¿Cómo saber si tu computadora está infectada o se convierte en un bot?
Varios virus están ahora en plena floración, lo que hace que las personas entren en pánico. Una vez que encuentran algo anormal en su computadora, asumen que un virus está causando problemas. De hecho, puede que no sea necesariamente un virus. Estos ejemplos no son infrecuentes, especialmente para algunos usuarios jóvenes de ordenadores. Con base en la experiencia antivirus en el uso de computadoras personales y el mantenimiento de redes corporativas, a continuación le presentaremos cómo determinar si ha sido infectado por un virus a partir de los siguientes aspectos. Espero que le resulte útil para identificar el ". virus verdadero"!
La diferencia y conexión entre virus y fallos de software y hardware
Los fallos informáticos no son causados únicamente por una infección de virus. Diversos fallos de funcionamiento que se producen durante el uso de los ordenadores personales se deben principalmente a él. es causado por fallas de software y hardware en la propia computadora, y la mayoría de ellos en la red son causados por la configuración de permisos. Sólo comprendiendo plenamente las diferencias y conexiones entre ambos podremos hacer juicios correctos y detectar el virus real a tiempo. A continuación enumero brevemente algunos síntomas comunes de fallas informáticas causados por virus y fallas de software y hardware.
Síntomas Posibilidad de invasión de virus Posibilidad de fallas de software y hardware
Fallos frecuentes: el virus abre muchos archivos o ocupa mucha inestabilidad (como mala calidad de la memoria, Hardware; el rendimiento del overclocking es deficiente, etc.); la ejecución de software de gran capacidad consume mucha memoria y espacio en disco (con muchos errores de espacio en el disco duro, etc.); puede deberse a que la velocidad de la red es demasiado lenta, el programa que se está ejecutando es demasiado grande o la configuración del hardware de su estación de trabajo es demasiado baja.
El sistema no puede iniciarse: el virus ha modificado la información de inicio del disco duro o ha eliminado algunos archivos de inicio. Por ejemplo, el archivo de inicio del virus de inicio está dañado; el disco duro está dañado o la configuración de los parámetros es incorrecta; los archivos del sistema se eliminan accidentalmente de forma manual, etc.
El archivo no se puede abrir: el virus ha modificado el formato del archivo; el virus ha modificado la ubicación del enlace del archivo. El archivo está dañado; el disco duro está dañado; la ubicación del enlace correspondiente al acceso directo al archivo ha cambiado; el software original para editar el archivo se ha eliminado, si está en una red de área local, generalmente muestra que la ubicación de almacenamiento del archivo; en el servidor ha cambiado y la estación de trabajo no instaló el nuevo contenido del servidor a tiempo (el explorador está abierto durante mucho tiempo).
A menudo se informa de memoria insuficiente: los virus ocupan ilegalmente una gran cantidad de memoria; se abre una gran cantidad de software; se ejecuta software que requiere recursos de memoria; la configuración del sistema es incorrecta; el requisito de memoria básica actual es 128 M) espere.
Indica que el espacio en el disco duro no es suficiente: el virus ha copiado una gran cantidad de archivos de virus (me he encontrado con esto en varios casos. A veces, cuando se instala un sistema WIN98 o WINNT4.0 en un buen disco duro de casi 10G, dirá que no hay espacio una vez instalado, el software indica que el espacio en el disco duro no es suficiente. La capacidad de cada partición del disco duro es demasiado pequeña; el software está instalado; todo el software está instalado en una partición; el disco duro en sí es pequeño si el administrador del sistema está en una red de área local, el usuario ha establecido un límite de espacio para el "disco privado" del usuario de la estación de trabajo. se ve el tamaño de todo el disco de red, la capacidad del "disco privado" en realidad se ha agotado.
La lectura se produce cuando no se accede a dispositivos como los disquetes. Señal de escritura: infección de virus; se ha eliminado el disco y los archivos que se han abierto en el disquete aún se están abriendo.
Aparecen una gran cantidad de archivos de origen desconocido: archivos copiados por virus, pueden ser archivos temporales generados durante la instalación de. algún software; O puede ser la información de configuración y los registros de operación de algún software
Pantalla negra al inicio: infección de virus (el que más recuerdo es 4.26 en 1998, pagué varios miles de yuanes por CIH). , ese día fui el primero en usarlo. La pantalla de Windows se congela cuando la computadora se enciende una vez y no aparece nada cuando la computadora se enciende por segunda vez; falla en la tarjeta de visualización; Daño de la CPU, etc.
Pérdida de datos: virus El archivo se elimina; el sector del disco duro está dañado; el archivo original se sobrescribe debido a la recuperación del archivo, si el archivo está en la red, también puede estarlo. eliminados accidentalmente por otros usuarios.
