Вирус vs антивирус – кто кого?..

Разнообразие вредоносных программ и изобретательность «вирусописателей» не знает границ. Каждый день появляются десятки и сотни новых вредоносных программ, цель которых – усложнить жизнь рядовых граждан. И это еще не самое страшное. Зачастую намерения злоумышленников до банального просты – украсть то, что принадлежит пользователям, будь то деньги, пароли или ценная информация. Именно поэтому компания ВОЛЯ предложила всем своим интернет-абонентам простой и надежный способ избежать подобных проблем. Антивирус по подписке становится все более актуальным средством полноценной информационной защиты.

Как отмечают эксперты ВОЛИ, дополнительный сервис «Защита от вирусов и СПАМа Dr.Web» пользуется заслуженной популярностью среди клиентов компании, поскольку антивирус действительно защищает. Об этом свидетельствует статистика успешных «детектов» (предотвращение заражения) на компьютерах клиентов ВОЛИ.

Вот топ-10 вирусов*, которые Dr.Web обнаружил и обезвредил в сети компании ВОЛЯ за последние 90 дней:

*Данные предоставлены специалистами «Доктор Веб».

Эксперты ВОЛИ совместно со специалистами «Доктор Веб» акцентируют внимание интернет-пользователей на наиболее опасных представителях этого списка.

Win32.HLLP.Neshta

Распространенный файловый вирус, который предположительно был создан белорусскими студентами осенью 2005 года. В свое время Neshta, имя которого происходит от белорусского «нешта» («нечто», «что-то») и вполне годится для названия фильма ужасов, стал печально известен по всей Беларуси и в некоторых странах СНГ: вирус широко распространился на территории этих стран, доставив массу неудобств ряду компаний. Так, в 2007 году вирус на несколько дней парализовал работу белорусского коммерческого банка «Технобанк» и, следовательно, привел к ощутимым финансовым потерям.

Интересно, что создатели вируса «вшили» в его тело своеобразное послание миру, передав привет всем белорусским девушкам и заодно Александру Григорьевичу Лукашенко, а в конце послания философски отметив, что «осень – плохая пора, а «Аливария» (марка белорусского пива) – лучшее пиво».

После того как вирус активируется в системе (зачастую самим же пользователем), он копирует себя в файл svchost.com в директории Windows и регистрируется в системном реестре HKCRexefileshellopencommand. Это приводит к тому, что запуск любого exe-файла сопровождается активацией вируса и заражением файла. Затем вредоносная программа начинает сканировать логические диски компьютера в поисках других исполняемых файлов. Таким образом, вирус способен в очень короткие сроки заразить всю систему.

SCRIPT.Virus

Скрипт-вирус – общее название для семейства вредоносных программ, написанных на языках Visual Basic, Basic Script, Java Script, Jscript и представляющих собой файлы-сценарии, или инструкции для исполнения. Интерпретаторы перечисленных языков программирования по умолчанию входят в состав операционных систем, в том числе Windows. Именно поэтому при активации вируса операционная система без труда «понимает» вредоносный сценарий и дает ему ход. Чаще всего такие вирусы называют интернет-червями.

Обычно скрипт-вирусы прорываются в компьютер пользователя через почтовые сообщения с вложенными в них файлами-сценариями. Например, в начале двухтысячных широкое распространение получили вирусы LoveLetter и Anna Kournikova. Особенность этих «любовных писем» была в том, что по внешнему виду они напоминали обычный jpg-файл – якобы безобидную картинку. Но это была всего лишь видимость: файлы имели так называемое двойное расширение. Так, в файле AnnaKournikova.jpg.vbs обозначение «.jpg» – это часть имени, а «.vbs» – его настоящее расширение, которое Windows прекрасно знает. Вследствие этого операционная система скрывает расширение, оставляя только имя файла – в нашем случае он будет выглядеть, как AnnaKournikova.jpg. К сожалению, неискушенные пользователи, ни о чем не подозревая, собственноручно открывает вирусу двери в систему, запуская подобные «безобидные» файлы. Естественно, имя файла может быть самым разным, главное, чтобы пользователю захотелось его открыть.

