Green-sell.info

Новые технологии
2 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Вирус заражающий текстовый документ называют

Нужна помощь. Поймал вирус, он шифрует все файлы текстовые кракозябрами.

Добрый день, мне принесли ноутбук. На работе получили письмо. Во вложении был документ зараженный вирусом. Он текстовые документы все превращает в кракозябры.

А на рабочем столе создает файлик с сообщением. Запросить стоимость декриптора можно, написав письмо на адрес: mr.anderson@protonmail.com

В теме письма укажите ваш ID:9167834348

Письма без указания ID игнорируется.

Убедительная просьба не пытаться расшифровать файлы сторонними инструментами.

Приобрести декриптор можно до 01.09.2016

Заявки обрабатываются автоматически системой

Кто нибудь знает как бороться с этим ? Вариант заплатить не подходит. Мне просто нужны документы которые хранились на ноутбуке.

Никак. У нас так 2 компа зашифровались.

Основное правило — не открывать неизвестные файлы в письмах, которые не ждешь. Даже если там счета/акты/ведомости. Даже если отправитель — контрагент, с которым работаете не первый год.

Буквально сегодня пришло письмо от контрагента, с которым работаем лет 10, с зип архивом и запросом полностью оформить документы по сделкам, хотя всё давно нормально оформлено.. Открывать не стали и правильно сделали — т.к. через 6 часов от него же пришло письмо, что почту взломали.

я согласен, вопрос не для развлекательного ресурса, но у этого ресурса есть неоспоримый плюс. Здесь шансов дождаться ответа гораздо выше, даже если этот ответ сам дурак.

На профильных ресурсах иногда ответа можно ждать неделю.

В целом вердикт — если бэкапа нет, можно прощаться с документами. С нейтрино в свое время ни касперский ни др.вэб ничего не могли сделать.

Теперь уже ничего не сделать.

Ничего не вылют даже если заплатить.

Восстановить так же не получится.

Чистить комп и не открывать сомнительные вложения.

У меня комм.дир платил таким мошенникам, что-то около 40к рублей, прислали дескриптор. Там вопрос жизни и смерти был по этим документах, не было времени даже что-то придумывать. Так что с миру по нитке, хакеры эти весьма богаты я думаю.

Если не платить вообще — то ты опоздал. Бэкапы нужно делать заранее.

Если не платить вымогателю по этическим соображениям, то можно собрать команду великих математиков и программистов со всего мира и через года так полтора написать декриптор. Думаю, восемнадцати миллиардов баксов должно хватить, если не жировать.

Если всё-таки платить вымогателю — скорее всего тоже нихуя не поменяется. Но здесь такой-же шанс, как случайно на улице встретить честного чиновника. 50 на 50. Либо встретишь, либо нет.

Это тебе на форум касперского или на хабр, там больше шансов. А в системе бекапов нет? Что бы просто до «до заражения» откатить все.

Касперский официально признал, что нет ни одного способа восстановить данные без выкупа. На будущее рекомендовал не ходить по незнакомым ссылкам и не открывать подозрительные письма.

А если важные вайлы создались после сохранения?? Откат и их удали..

Тогда надо копать чем и как конкретно защифровано, может это вообще односторонее шифрование.

В любом случае это вопрос не для развлекательного ресурса, слишком специфический.

Ну помочь то могли бы, хоть вы и правы! Для этого есть другие ресурсы. )

RSA 1024 бита, к сожалению, недавно столкнулись сами. Благо, документов было немного и были бэкапы.

Добрый день, я уже понял, что оплата услуг мошенникам ничего не даст. Впринципе и не собирался особо им то платить. Поговорил с техподдержкйо касперского. Скинул им образцы зараженных файлов. Они определелили что за вирус это был. Сказали что расшифровать на данный момент нет возможности.

Если интересно кому то могу скинуть оф ответ от техподдержки и названия вируса благодаря которому мы все здесь собрались

Еще один в копилку! Не плати им, это просто трата денег, никакого дешифратора ты не получишь. Обратись к антивирусным вендорам, я знаю, что ЕСЕТ НОД32 расшифровывали. Попробуй к ним.

Кто сталкивался, rar архивы шифрует? или только текстовые?

по разному, некоторые только текстовые файлы, некоторые — ещё и видео запортить могут, некоторые архивы портят.

На компьютере пострадали еще и фото 🙂 Так что вирусы они такие.

Согласен. На своем компьютере я всегда держу более мене важные для меня документы на флэшке и еще пару копий.

Тот компьютер который заражен не принадлежит мне..

В любом случае всем кто отозвался и написал советы попробую все и проверю.

Практически все файлы названы так. Акт приема-передачи услуг к ДОУ.doc/neitrino

Как то так выглядет. У некоторых rar

сам сталкивался с такой проблемой у знакомых. и так, по пунктам:

1. нет, сам ты ничего не сделаешь.

2. платить имеет только тогда смысл, когда у тебя потеряны очень важные данные в единственном экземпляре (мы заплатили и нам прислали дешифратор). но это не гарантия, что у тебя будет так же.

3. сделай: мой компьютер (компьютер)- сервис (нажми альт и появится)- параметры папок-вид- (скрол вниз) сними галку скрывать расширения для зарегистрированных типов файлов. (тогда ты будешь видеть, что ворд в письме это не ворд.

