Чем могут повредить вирусы

Большинство вирусов и вредоносных программ не только размножаются, они еще выполняют вредоносные действия, предусмотренные их автором.

У разных вирусов эти дополнительные действия могут быть опасными или неопасными, бросающимися в глаза или скрытыми, трудно обнаружимыми. Рассказать обо всех проявлениях вирусов невозможно, так как для этого придется описать каждый вирус.

Подробную информацию о вредоносных воздействиях вирусов можно найти в вирусных базах данных, размещенных на Web -сайтах разработчиков антивирусного ПО.

Мы будем классифицировать вредоносные действия по их воздействию и эффектам:

· визуальные и звуковые эффекты;

· воздействие на файлы;

· изменение содержимого секторов диска;

· воздействие на базы данных;

· воздействие на аппаратное обеспечение компьютера;

· воздействие на систему в целом;

· получение несанкционированного доступа и похищение информации;

· социальный инжиниринг (провоцирование пользователя)

Не все вирусы обладают явно выраженными вредоносными действиями. Однако даже те вирусы, которые не совершают вредоносных действий, могут представлять опасность из-за ошибок, допущенных авторами вирусов.

Визуальные и звуковые эффекты

Компьютерные вирусы и вредоносные программы могут проявлять себя, создавая самые разные визуальные и звуковые эффекты. Многообразие этих эффектов ограничено только фантазией разработчика.

Среди известных эффектов можно перечислить опадание букв, искажение внешнего вида элементов управления программ (кнопок, меню и пр.), а также появление дефектов при отображении содержимого окон программ и окон ОС.

Заметим, что некоторые из этих эффектов могут проявляться и при неисправности видеоадаптера, а также при наличии ошибок в работе ПО и драйверов видеоадаптера.

Поэтому если на экране все кнопки в диалоговых окнах вдруг изменили свой цвет, это еще не означает, что компьютер инфицирован вирусом. Однако дополнительная антивирусная проверка в этом случае не помешает.

Компьютерные вирусы и другие вредоносные программы могут создавать визуальные и звуковые эффекты

Вредоносные программы могут отображать на экране компьютера диалоговые окна с неожиданными или непонятными сообщениями. Однако эти диалоговые окна могут появляться и при возникновении ошибок в программах и аппаратуре компьютера.

Компьютерные вирусы и вредоносные программы могут исполнять музыкальные произведения, издавать странные и неожиданные звуки, а также шум.

Воздействие на файлы

Большинство компьютерных вирусов и вредоносных программ других типов, так или иначе, оказывают воздействие на программные файлы и файлы документов, хранящиеся на дисках компьютера.

Вредоносные программы могут изменять содержимое информации, хранящейся в файле, а также атрибуты файла (имя, дата создания, размер, режим доступа и т.д.). Файлы могут быть удалены или переименованы.

Помимо файлов, вирусы и вредоносные программы могут выполнять действия и над каталогами. Это изменение содержимого каталога, а также атрибуты каталога (имя, дата создания, режим доступа и т.д.). Каталог может быть удален или переименован.

Атрибуты разграничения доступа файловой системы NTFS могут до некоторой степени защитить файлы и каталоги от вредоносных программ.

Однако такая защита будет действенна только в том случае, если вирус или вредоносная программа работает с правами пользователя, не имеющего доступ на запись к файлам и каталогам

Некоторые вирусы и вредоносные программы полностью заполняют диски компьютера файлами, блокируя таким способом работу ОС.

Заметим также, что в новых версиях файловой системы NTFS , применяющейся в ОС Microsoft windows 2000/ XP /2003, используется механизм квотирования дискового пространства.

Этот механизм может предотвратить полную блокировку работы ОС из-за переполнения системного диска, однако это возможно только в том случае, если вирус или вредоносная программа работает с правами пользователя, а не администратора.

Изменение содержимого секторов диска

Опытные пользователи и администраторы знают, что информация на дисках хранится порциями. Фактически диск компьютера можно представить себе в виде набора блоков размером 512 байт, называемых секторами диска.

Секторы диска образуют кластеры, причем в зависимости от различных обстоятельств кластер может состоять из одного или из десятков расположенных рядом секторов.

Информация, хранящаяся в секторах и кластерах, используется файловой системой для формирования логических структур более высокого уровня, таких как файлы и каталоги, а также служебных структур самой файловой системы.

Работая с компьютерными программами, пользователи никогда не имеют дела с содержимым отдельных секторов или кластеров диска, так как это уровень драйверов и служебных программ ОС.