El teclado o el mouse están bloqueados sin ningún motivo: los virus están causando problemas y se debe prestar especial atención a los "caballos de Troya"; el teclado o el mouse están dañados; la interfaz del teclado o del mouse en la placa base; dañado; se ejecuta un programa de bloqueo del teclado o del mouse y el programa que se está ejecutando es demasiado grande, el sistema está muy ocupado durante mucho tiempo y las teclas del teclado o del mouse no funcionan.
El sistema funciona lentamente: el virus ocupa la memoria y los recursos de la CPU y ejecuta una gran cantidad de operaciones ilegales en segundo plano; la configuración del hardware es baja; hay demasiados programas abiertos o demasiado grandes; es incorrecto; si la red está funcionando La mayoría de las veces es porque la configuración de su máquina es demasiado baja. También puede ser que la red esté ocupada en este momento y haya muchos usuarios abriendo un programa al mismo tiempo. es que el espacio en su disco duro no es suficiente para ejecutar temporalmente el programa para intercambiar datos.
El sistema realiza operaciones automáticamente: el virus realiza operaciones ilegales en segundo plano; el usuario configura la ejecución automática de programas relevantes en el registro o grupo de inicio, requiere que el sistema se reinicie automáticamente después de la instalación o actualización; .
A través del análisis y la comparación anteriores, sabemos que la mayoría de las fallas en realidad pueden ser causadas por seres humanos o fallas de software o hardware. Cuando encontramos anomalías, no nos apresuramos a hacer afirmaciones cuando el antivirus no puede resolverlas. problema, las características de la falla deben analizarse cuidadosamente para eliminar el software, el hardware y las posibilidades humanas.
Clasificación de los virus y sus respectivas características
Para identificar verdaderamente los virus y detectarlos y eliminarlos de manera oportuna, también necesitamos tener una comprensión más detallada de los virus, y cuanto más Detallado mejor.
Dado que los virus son escritos individualmente por muchos individuos u organizaciones dispersos, no existe un estándar para medir o clasificar los virus, por lo que los virus se pueden clasificar de manera aproximada desde múltiples perspectivas.
En términos de objetivos de infección, los virus se pueden dividir en las siguientes categorías:
a. Virus de arranque
El objetivo de este tipo de ataque de virus es el. sector de arranque, para que el sistema pueda obtener derechos de ejecución prioritarios al iniciar, logrando así el propósito de controlar todo el sistema. Este tipo de virus infecta el sector de arranque, por lo que el daño causado es relativamente grande. , el sistema no puede iniciarse normalmente, pero es más fácil detectar y eliminar dichos virus. La mayoría del software antivirus puede detectar y eliminar dichos virus, como KV300, serie KILL, etc.
b.Virus de tipo archivo
Los primeros virus de este tipo suelen infectar archivos ejecutables con extensiones como exe, com, etc. Entonces se activará el programa antivirus. Recientemente, algunos virus han infectado archivos con extensiones como dll, ovl, sys, etc. Debido a que estos archivos suelen ser archivos de configuración y enlaces de un determinado programa, el virus se carga automáticamente cuando se ejecuta un determinado programa. La forma en que se cargan es insertando párrafos completos de código de virus o insertándolos de forma dispersa en bytes en blanco de estos archivos. Por ejemplo, el virus CIH se divide en 9 segmentos y los incrusta en el archivo ejecutable con estructura PE. Los caracteres del archivo suelen ser El número de nudos no aumenta. Este es su lado oculto.
c.Virus de red
Este tipo de virus es producto del rápido desarrollo de Internet en los últimos años. Los objetos infectados ya no se limitan a un solo modelo y a un solo. archivo ejecutable. Más bien, es más completo y más oculto. Hoy en día, algunos virus de red pueden infectar casi todos los archivos de OFFICE, como WORD, EXCEL, correos electrónicos, etc. Sus métodos de ataque también han cambiado, desde eliminar y modificar archivos hasta ahora cifrarlos y robar información útil de los usuarios (como programas de piratas informáticos). La forma de propagación también ha experimentado un salto cualitativo. Ya no se limita a los discos. más encubiertos en Internet, como el correo electrónico, la publicidad electrónica, etc.
d.Virus compuestos
Se clasifican como "virus complejos" porque tienen algunas características tanto de virus de "tipo de arranque" como de "tipo de archivo". Pueden infectar cualquiera de los virus de arranque. archivo de sector del disco o un archivo ejecutable. Si dichos virus no se eliminan por completo, los virus restantes pueden recuperarse y causar daños a los archivos del sector de arranque y a los archivos ejecutables, por lo que es extremadamente difícil detectar y eliminar dichos virus. El software antivirus utilizado debe tener la función de detectar y eliminar ambos tipos de virus.