4. Можешь написать в касперского, но надо иметь их антивирус, проплатить ТП и потом еще около месяца ждать, так как очередь большая. и то не факт что расшифруют (сами так пишут)

собственно все. первое правила админа — всегда бэкапь.

там где-то ключ и ссылка на декодер, может и поможет

Привет, я щас копирую все зараженные файлы на одну флэшку. Систему заново с нуля ставить буду.

Что касается зараженных файлов, мне пришло в голову позвонить в касперский. Мне на почту скинут инструкцию и действу по ней возможно получится расшифровать хотя бы часть документов.

По поводу на какой формат поменялся у документов щас напишу.

Схватил нечто подобное. Так как поддержка др веба помогает только тем кто купил у них хотя бы 1 ключ, пришлось покупать 1 лицензию. После этого написал в тп др веба и отправил им несколько примеров зараженных файлов. Где то месяца через 3 мне прислали (абсолютно бесплатно) дешифратор и я восстановил все файлы. Но это лучше чем тупо выкинуть нужную инфу

зависит от того, насколько грамотно шифровальщик сделан.

часто они сделаны хреново и успешно расшифровываются без знания секретного ключа.

для этого доктор веб, кашпировский и есет выпускают соответствующие утилиты.

но если шифровальщик сделан грамотно, не поможет ничего.

Формат файлов поменялся, если да, то на какой?

Сразу скопируйте важные файлы на съемный носитель, и вырубите зараженный комп!
Будете все остальное на другом делать.

«р студио» попробуй может и вытащить что то сможеш

поищи на форуме dr.web и касперыча, там есть подробные ответы с твоей проблемой. И вполне вероятно, что там найдешь и ключик для своего шифровальщика. Но на самом деле, шансы не слишком высоки.

З.Ы. надо будет, могу скинуть ссылки

Про бесплатный антивирус

Автор вредоноса Sigrun бесплатно предоставил русскоязычным пользователям дешифровщик

В случае с иностранными пользователями злоумышленник требует выкуп в размере $2,5 тыс. в криптовалюте.

Разработчик вредоносного ПО Sigrun бесплатно предоставил пользователям, у которых русский язык указан в качестве основного, дешифровщик файлов. Об этом сообщил специалист по кибербезопасности Алекс Свирид (Alex Svirid) в соцсети Twitter.

Как следует из предоставленных одним из пользователей Twitter скриншотов, если в случае с американским пользователем злоумышленник потребовал выкуп в размере $2,5 тыс. в криптовалюте, то жертве из России хакер согласился помочь бесплатно.

Как полагают специалисты, автор вредоносного ПО сам проживает на территории РФ и подобная тактика является попыткой избежать излишнего внимания со стороны правоохранительных органов.

Вредонос Sigrun представляет собой вымогательское ПО, которое после инфицирования компьютера требует у пользователей выкуп в криптовалюте за дешифровку данных.

Intel разрешит сканировать ПК на вирусы с помощью видеокарт

Intel заявила о новом способе использования видеокарт. Компания планирует использовать интегрированную графику в процессорах вместо самого процессора для поиска вредоносного ПО на компьютере.

Новую функцию назвали Accelerated Memory Scanning. В компании утверждают, что такое новшество позволит работать антивирусному ПО более тщательно, при этом не нагружая процессор и не увеличивая счета за свет. Предварительное тестирование свидетельствует о значительном уменьшении нагрузки процессора (падение с 20% до 2%).

Такая технология сможет работать на чипсетах Intel 6-го, 7-го и 8-го поколений. Разработчики компании уверенны, что многие пользователи заметят значительные перемены в производительности их устройств. Такое перераспределение сил позволит использовать простаивающую большую часть времени интегрированную графическую систему.

Intel активно продвигает свою идею. Они ведут переговоры с рядом компаний, производящих антивирусное ПО. Microsoft же уже дал согласие на использования функции в их фирменном антивирусе для Windows (Windows Defender).

Поступления Vault 7

Gyrfalcon нацелен на сбор параметров аутентификации (логин/пароль, закрытые SSH-ключи и пароли к SSH-ключам) у клиентов OpenSSH, а также поддерживает режим полного или выборочного сохранения содержимого SSH-сеансов и может выполнить подстановку команд в сеансы. Вся накопленная информация шифруется и сохраняется в файл для последующей отправки на внешний сервер, подконтрольный ЦРУ.

Передача собранных данных осуществляется при помощи других средств — Gyrfalcon обеспечивает только накопление данных. Варианты Gyrfalcon подготовлены для различных дистрибутивов Linux, включая RHEL, CentOS, Debian, openSUSE и Ubuntu. Имплант устанавливается в систему после получения привилегированного доступа, например после атаки с использованием неисправленных уязвимостей или через вход под перехваченной учётной записью.

Читать еще:  Действия при обнаружении вирусов

Описывается два варианта импланта:

Gyrfalcon1 запускается в виде фонового процесса, который работает с правами root и использует ptrace для получения контроля за процессами штатного системного SSH-клиента. После активации Gyrfalcon отслеживает запуск новых процессов и в случае обнаружения SSH-клиента подключается к нему при помощи ptrace. Работа выполняется в пассивном режиме. Дополнительно поставляется Python-скрипт для настройки работы и определения правил перехвата трафика.