В некоторых случаях вирусы или вредоносные программы могут читать и изменять содержимое секторов и кластеров диска, разрушая содержимое каталогов, файлов и внутренних структур файловой системы. Это может привести к частичной или полной потере информации, хранящейся на диске.

Вредоносная программа может отформатировать диск (дискету) на уровне команд ОС, а также на уровне вызовов соответствующих системных интерфейсов ОС, т.е. на низком уровне.

Для выполнения низкоуровневого форматирования в среде ОС Microsoft Windows 2000/ XP /2003 вредоносная программа должна иметь административный уровень доступа.

Вредоносная программа может изменять содержимое отдельных секторов диска, а также форматировать диск на уровне команд ОС или на низком уровне

Форматирование на уровне команд операционной системы предполагает формирование структур файловой системы.

Форматирование на низком уровне предполагает уничтожение содержимого всех секторов диска и, возможно, обновление служебной информации, без формирования структур файловой системы.

В обоих случаях результатом форматирования диска будет полная потеря информации, хранящейся на диске. Восстановление такой информации, если и будет возможно, потребует привлечения специалистов в области восстановления данных.

Воздействие на базы данных

Некоторые вирусы и вредоносные программы нацелены на изменение содержимого компьютерных баз данных. Такие вредоносные объекты наиболее опасны, так как их действие зачастую очень трудно обнаружить.

Получив доступ к базе данных, вредоносная программа может выполнить над ней следующие операции:

· изменение содержимого информации, хранящейся в базе данных;

· изменение атрибутов таблиц;

· изменение сценариев обработки информации, хранящихся в базе данных;

· удаление баз данных;

· удаление файлов баз данных

Заметим, что обычно для выполнения всех этих операций вредоносной программе нужно знать пароль доступа к базе данных, имеющий соответствующие привилегии.

Вредоносная программа может менять содержимое баз данных. Такие изменения опасны тем, что обычно обнаруживаются не сразу

Однако вредоносная программа может получить доступ к базе данных и без пароля, если в программном обеспечении сервера базы данных имеются известные уязвимости, созданные намеренно или возникшие из-за ошибок в программном обеспечении сервера.

Если вредоносная программа получила доступ к программам или сценариям обработки данных, хранящимся в базе данных, то она сможет использовать это для своего распространения.

Воздействие на аппаратное обеспечение компьютеров

В прессе и другой литературе часто можно встретить утверждения о том, что компьютерные вирусы якобы могут повредить оборудование компьютера таким образом, чтобы оно потребовало ремонта или замены.

Тем не менее, вредоносная программа может имитировать повреждение оборудования компьютера таким образом, чтобы создалось впечатление о необходимости ремонта или замены.

При этом вредоносная программа может записывать в журналы событий соответствующие сообщения, выдавать на экран диалоговые окна с сообщениями о неисправности устройств и выполнять другие подобные функции.

Заметим, однако, что вирусы и вредоносные программы иногда способны изменить содержимое перепрограммируемой памяти BIOS компьютера, расположенной на системной плате.

При этом вредоносная программа может, например, поменять пароль, запрашиваемый у пользователя при включении питания компьютера или даже повредить содержимое всей перепрограммируемой памяти BIOS . Последнее приведет к тому, что система перестанет загружаться.

Вредоносные программы не могут повредить аппаратуру компьютера, но в некоторых случаях они способны изменить содержимое перепрограммируемой памяти BIOS компьютера, расположенной на системной плате

Для исключения повреждения содержимого перепрограммируемой памяти BIOS достаточно настроить параметры BIOS соответствующим образом или установить перемычку, запрещающую запись в эту память. Подробные инструкции на этот счет обычно есть в документации на системную плату компьютера.

Воздействие на систему в целом

В некоторых случаях вирусы и вредоносные программы способны воздействовать на работоспособность всей компьютерной системы в целом, замедляя или полностью блокируя ее работу.

При этом вредоносная программа может захватить все системные ресурсы (такие как дисковая и оперативная память), а также загрузить центральный процессор компьютера интенсивной, но бесполезной работой.

Если компьютерная система подключена к интрасети или Интернету, ее работа может быть сильно замедлена или заблокирована в результате удаленных атак вредоносных программ. Такие вредоносные программы запускаются на узлах той же интрасети или на узлах Интернета и действуют совместно.

Вредоносные программы могут атаковать узлы сети, замедляя или полностью блокируя их работу

При атаке DoS все ресурсы атакуемого узла сети задействуются на обработку запросов, сформированных атакующими узлами. В результате атакуемый узел становится неспособным выполнять свои обычные задачи (например, обслуживать своих клиентов) из-за острого дефицита тех или иных системных ресурсов.

