Ранее убитые

Незваные гости

добавить в избранное

Ранее убитые

Прочитали: 6302 Комментариев: 72 Рейтинг: 301

12 июля 2016

Иногда случается так, что один и тот же вирус или троянец обнаруживается антивирусом на компьютере с завидной периодичностью, даже если пользователь отдал команду на его удаление. Вопросы о причинах этого явления пользователи задают как на различных сайтах в Интернете, так и в запросах, направляемых в службу технической поддержки «Доктор Веб». Причин этому может быть много. Начнем с традиционных.

Вредоносный файл может располагаться на сменном носителе / в папке / на жестком диске, которые исключены пользователем из проверки. Для решения проблемы нужно проверить все без исключения диски и сменные носители антивирусным сканером или утилитой Dr.Web CureIt! c помощью загрузочного диска Dr.Web LiveDisk.
Вредоносный файл может располагаться на другом компьютере в локальной сети и проникнуть через открытые на запись папки. Для решения проблемы рекомендуется в случае повторного обнаружения вредоносной программы на одном компьютере проверить антивирусом все компьютеры в сетевом окружении.
Вредоносный файл автоматически восстанавливается из резервной копии. Операционная система Windows имеет систему автоматического восстановления, но при создании архивов не предусмотрены процедуры антивирусной проверки. Если ранее удаленный вредоносный файл заразил важный компонент системы, ОС может попытаться его восстановить — и вирус будет обнаружен антивирусом в процессе восстановления. В этом случае проблему сможет решить полная проверка системы антивирусным сканером.
Ошибки в настройках антивирусной защиты. Наиболее типичный случай — использование для защиты только антивирусного сканера. В этом случае вылеченные файлы заражаются работающим вирусом прямо в ходе проверки.

Очень часто повторное заражение компьютера осуществляют так называемые загрузочные вирусы — буткиты, способные модифицировать загрузочную запись компьютера. Например, Trojan.GBPBoot.1 состоит из нескольких модулей. Первый из них модифицирует главную загрузочную запись (MBR) на жестком диске компьютера, после чего записывает в конец подходящего раздела (вне файловой системы) модуль вирусного инсталлятора, модуль автоматического восстановления троянца, архив с файлом explorer.exe и сектор с конфигурационными данными. После чего помещает в системную папку вирусный инсталлятор, запускает его, а собственный файл удаляет.

В случае если по каким-либо причинам происходит удаление файла вредоносной службы (например, в результате сканирования диска антивирусной программой), срабатывает механизм самовосстановления. С использованием модифицированной троянцем загрузочной записи в момент запуска компьютера стартует процедура проверки наличия на диске файла вредоносной системной службы. В случае его отсутствия Trojan.GBPBoot.1 перезаписывает стандартный файл explorer.exe собственным, содержащим «инструмент самовосстановления», после чего он запускается одновременно с загрузкой ОС Windows. Получив управление, вредоносный экземпляр explorer.exe повторно инициирует процедуру заражения, после чего восстанавливает и запускает оригинальный explorer.exe.

https://news.drweb.ru/?i=2927&c=23&lng=ru&p=0

Вредоносный файл обнаруживается антивирусом, но не может быть удален по причине отсутствия необходимых прав доступа к этому файлу (о том, почему так происходит, подробно написано в выпуске «Рыба гниет с головы, а смартфон с корня») или ошибок в процессе лечения, уведомления о которых были проигнорированы пользователем.

http://news.drweb.com/show/?c=5&i=9822&lng=ru

#троянец

Антивирусная правДА! рекомендует

К сожалению, антивирус не может обнаружить все (т. е. 100%) новейшие вредоносные программы. Поэтому для уменьшения вероятности их проникновения необходимо ограничивать права работающих на компьютере пользователей. Не имеющий прав администратора пользователь не сможет запускать все программы подряд, и единственный способ, который останется для запуска троянца, — использовать уязвимости. Ограничение прав пользователя снижает опасность заражения, например, через фишинговые атаки.
Необходимо регулярно проводить полную антивирусную проверку системы и устанавливать критические обновления для всех используемых программ (не только антивируса!).

