Признаки присутствия на компьютере вредоносных программ

Где искать

Как видно, ни косвенные, ни даже явные проявления не могут служить основанием для уверенности в том, что компьютер заражен. Всегда существует вероятность, что наблюдаемый эффект не является результатом действий вируса, а вызван обычными ошибками в используемых программах или же вредоносными скриптами, которые не оставили никаких файлов на компьютере.

Для того чтобы подозрения переросли в уверенность нужно произвести дополнительный поиск скрытых проявлений вредоносных программ, имея конечной целью обнаружение файлов вредоносной программы.

Скрытые проявления включают:

• Наличие в памяти подозрительных процессов
• Наличие на компьютере подозрительных файлов
• Наличие подозрительных ключей в системном реестре Windows
• Подозрительная сетевая активность

Ключевым признаком во всех случаях является атрибут "подозрительный". Что это означает? Это означает, что пользователю неизвестно назначение данного процесса, файла или ключа, и более того, информации о подозрительном объекте нет ни в документации к операционной системе, ни в открытых источниках сети Интернет.

Но прежде чем судить о подозрительности файлов и процессов, нужно сначала их выделить из общего числа и на этом имеет смысл остановиться подробней.

Подозрительные процессы

Процесс - это фактически запущенный исполняемый файл. Часть процессов относится к операционной системе, часть к запущенным программам.

Чтобы получить список процессов, нужно вызвать диспетчер задач - стандартное средство Windows для управления процессами. В операционных системах Windows NT/2000/XP/2003 для вызова диспетчера задач нужно нажать комбинацию клавиш Ctrl + Shift + Esc или вызвать контекстное меню в системной панели (внизу экрана) и выбрать пункт Диспетчер задач. Характерный вид окна Диспетчера задач представлен на рисунке 3.2.

Рис. 3.2. Диспетчер задач в Windows 2000 Professional

На закладке Процессы в колонке Имя образа содержатся имена файлов, которым соответствуют запущенные процессы. Процессы, которые видны на рисунке являются стандартными для свежеустановленной Windows 2000 Professional. Например, процесс svchost.exe отвечает за запуск служб в Windows 2000.

Найти информацию о неизвестном процессе можно в сети Интернет.

В Windows 98 Диспетчер задач вызывается нажатием клавиш Ctrl + Alt + Del и выглядит иначе, как на рисунке 3.3.

Рис. 3.3. Диспетчер задач в Windows 98 SE

Недостатком диспетчера задач в Windows 98 является то, что он не предоставляет информации обо всех запущенных процессах в системе. Поэтому для получения более полной информации приходится использовать дополнительные программы, например, утилиту Process Explorer ^{1Доступна на сайте http://www.sysinternals.com} (см. рисунок 3.4)

увеличить изображение
Рис. 3.4. Утилита Process Explorer