Вирус vs антивирус – кто кого?..
Эксперты ВОЛИ совместно со специалистами «Доктор Веб» акцентируют внимание интернет-пользователей на наиболее опасных вирусах ...
Разнообразие вредоносных программ и изобретательность «вирусописателей» не знает границ. Каждый день появляются десятки и сотни новых вредоносных программ, цель которых – усложнить жизнь рядовых граждан. И это еще не самое страшное. Зачастую намерения злоумышленников до банального просты – украсть то, что принадлежит пользователям, будь то деньги, пароли или ценная информация. Именно поэтому компания ВОЛЯ предложила всем своим интернет-абонентам простой и надежный способ избежать подобных проблем. Антивирус по подписке становится все более актуальным средством полноценной информационной защиты.
Как отмечают эксперты ВОЛИ, дополнительный сервис «Защита от вирусов и СПАМа Dr.Web» пользуется заслуженной популярностью среди клиентов компании, поскольку антивирус действительно защищает. Об этом свидетельствует статистика успешных «детектов» (предотвращение заражения) на компьютерах клиентов ВОЛИ.
Вот топ-10 вирусов*, которые Dr.Web обнаружил и обезвредил в сети компании ВОЛЯ за последние 90 дней:
Вирус | Количество "детектов" |
Win32.HLLP.Neshta | 3 028 689 |
SCRIPT.Virus | 123 977 |
Win32.HLLW.Gavir.ini | 41 969 |
Trojan.DownLoader1.33930 | 40 009 |
Win32.HLLW.Autoruner.based | 36 289 |
Win32.HLLP.Whboy | 12 054 |
Trojan.Inor | 7472 |
Win32.HLLW.Autoruner.5555 | 6407 |
Win32.HLLP.Rox.17 | 6259 |
Win32.HLLP.Rox | 4594 |
*Данные предоставлены специалистами «Доктор Веб».
Эксперты ВОЛИ совместно со специалистами «Доктор Веб» акцентируют внимание интернет-пользователей на наиболее опасных представителях этого списка.
Win32.HLLP.Neshta
Распространенный файловый вирус, который предположительно был создан белорусскими студентами осенью 2005 года. В свое время Neshta, имя которого происходит от белорусского «нешта» («нечто», «что-то») и вполне годится для названия фильма ужасов, стал печально известен по всей Беларуси и в некоторых странах СНГ: вирус широко распространился на территории этих стран, доставив массу неудобств ряду компаний. Так, в 2007 году вирус на несколько дней парализовал работу белорусского коммерческого банка «Технобанк» и, следовательно, привел к ощутимым финансовым потерям.
Интересно, что создатели вируса «вшили» в его тело своеобразное послание миру, передав привет всем белорусским девушкам и заодно Александру Григорьевичу Лукашенко, а в конце послания философски отметив, что «осень – плохая пора, а «Аливария» (марка белорусского пива) – лучшее пиво».
После того как вирус активируется в системе (зачастую самим же пользователем), он копирует себя в файл svchost.com в директории Windows и регистрируется в системном реестре HKCRexefileshellopencommand. Это приводит к тому, что запуск любого exe-файла сопровождается активацией вируса и заражением файла. Затем вредоносная программа начинает сканировать логические диски компьютера в поисках других исполняемых файлов. Таким образом, вирус способен в очень короткие сроки заразить всю систему.
SCRIPT.Virus
Скрипт-вирус – общее название для семейства вредоносных программ, написанных на языках Visual Basic, Basic Script, Java Script, Jscript и представляющих собой файлы-сценарии, или инструкции для исполнения. Интерпретаторы перечисленных языков программирования по умолчанию входят в состав операционных систем, в том числе Windows. Именно поэтому при активации вируса операционная система без труда «понимает» вредоносный сценарий и дает ему ход. Чаще всего такие вирусы называют интернет-червями.
Обычно скрипт-вирусы прорываются в компьютер пользователя через почтовые сообщения с вложенными в них файлами-сценариями. Например, в начале двухтысячных широкое распространение получили вирусы LoveLetter и Anna Kournikova. Особенность этих «любовных писем» была в том, что по внешнему виду они напоминали обычный jpg-файл – якобы безобидную картинку. Но это была всего лишь видимость: файлы имели так называемое двойное расширение. Так, в файле AnnaKournikova.jpg.vbs обозначение «.jpg» – это часть имени, а «.vbs» – его настоящее расширение, которое Windows прекрасно знает. Вследствие этого операционная система скрывает расширение, оставляя только имя файла – в нашем случае он будет выглядеть, как AnnaKournikova.jpg. К сожалению, неискушенные пользователи, ни о чем не подозревая, собственноручно открывает вирусу двери в систему, запуская подобные «безобидные» файлы. Естественно, имя файла может быть самым разным, главное, чтобы пользователю захотелось его открыть.
