Ранее убитые
12 июля 2016
Иногда случается так, что один и тот же вирус или троянец обнаруживается антивирусом на компьютере с завидной периодичностью, даже если пользователь отдал команду на его удаление. Вопросы о причинах этого явления пользователи задают как на различных сайтах в Интернете, так и в запросах, направляемых в службу технической поддержки «Доктор Веб». Причин этому может быть много. Начнем с традиционных.
- Вредоносный файл может располагаться на сменном носителе / в папке / на жестком диске, которые исключены пользователем из проверки. Для решения проблемы нужно проверить все без исключения диски и сменные носители антивирусным сканером или утилитой Dr.Web CureIt! c помощью загрузочного диска Dr.Web LiveDisk.
- Вредоносный файл может располагаться на другом компьютере в локальной сети и проникнуть через открытые на запись папки. Для решения проблемы рекомендуется в случае повторного обнаружения вредоносной программы на одном компьютере проверить антивирусом все компьютеры в сетевом окружении.
- Вредоносный файл автоматически восстанавливается из резервной копии. Операционная система Windows имеет систему автоматического восстановления, но при создании архивов не предусмотрены процедуры антивирусной проверки. Если ранее удаленный вредоносный файл заразил важный компонент системы, ОС может попытаться его восстановить — и вирус будет обнаружен антивирусом в процессе восстановления. В этом случае проблему сможет решить полная проверка системы антивирусным сканером.
- Ошибки в настройках антивирусной защиты. Наиболее типичный случай — использование для защиты только антивирусного сканера. В этом случае вылеченные файлы заражаются работающим вирусом прямо в ходе проверки.
Очень часто повторное заражение компьютера осуществляют так называемые загрузочные вирусы — буткиты, способные модифицировать загрузочную запись компьютера. Например, Trojan.GBPBoot.1 состоит из нескольких модулей. Первый из них модифицирует главную загрузочную запись (MBR) на жестком диске компьютера, после чего записывает в конец подходящего раздела (вне файловой системы) модуль вирусного инсталлятора, модуль автоматического восстановления троянца, архив с файлом explorer.exe и сектор с конфигурационными данными. После чего помещает в системную папку вирусный инсталлятор, запускает его, а собственный файл удаляет.
В случае если по каким-либо причинам происходит удаление файла вредоносной службы (например, в результате сканирования диска антивирусной программой), срабатывает механизм самовосстановления. С использованием модифицированной троянцем загрузочной записи в момент запуска компьютера стартует процедура проверки наличия на диске файла вредоносной системной службы. В случае его отсутствия Trojan.GBPBoot.1 перезаписывает стандартный файл explorer.exe собственным, содержащим «инструмент самовосстановления», после чего он запускается одновременно с загрузкой ОС Windows. Получив управление, вредоносный экземпляр explorer.exe повторно инициирует процедуру заражения, после чего восстанавливает и запускает оригинальный explorer.exe.
- Вредоносный файл обнаруживается антивирусом, но не может быть удален по причине отсутствия необходимых прав доступа к этому файлу (о том, почему так происходит, подробно написано в выпуске «Рыба гниет с головы, а смартфон с корня») или ошибок в процессе лечения, уведомления о которых были проигнорированы пользователем.
Подобные ситуации возникают не только на компьютерах, работающих под управлением Windows, но и на мобильных устройствах. Так, поскольку троянцы семейства Android.Loki размещают часть своих компонентов в системных папках ОС Android, к которым у антивирусных систем нет полного доступа, при обнаружении на устройстве любой из таких вредоносных программ самый оптимальный способ ликвидировать последствия заражения — перепрошивка устройства с использованием оригинального образа ОС.
Антивирусная правДА! рекомендует
- К сожалению, антивирус не может обнаружить все (т. е. 100%) новейшие вредоносные программы. Поэтому для уменьшения вероятности их проникновения необходимо ограничивать права работающих на компьютере пользователей. Не имеющий прав администратора пользователь не сможет запускать все программы подряд, и единственный способ, который останется для запуска троянца, — использовать уязвимости. Ограничение прав пользователя снижает опасность заражения, например, через фишинговые атаки.
- Необходимо регулярно проводить полную антивирусную проверку системы и устанавливать критические обновления для всех используемых программ (не только антивируса!).