Lo anterior se divide según los objetos infectados por el virus. Si se divide según el grado de daño del virus, podemos dividir los virus en los siguientes tipos:
a. Virus benignos:
La razón por la que estos virus se llaman virus benignos es porque su propósito de invadir no es destruir su sistema, sino simplemente divertirse. La mayoría de ellos son entusiastas de los virus jóvenes que quieren probar. sus propios virus desarrollados. No quieren dañar su sistema, simplemente emiten un determinado sonido o muestran algunas indicaciones, y no causan ningún otro daño excepto ocupar una cierta cantidad de espacio en el disco duro y tiempo de procesamiento de la CPU. Lo mismo ocurre con algunos programas de virus troyanos, que sólo quieren robar cierta información de comunicación en su computadora, como contraseñas, direcciones IP, etc., en caso de que sean necesarias.
b.Virus malignos
Clasificamos virus que solo causan interferencias en el sistema de software, roban información y modifican la información del sistema sin causar consecuencias graves como daños al hardware y pérdida de datos". Virus malignos ", después de que dichos virus invadan el sistema, no habrá otras pérdidas excepto que no se puede usar normalmente. Una vez que el sistema se daña, generalmente solo necesita reinstalar una determinada parte de los archivos del sistema para recuperarse. Por supuesto, Estos virus deben eliminarse. Reinstale el sistema.
c.Virus extremadamente viciosos
Este tipo de virus es más dañino que los virus tipo B mencionados anteriormente. Generalmente, si está infectado con este tipo de virus, su sistema lo hará. colapsa por completo, no puede iniciarse normalmente y es posible que no se obtengan los datos útiles que ha guardado en el disco duro. En un nivel más ligero, solo puede eliminar archivos y aplicaciones del sistema.
d.Virus catastrófico
Por su nombre podemos saber el alcance del daño que nos traerá. Este tipo de virus suele destruir el sector de arranque del disco. , modifique la tabla de asignación de archivos y la tabla de particiones del disco duro, lo que provocará que el sistema no pueda iniciarse en absoluto y, a veces, incluso formatee o bloquee su disco duro, lo que le impedirá utilizarlo. Si está infectado con un virus de este tipo, será difícil recuperar su sistema y será difícil obtener los datos retenidos en el disco duro. El daño causado será muy grande, entonces, ¿cuándo debemos prepararnos para lo peor? ¿Evolución? La planificación, especialmente para los usuarios empresariales, debe estar completamente preparada para las copias de seguridad ante desastres. Afortunadamente, la mayoría de las grandes empresas ahora se han dado cuenta de la importancia de las copias de seguridad y gastan enormes sumas de dinero en copias de seguridad diarias del sistema y de los datos, aunque todos saben que quizás sean pocas. Es imposible afrontar consecuencias tan catastróficas en 2018, pero es mejor relajarse "por si acaso". Nestlé, donde trabajo, es así y se toma muy en serio este tema. Por ejemplo, el virus CIH que estalló el 26 de abril de 1998 se puede clasificar en esta categoría porque no solo causa daños al software, sino que también daña directamente el hardware, como los discos duros y el BIOS de la placa base.
Según el método de intrusión, se divide en los siguientes tipos:
a. Tipo de ataque con incrustación de código fuente
Este tipo lo conocemos por su nombre Virus. Los virus invaden principalmente programas fuente en lenguajes de alto nivel. Insertan el código de virus antes de compilar el programa fuente y finalmente se compilan en un archivo ejecutable junto con el programa fuente. De esta manera, el archivo recién generado es un archivo que contiene virus. Por supuesto, hay muy pocos archivos de este tipo, porque estos desarrolladores de virus no pueden obtener fácilmente los programas fuente precompilados de esas empresas de desarrollo de software. Además, este método de intrusión es difícil y requiere un nivel de programación muy profesional.
b. Tipo de ataque de reemplazo de código
Este tipo de virus utiliza principalmente su propio código de virus para reemplazar todo o parte del módulo de un programa de intrusión. Este tipo de virus también es raro. Principalmente ataca a un programa específico y es muy específico, pero es difícil de detectar y eliminar.
c.Tipo de modificación del sistema
Este tipo de virus utiliza principalmente su propio programa para sobrescribir o modificar ciertos archivos en el sistema para llamar o reemplazar algunas funciones del sistema operativo. Infectar directamente el sistema es más dañino y además es el tipo de virus más común, principalmente virus de archivos.
d. Tipo de archivo adjunto Shell
Este tipo de virus generalmente adjunta su virus al principio o al final del programa normal, lo que equivale a agregar un shell al programa. Se ejecuta el programa, primero se ejecuta el código del virus y luego se carga el programa normal en la memoria. La mayoría de los virus de tipo archivo entran actualmente en esta categoría.
