Exe что это вирус
Перейти к содержимому

Exe что это вирус

  • автор:

Что такое exe- вирусы методы борьбы с ними.

В этой статье рассказано о вирусах, заражающих ЕХЕ-файлы. Приведена классификация таких вирусов, подробно рассмотрены алгоритмы их работы, отличия между ними достоинства и недостатки.

Вирусы — это хорошая гимнастика для ума, хотя многие думают, что написать вирус на языке высокого уровня весьма трудно. Это не совсем так. Писать на языке Pascal довольно легко, правда величина полученного кода вызывает благоговейный трепет.

Для каждого типа вирусов представлены исходные тексты с подробными комментариями.Также приведены основные сведения о структуре и принципах работы ЕХЕ-программы.

СОМ-файлы (небольшие программы, написанные в основном на языке Assembler) медленно, но верно устаревают. Им на смену приходят пугающие своими размерами ЕХЕ-«монстры». Появились и вирусы, умеющие заражать ЕХЕ-файлы.

Структура и процесс загрузки ЕХЕ-программы

В отличие от СОМ-программ, ЕХЕ-программы могут состоять из нескольких сегментов (кодов, данных, стека). Они могут занимать больше 64Кбайт.ЕХЕ-файл имеет заголовок, который используется при его загрузке.Заголовок состоит из форматированной части, содержащей сигнатуру и данные, необходимые для загрузки ЕХЕ-файла, и таблицы для настройки адресов (Relocation Table). Таблица состоит из значений в формате сегмент:смещение. К смещениям в загрузочном модуле, на которые указывают значения в таблице, после загрузки программы в память должен быть прибавлен сегментный адрес, с которого загружена программа.

При запуске ЕХЕ-программы системным загрузчиком (вызовом функции DOS 4Bh) выполняются следующие действия:

1. Определяется сегментный адрес свободного участка памяти,размер

которого достаточен для размещения программы.

2.Создается и заполняется блок памяти для переменных среды.

3.Создается блок памяти для PSP и программы (сегментЮОООЬ — PSP;

В поля PSP заносятся соответствующие значения.

4.Адрес DTA устанавливается равным PSP:0080h.

5.В рабочую область загрузчика считывается форматированная часть

заголовка ЕХЕ-файла.

6.Вычисляется длина загрузочного модуля по формуле:

7.Определяется смещение загрузочного модуля в файле, равное

8.Вычисляется сегментный адрес (START_SEG) для загрузки -обычно это PSP+lOh.

9.Считывается в память загрузочный модуль (начиная с адреса

10.Для каждого входа таблицы настройки:

a)читаются слова I_OFF и I_SEG;

c)читается слово по адресу RELO_SEG:I_OFF;

d)к прочитанному слову прибавляется START_SEG;

e)результат запоминается по тому же адресу (RELO_SEG:I_OFF).

11.Распределяется память для программы в соответствии с МахМет

12.Инициализируются регистры, выполняется программа:

b) АХ=результат проверки правильности идентификаторов драйверов, указанных в командной строке;

ЕХЕ-вирусы условно можно разделить на группы, используя в качестве признака для деления особенности алгоритма. Вирусы, замещающие программный код (Overwrite) Такие вирусы уже стали раритетом. Главный их недостаток — слишком грубая работа. Инфицированные программы не исполняются, так как вирус записывается поверх программного кода, не сохраняя его. При запуске вирус ищет очередную жертву (или жертвы), открывает найденный файл для редактирования и записывает свое тело в начало программы, не сохраняя оригинальный код. Инфицированные этими вирусами программы лечению не подлежат.

Эти вирусы получили свое название из-за алгоритма размножения:

к каждому инфицированному файлу создается файл-спутник. Рассмотрим более подробно два типа вирусов этой группы:

Вирусы первого типа размножается следующим образом. Для каждого инфицируемого ЕХЕ-файла в том же каталоге создается файл с вирусным кодом, имеющий такое же имя, что и ЕХЕ-файл, но с расширением СОМ. Вирус активируется, если при запуске программы в командной строке указано только имя исполняемого файла. Дело в том, что, если не указано расширение файла, DOS сначала ищет в текущем каталоге файл с заданным именем и расширением СОМ. Если СОМ-файл с таким именем не найден, ведется поиск одноименного ЕХЕ-файла. Если не найден и ЕХЕ-файл, DOS попробует обнаружить ВАТ (пакетный) файл. В случае отсутствия в текущем каталоге исполняемого файла с указанным именем поиск ведется во всех каталогах, доступных по переменной PATH. Другими словами, когда пользователь хочет запустить программу и набирает в командной строке только ее имя (в основном так все и делают), первым управление получает вирус,код которого находится в СОМ-файле. Он создает СОМ-файл еще к одному или нескольким ЕХЕ-файлам (распространяется), а затем исполняет ЕХЕ-файл с указанным в командной строке именем. Пользователь же думает, что работает только запущенная ЕХЕ-программа.