Win32.HLLW.Gavir.ini
Сетевой червь, написанный на языке программирования Delphi. Попадая в систему, вирус прописывается в процессе rundl132.exe и тем самым обеспечивает себе автозагрузку при каждом запуске Windows. После активации вирус сканирует логические диски компьютера и сетевые ресурсы в поисках exe-файлов, а затем заражает их. Также червь ищет в сети активные компьютеры с пустым администраторским паролем или с правами текущего пользователя. Найдя подобный компьютер, вирус создает на нем свою копию и запускает ее – и так до бесконечности. Файлы, инфицированные этим вирусом, корректно лечатся антивирусным сканером Dr.Web.
Win32.HLLW.Autoruner.based (Win32.HLLW.Autoruner.5555)
«Флешечный» червь, который проникает в систему в основном через съёмные носители и сетевые диски, пользуясь встроенным в ОС Windows механизмом автозапуска. Некоторые его модификации определяются антивирусом Dr.Web как Win32.HLLW.Autorunner.5555.
После активации вирус внедряется в системные процессы Windows, останавливает службу обновления ОС, а также обеспечивает себе автозапуск после перезагрузки системы. Кроме того, червь способен блокировать пользователю доступ к сайтам целого ряда антивирусных компаний. Также вредоносная программа может увеличить стандартное для системы ограничение на количество одновременных сетевых подключений.
Основной целью этого червя является создание бот-сети, которая может состоять из множества зараженных компьютеров. Скрытно используя ресурсы этих компьютеров, злоумышленники занимаются нелегальной или полулегальной деятельностью – рассылают спам, перебирают пароли или атакуют различные ресурсы «на отказ обслуживания» (DDoS-атаки). Кроме того, бот-сеть может быть продана: действующие бот-сети пользуются большим спросом среди хакеров.
Win32.HLLP.Whboy
Червь китайского происхождения, который проникает в систему через уязвимости в браузере при посещении специально сформированной веб-страницы, а также посредством сетевых ресурсов и сменных носителей. Некоторые версии внедряются в исполняемые файлы, другие распространяют файлы-дропперы, которые предназначены для скрытной установки вирусов, содержащихся в их теле, на компьютер пользователя.
Ранние версии вируса заражали исключительно китайскую версию Windows. После активации червя на зараженном компьютере работа ОС затруднялась, происходило изменение Рабочего стола: все значки превращались в изображения панды, держащей у себя в лапах китайские ароматические свечи. Однако основной вред от этого вируса заключается в том, что он может поразить локальную сеть целой организации, блокируя выполнение важных системных процессов, необходимых для нормальной работы компьютера, и препятствуя запуску различных приложений.
Эксперты компании ВОЛЯ настоятельно рекомендуют поддерживать актуальность компьютерных программ для защиты системы от вторжений и вирусов, поскольку последние выполняют с ПК абонентов внешние атаки, рассылки спама и т.д. В результате не только расходуется трафик абонента и перегружается интернет-канал, но и возникает угроза включения IP-адреса абонента в черные списки. Разумеется, в таких случаях специалисты ВОЛИ принимают необходимые меры, уведомляя абонента о спам-рассылке, ведущейся с его ПК. Однако и абоненты, в свою очередь, должны быстро реагировать на подобные уведомления, ведь комфорт для всех пользователей и безопасность сети можно обеспечить только совместными усилиями.
ВОЛЯ напоминает, что вводить какие-либо персональные данные на сайтах без корректной проверки сертификатов безопасности (замок /https в строке, где указан URL сайта) опасно. Внимательность и осторожность в таких случаях – обязательные условия защиты персонального компьютера.
Служба поддержки ВОЛИ и «Доктор Веб» также выражают свою готовность прийти пользователям на помощь при возникновении любых вопросов, связанных с дополнительным сервисом «Защита от вирусов и СПАМа Dr.Web».
Материал предоставлен пресс-службой компании "Воля"