Оцените выпуск

Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.

Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

Sergey
07:07:03 2020-03-18

Лишняя проверка никогда не помешает, а защиты, как известно, много не бывает.

Rider
17:40:25 2018-12-10

Последую рекомендациям.А ограничения прав пользователя стоят уже давно )

Toma
13:53:08 2018-09-19

Рекомендации о необходимости регулярно проводить полную антивирусную проверку системы и устанавливать критические обновления стараюсь соблюдать.

Денисенко Павел Андреевич
22:27:31 2018-08-02

Лично Я, 1 раз в месяц провожу полную проверку ПК антивирусом.

vasvet
06:11:38 2018-04-05

Жаль полная проверка много времени занимает, часто не запустишь.

ana
03:54:36 2018-03-11

Интересно, но на практике такого не встречал. как правило после того как систему проутюжиш 2-3 антивирусниками мало что остается.

alex-diesel Собкор
13:02:47 2018-03-10

Ну да, Винда частенько восстанавливала вирусы.
Наверное и другие системы могут так же косячить, но у Андроида я пока не встречал такого (или не замечал ))

Пaвeл Собкор
09:01:09 2017-01-11

Спасибо! Интересная статья.

Тамара
17:17:38 2016-08-12

Спасибо за информацию !))

tigra Собкор
07:16:06 2016-07-21

Я,Я знаю способ защиты от такого вируса!! ставим лицензированный доктор веб, грамотно настраиваем.. и ничего не убоимся, акромя своей глупости!!)) как то так.

Sermut
20:44:22 2016-07-18

Прочитав статью, захотелось включить проверку по расписанию, но оказалось это не так просто... Для включения пришлось читать справку.

bob123456 Собкор
00:19:02 2016-07-14

Спасибо за интереснейшие ответы. Но ещё есть один небольшой вопросик... Если у меня андроид-устройство на гарантии и я в это время случайно подцепил вирус, который намертво залез в прошивку, то такое устройство теряет автоматически гарантию или нет? Или во время гарантийного срока можно бесплатно перепрошить устройство в сервисном центре (при этом понятно, что если сам получишь рутованый доступ, то устройство 100% теряет гарантию)?

Вячeслaв Собкор
09:59:43 2016-07-13

@bob123456, От Локи мы лечим, нужно только иметь рутовые права. Из последних, где мы рекомендовали перепрошивку, как мне помнится был случай заражения прошивки на Филипсах - там для лечения нужно было заменять лаунчер.
Проблема лечения Локи и подобных не только в необходимости рутования устройства. Для предотвращения повторного заражения антивирус должен определять компонент, ответственный за заражение. В случае Локи этот компонент мгновенно самоудаляется сразу после заражения и получение его для анализа затруднено. Недостаток личных компьютеров и устройств - слабая защищенность систем логирования

Мы обнаруживаем вредоносные программы, создающие спецразделы. На самом деле это не так и сложно, если знать где искать. Проверяется список разделов, в разделе и за ним ищутся характерные признаки. Такие вещи делаются против пользовательских сканеров разделов,не против антивирусов

Смысла учить пользователей, как убивать вирусы нет. С известными вирусами как правило отлично справляются ти антивирусы. А вот проблема обнаружения новых вирусов стоит остро. Выше я написал о загрузчике Локи. Мы зависим от пользователей, которые присылают нам новейшие образцы - далеко не все попадается в наши ловушки. И поэтому мы рассматриваем возможность написания выпусков, позволяющих пользователю самому посмотреть хотябы в первом приближении, все ли хорошо в его системе

Вячeслaв Собкор
09:46:54 2016-07-13

@bob123456, "Интересно, при подборке новостей в майкрософтовском приложении "Новости" можно наткнуться на вредоносный либо фишинговый сайт". Все компании стараются проверять источники, поэтому скорее есть вероятность подмены сайта, его заражения.