Ahora que tenemos algunos conocimientos básicos sobre virus, ahora podemos comprobar si su computadora contiene virus. Para saber esto, podemos juzgar de acuerdo con los siguientes métodos.
1. Método de escaneo del software antivirus
Esta es probablemente la primera opción para la mayoría de nuestros amigos, y probablemente también sea la única opción hoy en día, cada vez hay más. Hay más tipos de virus y están ocultos. Los métodos son cada vez más sofisticados, lo que genera nuevas dificultades para la detección de virus y también presenta desafíos para los desarrolladores de software antivirus. Sin embargo, a medida que la tecnología de los lenguajes de desarrollo de programas informáticos mejora y las redes informáticas se vuelven cada vez más populares, el desarrollo y la propagación de virus se han vuelto cada vez más fáciles, por lo que cada vez hay más empresas de desarrollo de software antivirus. Pero en la actualidad, los más famosos son los programas antivirus para algunos sistemas. En cuanto al uso de estos programas antivirus, no es necesario describirlos aquí.
2. Método de observación
Este método solo se puede observar con precisión después de comprender algunos de los síntomas de los ataques de virus y los lugares donde suelen vivir. Por ejemplo, cuando el disco duro falla con frecuencia durante el arranque, el tiempo de arranque del sistema es largo, la velocidad de ejecución es muy lenta, no se puede acceder al disco duro, aparecen sonidos o mensajes especiales, etc. Cuando aparecen las fallas mencionadas anteriormente en el El primer punto importante, lo primero que debemos considerar es el virus. Puede causar problemas, pero no se puede llegar hasta el final. ¿No mencioné anteriormente que esos síntomas también pueden ocurrir si falla el software o el hardware? Para los virus causados por virus, podemos observarlos desde los siguientes aspectos:
a. Observación de la memoria
Este método se usa generalmente para virus que se encuentran en DOS. Utilice el archivo "mem/c. Comando /p" para verificar la memoria ocupada por cada programa y descubrir la memoria ocupada por virus (generalmente no ocupada sola, sino adjunta a otros programas). Algunos virus ocupan la memoria de manera relativamente oculta. No puede encontrarla con "mem /c/p", pero puede ver que solo faltan 1k o unos pocos K de la memoria básica total de 640K.
b. Método de observación del registro
Este método generalmente es adecuado para los llamados programas piratas que han aparecido recientemente, como los programas troyanos. Estos virus generalmente se inician y cargan modificando el archivo. registro. La configuración para lograr el inicio o la carga automática generalmente se implementa en los siguientes lugares:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windwos\CurrentVersion\Run] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windwos\CurrentVersionRunOnce] [ HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windwos\CurrentVersionRunSevices] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
método de observación del archivo de configuración del sistema
Este tipo de método generalmente es adecuado para programas de piratas informáticos. Este tipo de virus generalmente está oculto en system.ini, wini.ini (Win9x/WinME) y en los grupos de inicio. file. "shell=", y hay elementos "load=" y "run=" en el archivo wini.ini. Estos virus generalmente cargan sus propios programas en estos elementos. Podemos ejecutar el programa msconfig.exe en Win9x/WinME para verlos uno por uno.
d. Método de observación de cadenas características
Este método está dirigido principalmente a algunos virus más especiales. Cuando estos virus invaden, escribirán los códigos característicos correspondientes. Por supuesto, no podemos descubrir fácilmente si una cadena como "CIH" está escrita en el archivo intruso. Podemos encontrarlo editando el archivo principal del sistema (como Explorer.exe) usando un editor de código hexadecimal. Es mejor hacer una copia de seguridad de antemano, después de todo, es el archivo principal del sistema.
e. Método de observación del espacio en el disco duro
Algunos virus no destruirán los archivos de su sistema, solo generarán un archivo oculto. Este archivo generalmente tiene muy poco contenido, pero ocupa una gran cantidad. de espacio en el disco duro El espacio es muy grande, a veces tan grande que su disco duro no puede ejecutar programas normales, pero no puede verlo cuando lo verifica. En este momento, debemos abrir el administrador de recursos y configurar las propiedades. del contenido que se está viendo para poder ver todas las propiedades del archivo (no es necesario que le diga cómo hacer esto, ¿verdad?), creo que este gigante será revelado para entonces, porque los virus generalmente lo configuran para que tenga. atributos ocultos. Simplemente elimínelo cuando llegue el momento. He visto varios ejemplos de esto en el proceso de mantenimiento de redes informáticas y reparación de computadoras personales. Es obvio que solo se instalan unos pocos programas de uso común, pero ¿por qué se muestran varios gigabytes de espacio en el disco duro? en la unidad C? No, el virus generalmente se puede revelar rápidamente mediante los métodos anteriores.