Чаще всего вирусу для работы, а точнее, для выполнения своих прямых деструктивных обязанностей, необходимо запускаться не один раз, а постоянно. И здесь вирусам настоящее раздолье, т.к. ассортимент мест запуска очень велик. Если вы подозреваете, что заразились (тот, с кем вы общались, был недостаточно чистоплотен), а сыворотки (антивируса:) под рукой нет или старенький он, то можно попробовать просмотреть на предмет подозрительного основные места автозагрузки.
Кое-что из этого можно использовать не только для поиска автозапуска вирусов, но и для избавления от всяких назойливых программ или напоминателей о том, что пора бы зарегистрироваться.
Реестр
Большинство троянских лошадей любят вскакивать в память на полном ходу именно из реестра. Чаще всего их конюшня находится по адресу HKLM\Software\Microsoft\Windows\CurrentVersion в разделах: \Run, \RunOnce, \RunServices, \RunServices Once, HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit, а также в HKCU\Software\Microsoft\Windows\CurrentVersion в разделах \Run, \RunOnce, \RunServices, \RunServicesOnce и HKCU\Software\Microsoft\WindowsNT\CurrentVersion\Windows.
Внимательно просмотрите все ключи. Если в чем-то сомневаетесь, сделайте экспорт этой ветки реестра в файл и смело удаляйте подозрительный ключ. Если удалили что-то не то, всегда будет возможность восстановить реестр из файла, который вы экспортировали.
Следующим по списку будет пункт "Изменить" (Edit) в контекстном меню командных файлов. Например, если выбрать любой bat-файл, кликнуть его правой кнопкой и выбрать "Изменить", по умолчанию запускается notepad.exe. Это задается в HKCR\batfile\shell\edit\command. Таким образом, ничто не мешает присвоить этим параметрам C:\WINDOWS\troyan. exe %1, что будет запускать troyan.exe всегда, когда редактируется bat-файл. Однако можно назначить команду не только для редактирования, но и для запуска bat-файла в HKCR\batfile\shell\open\command, а также в HKLM\Software\CLASSES\batfile\shell\open\command. Данной болезнью могут страдать не только командные файлы, но и .exe-, .com-, .hta-, .pif-файлы. Это задается в HKCR\exefile\shell\open\command, HKCR\comfile\shell\open\command, HKCR\htafile\Shell\Open\Command, HKCR\piffile\shell\open\command, и в HKLM\Software\CLASSES в разделах, \comfile\shell\ open\command, \exefile\shell\open\command, \htafile\Shell\Open\Command, \piffile\shell\open\command.
ICQ
Тетя Ася - тоже хорошая мишень для вирусописателей. В разделе HKCU\Software\Mirabilis\ICQ\Agent\Apps\ указываются приложения, которые запускаются, когда ICQ чувствует своим чутким носиком соединение с такой сильно и приятно пахнущей вещью, как интернет.
Автозапуск CD
Чаще всего это встречается, когда вставляешь CD в дисковод, однако это возможно и для локального жесткого диска. Ответственен за это небольшой файл autorun.inf, содержащий следующее:
[autorun] OPEN=AUTORUN.EXE
Запускается файл, находящийся на CD, то есть autorun.exe... Переправить строку с autorun.exe на troyan.exe не составит труда. Предположим, что злоумышленник (или шутник:) имеет доступ к какому-либо диску (но не к флопику). Он закидывает туда autorun.inf, троянчика и ждет, пока кто-нибудь не зайдет на этот диск.
Решение: для отключения автозапуска программ при загрузке CD нужно поставить ключ реестра в значение 0: HKCU\SYSTEM\CurrentControlSet\Services\CDRom\Autorun
Если нужно избежать запуска программ с конкретного CD, то просто при его загрузке надо удерживать Shift.
С локальным диском еще проще: нажимаем правую кнопку и кликаем "Проводник".
Автозагрузка
C:\windows\start menu\programs\startup, а также в профилях каждого из пользователей.
В этом месте можно указать, какие программы надо запускать вместе с системой. Здесь фантазия безгранична: можно положить просто трояна, создать lnk-файл на него или reg-файл, который сам добавится к определенной ветке реестра.
Решение: при загрузке системы удерживать клавишу Shift. Если это не работает, нужно в реестре поставить ключ реестра в значение 0: HKLM\Software\Microsoft\WindowsNT\Current Version\Winlogon\IgnoreShiftOveride.
Назначенные задания
С помощью этой утилиты можно запустить что угодно и как угодно часто. Я всегда отключаю ее сразу после установки Windows (только память занимает). Сделать это можно следующим образом в окне самой программы: дополнительно/остановить планировщик.
Аналог для WinNT. Команда AT и Scheduler:
Чтобы запускать программу в определенное время, можно использовать AT.
c:\> at 20:00 <команда>
Решение проблемы: отключение Schedule в апплете Services или через командную строку c:\>net stop schedule
c:\Autoexec.bat
Для отключения анализа autoexec.bat при загрузке нужно поставить ключ реестра в значение 0: HKCU\Software\Microsoft\Windows NT\ CurrentVersion\Winlogon\ ParseAutoexec
c:\windows\Win.ini
Здесь любят прописываться не только принтеры HP.
[windows] load=troyan.exe run=troyan.exe c:\windows\System.ini Shell=Explorer.exe file.exe
Помимо того, что указывается используемая оболочка Explorer (Windows9x) или Progman.exe (Windows3.x) здесь можно случайно запустить файлик.
c:\windows\winstart.bat
Запускается всегда без исключений.
c:\windows\wininit.ini
Этот файл запускается один раз невидимо для пользователя и стирается. Используется для установки различными инсталляторами:
[Rename] NUL=c:\windows\troyan.exe
Explorer.exe
WindowsNT/2000 по умолчанию ищут на ощупь explorer.exe в корневом каталоге диска - видимо, не могут без поводыря. И если злоумышленник имеет доступ к корню, он кладет туда трояна с именем explorer.exe.
Решить проблему можно, установив патч. Дополнительная информация www.microsoft.com/TechNet/security/bulletin/fq00-052.asp
Похожая проблема есть и в Windows95/98. Правда, название файла win.com.
Это практически все места, откуда что-либо может самостоятельно запуститься. А так как это практически все места, используйте антивирусы, а также достаточно часто их обновляйте, и будете здоровы.
Максим ШИМАНСКИЙ,
[email protected]
Горячие темы