Угрозы типа «вирус_exe.exe»: что это и как с ними бороться?
Интернет сегодня является достаточно небезопасным виртуальным пространством. Пользователь может подхватить оттуда любую заразу в виде исполняемого кода или вируса. Недавно появилась новая разновидность угроз, которая интерпретируется как как «вирус_exe.exe». Попробуем разобраться в том, как данный тип угроз воздействует на систему и как бороться с ними наиболее оптимальными методоми. Вирус блокирует или удаляет exe-файлы: последствия
Вирусы, которые воздействуют именно на исполняемые файлы известны уже достаточно давно, еще со времен систем DOS, когда Windows еще не было и в помине. «Экзешные» файлы на заре компьютерной техники являлись основным элементом в системе. Поэтому совершенно не удивительно, что вирусные атаки были сосредоточены именно на них. Стоит отметить, что это касается и некоторых мобильных устройств, которые работают под управлением операционной системы Windows. Сегодня ситуация, когда вирус просто удаляет exe-объекты, заменяет оригинальные файлы или переименовывает их в двойное расширение, является катастрофической. На системе это собственно отражается таким образом, что при запуске приложения операционная система Windows выдает сообщение о том, что такой объект не найден или доступа к нему нет. Ситуация может проявляться в нескольких вариациях. Так, вирус может просто удалять исполняемый файл или инфицировать объект с последующим блокированием. Как уже стало ясно, система в любом случае не распознает искомый объект. Угрозы этого тип частенько проникают в систему, когда выполняется обновление пользовательской программы или браузера из сомнительного источника. По своей неопытности многие пользователи отключают антивирусную защиту или расширения браузеров типа AdBllock, которые могут блокировать выпадающие меню и рекламные окна. Этого нельзя делать ни в коем случае.
Вирус создает файлы с расширением exe: как это может отразиться на системе?
Если угроза начинает воздействовать на зараженный компьютер путем создания новых исполняемых компонентов, то здесь также можно найти несколько вариантов. Чаще всего в данном случае встречается два варианта развития событий: может создаваться объект с новым названием «вирус_exe.exe», где вирус означает имя файла, или же вирус может дублировать файлы exe, встраивая вредоносные коды в свои клоны. Найти и обезвредить такую угрозу в первом случае оказывается намного проще. Чуть позже мы рассмотрим этот процесс на примере вируса some-exe.exe. Во втором случае дела будут обстоять немного иначе. Угроза в большинстве случаев маскируется под системный процесс.
Антивирусные программы
Все ли антивирусы подходят для лечения таких вирусов? Что же касается средств для обнаружения подобных угроз, изоляции вирусов или лечения зараженных файлов, то здесь все на так просто. Многие бесплатные антивирусные пакеты вообще не подходят для этих целей. Известно множество случаев, когда те же бесплатные антивирусные программы типа Avira и AVG при обнаружении угроз типа «вирус_exe.exe», при неудачной попытке лечения инфицированных объектов даже не перемещали их в карантин, а просто удаляли. К чему это может привести? В худшем случае, это может привести к полной переустановки всей операционной системы.
Оптимальные инструменты для поиска и удаления угроз
Пример ручного удаления вируса типа «_exe.exe»
Ранее уже говорилось о том, что удалить вирусы такого типа достаточно просто. Для начала необходимо остановить в «Диспетчере задач» одноименный процесс, а затем задать в проводнике или в любом другом файловом менеджере поиск. В качестве условия необходимо вписать либо полное имя, либо «exe.exe». Можно в принципе поступить и еще проще, так как сам файл прописывается в директории System 32. Нужно удалить его оттуда. Затем необходимо удалить аналогичную динамическую библиотеку some_dll.dll. Если удаление данной библиотеки невозможно, можно просто попробовать ее переименовать. После этого необходимо зайти в редактор системного реестра, и снова использовать функцию поиска. Вызвать ее можно из главного меню или сочетанием клавиш Ctrl+F. Затем в строке поиска необходимо задать полное название. Все полученные результаты можно полностью удалить. Если причины последствия воздействия все равно будут проявляться, необходимо найти файл HOSTS, который находится в каталоге etc папки drivers в директории System 32 на системном диске, открыть его и удалить все строки, расположенные ниже значения «#::1 localhost». Затем нужно перезагрузить систему. В результате после выполнения таких действий все должно работать нормально. В этом случае вам даже не понадобиться антивирусный сканер.
