Статья добавлена 25 мая 2010, в вторник, в 19:16. С того момента...
1676 |
просмотров |
0 | добавлений в избранное |
0 | комментариев |
Представлена в разделах:
Уничтожение неизвестных вирусов
Антивирусы vs вирусы. Антивирусы - совершенно необходимое ПО, позволяющее сколько-нибудь нормально функционировать ОС Windows в условиях постоянного подключения компьютера к Сети.
1. Антивирусы vs вирусы. Антивирусы - совершенно необходимое ПО, позволяющее сколько-нибудь нормально функционировать ОС Windows в условиях постоянного подключения компьютера к Сети. Однако даже все существующие антивирусы вместе не способны обеспечить 100%-ю защиту системы, более того ни один из антивирусов не способен корректно устранить активное заражение. Дело даже не в том, что вирус может сильно испортить реестр или запретить запуск антивируса, дело в автозапуске, антивирусы редко удаляют ссылки на вирусные модули в реестре, что иногда приводит к неспособности "вылеченной" системы к нормальному запуску. А в случае лечения системы с LiveCD на реестр просто не обращают внимания, что приводит к совсем уже печальным последствиям.
2. Антивирусы - реакция на новые вирусы. К сожалению сегодня подавляющее большинство антивирусных компаний не способно анализировать и своевременно пополнять антивирусные базы из-за огромного потока "вирусов" присылаемых на анализ. Иногда с момента рождения вируса проходит несколько недель и даже месяцев прежде чем он будет проанализирован и внесен в базу. Соотв. миллионы зараженных компьютеров с установленным антивирусом текущая реальность.
3. Проактивная защита. Казалось бы это панацея... однако безжалостное потребление ресурсов, требования к уровню подготовки пользователя, бесконечные глюки и просто раздражение от игры в вопросы-ответы полностью перекрывает все достоинства проактивной защиты.
4. Что же делать если система поражена неизвестным вирусом? Контроль автозапуска. Как известно большинство вирусов используют автозапуск для возобновления своей работы в системе. Соотв. контроль автозапуска - это ключ к успешной борьбе с основной частью вирусов и руткитов, что и делает проактивная защита в частности, однако проактив практически бесполезен если система была заражена неизвестным вирусом способным противодействовать антивирусам. Universal Virus Sniffer (uVS) - обнаружение и уничтожение неизвестных вирусов/руткитов. Если вам не помог антивирус то поможет uVS.
1. Сбор информации о системе. Universal Virus Sniffer сканирует реестр, каталоги и файлы автозапуска, линки и строит довольно полный список объектов автозапуска, позволяя пользователю быстро обнаружить и затем уничтожить тело вируса.
2. Анализ автозапуска. Universal Virus Sniffer не только собирает информацию, но и проводит простой анализ объектов автозапуска: анализируются пути запуска, имена файлов, атрибуты, время создания и изменения, особое внимание уделяется ключам реестра часто используемых вирусами и т.д. В результате пользователь получает небольшой список подозрительных файлов, часть из которых может оказаться вирусами.
3. Фильтрация автозапуска. Автозапуск разбивается на категории в т.ч. особо интересные в плане поисков неизвестного вируса. Например Сетевая активность, Неизв. модули в известных процессах, ;Процессы без видимых окон. Кроме того можно скрыть из списка известные файлы, что сразу в разы сокращает поле для поисков (гор. клавиша F1). Дополнительно можно скрыть все файлы имеющие дату создания/изменения меньше даты предположительного заражения, что сократит кол-во элементов уже в десятки раз. 4. Найден файл похожий на вирус, что дальше? Читаем файл Как быстро найти неизвестный вирус.txt
5. Сигнатура вируса. Universal Virus Sniffer имеет уникальную способность самостоятельно извлекать сигнатуры из исполняемых модулей и затем находить все их копии и моды. Пользователь может внести сигнатуру в базу и последовательно, а главное быстро залечить набор компьютеров пораженных одинаковым набором вирусов. Единственное, что задает пользователь - это длина сигнатуры и ее имя. Длина фактически есть чувствительность поискового движка чем больше длина тем меньше вероятность случайного совпадения сигнатур и соотв. меньше вероятность ошибки. Максимальная длина сигнатуры 64 байта, что дает практически нулевую ошибку. Типичная длина - 8 байт, что подходит для надежного выявления большинства вирусов. В информации о зараженном файле можно найти глубину совпадения сигнатуры (для отсева ложных срабатываний и задания правильной длины)
6. Файловые вирусы. В силу пункта 5.5 uvs способен автоматически обнаруживать и главное идентифицировать по сигнатуре файловые вирусы. Для файловых вирусов длина сигнатуры не должна быть слишком большой.
7. Руткиты - как найти невидимое, ничего не зная о рутките. uvs имеет два механизма обнаружения скрытого автозапуска, 1-й непосредственно в зараженной системе для скрытых сервисов и драйверов. (вероятность обнаружения не очень высока) 2-й при загрузке в WinPE или из под чистой системы. (вероятность обнаружения близка к 100% для руткитов скрывающих автозапуск) Во втором случае в зараженной системе создается файл сверки и затем используется для проверки автозапуска уже неактивной системы.
8. Уничтожение вирусов, как Universal Virus Sniffer убивает вирус? Список найденных вирусов сравнивается со списком активных процессов, сервисов и т.п. все обнаруженные активные модули останавливаются и затем последовательно выгружаются. Затем уничтожаются все ссылки на эти файлы в реестре, линки/файлы автозапуска и т.п. Тела вирусов удаляются либо отдается указание уничтожить фалы при след. перезагрузке.
9. Проверка неактивной системы. Если система не стартует, поражена стелсами или руткитами, либо испорчен реестр в этом случае используется режим проверки неактивной системы.
A. Проверка по сети. Universal Virus Sniffer способен проникать на удаленный компьютер и запускать там свою сервисную часть с правами LocalSystem, а проверяющий компьютер поддерживает только интерфейсную часть. Для доступа к удаленному компьютеру необходим лишь пользователь/пароль администратора именно на удаленном компьютере и доступ в шару ADMNI$. (если тек. пользователь уже имеет доступ в ADMIN$, то запуск возможен и без ввода пользователя/пароля)
Источник: Антивирусы,файрволы скачать бесплатно