->

суббота, 30 июля 2011 г.

Как проверить подозрительный файл на вирус.

Можно ли без антивируса определить, что файл является вирусом?
Как ни странно, но очень даже можно.
Название (имя) файла.
Не могу сказать, с чем это связано, однако в настощее время никто особенно не заморачивается маскировкой своего вируса под системные файлы или внедрения кода вируса в другой файл. По крайней мере мне такие вирусы встречаются очень редко.
(А может я их просто найти не могу :))))
Поэтому большинство файлов вирусов называются примерно так:
  • "dddddddddd.exe"
  • "1231231313123.exe"
  • "dfsmmlkn.exe"


Список файлов, созданный вирусом

Если Вам попался файл с похожим названием (и его так назвали НЕ ВЫ) - процентов на 50 можно быть уверенным, что это вирус.
Свойства файла.
Следующим шагом на пути к определению вируса является просмотр его свойств.
В свойствах файла видим бардак (невнятные надписи или имя файла, отличное от реального) - это второй признак вируса.
При наличии корявого названия и корявых свойств файла можете его переименовать, или перенести его в отдельную папку с обязательным комментарием, из какой папки он взялся (что я и делаю, как правило).
Если перезагрузка windows после извлечения данного файла произошла без сбоев, то можно проверить файл он-лайн антивирусом.
  

Дата создания.
Однако, широко известный вирус 22сс6с32.exe идет путем подмены системного файла. В этом случае остается только смотреть свойства файла и дату его создания.
Дата создания вируса будет разительно отличаться от даты создания других файлов a системных папках. Поэтому можно просто отсортировать файлы по дате. Самые "молодые" файлы попадают под подозрение, и подвергаются дальнешим исследованиям.

Все действия можно произвести, загрузившись с диска Alkid.liveCD. Как с ним работать я писал  здесь. При загрузке с данного диска можно подключиться к интернету, и проверить файлы на антивирусных он-лайн сервисах. Например вот здесь:
http://vms.drweb.com/online/?lng=ru (аналог Cureit! но скачивать его не придется, что очень даже удобно)

Один нюанс: если вирус новый и широко не известен, то весьма вероятно, что проверка антивирусом ничего не даст. Так что над возвратом удаленных файлов надо очень крепко подумать. В конце концов, если windows будет работать без сбоев в период отсутствия удаленных файлов, то имеет смысл придержать их в архиве, до обновления вирусных баз.