Gyrfalcon2 оформлен в виде разделяемой библиотеки, которая устанавливается в систему вместо штатной библиотеки libgssapi.so или загружается через LD_PRELOAD в адресное пространство клиента OpenSSH и перехватывает некоторые обработчики. В состав также входит приложение, которое взаимодействует с библиотекой и получает от неё перехватываемые сведения. Имплант рассчитан на поставку вместе с руткитом JQC/KitV, который обеспечивает его скрытие и активацию.

Второй бэкдор BothanSpy близок по своим возможностям к Gyrfalcon, и отличается тем, что нацелен на слежку за пользователями Windows через подмену SSH-клиента Xshell. Бэкдор устанавливается в систему под видом расширения Shellterm 3.x и действует только для SSH-сеансов, осуществляемых через эмулятор терминала Xshell.

Поюзать (или скачать себе) PDF доки можно по следующим ссылкам:

Вирус — насколько все серьезно?

Компьютерные вирусы — разновидность вредоносных программ, отличительной особенностью которых является способность к размножению (саморепликации). В дополнение к этому они могут повреждать или полностью уничтожать данные, созданные пользователем, от имени которого была запущена заражённая программа.
К компьютерным вирусам неспециалисты иногда причисляют все вредоносные программы, такие как троянские кони, программы-шпионы. Условимся называть вирусами саморазмножающиеся программы, паразитирующие на исполняемых файлах, динамических библиотеках, драйверах и других объектах подобного рода. Вирусы распространялись, внедряя себя в исполняемый код других программ, или же заменяя собой другие программы. Из-за внедрения исполняемого кода — например, макросов — в документы, появились макровирусы, поражающие такие документы (например Microsoft Word и Excel).

До недавнего времени считалось, что являясь программой вирус может заразить только программу — какое угодно изменение НЕпрограммы является не заражением, а просто повреждением данных. Подразумевалось, что такие копии вируса не получают управления, будучи информацией, не использующейся процессором в качестве инструкций. Так, например неформатированный текст не мог бы быть переносчиком вируса.
Некоторое время спустя появились вирусы, использующие уязвимости в популярном программном обеспечении (например, Adobe Photoshop, Internet Explorer, Outlook), в общем случае обрабатывающем данные. Вирусы стали распространяться посредством внедрения в последовательности данных (например, картинки, тексты, и т. д.) специального кода, использующего уязвимости программного обеспечения. Можно сказать, что именно с этого периода пользователь компьютера стал наименее защищён от вирусов не используя специализированное ПО для защиты.

Классификация вирусов.
В настоящее время не существует единой системы классификации и именования вирусов (хотя попытка создать стандарт была предпринята в 1991 году). Принято разделять вирусы по поражаемым объектам (файловые вирусы, загрузочные вирусы, скриптовые вирусы, сетевые черви), по поражаемым операционным системам и платформам (DOS, Microsoft Windows, Unix, GNU/Linux, Java и другие), по технологиям используемым вирусом (полиморфные вирусы, стелс-вирусы), по языку на котором написан вирус (ассемблер, высокоуровневый язык программирования, скриптовый язык и др.).

Классификация файловых вирусов по способу заражения.

По способу заражения файловые вирусы (вирусы, внедряющие свой код в исполняемые файлы: командные файлы, программы, драйверы, исходный код программ и др.)разделяют на:

  • перезаписывающие
  • паразитические
  • вирусы-звенья
  • вирусы-черви
  • компаньон-вирусы
  • а так же вирусы, поражающие исходные тексты программ и
  • компоненты программного обеспечения (VCL, LIB и др.).

Перезаписывающие вирусы.
Вирусы данного типа записывают свое тело вместо кода программы, не изменяя названия исполняемого файла, вследствие чего исходная программа перестает запускаться. При запуске программы выполняется код вируса, а не сама программа.

Вирусы-компаньоны.
Компаньон-вирусы, как и перезаписывающие вирусы, создают свою копию на месте заражаемой программы, но в отличие от перезаписываемых не уничтожают оригинальный файл, а переименовывают или перемещают его. При запуске программы вначале выполняется код вируса, а затем управление передается оригинальной программе.
Возможно существование и других типов вирусов-компаньонов, использующих иные оригинальные идеи или особенности других операционных систем. Например, PATH-компаньоны, которые размещают свои копии в основном каталоге Windows, используя тот факт, что этот каталог является первым в списке PATH, и файлы для запуска Windows в первую очередь будет искать именно в нем. Данными способом самозапуска пользуются также многие компьютерные черви и троянские программы.

Файловые черви.
Файловые черви создают собственные копии с привлекательными для пользователя названиями (например Game.exe, install.exe и др.) в надежде на то, что пользователь их запустит.

Вирусы-звенья.
Как и компаньон-вирусы, не изменяют код программы, а заставляют операционную систему выполнить собственный код, изменяя адрес местоположения на диске зараженной программы, на собственный адрес. После выполнения кода вируса управление обычно передается вызываемой пользователем программе.

