div.main {margin-left: 20pt; margin-right: 20pt}ЧАВО-Вирусы
Автор: DK , dk@computerra.ru Источник:
http://www.homepc.ru/
Вопрос: Мне в последнее время постоянно приходят письма с примерно
такими вложениями: PICS.DOC.SCR или FUN.MP3.PIF. Что это (я их не открываю)?
Вирусы?
Ответ: Да, это и есть самые настоящие вирусы (вид: черви). Они
распространяются следующим образом: на зараженном компьютере сканируют адресную
книгу почтовой программы и отсылают свои копии по этим адресам (без ведома
человека, у которого он "живет"). Ни в коем случае нельзя их открывать! Конечно
же, можно поставить фильтр на электронный ящик, с которого приходят эти письма
(чтобы почтовый клиент или сервер в Интернете автоматически удалял эти письма),
но лучше всего написать по адресу (если он указан), с которого пришел вирус, и
сообщить о вирусе. Если обновленные антивирусы ничего подозрительного не
обнаруживают в этих прикрепленных файлах, то лучше всего написать в Лабораторию
Касперского и объяснить им ситуацию. Они вам помогут и вы внесете бесценный
вклад в вирусологию.
Смирнов
В: Что такое троян? Какие разновидности вирусов бывают?
О: Троян - Троя - "Троянский Конь". Помнишь эту историю, когда в дар
людям с слишком большим самомнением был подарен здоровый макет коня? Они ввезли
за ворота, к себе в город, а из этого деревянного красавца тёмной ночью вышли
солдаты и открыли ворота города, около которых уже ждала вражеская армия этого
заветного мгновения... По аналоги работает и "Компьютерный Троянский Конь".
Либо он собирает нужную информацию (в основном пароли, но если он написан
конкретно для кого-то, то что угодно может собирать) и отсылает её при
подключении к сети хозяину. Либо даёт возможность управлять компьютером,
несмотря на системы защиты (например займёт определённый порт, по которому будет
пускать "хозяина"). Троян является разновидностью вируса, поэтому
обнаруживается антивирусом или программами, специализированными на поиск
троянов. Заразиться им можно, как и любым вирусом, то есть, запустив программу
или гуляя по Интернет (просто не ты запустишь программу, а твой браузер).
Вася-КВА
В: У меня установлен AVP, иногда при проверке он пишет - ошибка
вводавывода, что это такое?
О: Это значит, что файл используется самой системой и не может быть
проверен в текущий момент. Также эта ошибка появляется при попытке чтения с
плохой дискеты.
BSP
В: У меня в корне диска С: (OS: Win2k на FAT32) время от времени
появляется скрытый файлик с именем explorer.exe размером 8,192 байт. Я его
удаляю, а он снова появляется. И в памяти сидит процесс, но что странно -
нормальный Explorer.exe тоже есть в списке задач и пишется с большой буквы, и
присутствует также процесс explorer.exe (с маленькой буквы). Я сильно
подозреваю, что это какой-то вирус. Но и AVP (обновляю ежедневно) и Dr.Web
говорят, что все чисто...
О: В общем, это последствия заражения вирусом CodeRed. Очень странно,
что его не обнаруживает AVP. Я вообще-то обнаружил наличие этого виря у себя на
машине при помощи Norton Antivirus. Что это за вирь и как с ним бороться -
можете прочитать здесь. Скажу лишь, что это все делается очень просто. А
explorer.exe, который появляется в корне дисков C: и D: - это троянская
компонента W32.Trojan.VirtualRoot. Если этот вирус сидит на серверной машине, то
лучше побыстрее от него избавьтесь, т.к. скорее всего в данный момент у вас
открыт полный доступ к дискам C: и D: через интернет. Ну, и последнее: чтобы
избежать повторных заражений, установите себе заплатку от Microsoft (или
сервис-паки).
SKYRiDER
В: Как с помощью e-mail обновить антивирусные программы?
О: Узнайте какой у вас антивирус. Но в любом случае, даже когда ваш
антивирус автоматически обновляет себя, то он просто скачивает необходимый файл.
Так что для этого вам надо узнать какой именно это файл и путь к нему, а уже
потом обновлять антивирус через почту..
Abonentden
В: Подскажите, пожалуйста, как антивирусы находят вирусы, как они
отличают их от простых программок (ну, кроме тех, у которых двойное расширение)?
О: Методов обнаружения куча но все они базируются на: 1) Проверке
того, имеется ли в файле (памяти, boot) специфическая для данного вируса
комбинация байтов. Недостаток данного метода - это возможность распознать только
уже известные вирусы, без модификаций.Достоинства-скорость, почти 100%
обнаруживание известных вирусов. 2) Эвристическом анализе - этот анализ
позволяет обнаружить новые и неизвестные ранее вирусы. Во время такого анализа
антивирус проверяет выполнимый код и пытается определить, выполняет ли он
действия, характерные для вирусов. Достоинство - определение новых, ниезвестных
программе вирусов. Недостатки-низкая скорость анализа, не всегда корректное
распознавание антивирусов (хотя DrWeb своим эв. анализом очень гордится). 3)
Проверке в реальном времени работы программ, на совершение ими подозрительных
действий, как то: попытки коррекции файлов с расширениями COM, EXE
изменение атрибутов файла прямая запись на диск по абсолютному адресу
запись в загрузочные сектора диска загрузка резидентной программы.
4) Постоянная проверка системы (во время загрузки) на появление загадочных
файлов, пустых областей диска и др. подозрительной чуши. Самые сволочные
вирусы - это трояны, т.к. написать их может самый безрукий программист (как
правило, с диким желанием навредить ближнему своему), а их появление в базах
данных антивирусов может занять от пары дней до пары месяцев, хотя человеку
выявить их несложно.
Krendel
Егор Гостев. По материалам системы взаимопомощи "Эксперт".
|