Заключение
Вкратце это все, что касается вирусов, которые воздействуют на исполняемые exe-файлы. Методика их обнаружения и блокировки довольно проста. Лучше всего использовать для этой цели так называемые «диски спасения».
Что такое exe- вирусы методы борьбы с ними.
В этой статье рассказано о вирусах, заражающих ЕХЕ-файлы. Приведена классификация таких вирусов, подробно рассмотрены алгоритмы их работы, отличия между ними достоинства и недостатки.
Вирусы — это хорошая гимнастика для ума, хотя многие думают, что написать вирус на языке высокого уровня весьма трудно. Это не совсем так. Писать на языке Pascal довольно легко, правда величина полученного кода вызывает благоговейный трепет.
Для каждого типа вирусов представлены исходные тексты с подробными комментариями.Также приведены основные сведения о структуре и принципах работы ЕХЕ-программы.
СОМ-файлы (небольшие программы, написанные в основном на языке Assembler) медленно, но верно устаревают. Им на смену приходят пугающие своими размерами ЕХЕ-«монстры». Появились и вирусы, умеющие заражать ЕХЕ-файлы.
Структура и процесс загрузки ЕХЕ-программы
В отличие от СОМ-программ, ЕХЕ-программы могут состоять из нескольких сегментов (кодов, данных, стека). Они могут занимать больше 64Кбайт.ЕХЕ-файл имеет заголовок, который используется при его загрузке.Заголовок состоит из форматированной части, содержащей сигнатуру и данные, необходимые для загрузки ЕХЕ-файла, и таблицы для настройки адресов (Relocation Table). Таблица состоит из значений в формате сегмент:смещение. К смещениям в загрузочном модуле, на которые указывают значения в таблице, после загрузки программы в память должен быть прибавлен сегментный адрес, с которого загружена программа.
При запуске ЕХЕ-программы системным загрузчиком (вызовом функции DOS 4Bh) выполняются следующие действия:
1. Определяется сегментный адрес свободного участка памяти,размер
которого достаточен для размещения программы.
2.Создается и заполняется блок памяти для переменных среды.
3.Создается блок памяти для PSP и программы (сегментЮОООЬ — PSP;
В поля PSP заносятся соответствующие значения.
4.Адрес DTA устанавливается равным PSP:0080h.
5.В рабочую область загрузчика считывается форматированная часть
заголовка ЕХЕ-файла.
6.Вычисляется длина загрузочного модуля по формуле:
7.Определяется смещение загрузочного модуля в файле, равное
9.Считывается в память загрузочный модуль (начиная с адреса
10.Для каждого входа таблицы настройки:
a)читаются слова I_OFF и I_SEG;
c)читается слово по адресу RELO_SEG:I_OFF;
d)к прочитанному слову прибавляется START_SEG;
e)результат запоминается по тому же адресу (RELO_SEG:I_OFF).
11.Распределяется память для программы в соответствии с МахМет
12.Инициализируются регистры, выполняется программа:
b) АХ=результат проверки правильности идентификаторов драйверов, указанных в командной строке;
ЕХЕ-вирусы условно можно разделить на группы, используя в качестве признака для деления особенности алгоритма. Вирусы, замещающие программный код (Overwrite) Такие вирусы уже стали раритетом. Главный их недостаток — слишком грубая работа. Инфицированные программы не исполняются, так как вирус записывается поверх программного кода, не сохраняя его. При запуске вирус ищет очередную жертву (или жертвы), открывает найденный файл для редактирования и записывает свое тело в начало программы, не сохраняя оригинальный код. Инфицированные этими вирусами программы лечению не подлежат.