Паразитические вирусы.
Паразитические вирусы — это файловые вирусы изменяющие содержимое файла добавляя в него свой код. При этом зараженная программа сохраняет полную или частичную работоспособность. Код может внедряться в начало, середину или конец программы. Код вируса выполняется перед-, после- или вместе с программой, в зависимости от места внедрения вируса в программу.

Вирусы, поражающие исходный код программ.
Вирусы данного типа поражают или исходный код программы, либо её компоненты (OBJ-, LIB-, DCU- файлы) а так же VCL и ActiveX компоненты. После компиляции программы оказываются в неё встроенными. В настоящее время широкого распространения не получили.

Канал распространения вирусов.
Сейчас основной канал распространения вирусов — электронная почта. Так же распространена рассылка ссылок на якобы фото, музыку либо программы, в действительности являющиеся вирусами, по ICQ и другим IM, и по электронной почте.
Возможно так же заражение через странички интернет. В этом случае используются уязвимости ПО установленного на компьютере пользователя, либо уязвимости в ПО владельца сайта (это опаснее всего, так как заражению подвергаются добропорядочные сайты с большим потоком посетителей). Хакеры и спамеры используют зараженные компьютеры пользователей для рассылки спама или DDoS-атак.

Экономика вирусописателей.
Некоторые производители антивирусов утверждают, что сейчас создание вирусов превратилось из одиночного хулиганского занятия в серьёзный бизнес имеющий тесные связи с бизнесом спама и другими видами противозаконной деятельности. Также называются миллионные и даже миллиардные суммы ущерба от действий вирусов и червей. К подобным утверждениям и оценкам следует относиться предельно скептически, так, например, суммы ущерба по оценкам различных аналитиков различаются (иногда на три-четыре порядка), а методики подсчёта не приводятся.

Глобализация проблемы вирусов.
Начиная с 1990 года проблема вирусов начинает принимать глобальный размах. С появленим первых вирусов под MS-DOS и заканчивая вирусами под OS Vista (самого широко распространенного семейства операционных систем Windows от Microsoft) устойчивость и безопасность систем, построенных на этих операционных системах вызывает сильные сомнения ввиду того, что основное количество «боевых вирусов» (по типу СIH, печально известного как «Чернобыль») пишется непосредственно для атаки на Windows-машины – самые распространенные в мире по количеству установок. Не будем комментировать положительные или отрицательные стороны различных ОС (под MacOS и другие Unix-подобные системы так же пишутся вирусы; в последнее время с ростом популярности Linux и MacOS их количество растет).
Попросту хочется обратить пристальное внимание пользователей персональных компьютеров на проблему защиты собственной тождественной и корпоративной конфиденциальной информации: ее сохранность от посягательств кибер-злоумышленников находится исключительно в ваших руках.
Использование последних обновлений для операционных систем (так называемые «заплаты безопасности»), а также специализированного программного обеспечения для защиты от краж личной (и не только) информации от ведущих производителей — залог удачного и эффективного противоборства с вирусами самых последних модификаций.

Рекомендуем ведущих разработчиков комплексных решений в области защиты ПК от воздействия вирусных атак:

  • продукты компании SOFTWIN (линейка BitDefender)
  • продукты российской компании «Лаборатория Касперского»
  • комплексные решения от компании McAfee

Урок 8
Компьютерные вирусы и антивирусные программы

§ 1.7. Компьютерные вирусы и антивирусные программы

Содержание урока

Компьютерные вирусы и антивирусные программы

Компьютерные вирусы и антивирусные программы

Компьютерные вирусы. Первая «эпидемия» компьютерного вируса произошла в 1986 году, когда вирус по имени Brain (англ. «мозг») «заражал» дискеты персональных компьютеров. В настоящее время известны многие сотни тысяч вирусов, заражающих компьютеры и распространяющихся по компьютерным сетям.

Компьютерные вирусы являются программами, которые могут «размножаться» (самокопироваться) и незаметно для пользователя внедрять свой программный код в файлы программ и документов, Web-страницы Всемирной паутины и сообщения электронной почты.

После заражения компьютера вирус может активизироваться и начать выполнять вредоносные действия по уничтожению программ и данных. Активизация вируса может быть связана с различными событиями: наступлением определенной даты или дня недели, запуском программы, открытием документа, открытием файла — вложения электронной почты и некоторыми другими.

По «среде обитания» вирусы можно разделить на файловые вирусы, макровирусы и сетевые вирусы.

Файловые вирусы внедряются в программы и активизируются при их запуске. После запуска зараженной программы вирусы находятся в оперативной памяти компьютера и могут заражать другие файлы до момента выключения компьютера или перезагрузки операционной системы.

Макровирусы заражают файлы документов, например текстовых документов. После загрузки зараженного документа в текстовый редактор макровирус постоянно присутствует в оперативной памяти компьютера и может заражать другие документы.

Сетевые вирусы могут передавать по компьютерным сетям свой программный код и запускать его на компьютерах, подключенных к этим сетям. Заражение сетевым вирусом может произойти при работе с электронной почтой или при «путешествиях» по Всемирной паутине.

Читать еще:  Делаем вирус вымогатель

Большую опасность создают почтовые сетевые вирусы, которые распространяются по компьютерным сетям во вложенных в почтовое сообщение файлах. Активизация почтового вируса и заражение компьютера могут произойти при открытии вложения к сообщению электронной почты.

