Как устроены компьютерные вирусы. Введение в Реверс Инженеринг.

Самый распространенный способ поиска вредоносных программ — изучение списка запущенных процессов. Зная программы, которые сейчас запущены в системе, постоянно просматривая этот список, можно легко заметить появление новых элементов и сопоставить их с появлением проблем.

Методы анализа вредоносных программ

Чаще всего при анализе вредоносного программного обеспечения в нашем распоряжении будет только бинарник, то есть исполняемый файл или библиотека, скомпилированный в двоичном виде. Для того чтобы понять, как этот файл, а точнее его бинарный код работает, нужно будет использовать специальные инструменты и приемы.

Существует два основных подхода к анализу вредoносных программ: статический и динамический. При статическом анализе вредоносные программы изучают, не запуская малварь на исполнение. Динамический же анализ включает в себя запуск вредоносных программ и манипуляции с запущенным процессом в оперативной памяти.

Также оба метода условно можно разделить на базовый и продвинутый анализ. Базовый статический анализ состоит из изучения иcполняемого файла без просмотра машинных инструкций. По сути, это первичный анализ, который может либо подтвердить, либо опровергнуть предположение о том, что файл вредоносен. Базовый динамический анализ связан с запуском вредоносного кода и наблюдением его поведения в целевой системе с помощью специальных инструментов. Продвинутый статический анализ подразумевает под собой загрузку исполняемого файла в дизассемблер без запуска кода в оперативной памяти и просмотр ассемблерных инcтрукций на предмет того, что делает код программы в целевой системе. Продвинутый динамический анализ использует отладчик для изучения внутреннего состояния выполняемого кода в оперативной памяти.

[ad name=»Responbl»]

Выбор гипервизора

Гипервизор — программное обеспечение, которое позволяет создавать виртуальный компьютер (также называемый Виртуальная Машина или сокращенно ВМ), изолированный от настоящего. Мы воспользуемся гипервизором для создания отдельной системы Windows и заражения её вредоносным ПО без вреда для нас самих и наших данных.

Читайте также:  Какой чехол лучше всего выбрать для iPhone 11 Pro и 11 Pro Max

Я лично использую 5 разных гипервизоров, так как все они немного отличаются и подходят для разных задач. Расскажу, для чего использую каждый из них и почему.

VMware Workstation Pro — очень высокая производительность и, пожалуй, лучший гипервизор для запуска Windows. В нём есть множество дополнительных фичей, которые делают его полезным для сложных виртуальных сетей. VMware Workstation Player — урезанная и облегчённая версия Pro, отлично подходит для простых ВМ-настроек. Но отсутствие поддержки снапшотов делают его неподходящим для анализа уязвимостей. У меня он установлен на ноутбуке для проверки на ходу.

KVM — работает на Linux, есть классный плагин, позволяющий запускать больше ВМ, чем позволяет ОЗУ, при помощи дедупликации. KVM отлично подходит тем, что не позволяет вредоносной программе обнаружить, что она запущена в ВМ, так как большинство из них зависит от наличия особых артефактов VMWare или VirtualBox, а прочие гипервизоры не пытается обнаружить.

ESXi — это не гипервизор, который вы устанавливаете на операционную систему. Это гипервизор, который сам является операционной системой. Такой подход позволяет уменьшить оверхед, так как нет необходимости в каком-либо коде, кроме требуемого для запуска гипервизора.

VirtualBox — позволяет подделывать оборудование, на котором запущена ваша ВМ, тем самым не позволяя вредоносной программе догадаться, что она запущена в виртуальной машине, проверяя виртуальное/физическое оборудование или версию прошивки. Он бесплатный, простой в настройке и обладает большинством функционала, который есть в платных гипервизорах.

Новичкам я бы посоветовал использовать VirtualBox, так как он бесплатный, поддерживает большинство операционных систем, есть инструмент снапшота, что позволяет откатывать ВМ до сохранённой точки. Именно по этой причине в этом посте я использую VirtualBox.

Как найти на компьютере вирус майнер и удалить его?

Защита.

Разобраться с вирусом можно по такой схеме:

  1. Провести комплексную диагностику.
  2. Провести удаление майнера криптовалюты с помощью антивирусной программы или вручную, если защитник не видит майнер. Для ручного удаления нужно понимать, какой конкретно файл заражен.
Как найти на компьютере вирус майнер и удалить его?

Если человек не очень хорошо разбирается в компьютерах, то лучше всего отнести технику на диагностику к профессионалам и не пытаться самостоятельно удалять вирус.

Читайте также:  Как добавить фото в историю Инстаграм со смартфона и компьютера

Как обнаружить скрытый вирус майнер, лучшие антивирусы 2018

Avast Free Antivirus.AVG Antivirus.

Для сканирования можно воспользоваться такими программами:

Как найти на компьютере вирус майнер и удалить его?
  1. Avast Free Antivirus.
  2. IObit Malware Fighter.
  3. AVG Antivirus.
  4. Panda Antivirus.
  5. Antivirus.

Вопреки тому, что пишут в обзорах, не рекомендуется использовать программу Reimage Repair или Plumbytes Anti-Malware. В последнее время все больше пользователей, которые недовольны их работой.

Хорошие результаты при диагностике дают утилиты, например, AIDA64. Она предоставляет подробный отчет в формате HTML, в котором содержится информация обо всех установленных программах и состоянии ОС в целом.

Как удалить вирус майнер с компьютера, пошаговая инструкция для новичков

Advanced Boot Options.

Как найти на компьютере вирус майнер и удалить его?

После запуска сканирования антивирус покажет, какое вредоносное ПО он обнаружил, где находится троян, и предложит его удалить. Ничего сложного в такой процедуре нет, справится даже смелая бабушка.

Удаление вируса-майнера можно провести еще надежнее:

  1. Перезагрузить компьютер, при включении нажать клавишу F8 несколько раз. Это вызовет BIOS (консоль с черным экраном).
  2. Выбрать Advanced Boot Option, затем Safe Mood with Networking. Это безопасный режим.
  3. Появится практический обычный экран, на котором будет значок браузера. Запустить его, скачать качественный антивирус из упомянутых.
  4. Провести диагностику всей системы и отдельно системных папок. Удалить все ПО, которое антивирус маркирует как подозрительное.
  5. Перезагрузить компьютер, открыть Диспетчер задач, проверить работу системы на просмотре фильма в HD, убедиться, что кулер не шумит больше обычного.

Есть файлы, которые вообще не видны обычному пользователю. Например, в этом видео, блоггер наглядно показывает такие скрытые папки, и описывает, как проводить диагностику утилитой AIDA64, и как удалять вредоносное ПО.

В некоторых обзорах встречаются описания удаления конкретных файлов, содержащих вирус-майнер. Такая информация практически бесполезна, поскольку разновидностей вредоносных программ множество, и название файла может быть абсолютно любым. Если человек не очень хорошо разбирается в том, как должны выглядеть и называться нормальные программные файлы, то не стоит искать какой-то конкретный документ вручную и тратить на это время.

Как найти на компьютере вирус майнер и удалить его?

Расширения для браузера

Несмотря на то, что разработчики браузеров хотят максимально обезопасить своих пользователей и добавляют в свои продукты различные системы защиты от вредоносных расширений, вредные расширения все равно появляются время от времени, принося с собой неудобства для пользователя.

Читайте также:  Как создать успешный Telegram-канал

Например, такие вредные расширения могут показывать на привычных страницах дополнительную рекламу, которая в том числе может портить внешний вид сайта и надоедать. Особенно неприятно наблюдать на приличных сайтах такую рекламу, когда на ней показываются разного рода «пульсирующие бородавки». Открывает ваш ребенок ВКонтакте, чтобы посмотреть мультфильм, а ему сбоку показывается «пульсирующая бородавка» или что похуже.

Как исправить

Исправляется такая проблема достаточно просто – зачастую нужно просто удалить расширение, которое меняет страницу, добавляя на нее дополнительную рекламу.

Если выявить такое расширение не удается или после его удаления остались проблемы другого рода, то можно попробовать сбросить настройки браузера на «заводские».

В целом, рекомендуется время от времени проводить ревизию установленных расширений в браузере и удалять неиспользуемые.

# # #

Стоит помнить, что описанный в пункте 2 трюк могут быть использованы вредоносной программой повторно, если не устранена проблема, описанная в пункте 1 (когда вредоносная программа запускается вместе с Windows). Потому в первую очередь надо убедиться, что при запуске системы не запускается ничего лишнего, а уже потом устранять конкретные проблемы в других местах системы.

Также перед проведением ручного поиска проблем советую проверить компьютер программой Malwarebytes Anti-Malware, которая однажды помогла решить избавить компьютер родственника от подобных проблем. А по завершении всего провести тотальный сброс настроек браузера, чтобы уж точно удалить все остатки от действий вредоносной программы из настроек обозревателя.

А о каких слабых местах, которые пользуются спросом у авторов вирусов, знаете вы? Расскажите о своем опыте в комментариях ниже.