждом старте системы вирус создает ключ под названием "PowerManager" в регистрах автозапуска системного реестра:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]

"PowerManager"="C:\\WINDOWS\\SVCHOST.EXE"

Также вирус расшифровывает и записывает в дополнительную секцию данного файла цифровую подпись, которая полностью идентична подписи Microsoft и передрана из одноименного системного файла Windows XP - WINDOWS\SYSTEM32\svchost.exe. В результате этого, вирус получает возможность маскироваться в системе под внутренний сервисный процесс.

2. Если же 1-й запуск вируса производится из файла, содержащего только код вируса (т.е. из идентичного файлу svchost.exe), то инсталляция осуществляется следующим образом: вирус считывает имя запущенного вирусного файла и создает в регистрах автозапуска системного реестра ключ под названием "PowerManager" следующего вида:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]

"PowerManager"="%path%\\name.ext"

, где %path% - местоположение запущенного вирусного файла, а name.ext - его название. Таким образом, роль компонента svchost.exe выполняет запущенный пользователем файл с оригинальной вирусной программой. При этом в системном каталоге файл svchost.exe не создается. Если в дальнейшем будет запущен какой-либо из зараженных файлов, то svchost.exe будет создан в системном каталоге, однако вирус не будет дописывать в системный реестр дополнительный ключ и активным по-прежнему останется вышеописанный файл.

После инсталляции в систему вирус ждет несколько минут, не производя никаких действий, чтобы скрыть свое присутствие в системе и какую-либо видимую активность. Затем начинает поиск и заражение PE .exe и .scr файлов. Этот процесс протекает по следующей схеме: сперва вирус ищет 6 файлов указанных форматов в корневом системном каталоге. Затем останавливает процесс поиска и заражения файлов, ждет 5-10 минут и заражает еще 6 файлов, после чего опять ждет указанный промежуток времени и возобновляет данную процедуру и так пока не будут заражены абсолютно все .exe и .scr файлы на данном компьютере (вирус не трогает лишь те файлы, размер которых меньше 110 кб).

Перед заражением каждого файла, чтобы скрыть свое присутствие в системе, вирус считывает атрибуты файла, дату и время модификации, заражает файл, а затем присваивает ему эти исходные данные назад. В результате этого, система не фиксирует данные зараженные файлы, как измененные, что существенно затрудняет визуальный поиск последних.

При заражении файлов вирус обходит атрибут "только для чтения" ("read only") и использует довольно сложный алгоритм записи своего кода в файлы. Разбирать который мы здесь, наверное, все-таки не будем :D Единственное, что следует отметить, что процедура реконструкции оригинального файла с последующим шифрованием его секций выполнена на высоком профессиональном уровне, в результате чего размер оригинальной программы после ее заражения не изменяется, а общий размер файла увеличивается ровно на 36352 байта (т.е. только на величину вирусного тела).

При запуске зараженного файла вирусная копия, хранящаяся в нем, проверяет инсталлирован ли вирус в систему, после чего осуществляются следующие вещи:

- управление получает находящаяся в нашем файле копия вируса, которая обращается к файлу WINDOWS\svchost.exe и вызывает в нем специальную подпроцедуру, после чего работа зараженного файла завершается;

- получив вызов от своей копии из зараженного файла, вирусный svchost.exe (далее просто "вирус") считывает его (зараженного файла) местоположение и сохраняет данную информацию в системной памяти как переменную А;

- по данным из переменной А вирус находит наш зараженный файл, расшифровывает и считывает из него ту часть кода, которая содержит схему реконструкции оригинальной программы после заражения, и сохраняет эти данные в системной памяти как переменную В;

- далее вирус считывает характеристики зараженного файла (его атрибуты, дату и время модификации) и сохраняет эти данные в системной памяти как переменную С;

- затем вирус удаляет свою копию из нашего зараженного файла, а также блок со схемой его (файла) реконструирования, после чего, руководствуясь данными из переменной В, расшифровывает закриптованные блоки зараженного файла, а затем переставляет все блоки файла к исходному виду, который он (файл) имел до заражения;

- и последнее, что делает вирус, - это присваивает файлу соответствующие характеристики, которые считывает из переменной С, удаляет из памяти переменные А,В,С и пересохраняет файл, после чего запускает его на выполнение.

Такой способ лечения вируса самим вирусом довольно оригинальный и даже на маломощных машинах вызывает задержку при запуске оригинальной программы из зараженного файла максимум всего на пару секунд.

Однако есть и негативная сторона: при запуске зараженного файла с носителя, на который невозможна поточная запись (например, CD-диск или флэшка/дискета с джампером, переключенным в положение "блокировка записи"), оригинальная программа просто не запустится. Также она не сможет быть запущена и в том случае, если зараженный файл запускается на чистой от Win32.HLLP.HiddenDragon машине, но в директории WINDOWS которой уже присутствует активная программа какого-либо др. вируса или троянца с названием svchost.exe.