Лавинообразная цепная реакция распространения почтовых вирусов базируется на том, что вирус после заражения компьютера начинает рассылать себя по всем адресам электронной почты, которые имеются в электронной адресной книге пользователя.

Например, даже если в адресных книгах пользователей имеются только по два адреса, почтовый вирус, заразивший компьютер одного пользователя, через три рассылки поразит компьютеры уже восьми пользователей (рис. 1.37).

Рис. 1.37. Лавинообразное заражение компьютеров почтовым вирусом

Всемирная эпидемия заражения почтовым вирусом началась 5 мая 2000 года, когда десятки миллионов компьютеров, подключенных к глобальной компьютерной сети Интернет, получили почтовое сообщение с привлекательным названием ILOVEYOU (англ. Я люблю тебя). Сообщение содержало вложенный файл, являющийся вирусом. После прочтения этого сообщения получателем вирус заражал компьютер и начинал разрушать файловую систему.

Антивирусные программы. В целях профилактической защиты от компьютерных вирусов не рекомендуется запускать программы, открывать документы и сообщения электронной почты, полученные из сомнительных источников и предварительно не проверенные антивирусными программами.

Наиболее эффективны в борьбе с компьютерными вирусами антивирусные программы. Антивирусные программы используют постоянно обновляемые списки известных вирусов. В списках содержатся характерные фрагменты (сигнатуры) программного кода вирусов. Если антивирусная программа обнаружит компьютерный код вируса в каком-либо файле, то файл считается зараженным вирусом и подлежит лечению, т. е. из него удаляется программный код вируса (рис. 1.38). Если лечение невозможно, то зараженный файл удаляется целиком.

Рис. 1.38. Заражение файла компьютерным вирусом и его лечение с использованием антивирусной программы

Для периодической проверки компьютера используются антивирусные сканеры, которые после запуска проверяют файлы и оперативную память на наличие вирусов и обеспечивают нейтрализацию вирусов.

Антивирусные сторожа (мониторы) постоянно находятся в оперативной памяти компьютера и обеспечивают проверку файлов в процессе их загрузки в оперативную память.

Контрольные вопросы

1. Проведите исследование: выясните, что понимают под Всемирной паутиной и Web-страницей.

2. К каким последствиям может привести заражение компьютера компьютерными вирусами?

3. Какие типы компьютерных вирусов вы знаете, чем они отличаются друг от друга, и какова должна быть профилактика заражения?

4. Каким способом антивирусные программы обнаруживают компьютерные вирусы и обеспечивают их нейтрализацию?

Задания для самостоятельного выполнения

1.10. Задание с фиксированным ответом. Подсчитайте, какое количество компьютеров будет заражено почтовым вирусом после его четвертой саморассылки, если в адресной книге пользователя содержатся 10 адресов электронной почты.

Cкачать материалы урока

Вирус заражающий текстовый документ называют

VirusHunter предупреждает всех пользователей ПК о распространении опасного макро-вируса MS_Word.PsycloneX.barik (aka W97M.Onex), поражающего документы Word 97/2000/2003.

1. Распространение вируса и инсталляция в систему.
Единственным источником распространения вируса являются инфицированные документы MS Office. MS_Word.PsycloneX.barik написан на языке Microsoft Visual Basic и откомпилирован в макро-формат Word. Поражает машины с установленным редактором MS Word 97 (версия 8.0), Word 2000 (версия 9.0) или Word 2003 (версия 11.0 — компания-разработчик Microsoft реализовала ее [версию] совместимой со всеми предшествующими ей версиями Word, что и послужило причиной работоспособности под ней вируса).
Вирусный код записывается в макро-секции файлов (участки кода, содержащие информацию об оформоении файла: типах шрифтов, размерах полей и т.п.), используя имеющееся в них свободное резервное пространство, а также удлиняя эти участки. Записывается в файлы как макро-«проект» «NEWVIR» и содержит в своем коде следующие 11 макросов (подпрограмм):

AutoOpen
FilePrint
FilePrintDefault
FileSave
FileSaveAs
FileTemplates
HelpAbout
NEWVIR
Pig
ToolsMacro
ViewVBCode

Детально о назначении каждого из этих макросов будет сказано позднее при описании вредоносных процедур, производимых вирусом.
При запуске инфицированного документа, если пользователем будет проигнорировано предупреждение встроенной в Word макро-защиты (см. описание макро-вируса MS_Word.Saver), то происходит автоматический запуск вируса (включается процедура AutoOpen). Сперва вирус обращается в системный реестр, откуда считывает местоположение шаблона настроек редактора Word — файла Normal.dot. Местоположение данного файла следующее:

C:Program FilesMicrosoft OfficeШаблоныNormal.dot

может быть различным, поскольку зависит от версии Windows-системы, в которой устанавливалось ПО MS Office.

C:Documents and Settings%имя текущего пользователя%Application DataMicrosoftШаблоныNormal.dot

При записи кода вируса в этот файл с последующим подключением к конфигурациям Word’а вирусных функций (включается процедура FileTemplates) номинальный размер файла Normal.dot увеличивается с 26624 байтов на 43008 байт или с 27136 байт на 43520 байт. Данные изменения значений номинального размера приведены для MS Word 97 (пояснение: Normal.dot может иметь один из двух указанных номинальных размеров, что зависит от некоторых системных условий). Измененный размер соответствующего файла настроек для редакторов MS Word 2000/2003 сообщить затрудняюсь, т.к. опыты на тест-машине проводились только с Word 97, однако очевидно, что приращение размера для зараженного файла Normal.dot также составит 16384 байта.
Заразив файл Normal.dot, вирус ищет каталог с установленной ОС Windows. Этот каталог вирус ищет как C:WINDOWS (данное расположение встречается наиболее часто) и никак иначе. В результате этого, если система установлена в любой др. каталог, отличный от указанного, то вирус, очевидно, не сможет нормально функционировать, поскольку для своей деятельности создает в данном каталоге следующие 2 файла (включается процедура NEWVIR):

Первый файл, PCSB.inf, извлекается вирусом из своего тела и имеет размер 3076 байт. Представляет собой компонент вируса, записанный в виде последовательности логических команд на языке Microsoft Visual Basic. Содержит в себе основной функционал вируса.
Второй файл, Dte.inf, имеет размер 9 байт и содержит в себе зашифрованные в форме цифрового кода данные — дату и время, когда вирус поразил файл Normal.dot. В дальнейшем вирус обращается к этому файлу, чтобы в зависимости от текущего времени и даты осуществлять различные вредоносные действия.

2. Заражение документов.
Вирус поражает файлы-документы, выполненные в форматах DOC и RTF; файлы настроек (DOT-файлы) не трогает (единственным исключением является вышеуказанный файл с названием Normal.dot).
При запуске Word’а (опять же включается вирусная процедура AutoOpen) процедура заражения вновь создаваемых и уже существующих открываемых документов производится вирусом по следующей схеме:

— если создается и заполняется новый документ, после чего для сохранения пользователь использует опцию Сохранить, то документ автоматически сохраняется под названием «Документ1.doc» в каталог «по умолчанию» — C:Мои документы. При этом никаких подтверждений на указание пути и имени файла на экран не выдается, а файл заражается при его закрытии (включается процедура FileSave);

— если открытый файл пересохраняется через опцию Сохранить как, то при закрытии исходного и пересохраненного файла они оба будут заражены (включаются процедуры FileSave и FileSaveAs); — если файл сохраняется или пересохраняется в формате, отличном от DOC (например, RTF, TXT HTML и т.д.), то вирус все равно сохранит файл в формате DOC (включается процедура FileTemplates), а имя и расширение оставит то, которое выбрал пользователь. При закрытии данный файл также будет заражен — для этого вирус и сохраняет его в DOC-формате. Исключением здесь опять же является DOT-формат — после сохранения файл НЕ будет заражен.

В результате таких манипуляций, читабельными после сохранения будут только файлы с расширениями DOC, DOT и RTF; для читабельности файлов, сохраненных с др. расширениями, такими, как, например, TXT или HTML, необходимо просто заменить их расширения на DOC;

— если у документа имеется атрибут «read only» (только для чтения), то вирус не может его заразить.

Каждый документ вирус заражает только 1 раз, проверяя его (документа) содержимое на наличие своей копии (проверка осуществляется по трем фрагментам вирусного кода). При заражении файлов их размер увеличивается в среднем на 16.3 кб.
Вирус завершает свою работу при закрытии Word’а.

3. Вредоносные действия.
Как уже было сказано выше, файл PCSB.inf содержит основные процедуры вируса, включая и вредоносные. К каждой из процедур автор вируса подписал комментарии на русском языке. Чтение из данного файла производится при помощи вирусной процедуры ViewVBCode.
Вредоносные процедуры, производимые вирусом, заключаются в следующем:

Поздравляю, если Вы здесь,
значит еще что-то можете,
так что дерзайте, Вас оценили .
С уважением АВТОР
**************************************

Безобидный комментарий, адресованный, очевидно, тому, кто обнаружит данный файл.

Отключение чего надо .

Вредоносная процедура. Вирус отключает в редакторе Word следующие настройки:

— встроенную защиту от макро-вирусов, после чего Word не реагирует на открытие зараженных документов и не предупреждает об опасности пользователя;
— в подменю Word’а (по крайней мере, 97 и 2000) блокируются такие процедуры:

Сервис -> Шаблоны и настройки;
Сервис -> Макрос -> Макросы…;
Сервис -> Макрос -> Редактор Visual Basic;
? -> О программе….

Данные отключения производятся при помощи вирусных процедур ToolsMacro и HelpAbout. Очевидно, что это сделано для сокрытия присутствия вируса в системе при просмотре и редактировании содержимого шаблонов с настройками редактора.
Для Word 2000 отключение макро-защиты производится путем изменения соответствующего значения «Level» в ключе реестра

Для Word 2003 вирус не может осуществить отключение, т.к. принцип данной защиты в приложениях MS Office 2003 немного др.

сохранение тела куда надо .

Эта процедура используется для изначального создания файла C:WINDOWSPCSB.inf, который вирус в дальнейшем может зачем-то многократно перезаписывать.

Читать еще:  Проверить настройки брандмауэра и антивируса

Если шаблон не инфицирован, запомнить дату заражения куда надо .

Эта процедура используется для изначального создания файла C:WINDOWSDte.inf, когда системный шаблон Normal.dot еще не заражен; после внедрения вируса в данный файл перезапись файла Dte.inf не производится.

