"Little" este numele virusului, care este distribuit pe un suport amovibil într-un folder ascuns "portabil". Acest virus este scris în Visual Basic și are o dimensiune de 188 KB.
Poate că nu ar trebui să-și petreacă timp cercetarea virusului, scris de unii licean pe opționale clase de informatică, dar noi trebuie să plătească tribut pentru creatorul virusului: Atacatorul a însușit o nouă cheie de registry [HKEY_CURRENT_USER \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon]. Înainte de aceasta, creatorii de virusi sunt tineri doar știa de existența programului de pornire secțiunea: [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run]. Mai târziu, elevii ghicit pentru a utiliza tasta «Shell» pentru a începe cu virusul «explorer.exe» programul.
Astfel, virusul Little.exe la pornire este copiat în directorul «C: \ Users \ test-PC \ AppData \ Roaming \», în cazul în care fișierul executabil este numit «insnts.exe». Trebuie remarcat, un astfel de comportament a virusului au tendința de a rula pe sistemul de operare Windows 7. În Windows XP, calea de fișier va fi diferit, ca implicit în Windows XP, utilizatorul rulează ca root, respectiv, virusul va primi mai multe puteri. Cu toate acestea, virusul a început sub contul de utilizator normal în Windows 7 și a înregistrat pentru a rula într-o cheie de registru accesibil.
După ce am descoperit virusul în sistem, am încercat imediat să îl elimin și să uit de el, dar virusul nu a renunțat. În lista de procese, virusul nu a fost afișat, dar nu sa permis să fie șters prin ștergere simplă, deoarece a fost folosit de un alt proces sau mai degrabă de "explorer.exe".
Al doilea lucru pe care am încercat să iau - este de a edita «Shell» cheie de ramură de registry [HKEY_CURRENT_USER \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon], dar virusul a adăugat din nou calea către fișierul executabil al virusului in «Shell» registru cheie.
Desigur, dacă încercați să încărcați o listă de «explorer.exe» procese, «insnts.exe» fișier virus poate fi sters fara probleme, dar puteți face mult mai interesant, așa cum voi explica mai jos.
După cum am văzut, atunci când executați un virus registre în registrul de sistem în conformitate cu [HKEY_CURRENT_USER \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon]:
Malware-ul a schimbat parametrul de cheie «Shell» registru «explorer.exe» pe «explorer.exe, C: \ Users \ test-PC \ AppData \ Roaming \ insnts.exe», adică, în plus față de lansarea «explorer.exe» la computerul începe să boot-eze ca un virus. «Test-PC» aici este numele contului, ar fi logic să se presupună că numele contului va fi diferit, dar esența nu se va schimba.
Dacă nu știți ce cont lucrați sau unde găsiți cheia Shell, deschideți registrul de sistem după cum urmează: apăsați "Win + R" și apare fereastra "Run".
Introduceți comanda «regedit» în această fereastră și faceți clic pe «OK». Acum dezvăluie în mod constant sucursală registru [HKEY_CURRENT_USER \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon] și selectând ramura «Winlogon», pe dreapta, veți vedea «Shell» cheia de registry.
Puteți experimenta cu eliminarea sau modificarea «Shell» parametru cheie, dar virusul va verifica șirul de parametri cheie «C: \ Users \ test-PC \ AppData \ Roaming \ insnts.exe». Dacă încercați să modificați sau să adăugați orice literă sau caracter la această linie, virusul repetă imediat calea către fișierul executabil al virusului în parametrul cheie Shell. Când ștergeți cheia Shell, virusul o creează instantaneu din nou. Ce se poate face atunci când este imposibil să editați cheia de care avem nevoie?
Să scriem un fișier simplu Bat. Deci, deschideți Notepad-ul și scrieți în el următoarele două linii:
attrib -s -h -r C: \ Utilizatori \ Test-PC \ AppData \ Roaming \ insnts.exe
Să ne ocupăm de parametrul modificat. În citate avem calea către fișierul Bat pe care l-am scris. Mai departe după virgulă este lansarea programului "explorer.exe", apoi din nou se face o virgulă și o linie slash directă, și numai după aceasta calea către virusul "Little.exe".
Ce se întâmplă aici și de ce virusul nu schimbă nimic acum? Răspunsul este simplu: înainte de calea către fișierul executabil am adăugat o slash directă, iar virusul nu a observat nicio modificare.
A doua linie deja șterge fișierul din care am eliminat atributele. Ștergerea are loc cu comanda "del". Pentru ca computerul să știe ce fișier va fi șters, comanda "del" indică calea completă la fișier.
Dacă executați acum fișierul nostru «DelLittle.bat», nimic nu se va întâmpla, pentru că fișierul este în «explorer.exe» cerere. Prin urmare, ne-am schimbat «Shell» modul cheie: «D: \ DelLittle.bat, explorer.exe, / C: \ Users \ test-PC \ AppData \ Roaming \ insnts.exe».
Când computerul pornește, va porni "DelLittle.bat" creat de noi și apoi va începe "explorer.exe", iar fișierul virusului nu va porni, de vreme ce am introdus o linie slash directă după virgulă. Aveți grijă, dacă puneți o bară în fața unei virgule, programul "explorer.exe" nu pornește și veți vedea numai ecranul negru. Deși nu se va întâmpla nimic teribil, virusul va fi șters. Prin urmare, este important să instalați corect o tăietură directă, astfel încât virusul să nu poată porni și din moment ce tot ce este în partea dreaptă a coloanei va fi considerat un parametru suplimentar. Ar fi rezonabil să presupunem că programul "explorer.exe" nu are parametrul "C: \ Users \ Test-PC \ AppData \ Roaming \ insnts.exe", deci nimic nu se va întâmpla.
După aceste manipulări, reporniți computerul. După pornirea calculatorului, putem verifica absența fișierului "insnts.exe" în dosarul "C: \ Users \ Test-PC \ AppData \ Roaming". Putem corecta corect parametrii cheii "Shell". Ștergeți totul, cu excepția "explorer.exe". Acest lucru înseamnă că în parametrul cheie nu ar trebui să existe virgule, nu slash-uri, ci numai programul Explorer "explorer.exe".
În acest caz, puteți pune un punct imens sau, mai degrabă, apăsați butonul "Enter" după editarea parametrului tastei "Shell".
Ca site-ul? Spune-le prietenilor:
Trimiteți-le prietenilor: