Боремося з вірусами в windows xp

width = "450" border = "0" / gt;

Знявши галочку з пункту Show All Location, ви замаскуєте більшу частину розділів реєстру, відповідальних за екзотичні способи завантаження різних сервісних додатків Windows. На даний момент часу вкрай малоймовірно, що який-небудь з вірусів впишеться в ці списки. Встановивши галку навпроти Only Show Non-Microsoft Entry, ви говорите програмі не показувати вам додатки, створені в корпорації Microsoft. Знову-таки, малоймовірно, що ці додатки виявляться вірусами. Проте, тримайте в голові той факт, що в зазначених режимах роботи програми ви бачите не всі наявні місця запуску. У разі появи у вас підозр про те, що у вашій системі таки орудує якийсь вірус, переставте ці дві галки в зворотні положення і на цей раз ретельно вивчіть вже весь доступний вам список. Вдавати під додатки Microsoft автори вірусів вже давно не намагаються. Фокус тут полягає в тому, що більша частина цих додатків вважається операційною системою критично важливими для її функціонування. Виявивши модифікацію подібних файлів, Windows 2000 / XP відновлює їх початковий вміст зі свого архіву або дистрибутивного диска. Таким чином, Windows по простоті душевній самостійно знищує непрошених "імітаторів". Якщо ж автори вірусів перезаписують оригінальні програми Microsoft, а кладуть віруси в будь-яку іншу, сусідню папку, то це теж відразу помітно для досвідченого погляду в списку Autoruns або звичайному Диспетчері Завдань. Всі програми з дистрибутива Windows розташовуються в своїх, строго визначених папках. Запуск стандартної програми з "чужої" папки виглядає досить підозріло і відразу впадає в очі.

Для початку давайте детально розберемо інформацію, виведену на екран програмою, і подивимося, як вона допоможе нам оцінити походження тих чи інших автоматично стартують файлів. Інтерфейс програми досить нескладний і стандартний для такого роду утиліт. У центрі екрана розташоване дворівневе дерево. На першому рівні дерева перераховані всі відомі програмі місця, звідки теоретично можливий запуск програм в Windows. У тому випадку, якщо список розташований в реєстрі, як іконки для папки дерева використовується значок реєстру, зовні схожий на вибухає кубик Рубика. У разі, якщо відображається список є звичайною папкою на диску - наприклад, звичної всім папкою автозавантаження, то в ролі іконки і виступає не менш звичний значок папки. Другим рівнем дерева, а саме елементами папки списку автозапуску, виступають самі програми, що стартують з цієї папки. Перед кожною програмою розташований квадратик поля вибору. Ви можете, клацнувши мишею по цьому квадратику, знімати або ставити в ньому відмітку-галочку. Якщо ви поставите в квадратику галочку, програма, до якої він належить, буде автоматично стартувати разом з операційною системою. Якщо зняти галочку з цього поля, програма хоч і залишиться в цьому списку, але автоматично запускатися вже не стане. Якщо ви не впевнені в тому, чи можна без шкоди для операційної системи відключити ту чи іншу програму, спробуйте для початку зняти з неї галочку. Якщо після перезапуску Windows з`ясується, що функціональність відключеною програми вам необхідна, можете повторно запустити Autoruns і дозволити програмі стартувати автоматично, повернувши на місце відноситься до неї галочку.

Наступним елементом за полем тимчасового відключення програми йде її іконка. З її допомогою ви можете швидко оцінити тип програми яку ви запускаєте. За іконкою слідує назва програми. Зверніть увагу: назва програми і назва файлу програми - це абсолютно різні речі, хоча вони можуть і збігатися. Назва програми заноситься її розробником в спеціальну структуру всередині виконуваного файлу. Надалі навіть якщо ви можете перейменувати сам файл назва програми залишиться колишнім. У тому випадку, якщо розробник залишив це поле порожнім в момент компіляції програми, вона автоматично отримує ім`я, що збігається з ім`ям її виконуваного файлу. Наступне поле таблиці Autoruns зветься Description. Воно також заповнюється (або не заповнюється) розробником на етапі створення програми. У цьому полі прийнято давати короткий опис призначення програми. Проте, автор програми вільний залишити це поле порожнім або і зовсім написати все, що йому прийде в голову. Чергове поле списку названо Company. Ще одне необов`язкове поле, подібне розглянутому нами вище полю Description. Зазвичай в ньому прийнято писати назву компанії, яка випустила цей програмний продукт.