Иногда атакам со стороны вредоносных программ подвергаются так называемые серверы доменных имен DNS , являющиеся важнейшими ресурсами Интернета. Серверы имен отвечают за преобразование доменных имен (таких, например, как www . microsoft . com ) в адреса IP соответствующих им узлов.

Компьютерный вирус или другая вредоносная программа может изменить настройки сервера доменных имен DNS таким образом, чтобы вместо одних Web -сайтов посетители попадали на другие.

Вредоносные программы могут атаковать серверы доменных имен DNS , изменяя их настройки. В результате вместо одних Web -сайтов посетители будут попадать на другие

Получение несанкционированного доступа и похищение информации

Известно, что в нашем мире владение информацией является ключевым фактором успешного ведения бизнеса и другой деятельности.

Именно поэтому с помощью компьютерных вирусов и вредоносных программ другого типа злоумышленники пытаются проникнуть в чужие компьютерные системы с целью похищения информации.

Проникнув в компьютерную систему, компьютерный вирус или другая вредоносная программа может предоставить злоумышленнику полный удаленный доступ к отдельным пораженным компьютерам и даже ко всей системе в целом.

Название Backdoor используется и для обозначения скрытого программного интерфейса, предназначенного для получения несанкционированного доступа к компьютерной системе.

Программный интерфейс Backdoor может представлять собой скрытый программный интерфейс, созданный вредоносной программой, а также оставленный разработчиком программы случайно или намеренно

Для уменьшения вероятности получения несанкционированного доступа к компьютерной системе, подключенной к Интернету необходимо выполнить полный комплекс защитных мер.

Нужно правильно настроить права доступа к системе и установить все обновления операционной системы, установить антивирусную программу и следить за своевременным обновлением антивирусной базы данных.

Следует установить и правильно настроить межсетевой экран (брандмауэр) для защиты от атак по сети, а также интеллектуальные средства защиты от атак, анализирующих содержимое сетевого трафика.

Однако чтобы гарантированно исключить возможность похищения данных с компьютера через Интернет или локальную интрасеть, нужно физически не подключать компьютер к Интернету или к локальной интрасети.

К сожалению, компьютерные программы и ОС настолько сложны, что в них всегда присутствуют программные ошибки. Некоторые из этих ошибок могут привести к возникновению брешей в защите систем от несанкционированного доступа.

Когда такие бреши становятся известны злоумышленникам (а это происходит с завидной регулярностью), то получение несанкционированного доступа и похищение информации становятся лишь делом времени.

Если компьютер подключен к Интернету, похищенные данные могут быть отправлены злоумышленнику через интрасеть или Интернет

Хранение критичных данных в зашифрованном виде несколько уменьшает вероятность их использования в случае похищения, однако полностью исключить такую возможность нельзя. Современные методы позволяют расшифровывать данные за обозримый период времени.

Компьютерный вирус, троянская или другая вредоносная программа может перехватывать коды клавиш, нажимаемых пользователем, и узнать таким способом пароли доступа к защищенным ресурсам компьютерной системы.

С целью получения несанкционированного доступа к ресурсам компьютера вредоносная программа может похитить зашифрованный файл паролей, а затем расшифровать его (или отправить злоумышленнику в исходном виде для расшифровки).

Компрометация пользователя

Заражение компьютера вирусом или вредоносной программой может привести не только к повреждению, изменению или уничтожению хранящихся на этом компьютере данных, но и к компрометации, а также провоцированию пользователя.

Попав на компьютер пользователя, вредоносная программа может воспользоваться хранящейся на компьютере персональной информацией для выполнения от имени пользователя каких-либо действий.

Например, вредоносная программа может подписать пользователя на почтовые рассылки, совершить покупку в Интернет-магазине и совершить любые другие аналогичные действия.

Вредоносная программа может выполнять различные действия от имени пользователя, компрометируя его

Адресная книга пользователя или некоторые записи из нее могут быть похищены компьютерным вирусом или другой вредоносной программой. В дальнейшем вирус или другая вредоносная программа может воспользоваться похищенной информацией для своего распространения.

При этом вредоносная программа для своего распространения будет отправлять от имени пользователя почтовые сообщения с вирусом. Это, несомненно, вызовет неудовольствие партнеров пользователя по переписке.

Социальный инжиниринг

Действие вирусов и вредоносных программ часто направлено на провоцирование пользователя. Пользователь провоцируется на совершение таких действий, которые могут привести к проникновению на его компьютер вредоносных программ, а также к распространению уже имеющихся там вредоносных программ.