Вирус-спутник обезвредить довольно просто — достаточно удалить

СОМ-файл.

Вирусы второго типа действуют более тонко. Имя инфицируемого

ЕХЕ-файла остается прежним, а расширение заменяется каким-либо

другим, отличным от исполняемого (СОМ, ЕХЕ и ВАТ), Например,

файл может получить расширение DAT (файл данных) или OVL (про-

граммный оверлей). Затем на место ЕХЕ-файла копируется вирусный код. При запуске такой инфицированной программы управление получает вирусный код, находящийся в ЕХЕ-файле. Инфицировав еще один или несколько ЕХЕ-файлов таким же образом, вирус возвращает оригинальному файлу исполняемое расширение (но не EХЕ, а СОМ, поскольку ЕХЕ-файл с таким именем занят вирусом), после чего исполняет его. Когда работа инфицированной программы закончена, ее запускаемому файлу возвращается расширение неисполняемого. Лечение файлов, зараженных вирусом этого типа, может быть затруднено,если вирус-спутник шифрует часть или все тело инфицируемого файла,а перед исполнением его расшифровывает.

Вирусы, внедряющиеся в программу (Parasitic) Вирусы этого вида самые незаметные: их код записывается в инфицируемую программу, что существенно затрудняет лечение зараженных файлов. Рассмотрим методы внедрения ЕХЕ-вирусов в ЕХЕ-файл.

Способы заражения ЕХЕ-файлов

Самый распространенный способ заражения ЕХЕ-файлов такой: в конец файла дописывается тело вируса, а заголовок корректируется (с сохранением оригинального) так, чтобы при запуске инфицированного файла управление получал вирус. Похоже на заражение СОМ-файлов, но вместо задания в коде перехода в начало вируса корректируется собственно адрес точки запуска программы. После окончания работы вирус берет из сохраненного заголовка оригинальный адрес запуска программы, прибавляет к его сегментной компоненте значение регистра DS или ES (полученное при старте вируса) и передает управление на полученный адрес.

Следующий способ — внедрение вируса в начало файла со сдвигом кода

программы. Механизм заражения такой: тело инфицируемой программы считывается в память, на ее место записывается вирусный код, а после него — код инфицируемой программы. Таким образом, код программы как бы «сдвигается» в файле на длину кода вируса. Отсюда и название способа — «способ сдвига». При запуске инфицированного файла вирус заражает еще один или несколько файлов. После этого он считывает в память код программы, записывает его в специально созданный на диске временный файл с расширением исполняемого файла (СОМ или ЕХЕ), и затем исполняет этот файл. Когда программа закончила работу, временный файл удаляется. Если при создании вируса не применялось дополнительных приемов защиты, то вылечить инфицированный файл очень просто — достаточно удалить код вируса в начале файла, и программа снова будет работоспособной. Недостаток этого метода в том, что приходится считывать в память весь код инфицируемой программы (а ведь бывают экземпляры размером больше 1Мбайт).

Следующий способ заражения файлов — метод переноса — по всей видимости, является самым совершенным из всех перечисленных. Вирус размножается следующим образом: при запуске инфицированной программы тело вируса из нее считывается в память. Затем ведется поиск неинфицированной программы. В память считывается ее начало,по длине равное телу вируса. На это место записывается тело вируса.Начало программы из памяти дописывается в конец файла. Отсюда название метода — «метод переноса». После того, как вирус инфицировал один или несколько файлов, он приступает к исполнению программы,из которой запустился. Для этого он считывает начало инфицированной программы, сохраненное в конце файла, и записывает его в начало файла, восстанавливая работоспособность программы. Затем вирус удаляет код начала программы из конца файла, восстанавливая оригинальную длину файла, и исполняет программу. После завершения программы вирус вновь записывает свой код в начало файла, а оригинальное начало программы — в конец. Этим методом могут быть инфицированы даже антивирусы, которые проверяют свой код на целостность, так как запускаемая вирусом программа имеет в точности такой же код, как и до инфицирования.

Вирусы, замещающие программный код ( Overwrite ) Как уже говорилось, этот вид вирусов уже давно мертв. Изредка появляются еще такие вирусы, созданные на языке Assembler, но это, скорее, соревнование в написании самого маленького overwrite-вируса. На данный момент самый маленький из известных overwrite-вирусов написан Reminder’ом (Death Virii Crew group) и занимает 22 байта.