Эти вирусы получили свое название из-за алгоритма размножения:
к каждому инфицированному файлу создается файл-спутник. Рассмотрим более подробно два типа вирусов этой группы:
Вирусы первого типа размножается следующим образом. Для каждого инфицируемого ЕХЕ-файла в том же каталоге создается файл с вирусным кодом, имеющий такое же имя, что и ЕХЕ-файл, но с расширением СОМ. Вирус активируется, если при запуске программы в командной строке указано только имя исполняемого файла. Дело в том, что, если не указано расширение файла, DOS сначала ищет в текущем каталоге файл с заданным именем и расширением СОМ. Если СОМ-файл с таким именем не найден, ведется поиск одноименного ЕХЕ-файла. Если не найден и ЕХЕ-файл, DOS попробует обнаружить ВАТ (пакетный) файл. В случае отсутствия в текущем каталоге исполняемого файла с указанным именем поиск ведется во всех каталогах, доступных по переменной PATH. Другими словами, когда пользователь хочет запустить программу и набирает в командной строке только ее имя (в основном так все и делают), первым управление получает вирус,код которого находится в СОМ-файле. Он создает СОМ-файл еще к одному или нескольким ЕХЕ-файлам (распространяется), а затем исполняет ЕХЕ-файл с указанным в командной строке именем. Пользователь же думает, что работает только запущенная ЕХЕ-программа.
Вирус-спутник обезвредить довольно просто — достаточно удалить
СОМ-файл.
Вирусы второго типа действуют более тонко. Имя инфицируемого
ЕХЕ-файла остается прежним, а расширение заменяется каким-либо
другим, отличным от исполняемого (СОМ, ЕХЕ и ВАТ), Например,
файл может получить расширение DAT (файл данных) или OVL (про-
граммный оверлей). Затем на место ЕХЕ-файла копируется вирусный код. При запуске такой инфицированной программы управление получает вирусный код, находящийся в ЕХЕ-файле. Инфицировав еще один или несколько ЕХЕ-файлов таким же образом, вирус возвращает оригинальному файлу исполняемое расширение (но не EХЕ, а СОМ, поскольку ЕХЕ-файл с таким именем занят вирусом), после чего исполняет его. Когда работа инфицированной программы закончена, ее запускаемому файлу возвращается расширение неисполняемого. Лечение файлов, зараженных вирусом этого типа, может быть затруднено,если вирус-спутник шифрует часть или все тело инфицируемого файла,а перед исполнением его расшифровывает.
Вирусы, внедряющиеся в программу (Parasitic) Вирусы этого вида самые незаметные: их код записывается в инфицируемую программу, что существенно затрудняет лечение зараженных файлов. Рассмотрим методы внедрения ЕХЕ-вирусов в ЕХЕ-файл.
Способы заражения ЕХЕ-файлов
Самый распространенный способ заражения ЕХЕ-файлов такой: в конец файла дописывается тело вируса, а заголовок корректируется (с сохранением оригинального) так, чтобы при запуске инфицированного файла управление получал вирус. Похоже на заражение СОМ-файлов, но вместо задания в коде перехода в начало вируса корректируется собственно адрес точки запуска программы. После окончания работы вирус берет из сохраненного заголовка оригинальный адрес запуска программы, прибавляет к его сегментной компоненте значение регистра DS или ES (полученное при старте вируса) и передает управление на полученный адрес.
Следующий способ — внедрение вируса в начало файла со сдвигом кода
программы. Механизм заражения такой: тело инфицируемой программы считывается в память, на ее место записывается вирусный код, а после него — код инфицируемой программы. Таким образом, код программы как бы «сдвигается» в файле на длину кода вируса. Отсюда и название способа — «способ сдвига». При запуске инфицированного файла вирус заражает еще один или несколько файлов. После этого он считывает в память код программы, записывает его в специально созданный на диске временный файл с расширением исполняемого файла (СОМ или ЕХЕ), и затем исполняет этот файл. Когда программа закончила работу, временный файл удаляется. Если при создании вируса не применялось дополнительных приемов защиты, то вылечить инфицированный файл очень просто — достаточно удалить код вируса в начале файла, и программа снова будет работоспособной. Недостаток этого метода в том, что приходится считывать в память весь код инфицируемой программы (а ведь бывают экземпляры размером больше 1Мбайт).
