Что делать с вирусом который в оперативной памяти

Обновлено: 19.04.2024

Привет, GT! Зоопарк всевозможных вирусов растет с каждым годом, благо фантазии их создателям не занимать. Конечно, с рядом самых распространенных зловредов успешно справляются антивирусы, притом даже бесплатные их версии или же встроенные в саму ОС. С популярными шифровальщиками тоже худо-бедно бороться научились (на сайтах известных антивирусных компаний есть раздел с услугами по расшифровке или генерации кода, если вам известен кошелек или email, на который авторы зловреда просят перевести средства).

Обычные вирусы оставляют следы на зараженной машине — какие-нибудь подозрительные исполняемые файлы, файлы библиотек или просто огрызки зловредного кода, которые в состоянии обнаружить антивирус или же правильный админ. Нахождение и выявление таких следов помогают идентифицировать вирус, а значит – удалить его и минимизировать последствия.

Но противостояние меча и щита — штука вечная, и компьютерные зловреды не ограничиваются только теми, что оставляют какие-то следы на накопителях. Ведь если вирус размещается и действует только внутри оперативной памяти, не соприкасаясь с жестким диском или SSD, значит, следов на них он тоже не оставит.




В 2014 году был ряд новостей о так называемых RAM malware, но тогда это относилось к довольно узкой группе поражаемых устройств — к платежным терминалам.

Данные транзакций считаются защищенными, так как хранятся в зашифрованном виде на серверах платежных систем. Но существует очень короткий период времени, в течение которого информация для авторизации платежа хранится в виде plain text. Причем хранится именно в оперативной памяти платежного терминала.

Само собой, хакерам этот кусок показался слишком лакомым, чтобы просто так пройти мимо него, и на свет появились зловреды, собирающие информацию из RAM POS-терминалов — номера карт, адреса, коды безопасности и имена пользователей.

А затем кто-то решил пойти дальше, вспомнив, что у компьютеров тоже есть оперативная память.

RAM-only


Как проходит заражение машины в таком случае:

  • зловред прописывает себя непосредственно в оперативную память, минуя жесткие диски
  • из-за этого при проверке безопасности его не получается обнаружить
  • для прописывания зловреда в память злоумышленники использовали популярные средства администрирования — PowerShell, Mimikatz, Metasploit
  • для передачи данных использовались сайты, созданные на национальных доменах таких стран как Габон, Центральноафриканская Республика и Мали. Их домены характерны тем, что они не сохраняют WHOIS-информацию о том, кому принадлежал конкретный домен, после истечения срока его продления. То есть еще минус одна возможность как-то отследить злоумышленника.

Найти такие вирусы трудно, потому что в привычном виде они на самом деле не оставляют следов. Нет каких-то установленных приложений. Нет отдельных файлов, раскиданных в разных папках, включая системные или скрытые.

Но где-то же они оставляют следы?

Само собой, если вирус не оставляет следов на накопителях, на них нет и особого смысла искать. И что тогда? Правильно — реестр, дампы памяти и сетевая активность. Надо же ему как-то прописать себя в память (причем так, чтобы сохранять работоспособность и после перезагрузки машины), а затем как-то передавать данные на сервер злоумышленника.

Специалисты “Лаборатории Касперского” тщательно проанализировали дампы памяти и записи реестра с машин, подвергшихся заражению, и с помощью Mimikatz и Meterpreter смогли реконструировать атаку.



Фрагмент кода, загруженного с помощью Meterpreter с сайта adobeupdates.sytes[.]net


Скрипт, сгенерированный фреймворком Metasploit.
Выделяет необходимое количество памяти, использует WinAPI и загружает утилиту Meterpreter прямо в оперативную память.

Стоит ли опасаться подобного

С одной стороны – безусловно да. Вирус, каким бы он ни был, направлен не на то, чтобы сделать вашу работу за компьютером более комфортной.

С другой стороны, не так сильно (пока не так сильно), как обычных вирусов и тех же шифровальщиков. Хотя бы потому, что на данный момент главная цель подобных атак — финансовые учреждения, а не обычные пользователи.

Но кто знает, как часто таких зловредов будут создавать и использовать уже в ближайшее время.


Напоминаем, что весна — отличный повод обновляться не только листочкам на деревьях, но и системным блокам у вас под столом. Специально для этого у Kingston действуют акции в магазинах-партнерах. Например, в сети DNS до 15 апреля можно со скидкой купить оперативную память Kingston SO-DIMM, подробности — здесь. В Юлмарте до 18 апреля проходит акция и действуют специальные цены на модули памяти Kingston и HyperX для компьютеров и ноутбуков по промокоду KINGMEM. А в магазинах Ситилинк до 7 апреля скидки распространяются сразу на несколько видов оперативки, и там также важно не забывать вводить промокод — DDR3HX. Так что есть смысл поспешить за новой памятью и выгодно обновиться.

Для получения дополнительной информации о продукции Kingston и HyperX обращайтесь на официальный сайт компании.