Win32.HLLW.Gavir.ini

Сетевой червь, написанный на языке программирования Delphi. Попадая в систему, вирус прописывается в процессе rundl132.exe и тем самым обеспечивает себе автозагрузку при каждом запуске Windows. После активации вирус сканирует логические диски компьютера и сетевые ресурсы в поисках exe-файлов, а затем заражает их. Также червь ищет в сети активные компьютеры с пустым администраторским паролем или с правами текущего пользователя. Найдя подобный компьютер, вирус создает на нем свою копию и запускает ее – и так до бесконечности. Файлы, инфицированные этим вирусом, корректно лечатся антивирусным сканером Dr.Web.

Win32.HLLW.Autoruner.based (Win32.HLLW.Autoruner.5555)

«Флешечный» червь, который проникает в систему в основном через съёмные носители и сетевые диски, пользуясь встроенным в ОС Windows механизмом автозапуска. Некоторые его модификации определяются антивирусом Dr.Web как Win32.HLLW.Autorunner.5555.

После активации вирус внедряется в системные процессы Windows, останавливает службу обновления ОС, а также обеспечивает себе автозапуск после перезагрузки системы. Кроме того, червь способен блокировать пользователю доступ к сайтам целого ряда антивирусных компаний. Также вредоносная программа может увеличить стандартное для системы ограничение на количество одновременных сетевых подключений.

Основной целью этого червя является создание бот-сети, которая может состоять из множества зараженных компьютеров. Скрытно используя ресурсы этих компьютеров, злоумышленники занимаются нелегальной или полулегальной деятельностью – рассылают спам, перебирают пароли или атакуют различные ресурсы «на отказ обслуживания» (DDoS-атаки). Кроме того, бот-сеть может быть продана: действующие бот-сети пользуются большим спросом среди хакеров.

Win32.HLLP.Whboy

Червь китайского происхождения, который проникает в систему через уязвимости в браузере при посещении специально сформированной веб-страницы, а также посредством сетевых ресурсов и сменных носителей. Некоторые версии внедряются в исполняемые файлы, другие распространяют файлы-дропперы, которые предназначены для скрытной установки вирусов, содержащихся в их теле, на компьютер пользователя.

Ранние версии вируса заражали исключительно китайскую версию Windows. После активации червя на зараженном компьютере работа ОС затруднялась, происходило изменение Рабочего стола: все значки превращались в изображения панды, держащей у себя в лапах китайские ароматические свечи. Однако основной вред от этого вируса заключается в том, что он может поразить локальную сеть целой организации, блокируя выполнение важных системных процессов, необходимых для нормальной работы компьютера, и препятствуя запуску различных приложений.

Эксперты компании ВОЛЯ настоятельно рекомендуют поддерживать актуальность компьютерных программ для защиты системы от вторжений и вирусов, поскольку последние  выполняют с ПК абонентов внешние атаки, рассылки спама и т.д. В результате не только расходуется трафик абонента и перегружается интернет-канал, но и возникает угроза включения IP-адреса абонента в черные списки. Разумеется, в таких случаях специалисты ВОЛИ принимают необходимые меры, уведомляя абонента о спам-рассылке, ведущейся с его ПК.  Однако и абоненты, в свою очередь, должны быстро реагировать на подобные уведомления, ведь комфорт для всех пользователей и безопасность сети можно обеспечить только  совместными усилиями.

ВОЛЯ напоминает, что вводить какие-либо персональные данные на сайтах без корректной проверки сертификатов безопасности (замок /https в строке, где указан URL сайта) опасно. Внимательность и осторожность в таких случаях – обязательные условия защиты персонального компьютера.

Служба поддержки ВОЛИ и «Доктор Веб» также выражают свою готовность прийти пользователям на помощь при возникновении любых вопросов, связанных с дополнительным сервисом «Защита от вирусов и СПАМа Dr.Web».   

Материал предоставлен пресс-службой компании "Воля"