Вирусы и другой вредоносный код

       

Как вирус попадает в память?


Прежде всего, следует помнить, что вирус - это тоже программа, и для работы ей необходимо находиться в памяти. Работающий в памяти вирус становится одним из процессов Windows. Для того чтобы вирус попал в память, кто-то должен его запустить. Этих "кого-то" не так уж и много: загрузочный сектор HDD, "Автозагрузка", раздел реестра, сам пользователь и одна из программ, в которую внедрился вирус. Как правило, пользователь может запустить вирус один раз (непосредственно или косвенно в программе), и дальше вирус начнет размножаться и работать.

Из загрузочного сектора вирус попадает в память вместе с ОС в начале загрузки ПК.

В "Автозагрузку" он попадает в редких случаях. В реестре он может запускаться из ключа HREY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
или

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Run.

В первом ключе находятся обычные программы, которым нужно автоматически запускаться вместе с ОС.

Во втором находятся служебные программы и драйверы, которые запускаются первыми. В большинстве случаев вирус попадает в память с помощью составных системных или прикладных программ, зараженных вирусом.

В таких ОС, как Windows 98/ME, для распространения вируса по системным файлам нет никакой преграды. Но в Windows 2000/XP есть служба защиты системных файлов - то есть, если провести какие-либо изменения или удалить системный файл, то служба автоматически восстановит его и отобразит данное событие в системном журнале.

Прежде чем приступить к определению имени процесса, принадлежащего вирусу, необходимо обратить внимание на то, что вы можете по ошибке завершить и служебный процесс. Результат данного действия предсказать тяжело (это зависит от того, какой процесс завершить). К примеру, может зависнуть ПК. Или же исчезнет "Индикатор языка клавиатуры". Но в любом случае ваши личные файлы останутся целыми, пострадает только ОС (эта проблема решается простой ее переустановкой). Чтобы избежать таких ситуаций, необходимо в ОС Windows 2000/ХР не завершать процессы, которые запущены не от вашего имени. В ОС Windows 98/МЕ при использовании программы Amn Task Manager нужно обратить внимание на столбец "Авторские права". Процессы c авторскими правами, принадлежащими компании Microsoft, завершать не следует.



Содержание раздела