И кстати - здесь скорее уместно слово фарминг - специально созданные мошеннические сайты

djabax
09:22:37 2016-07-13

Во дела

bob123456 Собкор
00:48:00 2016-07-13

Подобные ситуации возникают не только на компьютерах, работающих под управлением Windows, но и на мобильных устройствах. Так, поскольку троянцы семейства Android.Loki размещают часть своих компонентов в системных папках ОС Android, к которым у антивирусных систем нет полного доступа, при обнаружении на устройстве любой из таких вредоносных программ самый оптимальный способ ликвидировать последствия заражения — перепрошивка устройства с использованием оригинального образа ОС.
__
Такой вопрос... Я где-то читал, что с помощью некоторых манипуляций можно получить рутованный доступ к андроид-устройству. Можно ли в данном случае вылечиться от Локи, избежав перепрошивки устройства (за которую необходимо будет выложить деньги в сервисном центре)?

__
Очень часто повторное заражение компьютера осуществляют так называемые загрузочные вирусы — буткиты, способные модифицировать загрузочную запись компьютера. Например, Trojan.GBPBoot.1 состоит из нескольких модулей. Первый из них модифицирует главную загрузочную запись (MBR) на жестком диске компьютера, после чего записывает в конец подходящего раздела (вне файловой системы) модуль вирусного инсталлятора, модуль автоматического восстановления троянца, архив с файлом explorer.exe и сектор с конфигурационными данными. После чего помещает в системную папку вирусный инсталлятор, запускает его, а собственный файл удаляет.
__
Если этот троянец записывает в конец подходящего раздела (вне файловой системы) модуль вирусного инсталлятора, то выходит, что простым сканированием даже с лайв-диска от него не избавиться? Правильно ли я понимаю, что вне файловой системы антивирусный сканер не сканирует, так как не видит ту область диска?

P.S. Возникла идея: можно открыть новую рубрику, в которой бы рассказывалось о том, как можно вылечиться от особых, настырных вредоносов, используя при этом какие-то нестандартные идеи, выходящие за рамки "просканировал-удалил" либо "отформатировал диск и просто переустановил систему" (на переустановку систему обычно времени нет). При этом можно использовать и рассказы простых пользователей о том, как они преодолели ту или иную вредоносную проблему.

Ольга
00:36:21 2016-07-13

Спасибо

bob123456 Собкор
00:33:51 2016-07-13

@м...ч, Интересно, при подборке новостей в майкрософтовском приложении "Новости" можно наткнуться на вредоносный либо фишинговый сайт? Или Майкрософт предлагает на выбор только надёжные и проверенные источники?

Иваныч
23:56:09 2016-07-12

Ок,спасибо.

dyadya_Sasha Собкор
23:27:47 2016-07-12

Естественно, когда один и тот же вирус обнаруживается с неприятным постоянством, необходимо обратить более пристальное внимание на возможные источники его появления. Какие это источники - всё ясно расписали и указали. Спасибо.

PROgrammeur
23:18:15 2016-07-12

Когда уже будут выпуски посвященные именно GNU/Linux?

tosya
22:55:23 2016-07-12

Не было такого.

solec
22:51:26 2016-07-12

Сталкивался с таким явлением )

Б...м
22:43:11 2016-07-12

регулярно проводить полную антивирусную проверку!

Б...а
22:41:17 2016-07-12

Иногда случается!

aleks_ku
22:36:14 2016-07-12

справимся

Б...а
22:14:20 2016-07-12

Конечно и на домашнем компьютере нужно ограничение прав пользователя.

Luger Собкор
22:10:27 2016-07-12

В основном помогает DrWeb CureIT.

Dvakota
21:50:10 2016-07-12

Покой нам только снится .

Р...й
21:14:59 2016-07-12

Забавно!

ek
21:06:02 2016-07-12

НЕ смешно

kva-kva
21:03:43 2016-07-12

Последовательность все решит

Marsn77
20:33:37 2016-07-12

Надо быть всегда на чеку!