Алгоритм работы overwrite-вируса следующий:

1. Открыть файл, из которого вирус получил управление.

2. Считать в буфер код вируса.

4. Искать по маске подходящий для заражения файл.

5. Если файлов больше не найдено, перейти к пункту 11.

6. Открыть найденный файл.

7. Проверить, не заражен ли найденный файл этим вирусом.

8. Если файл заражен, перейти к пункту 10.

9. Записать в начало файла код вируса.

10. Закрыть файл (по желанию можно заразить от одного до всех фай-

лов в каталоге или на диске).

11. Выдать на экран какое-либо сообщение об ошибке, например «Abnormal program termination» или «Not enough memory», — пусть пользователь не слишком удивляется тому, что программа не запустилась.

Потенциально опасные типы файлов

archive view archive save

Под потенциально опасными файлами мы понимаем все исполняемые файлы и файлы, которые каким-то образом могут повлиять на работу системы. Исполняемые файлы — такие файлы в большинстве случаев можно распознать по их расширению. Поэтому всегда нужно обращать внимание на расширение файлов прежде, чем их запустить.

Если пользователь получил на почту фотографию IMG0235.jpg с текстом «Смотри, с кем это ты. », то нужно удостовериться, что это действительно файл-изображение, а не исполняемая программа. Обычно файл изображений имеет расширение jpg, png, bmp, gif (фотографии в 99% случаев имеют расширение jpg). Скачав этот файл на компьютер, необходимо посмотреть, нет ли после .jpg продолжения .exe (IMG0235.jpg.exe). Ведь расширение – это строка символов, которая следуют после последней точки. В случае с IMG0235.jpg расширением будет jpg, а в случае с IMG0235.jpg.exe расширение будет уже ехе. А ехе – это и есть исполняемая программа, которая и заразит компьютер.

Файлы скриптов – это тоже исполняемые файлы, только они запускаются не сами, а каким-либо сервисом или программой. Опасными с точки зрения заражения компьютера являются скрипты с расширением bat, cmd, vbs. Например, без специального программного обеспечения, в обычном блокноте можно написать скрипт .bat, который при запуске будет подключатся к фтп-серверу, скачивать вирус, и запускать его, и даже обходя защиту некоторых антивирусов.

Важно: те, кто пользуются проводником Windows (кто смотрит файлы через «Мой компьютер»), тот подвержен дополнительному риску. По умолчанию в проводнике отключен показ расширений, и пользователь видит только название файла без расширения, определяя типы файлов по значку. А ехе-файл может иметь любой значок, включая значок изображения, под которым пользователь привык видеть фотки. Отсюда рекомендация: нужно зайти в панель управления \ свойства папки \ вид , там снимаем галочку « Скрывать расширения для зарегистрированных типов файлов ». но в идеале, конечно, лучше не использовать Проводник Windows, а перейти на файловый менеджер типа Total Commander.

Но если подвести итог, то самым важным правилом будет: не запускать неизвестные файлы с расширением ехе, bat, cmd, vbs и обращать внимание на двойные расширения, типа Photo.jpg.exe или Music.mp3.exe

Список потенциально опасных типов файлов

Большинство из этих типов файлов не смогут нанести ущерб операционным системам Mac и UNIX . Известное исключение – это макро-вирусы.

Файлы, оканчивающиеся на это расширение, являются исполняемыми файлами, самостоятельными приложениями. Вирусы этого типа могут делать тоже, что и могут делать обычные приложения, включая удаление файлов на вашем компьютере. Исполняемые файлы очень редко будут законно использоваться как вложения. Никогда не запускайте «.exe«-файлы, содержание которых вы не знаете.

Этот тип файла менее распространен, но они также являются формой исполняемого файла. Примите во внимание то, что это применимо только к «.com» как к расширению файла, а не к веб-сайтам, окончивающимся на «.com«.

Эти три буквы являются сокращением от «Visual Basic Script» (Скрипт Visual Basic). Известный вирус «I love you» является VBS-файлом. Этому типу вирусов требуется чтобы ваш компьютер был способен запускать скрипты Visual Basic. Это относится к большинству компьютеров под управлением Microsoft Windows, в то время как пользователи Linux могут в этом случае не беспокоиться.

.bat, .cmd

.doc, .xls, .ppt

Эти расширения, используемые документами Microsoft Office (Word, Excel, и PowerPoint, соответственно), могут содержать определенный тип вирусов, называемый макро-вирусом. Важной вещью, которую необходимо знать, является то, что макро-вирусы могут существовать в таких документах, и то, что они могут причинить такой же большой ущерб, как и вирусы с расширением «.exe«.