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Sergey
07:07:03 2020-03-18
Rider
17:40:25 2018-12-10
Toma
13:53:08 2018-09-19
Денисенко Павел Андреевич
22:27:31 2018-08-02
vasvet
06:11:38 2018-04-05
ana
03:54:36 2018-03-11
alex-diesel
13:02:47 2018-03-10
Наверное и другие системы могут так же косячить, но у Андроида я пока не встречал такого (или не замечал ))
Пaвeл
09:01:09 2017-01-11
Тамара
17:17:38 2016-08-12
tigra
07:16:06 2016-07-21
Sermut
20:44:22 2016-07-18
bob123456
00:19:02 2016-07-14
Вячeслaв
09:59:43 2016-07-13
Проблема лечения Локи и подобных не только в необходимости рутования устройства. Для предотвращения повторного заражения антивирус должен определять компонент, ответственный за заражение. В случае Локи этот компонент мгновенно самоудаляется сразу после заражения и получение его для анализа затруднено. Недостаток личных компьютеров и устройств - слабая защищенность систем логирования
Мы обнаруживаем вредоносные программы, создающие спецразделы. На самом деле это не так и сложно, если знать где искать. Проверяется список разделов, в разделе и за ним ищутся характерные признаки. Такие вещи делаются против пользовательских сканеров разделов,не против антивирусов
Смысла учить пользователей, как убивать вирусы нет. С известными вирусами как правило отлично справляются ти антивирусы. А вот проблема обнаружения новых вирусов стоит остро. Выше я написал о загрузчике Локи. Мы зависим от пользователей, которые присылают нам новейшие образцы - далеко не все попадается в наши ловушки. И поэтому мы рассматриваем возможность написания выпусков, позволяющих пользователю самому посмотреть хотябы в первом приближении, все ли хорошо в его системе
Вячeслaв
09:46:54 2016-07-13
И кстати - здесь скорее уместно слово фарминг - специально созданные мошеннические сайты
djabax
09:22:37 2016-07-13
bob123456
00:48:00 2016-07-13
__
Такой вопрос... Я где-то читал, что с помощью некоторых манипуляций можно получить рутованный доступ к андроид-устройству. Можно ли в данном случае вылечиться от Локи, избежав перепрошивки устройства (за которую необходимо будет выложить деньги в сервисном центре)?
__
Очень часто повторное заражение компьютера осуществляют так называемые загрузочные вирусы — буткиты, способные модифицировать загрузочную запись компьютера. Например, Trojan.GBPBoot.1 состоит из нескольких модулей. Первый из них модифицирует главную загрузочную запись (MBR) на жестком диске компьютера, после чего записывает в конец подходящего раздела (вне файловой системы) модуль вирусного инсталлятора, модуль автоматического восстановления троянца, архив с файлом explorer.exe и сектор с конфигурационными данными. После чего помещает в системную папку вирусный инсталлятор, запускает его, а собственный файл удаляет.
__
Если этот троянец записывает в конец подходящего раздела (вне файловой системы) модуль вирусного инсталлятора, то выходит, что простым сканированием даже с лайв-диска от него не избавиться? Правильно ли я понимаю, что вне файловой системы антивирусный сканер не сканирует, так как не видит ту область диска?
P.S. Возникла идея: можно открыть новую рубрику, в которой бы рассказывалось о том, как можно вылечиться от особых, настырных вредоносов, используя при этом какие-то нестандартные идеи, выходящие за рамки "просканировал-удалил" либо "отформатировал диск и просто переустановил систему" (на переустановку систему обычно времени нет). При этом можно использовать и рассказы простых пользователей о том, как они преодолели ту или иную вредоносную проблему.
Ольга
00:36:21 2016-07-13
bob123456
00:33:51 2016-07-13
Иваныч
23:56:09 2016-07-12
dyadya_Sasha
23:27:47 2016-07-12
PROgrammeur
23:18:15 2016-07-12
tosya
22:55:23 2016-07-12
solec
22:51:26 2016-07-12
Б...м
22:43:11 2016-07-12
Б...а
22:41:17 2016-07-12
aleks_ku
22:36:14 2016-07-12
Б...а
22:14:20 2016-07-12
Luger
22:10:27 2016-07-12
Dvakota
21:50:10 2016-07-12
Р...й
21:14:59 2016-07-12
ek
21:06:02 2016-07-12
kva-kva
21:03:43 2016-07-12
Marsn77
20:33:37 2016-07-12
Zulfat
20:32:49 2016-07-12
mk.insta
20:23:21 2016-07-12
Неуёмный Обыватель
19:54:04 2016-07-12
Damir
19:38:56 2016-07-12
Lia00
17:12:37 2016-07-12
DrKV
17:09:35 2016-07-12
И вечный бой. Покой нам только снится. :-)
amonn
16:21:03 2016-07-12
azimut
15:49:38 2016-07-12
Вячeслaв
14:59:33 2016-07-12
maestro431
14:28:08 2016-07-12
swa1
12:25:04 2016-07-12
Zevs_46
10:32:36 2016-07-12
Вячeслaв
10:31:18 2016-07-12
Вячeслaв
10:29:55 2016-07-12
Злоумышленники регистрируют сайты, имитирующие новостные и военные ресурсы, используемые в качестве C&C-серверов и хостингов для вредоносного ПО. За несколько дней до запуска целевой фишинговой кампании злоумышленники подбирают темы, которые будут интересны жертвам, например, ядерная энергетика, военные учения, геополитическая обстановка и пр. Затем преступники делают соответствующую подборку новостей и используют материалы в качестве приманки в фишинговых письмах, включающих ссылку на RAR-архив, расположенный на подконтрольных хакерам сайтах, или прикрепленный вредоносный документ Microsoft Word. Данный файл содержит эксплоит для уязвимости CVE-2012-0158, позволяющий установить на компьютер пользователя бэкдор NetTraveler.
Не нужно думать, что вы ненужны никому
Nikodim2011
10:23:21 2016-07-12
Вячeслaв
10:15:23 2016-07-12
Неуёмный Обыватель
09:58:43 2016-07-12