Zulfat
20:32:49 2016-07-12

С информацией ознакомился.Спасибо.

mk.insta
20:23:21 2016-07-12

Фениксы..

Неуёмный Обыватель Собкор
19:54:04 2016-07-12

Странно полагать, что для домашних компов или для личных устройств не нужно ограничивать себя в правах.

Damir Собкор
19:38:56 2016-07-12

Надо не лениться проводить полную проверку.

Lia00 Собкор
17:12:37 2016-07-12

@Неуёмный_Обыватель, сорняки:)

DrKV Собкор
17:09:35 2016-07-12

Да, знакомая ситуация.
И вечный бой. Покой нам только снится. :-)

amonn
16:21:03 2016-07-12

Полная проверка.

azimut
15:49:38 2016-07-12

Не сталкивался.

Вячeслaв Собкор
14:59:33 2016-07-12

@swa1, точнее две опции - блокировать доступ к сети и запрещать низкоуровневую запись

maestro431
14:28:08 2016-07-12

Я сталкивался с такой проблемой! Удалил этот вирус как раз сканер Dr. Web.

swa1
12:25:04 2016-07-12

Наверно именно для это при проверке в Dr.Web CureIt есть опция - Запрет записи на диск и доступ к сети.

Zevs_46
10:32:36 2016-07-12

Спасибо! С информацией ознакомился.

Вячeслaв Собкор
10:31:18 2016-07-12

@Неуёмный_Обыватель, блеск, утащил в цитатник

Вячeслaв Собкор
10:29:55 2016-07-12

О заражениях дома. Никто не будет отрицать, что ключевые менеджеры (в том числе просто имеющие доступ к данным, интересным злоумышленникам) читают новости дома?
Злоумышленники регистрируют сайты, имитирующие новостные и военные ресурсы, используемые в качестве C&C-серверов и хостингов для вредоносного ПО. За несколько дней до запуска целевой фишинговой кампании злоумышленники подбирают темы, которые будут интересны жертвам, например, ядерная энергетика, военные учения, геополитическая обстановка и пр. Затем преступники делают соответствующую подборку новостей и используют материалы в качестве приманки в фишинговых письмах, включающих ссылку на RAR-архив, расположенный на подконтрольных хакерам сайтах, или прикрепленный вредоносный документ Microsoft Word. Данный файл содержит эксплоит для уязвимости CVE-2012-0158, позволяющий установить на компьютер пользователя бэкдор NetTraveler.

Не нужно думать, что вы ненужны никому

Nikodim2011 Собкор
10:23:21 2016-07-12

Если периодически сканировать систему с загрузочного диска, вероятность обнаружить что то повторно ничтожна мала, но тем не менее существует. Если заражение повторяется, идентично предыдущему, необходимо внимательно и поэтапно просканировать все возможные источники.

Вячeслaв Собкор
10:15:23 2016-07-12

@Morpheus, "На домашних компьютерах зачем ограничивать права". Внимательность естественно необходима. Но вопрос в том, что не все вредоносные программы ставятся по клику пользователя. Тот же JavaScript/JScript позволяет реализовать все, что нужно силами злоумышленника. Письма с вложениями от известных вам отправителей, уязвимости, ошибки настройки, якобы обновления и тд и тп. Особого смысла на настроенном домашнем компьютере иметь права рута нет (если только какая программа не требует таких прав, что увы бывает), а риски имеются

Неуёмный Обыватель Собкор
09:58:43 2016-07-12

Сорняки на поле тоже так же: прошелся по рядам, прополол, через неделю возвращаешься, стоит такой же ровный ряд сорной растительности из под которой скромно выглядывает то, на чей урожай надеется земледелец. Не помогает даже заливка поля слоем бетона - пробиваются.

Комментарии к другим выпускам | Мои комментарии

Главная

Выпуски

Рубрики

Рейтинг

О проекте

Статистика

Избранное

Инструменты

Антивирусная правДА!TM

Ранее убитые

Антивирусная правДА! рекомендует

Нам важно ваше мнение

Комментарии пользователей