Andy Melnikov (nponeccop) wrote,
Andy Melnikov
nponeccop

Файловых вирусов всё еще стоит остерегаться в 2007

Я заразился русским файловым вирусом win32/saburex.a, запустив зараженный exe-файл, скачанный из файлообменной сети eDonkey 2000. В результате пришлось удалить 80% exe-файлов, расположенных вне каталогов Windows и Program Files.

Обнаружил я его сам. На момент заражения никакой реалтайм-защиты у меня не стояло. Обнаружил по наличию странного процесса cmd.exe. Просмотр командной строки в Sysinternals Process Explorer показал что он запускал bat-файл из временной папки пытавшийся в цикле удалить rundll32.  Но это не срабатывало так как не было прав администратора.

Первое время я не мог в это поверить - я думал, что файловых вирусов больше нет, как нет эпидемий чумы. Поэтому, когда все пиратские ключи Kaspersky Internet Security попали в черный список, я посчитал мысль о установке других антивирусов, бесплатных вполне легально, параноидальной. Подумал, что это излишне - просто затормозит мою и так архимедленную, по сегодняшним меркам, систему (Celeron 450 MHz).

Я считал, что основную угрозу представляют различные виды malware и сетевые черви, проникающие через уязвимости в системе. Такие программы встраиваются в систему всего в нескольких местах и, как правило, не портят данных. Соответственно, заразиться ими не страшно, если только регулярно проверяться и вовремя лечиться. По моему опыту, всех убытков - это максимум торможение системы и поедание сетевого трафика.

Файловые же вирусы заражают все исполняемые файлы подряд, часто при этом повреждая их необратимо, как сделал Saburex c моей системой.

Вывод следующий: перед запуском файлов из сети включайте реалтайм-защиту. Даже если вирус будет отсутствовать в базе - все равно попытки изменить реестр и файлы не пройдут незамеченными и будут заблокированы, если только вы будете читать всплывающие окна.

Saburex встраивался в систему довольно интересным способом. Помимо собственно заражения файлов, он перерегистрировал на себя СLSID одного COM-объекта, принадлежащий shell32.dll. Таким образом, при открытии любого ярлыка он попадал в память и начинал сканировать файловую систему, заражая exe-файлы. К счастью для меня, автор вируса додумался, что стоит заражать только те файлы, у которых есть шанс попасть на другую систему. Соответственно, файлы в папках WINNT и Program Files он не заражал. Еще из интересного - он делал скриншоты и выкладывал их в зашифрованном виде на сайт в домене .ru
Subscribe

Recent Posts from This Journal

  • Post a new comment

    Error

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 1 comment