Основные признаки присутствия на компьютере вредоносных программ
Задание 3. Элементы автозапуска
Вредоносная программа, так же как любая другая программа, для работы нуждается в запуске. При этом возможно два варианта – сделать так, чтобы пользователь сам запустил вредоносную программу, либо внедриться в конфигурационные файлы и запускаться одновременно с легитимными программами. Оптимальным вариантом для вредоносной программы является "прописывание" себя в автозагрузку при запуске операционной системы.
- Самый простой способ добавить какую-либо программу в автозагрузку - это поместить ее ярлык в раздел Автозагрузка системного меню Пуск / Программы. По умолчанию, сразу после установки операционной системы этот раздел пуст.
- Добавьте в список автозагрузки свою программу (создайте ярлык на любую программу, например Калькулятор или Блокнот и поместите его в группу Автозагрузка). Для этого дважды щелкните левой клавишей мыши по названию группы Автозагрузка. Откроется папка автозагрузки в стандартном окне –
рис.
19.14. По умолчанию путь к папке следующий:
C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка
Всё, что нужно сделать, для того, чтобы программа запускалась автоматически при запуске операционной системы – поместить в данную папку ее ярлык.
- Закройте окно и убедитесь, что теперь раздел Автозагрузка в меню Пуск / Программы содержит Paint.
- Перезагрузите компьютер. Убедитесь, что в процессе загрузки операционной системы автоматически запустился Paint.
- Отсутствие подозрительных ярлыков в разделе Автозагрузка системного меню Пуск / Программы, к сожалению, не гарантирует, что ни одна вредоносная программа не запускается автоматически. Технически для автозапуска нужно добавить соответствующую запись в системный реестр операционной системы.
Несмотря на то, что реестр Windows очень большой, существует оболочка, позволяющая с ним работать напрямую - regedit. Но делать это рекомендуется только в крайнем случае. Для большинства ситуаций, связанных с автозапуском, достаточно использовать системную утилиту Настройка системы .
Запустите ее. Для этого откройте системное меню Пуск и перейдите к пункту Выполнить и в открывшемся окне Запуск программы наберите msconfig и нажмите OK.
- Ознакомьтесь с внешним видом окна утилиты Настройка системы.
На первой закладке Общие, можно выбрать вариант запуска операционной системы. По умолчанию отмечен Обычный запуск. Он обеспечивает максимальную функциональность системы. Остальные два варианта запуска предназначены для диагностики.
Диагностический запуск рекомендуется использовать также при подтвердившемся наличии вредоносной программы - если компьютер уже заражен, сразу установить антивирус в ряде случаев нельзя, например, если вирус сознательно блокирует запуск ряда антивирусных программ. Тогда, если нет возможности удалить или хотя бы временно обезвредить вирус вручную, рекомендует запустить операционную систему в безопасном режиме, инсталлировать антивирус и сразу же проверить весь жесткий диск на наличие вирусов.
- Ознакомьтесь со списком запускаемых драйверов и других параметров операционной системы, перейдя к закладке SYSTEM.INI . Тут отображаются все ссылки, указанные в одноименном системном файле.
- Перейдите к аналогичной закладке WIN.INI и ознакомьтесь с ее содержимым.
- Следующая закладка BOOT.INI также отображает данные из одноименного файла. Как и предыдущие две, она также содержит системную информацию. Изменять ее можно только обладая соответствующими знаниями!
- Перейдите на закладку Службы. Здесь представлен список всех служб, установленных в системе. Каждая служба представляет собой некое приложение, работающее в фоновом режиме. Например, антивирусный комплекс, обеспечивающий постоянную защиту, также встраивает свою службу, следовательно, она должна присутствовать в этом перечне. Так же и вирус может установить свою службу в системе.
- Перейдите к последней закладке Автозагрузка и убедитесь, что в списке приложений, автоматически запускаемых при загрузке системы, есть Paint.
- Отключите автоматическую загрузку Paint, убрав галочку напротив него в столбце Элемент автозагрузки и нажмите ОК. В открывшемся окне согласитесь на перезагрузку.
- После того, как компьютер перезагрузится, система выведет предупреждение в виде окна, представленного на рис. 19.23.
- Откройте окно Настройка системы. Обратите внимание, что теперь используется не обычный запуск, а выборочный. При этом полностью обрабатываются все элементы файлов SYSTEM.INI, WIN.INI и BOOT.INI, загружаются все службы, но флаг Загружать элементы автозагрузки затенен. Это означает неполную загрузку .
- Перейдите к закладке Автозагрузка и убедитесь, что ее вид не изменился - Paint все так же присутствует в списке, но отключен.
- Не закрывая окна Настройка системы проверьте, что Paint автоматически не запустился и раздел Пуск / Программы / Автозагрузка теперь снова пуст.
- Необходимо учесть, что если выбрать после изменений Обычную загрузку – все файлы, находящиеся на вкладке Автозагрузка будут запускаться снова, в том числе и Paint.