RTF означает «Rich Text Format» (расширенный текстовый формат), и весьма распространен как формат документа. Документы, заканчивающиеся на «.rtf«, могут, однако, быть скрытыми документами Microsoft Word (с измененным расширением). Поэтому для этих документов должны быть приняты те же меры, что и для любого «.doc«-документа.

Что и как удалить: вирус удаляет EXE-файлы или блокирует доступ к программам

Сегодня многие пользователи из Сети «подхватывают» несколько необычные вирусы, которые воздействуют на исполняемые файлы, да еще и так, что не все антивирусные программы с ними справляются. Попробуем разобраться, что можно сделать в такой ситуации, а заодно рассмотрим проблему, как удалить вирус «EXE» с флешки.

Как работают вирусы, инфицирующие EXE-файлы?

Ситуация с проявлением активности вирусов подобного типа не нова. Такое было и раньше. Самым распространенным сегодня считается компьютерный троян-вредитель под названием Virus.Win32.Expiro.(версий «w», «ao», «bc» и т.д.).

как удалить вирус удаляет exe

Подцепить его в Интернете можно совершенно элементарно, а потом думай, что с этим делать и как удалить. Вирус удаляет EXE-файлы, вернее, делает их недоступными для исполнения. Неудивительно, что при попытке открытия какой-либо программы или приложения, вследствие воздействия вредоносного кода вируса, система не распознает исполняемый файл и выдает сообщение о том, что такой-то и такой-то файл не найден.

Что самое печальное, это касается не только установленных программ, но первого запуска инсталлятора (имеется в виду, если дистрибутив скачан из Интернета и находится на жестком диске). В случае установки программы с оптического носителя воздействие угрозы может проявиться позже, по окончании процесса установки. Наверное, не стоит говорить, что при запуске инсталляционного процесса с USB-накопителя вирус автоматически перепрыгивает на него и инфицирует все файлы, имеющие расширением .exe.

Но распознать действие вируса можно только при запуске исполняемого файла. Именно поэтому, пока файл не запущен, некоторые антивирусные пакеты угроз не идентифицируют, и наличие вируса не определяется вообще.

Проблемы антивирусного ПО

Давайте посмотрим, что и как удалить. Вирус удаляет EXE-файлы или блокирует их, в данном случае неважно. Но тут, как оказывается, палка о двух концах. С одной стороны, мы имеем дело с блокированием файлов самим вирусом, с другой – неправильную реакцию антивирусных программ.

как удалить вирус exe с флешки

Так, например, сегодня известно достаточно много случаев, когда тот же пакет Avast при заданном пользователем сканировании (а не при проникновении угрозы изначально) вирус все-таки определяет. Правда, определение сводится только к тому, что он показывает зараженные EXE-файлы и по причине невозможности лечения удаляет их сам без разбора. Вот вам и ситуация. Казалось бы, все просто: все знают, что и как удалить. Вирус удаляет EXE-файлы даже не сам, а (парадокс!) делает это руками антивирусного сканера. Естественно, такой вредитель способен создавать собственные копии и маскироваться даже под системные процессы типа svchost.

Как удалить вирус (EXE-файлы заражены)?

Что касается борьбы с такой угрозой, здесь не все просто. Прежде всего, большинству пользователей можно посоветовать не использовать бесплатные антивирусные программы и утилиты типа Avast, AVG и т.д. На крайний случай лучше бы в системе был облачный антивирус типа Panda.

как удалить вирус exe

Самый лучший вариант – мощное антивирусное ПО «Лаборатории Касперского» или корпорации ESET. Кстати, можно прибегнуть к услугам утилит типа Kaspersky Virus Removal Tool, только сначала программу в виде портативной версии нужно записать на оптический диск, используя для этого незараженный компьютер, и запускать именно с CD- или DVD-носителя. В противном случае успешное лечение не гарантируется.

как удалить вирус удаляет exe

Также можно использовать и небольшие программы типа CureIt, которые именно лечат зараженные файлы, а не удаляют их.

Но поскольку вирус, как правило, «сидит» в оперативной памяти, самым оптимальным решением станет использование запуска с оптического носителя программ с общим названием Rescue Disc.

как удалить вирус exe с флешки

Они проверяют все компоненты системы еще до ее собственного старта. В большинстве случаев этот метод является действенным. Кстати сказать, такая методика подойдет и для флешек, только в параметрах сканирования устройств хранения данных нужно будет дополнительно поставить галочку на USB-носителе.

