Найдем и обезвредим!

Докучаев Дмитрий aka Forb

Спецвыпуск Xakep, номер #035, стр. 035-094-1

(forb@real.xakep.ru)

Как обнаружить заразу в системе

В наши дни компьютерными вирусами никого не удивишь. Более того, наверное, каждый по неосторожности (или по невнимательности) заражал свою систему. Самое обидное, что электронная зараза никогда не выдает себя, а молча делает свое черное дело на беззащитном компьютере жертвы...

С одной стороны, так и должно быть. Как и обычные вирусы, компьютерные ведут невидимый для пользователя образ жизни. Это действительно так, суди сам: реальный вирус проникает в организм и потихоньку заражает его клетки. В первые дни человек даже не чувствует присутствия заразы, но через некоторое время вирус начинает активно проявлять себя и губительно воздействовать на жизненно важные органы. Электронный вирь вместо клеток поражает... правильно, файлы! Методики саморазмножения заразы различны: о них рассказывается в других статьях этого выпуска.

Зараза бывает разной...

Чтобы во время чтения этой статьи не возникло путаницы, следует окончательно определиться, какие виды опасных экземпляров мы будем рассматривать. Если порыться на сайтах по вирусологии, то можно найти несколько определений понятия "вирус". Все они сводятся к тому, что вири заносятся в систему, а затем через какой-то промежуток времени (или сразу) начинают заражать определенные типы файлов. Такие "экземпляры" появились очень давно - еще до рождения Сети. Они до сих пор пишутся, и методы их размножения совершенствуются с каждым годом.

Но с появлением возможности выхода в Сеть, возникает новый вид заразы - трояны. Трояны, в отличие от вирусов, обычно не наносят системе особого вреда. У них другая функция - переслать личную информацию с компьютера жертвы в руки злоумышленника. Делают они это незаметно и весьма искусно. Как только троян устанавливается на машину ушастого юзера, он выбирает для себя один из двух путей своего существования:

1. Выполнив одиночную функцию (например, высылка паролей на e-mail хакера), зараза сама себя уничтожает. При этом юзер вообще может не узнать о том, что он запустил что-то не то (если, конечно, на ПК не будет установлен фаервол =)).

2. Прописывает себя в системе на постоянное местожительство. Троян либо регулярно следит за портом, либо делает зловредные вещи (к примеру, раз в неделю отсылает дамп всех клавиш на e-mail злоумышленника). Обнаружить такую заразу в несколько раз легче, чем в первом случае.

В этой статье я постараюсь подробно осветить методы защиты как от вирусов, так и от троянов. При этом не буду заострять внимание на видах заразы, с помощью приведенной выше классификации ты сам поймешь, о чем идет речь.

Находим и удаляем!

Несмотря на непохожесть вируса и трояна, у них есть одна общая черта. Зараза всегда пытается прописать себя в автозапуск. Иными словами, чтобы программа могла подгрузиться в память при старте компа, она заносит себя в разделы реестра. Таких разделов может быть несколько. Разработчики Microsoft позаботились о пользователе и придумали хорошую утилиту msconfig, которая существует почти во всех версиях окошек (за исключением win95 и win2000). Привлекательность этой системной программы в том, что она объединяет все вкладки реестра, папку автозагрузки и показывает пользователю информацию обо всех запускаемых программах.