----------------------------------

Win32.Parasite - резидентный зашифрованный вирус-паразит, использующий для своего распространения тела Windows-приложений (PE файлы).

Дееспособен под всеми существующими на сегодняшний день Windows-системами.

Вирус не способен существовать как самостоятельная программа (т.е. в виде рабочего файла, содержащего только вирусный код), т.к. выполнен в виде логического программного блока, внедряемого в Windows-приложения и использующего заголовки зараженных им файлов для получения управления и последующего запуска. Поражает системные файлы с расширениями .ехе и .scr.

Код вируса представляет собой совокупность 2-х компонентов:

1. Дроппер (активатор основной программы), имеющий размер около 2-3 кб. Данный компонент предназначен для распаковки и запуска основного компонента вируса из тела зараженного файла, а также запуска оригинальной программы при обращении системы или пользователя к зараженному файлу.

2. Основной компонент, производящий поиск и заражение файлов, а также хранящий в системной памяти служебную информацию. Представляет собой DLL-файл (библиотеку-модуль вируса). В теле зараженного файла данный компонент содержится в сжатом и зашифрованном виде.

При запуске зараженного файла управление получает дроппер-код вируса, который расшифровывает и распаковывает до первого уровня компрессии основной компонент, после чего запускает его на выполнение. Получив управление, основной компонент через функции %windir% и %temp% определяет местоположения каталогов с установленной ОС Windows и временных файлов системы (поддиректории "TEMP"). Обычно таковыми являются:

для Windows 9X/ME:

C:\WINDOWS и C:\WINDOWS\TEMP соответственно;

для Windows 2000/2000Server/XP/2003Server:

C:\WINDOWS и C:\Documents and Settings\имя пользователя\Local Settings\TEMP соответственно,

Расшифрованный и распакованный основной компонент копирует свой код в TMP-файл:

для Windows 9X/ME:

C:\WINDOWS\TEMP\*.tmp

для Windows 2000/2000Server/XP/2003Server:

C:\Documents and Settings\%user%\Local Settings\TEMP\*.tmp

, где в качестве "звездочки" файлу присваивается случайное имя, состоящее из 7 символов, среди которых могут быть цифры, а также большие и малые латинские буквы, например:

jjb71C1.tmp

dha8244.tmp

и т.д.

Данный компонент (TMP-файл) руководит всеми процессами вируса. Размер данного файла составляет 176128 байт. Основная программа вируса получает управление при каждом старте Windows и остается резидентно в памяти машины вплоть до окончания работы системы. Это происходит при помощи специально созданного вирусом скрытого ключа под названием "PINF" в регистрах автозапуска системы с ссылкой на свой TMP-файл:

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer]

"PINF"=hex:[значение ключа в hex-кодировке]

Чтобы скрыть созданный ключ, вирус записывает значение ключа не в обычном виде, а в машинной кодировке "HEX-Code".

Благодаря данному ключу, вирус получает возможность активизироваться при каждом старте системы как модульное приложение основного системного процесса "EXPLORER.EXE". Благодаря такому способу активизации, вирусный процесс не фигурирует ни в одном из системных списков активных процессов, а также недоступен для обнаружения и просмотра в памяти даже специализированным утилитам.

Через короткое время после открытия зараженного файла на чистой машине вирус начинает искать PE .ехе и .scr файлы.

Затем проверяет их на оригинальность и соответствие некоторых специфических условий, после чего копирует свой код из запущенного зараженного файла во все обнаруженные программные файлы.

Вирусный код дописывается в конец файлов. Чтобы получать управление при запуске зараженного файла, вирус корректирует заголовок оригинальной программы: изменяет "точку входа", заменяя оригинальный стартовый адрес ссылкой на стартовый адрес своего кода, располагающегося в конце файла, а информацию об исходном (оригинальном) адресе зараженной программы шифрует и записывает в конец своего кода.

Перед заражением каждого файла, чтобы скрыть свое присутствие в машине, вирус считывает атрибуты файла, дату и время модификации, заражает файл, а затем присваивает ему эти исходные данные назад. В результате этого, система не фиксирует данные зараженные файлы, как измененные, что существенно затрудняет визуальный поиск последних.

Размер файлов после заражения увеличивается примерно на 178 кб - точного значения нет, т.к. вирус дописывает в конец своего кода некоторое количество служебной информации касательно изменений, произведенных им в коде зараженного файла.

Каждый файл заражается вирусом только 1 раз.

--------------------

Кстати, это был совсем не полный список файловых вирусов, которые заражают .ехе файлы, это было лишь то, что действительно часто встречаеться , а так список и описание можно продолжить на много-много страниц: Alar, Alfa, Anthrax, Aria, Autumnal, Baphometh, Bootache, Breeder, Civil, Chloride, Changsha, Codewar, CrazyEddie, CriCri, Crusade, Crusher... просто это наврятли кому-нибудь нужно.