Живой вирус на Windows Vista x64
Author: admin
До того, как увидел это собственными глазами на компьютере своей знакомой, не думал, что это возможно. Оказалось-таки возможно. Некоторые из 32-битных вирусов, которые в основном ориентируются на работу в WinXP (32-битном варианте) вполне вольготно себя чувствуют и на 64-битной Windows Vista.
Таким вирусом оказался Win32.Sector.5 (ссылка на описание) по классификации Dr.Web – довольно цепкий неприятный вирус, от которого подчас сложно вылечить систему. В памяти, как водится, определяется как Win32.Sector.7.
Симптомы, которые привели меня к компьютеру, были, на первый взгляд, далеки от вирусных. Перестал запускаться Adobe Photoshop CS2, 3D Studio MAX 8 и некоторые другие программы. При запуске выводилось сообщение, что файл повреждён.
Кстати, как видно из описания, вирус сам отключает UAC (User Access Control) в Windows Vista, так что этот компонент ОС оказывается недостаточно надёжным для воздействия вирусов.
Dr.Web CureIt! в данной ситуации справился хорошо. Единственное что, конечно, нужно знать повадки данного вируса – сканировать несколько раз до того момента, когда exe-файлы перестанут заражаться по новой, а также пока вирус не перестанет определяться в оперативной памяти. Если подсоединить флешку, то исполняемые файлы на флешке тоже будут заражаться, так что нужно быть предельно осторожным. Если с большой долей вероятности известно, что кроме Win32.Sector.5 и сопутствующих ему нет на компьютере, то я обычно ускоряю процесс сканирования, отключая проверку архивов, а проверяя только файлы с расширениями exe, scr, sys, dll, tmp. Это позволяет бороться с Win32.Sector.5 значительно быстрее.
Win32.Sector.5 славится тем, что тянет другие вредоносы из Интернета. Обычно это очередной BackDoor или Spambot, причём часто недетектируемые, т.е. свежие. В данном случае повезло – они располагались во временной папке текущего пользователя, детектились и легко вынеслись сканером, да и Windows Defender выводил сообщения о том, что что-то подозрительное запускается из временной папки и предлагал это дело блокировать. Тем не менее, Defender помог только в обнаружении наличия проблемы – практически все исполняемые файлы, расположенные на всех разделах, всё равно остались заражены Win32.Sector.5. UAC, понятное дело, был уже отключён.
Также здесь стоит заметить, что Win32.Sector.5 частенько блокирует запуск компьютера в безопасном режиме. Обычно получается BSOD. Но с помощью CureIt! и немного акробатики – и этого оказывается вполне достаточно для излечения даже в обычном режиме Windows.
Программы, которые не запускались, в итоге пришлось переустановить (вернее, даже хватило восстановить, благо большинство совершенных инсталляторов это позволяют).
Так вот я увидел свой первый живой вирус на Windows Vista.