Оставление комментария куда надо

Вредоносная процедура, которая, однако, не работает по причине какой-то ошибки в коде вируса. При отсутствии ошибки должно было бы происходить следующее: если пользователь работает с документами в период времени с 6 часов вечера до 8 часов утра, то вирус дописывает к содержимому каждого открытого документа Word следующий текст:

Работать надо в рабочее время. Барик .

При закрытии документов вирус автоматически сохраняет их оригинальное содержимое вместе с указанным текстом.

Проверка чего надо, дабы не помереть и размножиться

Процедура, связанная с проверкой и заражением открываемых документов.

На этих строка я очень долго трахался с антивирусом
пока не добавил переменную для обмана

Какие отношения связывали автора вируса с антивирусом и чем они там занимались — мне неизвестно, но назначение указанной в коде процедуры и ее работоспособность в частности находится под большим сомнением. Эта же процедура содержит и такие комментарии:

А вы говорите цацки-пецки
Ожидайте новый релиз .
Мы еще повоюем .

Вирусная подпрограмма с экзотическим названием Pig (свинья) содержит в себе 2 подпрограммы:

Чтение даты заражения откуда надо

Вирус проверяет сколько времени прошло с момента заражения системы, расшифровывая и считывая данные из своего файла C:WINDOWSDte.inf.

Если со времени заражения прошел месяц, активировать вирус

По истечении 30-ти дневного срока вирус полностью блокирует работу Word’а: при попытке открытия, создания и последующего сохранения или вызова документов на печать (задействуются процедуры FilePrint, FilePrintDefault, HelpAbout, NEWVIR и Pig) они (документы) автоматически закрываются, а на экран выдается ложное сообщение «об ошибке»:


Кстати говоря, это же сообщение вирус также выдает еще до завершения 30-ти дневного срока в том случае, если пользователь пытается запросить информацию через подменю ? -> О программе….
Как уже было сказано выше, вирус считывает дату и время своей инсталляции из файла C:WINDOWSDte.inf, который создает только 1 раз — изначально, при заражении системы. Этой недоработкой можно воспользоваться для разблокировки Word’а в том случае, если у Вас в машине отсутствует антивирусная программа. Удалив файл Dte.inf, Вы, тем самым, исключите возможность блокирования вирусом работы с документами.

4. Прочее.
В коде вируса (в зараженных файлах) присутствуют следующие технические строки и авторские строки-«копирайты»:

Word 97/2k.Extra — Psyclone X
My first virus for the year 2k

5. Лечение машины от вируса.
Не рекомендую лечить зараженные данным вирусом файлы (равно, как и прочими макро-вирусами) антивирусной программой DrWeb, т.к. он всегда некачественно пролечивает макро-секции файлов, оставляя основную часть макро-кода вирусов в неизменном виде. Открытие таких «вылеченных» файлов на чистой машине влечет за собой появление предупреждения макро-защит Word- и Excel-редакторов о наличии в макросах документа подозрительного фрагмента. Обычный пользователь не может определить, что стартовый код вируса уже удален из файла, а считает, что имеет дело с «вирусом», причем новым, не детектящимся ни одной из антивирусных программ по понятным причинам.
На момент создания данного описания антивирусные программы обнаруживают вирус и его компонент под следующими номенклатурными названиями:

Антивирус Kaspersky AntiVirus:
в зараженных файлах: Virus.MSWord.Pcsb (лечит файлы)
в зараженном шаблоне Normal.dot: параллельно Virus.MSWord.Onex и Virus.MSWord.Pcsb (лечит файл)
файл PCSB.inf: Virus.MSWord.Pcsb (подлежит удалению)

Антивирус BitDefender Professional:
в зараженных файлах: W97M.Nid.C (лечит файлы)
в зараженном шаблоне Normal.dot: W97M.Nid.C (лечит файл)
файл PCSB.inf: игнорирует как вредоносный код

Антивирус DrWeb:
в зараженных файлах: W97M.Barik (лечит файлы)
в зараженном шаблоне Normal.dot: W97M.Onex (лечит файл)
файл PCSB.inf: W97M.Barik (подлежит удалению)

6. Восстановление макро-защиты в MS Word 97/2k.
Инструкцию по восстановлению защиты в Word 97 от макро-вирусов см. здесь: MS_Word.Saver. Для Word 2000 необходимо произвести аналогичные действия.

Исследование вредоносного кода и разработка описания: Бройде Герман (aka VirusHunter)
Дата создания: 01.08.2005
Дата внесения последних изменений: 03.10.2006
Автор описания: Бройде Герман (aka VirusHunter)

Вирус заражающий текстовый документ называют

Компьютерный вирус — это специально написанная, как правило, небольшая по размерам программа, которая может записывать (внедрять) свои копии (возможно, изменённые) в компьютерные программы,расположенные в используемых файлах, системных областях дисков, драйверах, документах и т.д., причём эти копии сохраняют возможность к «размножению».