Заключение

В целом, думается, некоторые советы помогут большинству юзеров понять, как удалить вирус. Удаляет EXE-файлы сам вирус или производит несанкционированную блокировку исполняемых файлов, сразу и не поймешь. Но если есть хоть малейшее подозрение на его присутствие, крайне не рекомендуется запускать ни одну программу до окончания полного процесса сканирования, лечения файлов и удаления угрозы.

Кроме всего прочего, желательно иметь в системе какой-нибудь пакет типа Internet Security, способный предотвратить проникновение угрозы еще на начальной стадии.

CMD EXE 32 вирус как удалить

У пользователя может вызвать недоумение появление командной строки, которая не была им вызвана. Вероятнее всего, дело в вирусе, а убрать автозапуск не составит труда.

CMD EXE 32 вирус как удалить

Из-за чего возникает и насколько опасно

Причина открываемого системой окна может скрываться как во вредоносных приложениях, так и быть вызванной безопасными факторами. Стоит рассмотреть три главные причины запуска, которые характерны для большинства пользователей:

  1. Открытие любого приложения, которое было запланировано пользователем заранее. Обновления начнут сразу же загружаться.
  2. Если пользователь ранее скачивал различные программы из интернета, то данное приложение может автоматически начать запускаться.
  3. Вирус, что является наиболее вероятной причиной, если выскакивает беспричинно командная строка. Таким образом он активизируется во время загрузки компьютера.

Вирус запускает «Командную строку»

Также стоит рассмотреть случаи, когда подобная ситуация возникает:

  1. Чаще всего это случается сразу же после загрузки Виндовс, пользователь еще не успевает ничего предпринять. В большинстве случаев данная ситуация – не всегда показатель вируса. Вполне вероятно, что некоторые составляющие ПК попросту устарели, их нужно заменить.
  2. Командная строка появляется беспричинно во время работы за компьютером, при этом через некоторое время возникает вновь. Пользователь может вовсе ничего не делать за ПК, окно появляется само. Вот это уже показатель возможного заражения вирусом.

Какими могут быть последствия

Примечание! Все будет зависеть от того, в какое время появляется случайно возникающая командная строка. Если при самом начале загрузки, то в 90% случаев достаточно просто заменить устаревшие запчасти компьютера или оставить все без изменений.

Запчасти компьютера

Также такая ситуация может возникнуть у пользователей ОС Виндовс 10, которая требует большой процент производительности ПК, вследствие чего возникают случайные неполадки и зависания.

А второй случай требует детального рассмотрения, так как с вирусами бороться сложнее.

Определение проблемы

Для начала стоит определить, насколько всплывающая командная строка опасна для работы системы.

    Запускаем окно «Выполнить» (Win+R на клавиатуре).

Запускаем окно «Выполнить»

Во вкладке «Общие» ставим галочку возле «Диагностический запуск»

Как избавиться от вируса

В данной ситуации прекрасным помощником может оказаться программа «CCleaner». Ее нужно скачивать только с официальных источников, а не с непроверенных сайтов, во избежание еще большего заражения вирусами.

    При установке в самом верху экрана можно выбрать язык. По умолчанию в большинстве случаев уже стоит русскоязычная версия, но при желании можно изменить на украинский язык или другой. Если пользователь не пользуется браузером «Google Chrome», то внизу экрана будет стоять соответствующая галочка. При установке программы появится и этот браузер, однако эту галочку можно снять. Теперь нужно нажать кнопку «Установить».

Устанавливаем программу

В пункте «Очистка» нажимаем на кнопку «Очистка»

Окно после сканирования с завершённой очисткой

В разделе «Реестр» нажимаем на кнопку «Поиск проблем»

Нажимаем на «Исправить избранное»

Отключаем из «Автозагрузки» не нужные программы

Еще один способ для пользователей Windows 10

Примечание! Обычно использования программы «Ccleancer» целиком хватает для того, чтобы избавить компьютер от вируса . Однако можно прибегнуть и к его удалению через командную строку. Данный способ актуален для тех пользователей, которые пользуются ОС Windows 10.

  1. Для начала нужно зайти в консоль. Чтобы это сделать, понадобится нажать на кнопку «Пуск» в левом углу, в строке поиска прописать «cmd». Система сразу же выдаст приложение «Командная строка», на которое нужно нажать правой кнопкой мыши и кликнуть на «Запустить от имени администратора».

Запускаем «Командная строка» от имени администратора

В появившемся окне пишем команду, что запустит процесс сканирования

После всех проделанных действий вирус больше не должен появиться. В противном случае потребуется обратиться в сервисный центр.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *