Attention: Information about the quality of the article, certificate, reference and journal types are available only to the author of the article or correspondent of the journal.

Что делать, если компьютер заражен?

Плагиат

Computer science
Что делать, если компьютер заражен?

Author: Ниязбекова Айгерім Жарлылқасынқызы
Job: Ғ.Қайырбеков атындағы №2 мектеп-гимназиясы
Position: Информатика мұғалімі
Date of publish: 04.12.2016
Publisher: Айгерім Н.



Plagiarism. A source: http://it-best.ru/articles/3/365/

К сожалению, иногда случается так, что установленный в системе антивирус с самыми последними обновлениями не в состоянии обнаружить новый вирус, червя или троянскую программу. Увы — 100% безопасности не гарантирует ни одна антивирусная защита. В этом случае необходимо определить факт заражения, обнаружить вирусный файл и отправить его в антивирусную компанию, продукт которой «проморгал» вредную программу и не смог защитить компьютер от заражения.

Однако в большинстве случаев самостоятельно (без помощи антивирусных программ) заметить факт заражения компьютера достаточно сложно — многие черви и троянские программы никак не проявляют своего присутствия. Бывают, конечно, случаи, когда троянцы явно сообщают пользователю, что компьютер заражен — например, в случаях шифрования пользовательских файлов с последующим требованием выкупа за утилиту расшифровки. Но обычно они скрытно инсталлируют себя в систему, часто используют специальные методы маскировки и также скрытно ведут свою троянскую деятельность. Зафиксировать факт заражения можно только по косвенным признакам.

Признаки заражения

К основным признакам заражения относится увеличение исходящего интернет-трафика — правило справедливое как для индивидуальных пользователей, так и для корпоративных сетей. Если при этом не ведётся активная интернет-деятельность (например, ночью), то это означает, что её ведёт кто-то еще. И, скорее всего, — в злоумышленных целях. При наличии сетевого экрана сигналом о заражении могут являться попытки неизвестных приложений открыть интернет-соединения. Многочисленные рекламные «поп-апы» при посещении веб-сайтов могут сигнализировать о том, что в системе присутствует рекламная система (Adware).

Частые зависания и сбои в работе компьютера могут также быть вызваны фактом заражения. Однако во многих случаях причина сбоев не вирусная, а аппаратная или программная. Если же похожие симптомы проявляются сразу на нескольких (многих) компьютерах в сети, если при этом резко возрастает внутрисетевой трафик, то причина, скорее всего, кроется в распространении по сети очередного сетевого червя или троянской программы-бэкдора.

Косвенными признаками факта заражения могут являться также симптомы и не компьютерные. Например, счета за телефонные звонки или SMS-сообщения, которых на самом деле не было. Это может говорить о том, что на компьютере или в мобильном телефоне завёлся «телефонный троянец». Если зафиксированы случаи несанкционированного доступа к личному банковскому счёту или факты использования кредитной карты, то это может быть сигналом о шпионской программе, внедрённой в систему.

Рекомендуемые действия

Возможно, что устарел набор антивирусных баз — необходимо скачать последние обновления и проверить компьютер. Если это не помогло, то, возможно, помогут антивирусы от других производителей. Большинство известных антивирусных компаний выпускают бесплатные версии своих продуктов (пробные версии или одноразовые «чистильщики») — рекомендуется воспользоваться этой услугой. Если вирус или троянская программа обнаружена другим антивирусом — в любом случае зараженный файл следует отослать разработчику того антивируса, который его не определил. Это поможет более оперативно добавить его в обновления и защитить от заражения других пользователей этого антивируса.

Если ничего не обнаружено, то, прежде чем приступить к поиску зараженного файла, рекомендуется физически отключить компьютер от интернета или от локальной сети, если он был к ней подключен, выключить Wi-Fi-адаптер и модем (если они есть). В дальнейшем пользоваться сетью только в случае крайней необходимости. Ни в коем случае не пользоваться системами интернет-платежей и банковскими интернет-сервисами. Избегать обращения к персональным и любым конфиденциальным данным, не пользоваться интернет-службами, для доступа к которым необходимо ввести логин и пароль.

Как найти заражённый файл

Обнаружение вируса или троянской программы на компьютере бывает как задачей непростой, требующей высокой квалификации, так и достаточно тривиальной — в зависимости от сложности вируса или троянца, от методов, которые используются для скрытия вредоносного кода в системе. В «тяжелых случаях», когда используются специальные методы маскировки и скрытия зараженного кода в системе (например, руткит-технологии), непрофессионалу найти зараженный файл не представляется возможным. Данная задача потребует специальных утилит, возможно — подключения жесткого диска к другому компьютеру или загрузки системы с CD-диска. Если же встретился обычный червь или троянская программа, то найти её иногда можно достаточно простыми способами.

Абсолютное большинство червей и троянских программ должны получать управление при старте системы. Для этого в большинстве случаев используются два основных способа:

  • запись ссылки на зараженный файл в ключи автозапуска системного реестра Windows;
  • копирование файла в каталог автозапуска Windows.

Наиболее удобным местом для размещения червей и троянцев являются системный (system, system32) и корневой каталог Windows. Связано это с тем, что, во-первых, по умолчанию показ содержимого данных каталогов в Explorer отключен. А во-вторых, там уже находится множество разнообразных системных файлов, назначение которых для рядового пользователя абсолютно неизвестно, да и опытному пользователю понять является ли файл с именем winkrnl386.exe частью операционной системы или чем-то чужеродным — весьма проблематично.

Рекомендуется воспользоваться любым файловым менеджером с возможностью сортировки файлов по дате создания и модификации и отсортировать файлы в указанных каталогах. В результате все недавно созданные и измененные файлы будут показаны вверху каталога, и именно они будут представлять интерес. Наличие среди них файлов, которые уже встречались в ключах автозапуска, является первым тревожным звонком.

Более опытные пользователи могут также проверить открытые сетевые порты при помощи стандартной утилиты netstat. Рекомендуется также установить сетевой экран и проверить процессы, ведущие сетевую активность. Также рекомендуется проверить список активных процессов, при этом пользоваться не стандартными средствами Windows, а специализированными утилитами с расширенными возможностями — многие троянские программы успешно маскируются от штатных утилит Windows.

Но универсальных советов на все случаи жизни не существует. Часто приходится иметь дело с технически «продвинутыми» червями и троянскими программами, вычислить которых не так просто. В этом случае необходимо обратиться за помощью либо в службу технической поддержки антивирусной компании, защита от которой установлена на компьютере, либо в одну из компаний, специализирующихся на компьютерной помощи, либо попросить помощи на соответствующих интернет-форумах. К таким ресурсам можно отнести русскоязычные www.virusinfo.info и anti-malware.ru, а также англоязычные www.rootkit.com и www.gmer.net. Кстати, подобные форумы, специализирующиеся на помощи пользователям, есть и у многих антивирусных компаний.

 

List of portals for teachers and students

  1. Linguistic Olympiads - https://wonder.zti.kz
  2. Olympiads on the basics of primary education - https://kokon.kz
  3. Cyber Olympiad in Italian drafts - https://doiby.zti.kz
  4. Intellectual Cyber Chess Olympiads - https://chess.zti.kz
  5. Competitions, conferences, olympiads - https://kzu.kz
  6. Republican competitions, courses, conferences, and olympiads, and courses - https://ukz.kz
  7. Intellectual competitions, conferences, and olympiads - https://tarim.kz
  8. The methodical journal for teachers - https://adisteme.kz
  9. Republican Distance Olympiads – https://clever.zti.kz
  10. Competitions, conferences, olympiads - https://talimger.kz
  11. Smart Library - http://w.zti.kz/crviy