Погрози типу «вирус_ехе.ехе»: що це і як з ними боротися?

Додано: 31.05.16

Автор: admin

Сьогодні Інтернет є досить небезпечним віртуальним простором, звідки користувач може підхопити яку-небудь заразу в вигляді вірусу або виконуваного коду. Відносно недавно з'явилася нова різновид загроз, интерпретируемая як «вирус_ехе.ехе». Спробуємо розібратися в тому, як такі загрози впливають на систему, і як з ними боротися оптимальним способом.

Вірус видаляє файли EXE або блокує їх: наслідки впливу

Віруси, що впливають саме на виконувані файли, відомі досить давно (ще з часів DOS, коли Windows-систем і в помині не було). На зорі розвитку комп'ютерної техніки «екзешние» файли були самими основними в системі. Не дивно, що вірусні атаки були зосереджені саме на них. До речі, це стосується і деяких мобільних девайсів, що працюють під управлінням ОС Windows.

На жаль, сьогодні ситуація, коли вірус видаляє EXE-об'єкти, перейменовує їх подвійне розширення або просто замінює собою оригінальні файли, виглядає чи не катастрофічною. Власне, на системі це відображається так, що при запуску якоїсь програми Windows видає повідомлення про те, що такий об'єкт не знайдений або до нього немає доступу. Тут ситуація проявляється в декількох варіантах:

вірус просто видаляє виконуваний файл;

вірус інфікує об'єкт з подальшим блокуванням.

Як вже зрозуміло, в будь-якій ситуації система не розпізнає шуканий об'єкт. Частенько загрози цього типу проникають в систему, коли виробляється, наприклад, оновлення браузера або програми із сумнівного джерела. Багато юзери по недосвідченості відключають антивірусний захист або навіть розширення браузерів начебто AdBlock, які здатні блокувати спливаючі рекламні вікна, що випадають меню, автоматично завантажувані компоненти і т. д. Цього робити не можна ні в якому разі.

Вірус створює файли EXE: як це відбивається на системі?

Коли загроза починає впливати на заражений комп'ютер шляхом створення нових програмних компонентів, тут теж можна знайти кілька варіантів. У більшості випадків виділяють два основних:

створюється об'єкт з новою назвою «вірус»_exe.exe, де «вірус» – це ім'я файлу, або з оригінальним ім'ям;

вірус дублює «екзешние» файли, вбудовуючи в свої клони шкідливі коди.

У першому випадку знайти і знешкодити таку загрозу виявляється набагато простіше (трохи пізніше це буде показано на прикладі вірусу some-exe.exe). У другій ситуації справа йде трохи складніше, оскільки в більшості випадків сама загроза маскується під системний процес (досить згадати проблеми з об'єктами зразок svchost.exe).

Всі антивіруси годяться для лікування?

Що стосується засобів виявлення таких загроз, лікування заражених файлів або ізоляції вірусів в карантині, тут не все так просто. А багато безкоштовні антивірусні пакети взагалі не годяться. Відомо чимало випадків, коли ті ж безкоштовні пакети AVG і Bitdefender при виявленні погроз типу «вирус_ехе.ехе», які заражали виконувані файли (зауважте, не видаляли підміняли їх), при невдалій спробі лікування інфікованих об'єктів навіть не поміщали їх в карантин, а, що називається, безсовісно видаляли. До чого це призводило? До повної переінсталяції всієї системи.

Оптимальні засоби пошуку і видалення

Якщо вже задаватися питаннями ефективного і безпечного пошуку і лікування, тут варто звернути увагу на портативні утиліти начебто Dr. Web CureIt! або KVRT «Лабораторії Касперського».

Однак, як показує практика, для самого глибокого сканування (аж до оперативної і системної пам'яті) найпотужнішим засобом є спеціальні програми на зразок Kaspersky Rescue Disk. Принцип їх роботи полягає в тому, що спочатку створюється завантажувальний USB або оптичний носій, з якого відбувається запуск антивірусного сканера ще до завантаження Windows. При цьому такі сканери здатні знаходити навіть глибоко сховані або ретельно замасковані об'єкти, які не розпізнаються штатними або портативними антивірусами. Наприклад, вірус Windows, EXE-файли або папки (з додаванням в їх назву розширення .exe) визначаються досить швидко, в той час як штатні сканери створені об'єкти можуть пропускати. До того ж часто може змінюватися і шлях до системних файлів, в результаті чого звернення відбувається не до оригінального файлу, а до його небезпечної клону навіть на стадії завантаження.

Віруси типу «_exe.exe»: ручне видалення на прикладі загрози some_exe.exe

Тепер вивчимо різновид загроз з загальним назвою «вирус_ехе.ехе» на конкретному прикладі.

Як вже говорилося, виявити його можна досить просто. Для початку зупиняємо однойменний процес в Диспетчері завдань, а потім задаємо пошук в Провіднику або будь-якому іншому файловому менеджері, а в якості умови в рядок вписуємо або повне ім'я, або *exe.exe* (зірочки у рядку ставити обов'язково). В принципі, можна поступити простіше, оскільки сам файл «прописується» в папці System32. Видаляємо його звідти. Після цього видаляємо аналогічну динамічну бібліотеку some_dll.dll (якщо видалення неможливо, спочатку обидва об'єкта потрібно просто перейменувати).
Тепер заходимо в редактор системного реєстру (команда regedit у меню «Виконати», що викликається клавішами Win + R), де знову використовуємо пошук (або з головного меню, або комбінацією Ctrl + F). Ставимо в пошуку повна назва, а результати повністю видаляємо.

Якщо з якихось причин наслідки впливу вірусу все одно проявляються, знаходимо файл HOSTS, розташований в каталозі etc папку drivers, який у свою чергу знаходиться в теці System32 основного тома (Windows) на системному диску, відкриваємо його і видаляємо всі рядки, що знаходяться нижче значення «# ::1 localhost». Перевантажуємо систему, і все працює нормально. Як бачимо, при цьому навіть антивірусний сканер не потрібен.

Висновок

Ось коротко і все, що стосується вірусів, що впливають на виконуваний EXE-файли. Методика їх виявлення і блокування досить проста. Проте краще всього використовувати відновлювальні «диски порятунку», що не пропустити загрозу і не займатися її усуненням вручну.