Почтовые вирусы и троянские программы чаще всего провоцируют пользователя на посещение троянского Web-сайта. Это может привести к установке на компьютере пользователя троянской программы, червя или другого вредоносного программного объекта.

Вредоносная программа может спровоцировать пользователя на запуск программы или программного сценария. Это характерно для почтовых вирусов, троянских программ и троянских Web -сайтов.

Вредоносные программы могут провоцировать пользователей на выполнение тех или иных действий, результатом которых станет инфицирование компьютерной систем или дальнейшее распространение вредоносной программы

Получив троянское почтовое сообщение, пользователь открывает вложенный в него файл программы, и тот запускается, выполняя свое вредоносное действие.

Для провоцирования пользователя на посещение троянского Web -сайта или запуск программы используются различные специальные приемы.

Как правило, это маскировка истинного назначения программы или Web -сайта изменением имени соответствующего адреса URL или имени файла, публикация описания ресурса, не соответствующего действительности, скрытие настоящего имени файла с использованием особенностей интерфейса операционной системы.

Итоги

На этом уроке мы рассмотрели вредоносные действия компьютерных вирусов и других вредоносных объектов. Вы узнали, что вредоносные объекты могут влиять на файлы, секторы диска, базы данных и другие критически важные ресурсы компьютерных систем.

Вредоносные программы могут ухудшать производительность компьютерных систем в целом, а также полностью блокировать их работу.

Вредоносные действие может быть связано с получением несанкционированного доступа к компьютерным данным с целью их уничтожения или похищения, а также с компрометацией и провоцированием пользователей.

Как видите, спектр действия вредоносных программ достаточно широк. Они оказывают влияние на все ресурсы компьютерных систем, а также на пользователей этих систем.

Процесс удаления вирусов из компьютера тернист. Вредоносные программы хорошо научились защищать себя от антивирусов. Бывает, что удалить вирусы с одного раза не получается. Приходится прогонять антивирусные программы по несколько раз, причем несколькими антивирусными программами. Дело в том, что у каждой антивирусной программы есть своя антивирусная база. Она непрерывно пополняется свежими телами новых вирусов. Опасными для заражения являются только свежие вирусы. И не факт, что такие вирусы включены в базу одного антивируса. Вероятность обнаружения нового вируса растет с количеством используемых антивирусных программ. Вывод: чем больше антивирусов проверили ваш компьютер, тем выше вероятность удаления вируса.

На зараженном компьютере многие вирусы не лечатся. Более того, часто на зараженный компьютер вы не сможете установить антивирус. Вирусы научились блокировать установку антивирусов. Радикальное удаление вирусов начинается с того, что жесткий диск снимают и устанавливают вторым на компьютер с антивирусным программным обеспечением. При этом нужно обойти систему защиты Windows и обеспечить доступ ко всем папкам на зараженном диске, иначе некоторые области на диске останутся не пролеченными, вирусы останутся в компьютере. Это возможно не на всех версиях Windows, обычно на профессиональных.

Далее производится лечение вирусов и троянов с помощью обновленных антивирусных программ. Лучше лечить и удалить вирусы в помощью нескольких антивирусов. Как правило, для этого используют лучшие российские и зарубежные антивирусные программы или специальные бесплатные утилиты – Касперского (Kaspersky virus removal toolkit), DRWEB (Cureit), NOD32. Если доступ на эти сайты блокирован, то это явный признак заражения.

Однако то, что известные антивирусы не находят вирусы и трояны на жестком диске, не означает, что их там нет. Свидетельством их присутствия могут быть специфические признаки вирусов – 100% загруженность процессора, высокая сетевая активность компьютера, блокирование установки антивирусов, появление подозрительных программ в автозагрузке, вскрытие аккаунтов и др. проявления вирусов и троянских программ.

Как удалить вирусы из системы зараженного компьютера?

Для этого нужно, чтобы было либо загрузочное устройство (флешка или диск), либо операционная система хотя бы запускалась.

В первом случае нужно запустить операционную систему, открыть на ней доступ ко всем областям диска и пролечить диск специальными утилитами от DRWEB или Касперского. Если доступ открыть не удастся, то и лечение проблематично и вряд ли удастся. Такое обычно происходит, если был установлен пароль при входе в Windows на учетную запись и данные защищаются средствами операционной системы. Открыть доступ не получится.

Часто много сил уходит, чтобы загрузиться с зараженного компьютера – компьютер бывает заблокирован СМС-блокером, либо не запускается проводник. В последнем случае нужно запуститься в безопасном режиме с поддержкой командной строки и запустить explorer.exe в командной строке. Если проводник запустится, то дальше уже дело техники запустить антивирусную утилиту.