Следующий способ заражения файлов — метод переноса — по всей видимости, является самым совершенным из всех перечисленных. Вирус размножается следующим образом: при запуске инфицированной программы тело вируса из нее считывается в память. Затем ведется поиск неинфицированной программы. В память считывается ее начало,по длине равное телу вируса. На это место записывается тело вируса.Начало программы из памяти дописывается в конец файла. Отсюда название метода — «метод переноса». После того, как вирус инфицировал один или несколько файлов, он приступает к исполнению программы,из которой запустился. Для этого он считывает начало инфицированной программы, сохраненное в конце файла, и записывает его в начало файла, восстанавливая работоспособность программы. Затем вирус удаляет код начала программы из конца файла, восстанавливая оригинальную длину файла, и исполняет программу. После завершения программы вирус вновь записывает свой код в начало файла, а оригинальное начало программы — в конец. Этим методом могут быть инфицированы даже антивирусы, которые проверяют свой код на целостность, так как запускаемая вирусом программа имеет в точности такой же код, как и до инфицирования.
Вирусы, замещающие программный код ( Overwrite ) Как уже говорилось, этот вид вирусов уже давно мертв. Изредка появляются еще такие вирусы, созданные на языке Assembler, но это, скорее, соревнование в написании самого маленького overwrite-вируса. На данный момент самый маленький из известных overwrite-вирусов написан Reminder’ом (Death Virii Crew group) и занимает 22 байта.
Алгоритм работы overwrite-вируса следующий:
1. Открыть файл, из которого вирус получил управление.
2. Считать в буфер код вируса.
4. Искать по маске подходящий для заражения файл.
5. Если файлов больше не найдено, перейти к пункту 11.
6. Открыть найденный файл.
7. Проверить, не заражен ли найденный файл этим вирусом.
8. Если файл заражен, перейти к пункту 10.
9. Записать в начало файла код вируса.
10. Закрыть файл (по желанию можно заразить от одного до всех фай-
лов в каталоге или на диске).
11. Выдать на экран какое-либо сообщение об ошибке, например «Abnormal program termination» или «Not enough memory», — пусть пользователь не слишком удивляется тому, что программа не запустилась.
12. Завершить программу.
Ниже приведен листинг программы, заражающей файлы таким способом.
Как заражаются файлы и почему только exe?
Оценить 4 комментария
Потому что их можно запустить на исполнение. Но не только их, но и динамические библиотеки (dll/so), файлы скриптов, ярлыки, документы офисных пакетов (которые умеют исполнять макросы) и прочие вещи. Причем, запуск происходит с правами доступа того пользователя, который их вызывает. Это как попытка подкинуть плотнику молоток с кривой ручкой, чтобы тот ударил себя по пальцу вместо заготовки.
Так можно просто послать письмо с вредоносной программой (которая ничего больше не умеет, кроме как делать свои черные дела) в надежде, что недалекий юзер ее запустит или даже «пропатчить» какую-нибудь программу пользователя, чтобы та помимо ожидаемых вещей делала какие-нибудь сюрпризы.
Подскажите, как заражаюстя файлы и почему именно exe?
Не только ехе. Заразить можно любой файл, который исполняется, можно заразить хоть bat файл, если ставить такую цель. И такие вирусы есть в природе. Читайте вики, там всё подробно расписано.
Как в таком файле определить, что он заражен не используя антивирусы?
Может какой язык программирования и подход в этом деле поможет лучше понять суть вирусов?
прочтение теории инфицирования лучше всего начинать с COM-файлов, хотя они и устарели
Никак не определить.
Код вируса отличается от легитимного кода только намерением того, кто его применяет. Ничем больше.
Можно просто отправить почту, написав код. А можно, используя этот же код, отправить данные банковской карты на почту хаццкиру Василию. Код будет одинаков, вы его никак не отличите от обычного полезного кода.
Здесь нужно анализировать миллионы других косвенных факторов, которые могут подсказать, что есть вероятность, что в почту пошли не те данные, которые должны.
Вирус- это кусок кода. У каждой программы есть точка входа. ОС загружает программу и передает управление программе.
Вирус встраивается в эту точку входа, меняет её, записывается в конец, при вызове происходит переход не в тело программы, а в вирус, которое делает свои дела и обратно передает управление программе.
Если exe модуль подписан и посчитана контрольная сумма, то наличие вируса маловероятно.
В другие форматы не понятно куда себя писать вирусу, возможны и варианты с DOC, XLS, там различные макросы активирующиеся на запуск, открытие и другие события, через которые получает управление вирус.
Наличие вируса определяют по характерным для вируса действиям (точно не скажу каким), командам, вызовам процедур. На вирус можно провиться на сайтах специальных типа вирустотала.
Как найти и удалить вирус вручную
Температура процессора
Типы вредоносных программ
Как удалить вирус самостоятельно
Как найти и как удалить вирусы с компьютера самостоятельно,
без использования каких-либо программ — антивирусов
Здесь мы покажем вам, как можно самостоятельно обнаружить и затем удалить файлы, способные нанести вред вашему компьютеру, или вирусы самостоятельно (вручную) без использования каких-либо антивирусных программ.
Как удалить вирус самостоятельно
Действовать необходимо на правах администратора.
Команда cmd в командной строке
Либо, нажав кнопку Пуск в нижнем левом углу экрана монитора, в строке поиска начните набирать « командная строка », а затем по найденному результату кликните правой кнопкой мышки и выберите « Запуск от имени администратора ».
Вызов командной строки через поиск
Запуск командной строки от имени администратора
Кратко о том, какие цели у наших будущих действий:
С помощью команды attrib нужно найти такие файлы, которые не должны находиться среди системных файлов и потому могут быть подозрительными.
Итак, начнём ручной поиск подозрительных, файлов, то есть вероятных вирусов, самостоятельно, без использования специальных программ.
Открываем cmd
Команда attrib в командной строке
Как видим из последнего рисунка, файлов с расширениями .exe или .inf не обнаружено.
А вот пример с обнаруженными подозрительными файлами:
Вирусы в системе Windows
Здесь обнаружились 2 таких файла:
autorun.inf
sscv.exe
Эта команда изменит их свойства, сделав из них обычные файлы. Дальше их можно будет удалить.
Для удаления этих файлов введите del filename.extension или в нашем случае:
del autorun.inf
То же самое надо проделать со вторым файлом:
Удаление вирусов вручную
Теперь перейдём к папке System32.
Продолжим далее поиск, вписывая следующие команды внизу:
Впишите cd win* и нажмите ENTER.
Снова введите s ystem32. Нажмите ENTER.
Ищем вирусы в папке System32
Появился вот такой длинный список:
Ищем вирусы в папке System32
Самостоятельное удаление вирусов с компьютера | Интернет-профи
И находим вот такие файлы:
Подозрительные файлы в папке Windows
Подозрительные файлы в папке Windows
При перемещении вверх-вниз экран перемещается очень быстро, поэтому когда мелькнёт что-то новое, приостановитесь и вернитесь назад‚ чтобы проверить каждый файл, не пропустив ни одного.
Подозрительные файлы в папке Windows
Выписываем себе все найденные S H R файлы:
Выполните команду attrib 3 или 4 раза, чтобы убедиться, что вы проверили всё.
Ну, вот. Мы самостоятельно нашли целых 4 вредоносных файла! Теперь нам нужно удалить эти 4 вируса.
Для этого дальше в командной строке вписываем и каждый раз нажимаем ENTER следующее:
C:\Windows\System32>del atr.inf
C:\Windows\System32>del dcr.exe
C:\Windows\\System32>del desktop.ini
C:\Windows\System32>del idsev.exe
Удаляем вирусы с компьютера самостоятельно
Аналогичную операцию надо провести с другими папками, вложенными в каталог Windows.
Нужно просканировать ещё несколько таких каталогов, как Appdata и Temp. Используйте команду attrib, как показано в этой статье, и удалите все файлы с атрибутами S H R, которые не имеют отношения к системным файлам и могут заразить ваш компьютер.