Функционирование вирусов

Когда заражённая программа начинает работу, то сначала управление получает вирус. Вирус находит и «заражает» другие программы или иные объекты, а также может выполнить какие-нибудь вредные действия (не запустить основную программу, сделать сбой в её работе и т.д.). Затем вирус передаёт управление той программе, в которой он находиться, и она работает не так же, как обычно, а со сбоями. Тем самым внешне работа зараженной программы выглядит так же, как и незараженной, однако с ней могут происходить непредвиденные неполадки. Многие разновидности вирусов устроены так, что при запуске заражённой программы вирус остается в памяти компьютера и при каждом запуске компьютера оказывает свое вредное воздействие.

Степень опасности вирусов

Неопасные вирусы.

Большинство вирусов не выполняют каких-либо действий, кроме своего распространения (заражение других программ, дисков и т.д.) и, иногда, выдачи каких-либо сообщений или иных эффектов («приколов»), придуманных автором вируса; игры музыки, перезагрузки компьютера, выдачи на экран разных рисунков, блокировки или изменения функций клавиш клавиатуры, замедления работы компьютера, создания видеоэффектов и т.д. Сознательный порчи информации эти вирусы не осуществляют. Такие вирусы условно называются НЕОПАСНЫМИ. Впрочем, и эти вирусы способны причинить большие неприятности (например, перезагрузки компьютера каждые пять минут просто не дадут Вам работать).

Однако около трети всех видов вирусов сознательно портят данные на дисках. Если порча данных происходит лишь эпизодически и не приводит к тяжёлым последствиям, то вирусы называются опасными. Если же порча данных происходит часто или вирусы причиняют значительные разрушения (форматирование жёсткого диска, систематическое изменение данных на диске, удаление информации и т. д.), то вирусы называются ОЧЕНЬ ОПАСНЫМИ.

Виды вирусов

Компьютерные вирусы отличаются друг от друга по тому, в какие объекты они внедряются, иначе говоря, что они заражают. Некоторые вирусы заражают несколько видов объектов.

Файловые вирусы. Большинство вирусов распространяется, заражая исполнимые файлы, т.е. файлы с расширением имени .СОМ и .ЕХЕ, а также оверлейные файлы (то есть вспомогательные программные файлы, загружаемые при выполнении других программ). Такие вирусы называются ФАЙЛОВЫМИ. Вирус в заражённых исполнимых файлах начинает свою работу запуске той программы, в которой он находиться.

Загрузочные вирусы. Еще один широко распространённый вид вирусов внедряется в начальный сектор дискет или дисков, где находиться загрузчик оперативной системы, или в начальный сектор жёстких дисков, где находится таблица разбивки жёсткого диска и небольшая программа, осуществляющая загрузку с одного из разделов, указанных в этой таблице. Такие вирусы называются ЗАГРУЗОЧНЫМИ или БУТОВЫМИ (от слова boot — загрузчик). Эти вирусы начинают свою работу при загрузке компьютера с заражённого диска. Загрузочные вирусы всегда являются резидентными и заражают вставляемые в компьютер дискеты.

Встречаются также загрузочные вирусы, заражающие и файлы — ФАЙЛОВО — ЗАГРУЗОЧНЫЕ ВИРУСЫ.

ЗАМЕЧАНИЯ: Дискеты и флеш — карты, через которые распространяются загрузочные вирусы, вовсе не обязаны быть системными. Ведь на любой дискете в начальном секторе имеется загрузчик «ОС», который и заражает другие файлы.

Для заражения компьютера загрузочным вирусом достаточно всего один раз вставить заражённую дискету в дисковод или флешку в момент перезагрузки компьютера. При этом вирус заразит жёсткий диск компьютера. И после этого при загрузке с жёсткого диска компьютера будет запускаться вирус.

Вирусы, заражающие другие объекты. В принципе, возможно заражение и других объектов, содержащих программы в какой-либо форме — текстов программ, электронных таблиц, драйверов, командных файлов и т.д.

Электронные таблицы содержат макрокоманды, в том числе и макрокоманды, автоматически выполняющиеся при открытии таблицы. Поэтому для них могут быть созданы вирусы, аналогичные вирусам для документов Word для Windos.

Пока что такие вирусы были созданы для таблиц табличного процессора Ехсеl.

ЗАМЕЧАНИЯ: Как правило, каждая конкретная разновидность вируса может заражать только один или два типа объектов. Чаще всего встречаются вирусы, заражающие исполнимые файлы. Некоторые вирусы; заражают только .СОМ-файлы, некоторые только . ЕХЕ-файлы, а большинство — и те, и другие. На втором месте по распространенности загрузочные вирусы. Некоторые вирусы заражают и файлы, и загрузочные области дисков. Остальные вирусы встречаются редко.

Что вирус не может заразить.

Вирус является программой, поэтому объекты, не содержащие программ и не подлежащие преобразованию в программы, заражены вирусом быть не могут.

Например, графические файлы форматов .ВМР, .РСХ, .GIF, .WMF и др. содержат только описание рисунков, поэтому как бы их вирус не изменял, при просмотре или ином использовании графического файла можно получить искаженный рисунок или сообщение о неправильном формате файла, но вирус при этом запущен быть не может. Иными словами, не содержащие программ объекты вирус может только испортить, но не заразить. К числу таких объектов относятся текстовые файлы (кроме командных файлов и текстов программ), документы простых редакторов, информационные файлы без данных и т.д.

Ссылка на основную публикацию
Adblock
detector