Вопрос может решиться простым способом. Если же эти утилиты удается запустить из операционной системы зараженного компьютера. Хотя бы из режима защиты от сбоев. Иногда можно вылечить компьютер от простых вирусов путем удаления запуска вредоносных программ из автозагрузки Windows. Но таким образом удаляются только самые примитивные вирусы. Умные вирусы восстанавливают удаленную строку в автозагрузке после перезагрузки. То же касается и остановки процесса. Если завершить вредоносный процесс вручную, то продвинутый вирус его восстановит через несколько секунд.

Удаление последствий вирусов

Главный вопрос, не как удалить вирус, а что делать после удаления, если следы вируса остались? После лечения вирусов Windows может не запускаться, работать с ошибками, зависать. И все потому что вирусы могут повредить системные файлы операционной системы. Заранее предсказать такое повреждение операционной системы невозможно. Никто не знает, как работают вирусы, попавшие в компьютер. Всего же вирусов насчитывается более миллиона. Скорее всего, потребуется восстановление системы или пере установка Windows. После лечения компьютера от вирусов обязательно нужно проверить работу операционной системы. А также погонять программы и тесты.

Некоторые последствия вирусов, например, зашифрованные файлы фото и видео, устранить чрезвычайно сложно. Причина – невозможно найти программу дешифрирования.

После того, как процесс по удалению вирусов закончен, следует пролечить компьютер от шпионов. Шпионы – это процессы, которые не относятся к вирусам. Но по вредоносности могут с ними поспорить. Лечение от шпионов производится компьютере, зараженном шпионами. Поскольку процесс нельзя вылечить на другом компьютере. После удаления шпионов и установки антивирусной защиты можно считать процесс вирусолечения законченным. Кстати, в большинстве случаев удаление шпионов с первого раза не происходит. Эту процедуру нужно запускать несколько раз и обязательно после обновления базы.

Иногда действие вирусов путают с аппаратными или программными неисправностями. В действительности нужен ремонт компьютера. Для начала нужно ознакомиться с неисправностями компьютеров, которые можно принять за последствия вируса.

Подробную информацию о вредоносных воздействиях вирусов можно найти в вирусных базах данных, размещенных на Web-сайтах разработчиков антивирусного ПО.

Мы будем классифицировать вредоносные действия по их воздействию и эффектам:

· визуальные и звуковые эффекты;

· воздействие на файлы;

· изменение содержимого секторов диска;

· воздействие на базы данных;

· воздействие на аппаратное обеспечение компьютера;

· воздействие на систему в целом;

· получение несанкционированного доступа и похищение информации;

· социальный инжиниринг (провоцирование пользователя)

Компьютерные вирусы и другие вредоносные программы могут создавать визуальные и звуковые эффекты

Заметим также, что в новых версиях файловой системы NTFS, применяющейся в ОС Microsoft windows 2000/XP/2003, используется механизм квотирования дискового пространства.

Для выполнения низкоуровневого форматирования в среде ОС Microsoft Windows 2000/XP/2003 вредоносная программа должна иметь административный уровень доступа.

Форматирование на уровне команд операционной системы предполагает формирование структур файловой системы.

Получив доступ к базе данных, вредоносная программа может выполнить над ней следующие операции:

· изменение содержимого информации, хранящейся в базе данных;

· изменение атрибутов таблиц;

· изменение сценариев обработки информации, хранящихся в базе данных;

· удаление баз данных;

· удаление файлов баз данных

При этом вредоносная программа может, например, поменять пароль, запрашиваемый у пользователя при включении питания компьютера или даже повредить содержимое всей перепрограммируемой памяти BIOS. Последнее приведет к тому, что система перестанет загружаться.

Вредоносные программы могут атаковать узлы сети, замедляя или полностью блокируя их работу

Компьютерный вирус или другая вредоносная программа может изменить настройки сервера доменных имен DNS таким образом, чтобы вместо одних Web-сайтов посетители попадали на другие.

Вредоносные программы могут атаковать серверы доменных имен DNS, изменяя их настройки. В результате вместо одних Web-сайтов посетители будут попадать на другие

Вредоносная программа может выполнять различные действия от имени пользователя, компрометируя его

Для провоцирования пользователя на посещение троянского Web-сайта или запуск программы используются различные специальные приемы.

Как правило, это маскировка истинного назначения программы или Web-сайта изменением имени соответствующего адреса URL или имени файла, публикация описания ресурса, не соответствующего действительности, скрытие настоящего имени файла с использованием особенностей интерфейса операционной системы.
Итоги

Читайте также: