Лабораторная работа №5

“ Действия вирусов и противодействие им”.

Цель работы: на базе полученных знаний по технологии передачи и действия вируса типа Winlocker нейтрализовать на зараженной ВС блокировщик рабочего стола.

Оборудование: Рабочая станция на основе ПК с установленной ОС Windows.

Основные теоретические сведения:

Возможные режимы для нейтрализации большинства вирусов:

1. Безопасный режим

2. Безопасный режим с командной строкой

(Также в Безопасном режиме с командной строкой использовать процедуры создания пакетного файла.)

3¹. Загрузку с образа другой операционной системы (Ubuntu 9.0).

1. Смоделируйте заражение вирусом ПК:

Создайте в предложенной папке с файлом 87.exe пакетный файл используя командную строку с следующим содержанием:

Copy 87.exe %Systemdrive%\users\%username%	Копирование файла в директорию текущего пользователя
%Systemdrive%\users\%username%\87.exe	Запуск файла из директории текущего пользователя

Большинство вирусов, блокирующих «Рабочий стол» записывают свой файл-код именно в эту директорию, поэтому в стандартных случаях избавление от этих «программ» можно провести в течение 5-15 минут.

Итак, после запуска вашего сделанного выше пакетного файла ОС заблокирована – стандартные методы из уже загруженной ОС не подействуют – данный тип вируса перехватывает любые обращения к интерфейсу ОС.

Методы борьбы по сложности вируса:

1. Безопасный режим ОС.

2. Безопасный режим с поддержкой командной строки.

3. Запуск ОС с CD-привода.

4. Запуск специализированных CD с антивирусным и восстанавливающим контентом.

5. Переустановка ОС.

1. Удаление через «Безопасный режим».

Переход в этот режим запуска ОС производится путем нажатия клавиши F8 перед инициализацией загрузки ОС:

Выбираем «Безопасный режим».

Деактивация блокировщика производится путем его физического удаления с винчестера.

Место нахождение данных файлов – папка текущего пользователя:

А) для windows XP – <системный диск>\Documents and Settings\<текущий пользователь>\

Б) для Windows 7 - <системный диск>\users\<текущий пользователь>

!!! Обратите Ваше внимание на то, что в русской локализации с использованием интерфейса Проводника Windows доступна папка «Пользователи», однако в режиме командной строки она недоступна в качестве атрибута-ссылки — вместо этого необходимо обращаться к контенту используя имя “Users”.

Удалив этот файл, перезагружаем ПК в нормальном режиме.

Следующий щаг – избавиться от ссылки на автоматический запуск этого приложения из «Автозагрузки».

Вариант «Ленивый» или «Неуверенный» - деактивация запуска.

Вызываем при помощи Win+R приложение «Выполнить» - вводим «msconfig» - запускается приложение, дающее возможность конфигурировать текущую ОС и порядок загрузки ОС, если их установлено несколько на текущий ПК.

Переходим на закладку «Автозагрузка»

Убрав отметку напротив пункта 87.exe, перезагрузив ПК, ОС игнорирует обращение по данной ссылке.

Завершение удаления (чистки) нахождения файла в реестре ОС:

Вызываем при помощи Win+R приложение «Выполнить» - вводим «regedit» для запуска системного приложения по редактированию реестра ОС.

Интересующее нас хранилище, отвечающее за формирование меню автозапуска текущего компьютера (ОС) находится в HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run.

В данном списке содержатся все автоматически запускаемые приложения текущей ОС для любого пользователя (учетной записи). Индивидуально запущенные приложения для текущего пользователя находятся в папке: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run.

Вызывая контекстное меню элемента из списка, выбирает «Удалить».

Сохранение результата не требуется - при последующем запуске текущие изменения реестра вступят в силу.