Останнє не розглянуте ще нами поле в списку автоматично запускаються програм називається IMAGE PATH. У ньому зазначено повний шлях до запускається файлу програми, тобто місце на диску, в якому операційна система шукає програму для того, щоб її запустити. Для нас як користувачів цей параметр особливо важливий. Знаючи місце на диску, де знаходиться зацікавила нас програма, ми можемо перевірити її за допомогою антивірусу, та й просто "сходити" в її папку і на місці "подивитися" на підозрілу програму за допомогою шістнадцятирічного редактора. Якщо ця програма виявиться вірусом, ми знаємо, який саме файл слід стерти для того, щоб він нас більше не турбував.

Як я вже говорив вище, назва папки, з якої стартує програма, допоможе нам виявити віруси, які маскуються під стандартні системні утиліти, сервіси та бібліотеки, що входять в комплект операційної системи. Наприклад, WINDOWS EXPLORER, що відповідає за сам інтерфейс користувача Windows, завжди розташований в папці C: WINDOWS. Файл з цією програмою називається EXPLORER.EXE. Якщо ви раптом виявляєте, що у вас на комп`ютері ця програма стартує з папки, скажімо, C: WINDOWS SYSTEM32, то це вже досить серйозний "дзвіночок" про те, що у вашій системі, можливо, діє комп`ютерний вірус. Я б на вашому місці ближче познайомився з таким нововведенням в моїй операційній системі. Про те, як це зробити, у нас піде мова трохи нижче.

Древообразная інтерфейс екрану програми насправді оманливий. У тому випадку, якщо ви клацнете мишкою по гілці цього "дерева", чекаючи, що гілка згорнеться, нічого подібного не відбудеться. Замість цього стартує редактор реєстру і самостійно встановиться на гілку, що відповідає обраному вами списку автозапуску. Ця можливість надана для того, щоб ви в складних випадках могли вручну проаналізувати її вміст і прийняти потрібне рішення. Якщо ви клацнете мишкою по рядку з назвою програми, відкриється конкретний запис у реєстрі, що призводить до запуску цієї програми.

Крім вищевказаних можливостей, кожен рядок у вікні, що запускаються, має контекстне меню, яке викликається правою кнопкою миші. Давайте розглянемо призначення містяться в ньому пунктів. Пункт, що має назву Delete, призначений для видалення з реєстру запису про автоматично стартує програмі. Сама програма при цьому не видаляється, тому, перш ніж прати з завантаження згадка про чергове підхоплений в Інтернет вірус, попередньо збережіть де-небудь інформацію про те, в якому саме файлі він знаходиться. Ви, напевно, мене запитаєте, а чому б вам просто спочатку не стерти сам файл, а вже потім видалити запис про його завантаженні. Тут не все так просто. У тому випадку, якщо вірус прописаний в списку автозавантаження вашого комп`ютера, це автоматично означає, що він активний в той момент, коли ви готуєтеся його видаляти. За прийнятим в Windows правилом файли запущених програм блокуються. Їх не можна видалити, так як система не дасть вам доступу на цю операцію. Існують два простих способи викрутитися з даної ситуації. По-перше, ви можете, натиснувши Ctrl-Alt-Del, викликати Диспетчер Завдань. Переходьте на вкладку Процеси і шукаєте в списку процесів вірус на ім`я його файлу (ім`я файлу ми подивилися за допомогою Autoruns). Натискаєте Завершити процес, цим самим вивантажуючи з пам`яті активну зараз копію вірусу. Після цього можете спокійно видалити файл на диску. Іноді цей спосіб не проходить, так як вірус може встигнути відновити себе в пам`яті, поки ви добираєтеся до файлу з його вмістом. Існують віруси, які прописують в списку автозавантаження кілька своїх копій під різними іменами. Кожна з цих копій стежить за здоров`ям своїх "колег", і, якщо з ними щось трапляється, перезапускає їх виконувані файли. Дуель з подібними вірусами досить цікава для професіонала, але настільки ж важке для новачка. Як попутного анекдоту розповім вам історію про ліпший мені одного разу кумедний вірус. Він відстежував запуск програми Regedit і ніяк себе не виявляв до тих пір, поки ви не підбиралися з його допомогою до гілок реєстру, відповідальним за автозапуск додатків. Після цього вірус брав і закривав додатки Regedit`a, таким чином не даючи виправити список автозавантаження. Другий пропонований мною спосіб позбутися від активного в системі вірусу куди більш простий і неквапливий. Просто запам`ятовуєте, як називається файл вірусу і папка на диску, в якій він розташований. Видаляєте (або блокуєте) його стартову запис за допомогою Autoruns і перезавантажується. Після того як комп`ютер знову стартує, вірус вже не отримує управління, і ви можете спокійно розбиратися "по-свійськи" з хладним трупом його файлу.

Розповідаючи про те, що вам робити з виявленим вірусом, я мало не забув про найголовніше - про те, а як, власне кажучи, вам відрізнити звичайні добропорядні програми, що стартують при кожному запуску Windows, від вірусів, які затесалися в їх стрункі ряди . Давайте прямо зараз на живому прикладі встановленої на моєму комп`ютері операційної системи подивимося: а чи немає чого зайвого в її списках автозавантаження. На додається ілюстрації зображений екран програми Autoruns, запущеної на ноутбуці, що працює під управлінням Windows XP. Сірим кольором відзначені списки автозапуску Windows XP, в які не занесені якісь програми. Білим кольором виділені програми, які запускаються на цьому комп`ютері в автоматичному режимі. Таких програм виявилося всього дві. Перша стартує з гілки реєстру HKLM SOFTWARE Microsoft Windows CurrentVersion Run. Називається вона TPTRAY. Як бачимо, написана ця програма в фірмі IBM Corp. В її властивості виробником занесений коментар про те, що ця програма є якоюсь "IBM ThinkPad Tray Utility". Розташована вона в папці C: Program Files ThinkPad Utilities, а її виконуваний файл називається TP98TRAY.EXE. За сукупністю даної інформації я легко можу здогадатися, що мова йде про панелі управління режимами роботи ноутбука, іконка від якої висить в треї поряд з годинником. Я дійсно ставив цю програму і активно її експлуатую, тому її запуск цілком закономірний і легітимний. Інше питання, що під виглядом цієї утиліти на мій комп`ютер могла б вписатися будь-яка інша програма. Але в цьому випадку в списку автозавантаження були присутні б уже дві копії програми - підроблена і справжня - або я б не побачив іконки поруч з годинником. Додатково переконатися в тому, що програма є саме тією, за яку себе видає, можна викликавши її властивості з контекстного меню списку Autoruns.

Клацаєте правою кнопкою миші по зацікавила вас програмі і вибираєте в меню пункт Properties. Перед вами з`явиться стандартне вікно властивостей файлу Windows. Найціннішою для вас інформацією в цьому вікні є три наявні тут дати. У всіх трьох дат назви погано відображають те, що вони дійсно означають. Тому я прокоментую їх назви для вас ще раз і більш докладно.

Перша дата, яка називається Створено, насправді означає дату інсталяції програми - ту саму, коли ви вперше встановили додаток на диск. "Створено" з точки зору Windows означає створення програми на підвідомчій їй території, а не створення самого файлу програмістом. Друга дата під назвою Змінено і означає реальну дату створення файлу програмістом. "Змінено" в даному контексті означає дату зміни внутрішнього змісту файлу. Тобто програміст відкомпільоване додаток, файл змінився, дата змінилася слідом за ним. Якщо вірус змінить цей файл, вписуючись в його тіло, він також змінить цю дату.

Втім, якщо автор вірусу досить грамотний програміст, то в момент зараження він спочатку запам`ятовує вихідну дату програми, вписує код свого вірусу в її тіло, а потім відновлює вихідну дату. Тому особливо довіряти цією ознакою не можна, хоча слід його враховувати при аналізі. Я вам розповідаю про цей нюанс з датами модифікації файлу тому, що у своїй переважній більшості автори вірусів грамотними програмістами не є. Вони часто забувають (або взагалі не думають) про те, що слід пам`ятати про такі "дрібниці", на чому і благополучно "горять". Як влучно зауважив хтось із древніх, увага до дрібниць - основа будь-якої магії. Третя дата, яка називається Відкрито, означає час останнього запуску програми, тобто час, коли ця програма стартувала на вашому комп`ютері в останній раз. Аналізуючи значення цієї дати, слід враховувати, що ця функція стеження за доступом до файлів може бути відключена користувачем, тому що постійний контроль даного параметра уповільнює дискові операції Windows NT / 2000 / XP / 2003. Крім дат файлу, уважно проглядите на цій закладці опис програми, подивіться, чи має ця програма свою іконку. Потім перейдіть на сусідню закладку, що називається Версія. Там вивчіть наявну інформацію про авторські права, реальному назві програми і її версії. Мало хто з авторів вірусів ускладнює себе заповненням цих полів в своїх творіннях. Та й взагалі підробка вірусу під конкретне додаток зустрічається досить рідко. Як ви розумієте, утиліта управління ноутбуками IBM, запущена на вашому домашньому комп`ютері, виглядала б досить дивно і напевно відразу привернула б вашу увагу. Тому програми-віруси як правило "знеособлені", і зазначені поля у них не заповнені.

Давайте підіб`ємо міні-підсумок нашому приватному розслідування походження програми в моєму прикладі. Згідно зібраної нами інформації, програма TP98TRAY.EXE створена 25 липня 2001 року, встановлена мною на комп`ютер чотири дні тому і запущена системою півгодини тому. Всі три дати виглядають цілком реалістично і приблизно відповідають даті випуску програми і часу її установки на мій комп`ютер. Згідно полях властивостей виконуваного файлу, ми маємо справу з утилітою, що управляє режимами роботи ноутбуків IBM. Всі разом схоже на правду, але в тому випадку, якщо ви все одно сумніваєтеся в її походження, побайтово порівняйте виконуваний файл, що знаходиться в папці, з якої стартувала досліджувана програма, з однойменною файлом, що знаходяться в дистрибутиві драйверів IBM. Для цього можна скористатися командою fc / b [ім`я першого файлу] [ім`я другого файлу]. Якщо обидва файли однакові, ви отримаєте стовідсоткову гарантію того, що ваша програма підроблена.

Розібравшись з першою програмою, яка стартує на моєму ноутбуці, давайте тепер подивимося, що собою являє друга. Згідно з інформацією Autoruns, ми маємо справу з командним файлом, лежачим в корені диска D (а саме D: setupxppower.cmd). Запуск цього файлу здійснюється зі звичайної користувальницької папки автозавантаження C: Documents and Settings German Start Menu Programs Startup за допомогою ярлика setupxppower.lnk. У цьому випадку все набагато простіше. Командний файл (розширення .cmd) зсередини являє собою звичайний текстовий файл, який при бажанні можна переглянути в Блокноті. У мене такого бажання немає, так як я і так добре пам`ятаю, як я його писав і ставив в папку автозавантаження. На моєму ноутбуці IBM ThinkPad 760ED цей файл відключає режим Standby під Windows XP, так як під цією операційною системою він працює не дуже добре.

Таким чином, я перевірив автоматично завантажуються на моєму комп`ютері програми і вірусів серед них не виявив. А на вашому комп`ютері як йдуть справи?

Поділися в соц. мережах: