Одной из наиболее актуальных проблем владельцев современных компьютеров, пожалуй, является проблема безопасности в Интернете. Сегодня мы являемся свидетелями (а порой - и непосредственными участниками) бесконечных вирусных эпидемий, с завидной постоянностью сменяющих одна другую на просторах Всемирной Сети. А чего стоят одни только злобные "троянские кони", устроившие настоящую охоту за паролями и другими конфиденциальными данными, хранящимися на наших винчестерах?! Кроме того, в последнее время возросла активность и других, ничуть не более приятных программ: Spyware (программ-шпионов, предназначенных для слежения за пользователем и его действиями), Adware (рекламных утилит) и многих других, им подобных. Убытки от деятельности всей этой деструктивной "братии" несут не только крупные интернет-компании, для которых даже несколько часов простоя оборачиваются многомиллионными потерями, но и мы с вами - обычные пользователи. Ведь в результате воздействия некоторых, наиболее агрессивных вирусов, может быть полностью или частично потеряна информация на жестких или сетевых дисках! Впрочем, ничуть не меньшие убытки, чем потеря данных, приносит и панический страх перед самой возможностью заражения, выливающийся в настоящую вирусную истерию.
Основными критериями оценки надежности антивирусных пакетов обычно считают уровень выявления ими вирусов и других вредоносных программ, а также скорость реакции на вирусные угрозы. Кроме того, желательно, чтобы антивирус обладал приемлемой скоростью сканирования данных и был прост и удобен в работе.
Однако, не всегда антивирус способен справиться с этой угрозой. Рассмотрим вирус Win32/ Sality.NAO.
Неприятный момент этого вируса состоит в том, что он закрывает приложения и службы антивирусов (Avira, NOD32). Avast вроде как его лечит - но на самом деле, после загрузки он лечит лишь симптомы (читай - удаляет файлы) , вирус сидит в памяти. Аналогично и NOD32 с ранними обновлениями, а NOD 2-й версии попросту вылетает после пары перезагрузок. А при попытке включить на экране BSOD (синий экран). NOD3 - определяет вирус и даже лечит заражённые файлы.
Заражаются объекты PE-формата(не обязательно с расширением .exe)
Заражаются объекты PE-формата(не обязательно с расширением .exe)
При установке программ с чистых дистрибутивов сначала поражаются uninstall-еры, а потом и сами программы, safe mode, установка *.msi инсталяций невозможна. Практически всегда "работает" в паре с Win32/TrojanDropper.Agent.NJP.
Само тело вируса содержится в реестре в зашифрованном виде в ветке HKCU/Software/Имя_пользователя<любое_число>. После успешной загрузки устанавливается как драйвер IpFilter HKLM/CurrentControlSet/Services/IpFilter. Работает в ring.0. Также изменяется system.ini с целью прописывания своего драйвера. При запуске ОС вирус заражает программы в автостарте, а также любые запускаемые программы пользователя. Вирус полностью контролирует запуск любых программ, которые сразу заражает и дальше запускает.
Само тело вируса содержится в реестре в зашифрованном виде в ветке HKCU/Software/Имя_пользователя
Вирус скачивает трояны, регистрирует машину в спамбот-сетях, а также крадёт FTP пароли из FAR или Total Commander. Затем на этих ftp-серверах в теле индексных файлов (index.php, index.htm(l) или любых других файлах, содержащих строку "index", появляется тело java-скрипта, являющимся трояном).
Довольно серьёзный вирус, который явно писал человек, очень хорошо знающий ОС и тематику разработки программ такого плана.
Сообщения