Оперативная память – такая деталь системы, которая реже всех выходит из строя. Но спонтанные перезагрузки системы с BSOD и без него, вылеты игр или программного обеспечения, некорректные результаты обработки заданий в тяжёлом софте – всё это и многое другое может быть симптомами проблем именно с ней. На самом деле, такие проблемы возникают довольно часто и являются в основном следствием некорректной настройки самим пользователем, хотя исключать аппаратные проблемы всё же, нельзя. В этом материале мы познакомимся с актуальными модулями памяти для настольных систем, расскажем о возможных проблемах в их работе и причинах, по которым они возникают, а также поможем с диагностикой. Отчего ещё и почему могут возникать сбои в работе памяти? Что в итоге делать или не делать? Отвечая на эти вопросы, пытать мозг новичков мы не будем – расскажем всё простым языком для максимального понимания.




Из чего состоит модуль памяти?

Оперативная память с точки зрения схемотехники является очень простым устройством, если сравнивать с остальными электронными комплектующими системы и не брать в расчёт вентиляторы (в некоторых ведь есть простейший контроллер, реализующий PWM управление). Из каких компонентов собраны модули?

  1. Сами микросхемы – ключевые элементы, которые определяют скорость работы памяти.
  2. SPD (Serial Presence Detect) – отдельная микросхема, содержащая информацию о конкретном модуле.
  3. Ключ – прорезь в печатной плате, чтобы нельзя было установить модули одного типа в платы, их не поддерживающие.
  4. Сама печатная плата.
  5. Разного рода SMD компоненты, расположенные на печатной плате.

Конечно, набор составляющих далеко не полный. Но для минимальной работы памяти этого достаточно. А что ещё может быть? Чаще всего – радиаторы. Они помогают остудить высокочастотные микросхемы, функционирующие на повышенном напряжении (правда, не всегда на повышенном), а также при разгоне памяти пользователем.


Кто-то скажет, что это маркетинг и всё такое. В некоторых случаях – да, но не HyperX. Модули Predator с тактовой частотой 4000 МГц без труда прогревают радиаторы до отметки 43 градусов, что мы выяснили в материале о них. К слову, о перегреве сегодня ещё пойдёт речь.


Далее – подсветка. Какие-то производители устанавливают таковую определённого цвета, а какие-то – полноценную RGB, да ещё и с возможностью настройки как при помощи переключателей на самих модулях, так при помощи подключаемых кабелей, а также программного обеспечения материнской платы.


Но, к примеру, инженеры HyperX пошли дальше – они реализовали на плате инфракрасные датчики, которые требуются для полной синхронизации работы подсветки.


Углубляться мы в это не будем – материал не об этом, да и рассказывали о них ранее, поэтому, если кому интересно – знакомимся с видео ниже и читаем материал по делу дальше.

Чему быть – тому не миновать

Повреждение ячеек памяти.

Каждая микросхема памяти содержит огромное количество таких ячеек, в которые записывается и из которых считывается колоссальное количество информации. В случае записи данных в повреждённую ячейку, они искажаются, что вызывает сбой работы системы или приложения.

Переразгон, неправильные тайминги и напряжение.

Каждый из нас когда-либо пробовал или хочет попробовать разогнать память. Допускается увеличение частоты памяти не на всех платформах, но, если вы уже обзавелись поддерживающей разгон материнской платой, то можете встретить на своём пути определённые проблемы. В современных реалиях разгон памяти зависит не только от самих микросхем, но и от встроенного в процессор контроллера памяти и разводки линий на материнской плате. Два последних аспекта влияют на разгон в меньшей степени, нежели используемые микросхемы памяти. Чем больше вы увеличиваете тактовую частоту модулей памяти, тем более вероятно появление ошибок в их работе. С таймингами – наоборот. Их снижение может приводить к нестабильной работе. Улучшить стабильность работы разогнанной памяти может помочь увеличенное на неё напряжение, что влечёт больший нагрев и снижение ресурса работы в целом, так же как и потенциальную возможность выхода из строя в любой момент. В общем, если система работает нестабильно, то первым делом возвращайте все настройки к заводским.

Да, высокие температуры памяти тоже могут влиять на стабильность работы системы. Поэтому, выбирая высокочастотные комплекты, стоит позаботиться об их охлаждении. Как минимум, они должны обладать радиаторами. То же самое касается и низкочастотных модулей, подверженных разгону с вашей стороны. Хотите установить набор быстрой памяти в рабочую систему, в которой производятся вычисления с её помощью? Не верите, что современная DDR4 с рабочим напряжением 1.2 В может сильно греться? Полюбуйтесь! Температура микросхем модулей, не оборудованных радиаторами, практически достигает 85 градусов, что является пределом для большинства микросхем. Впечатляет, не правда ли?


Механические повреждения
Любое неаккуратное движение – и вы можете повредить модуль памяти. Сколоть микросхему, SPD или в печатной плате лопнут дорожки. При некоторых повреждениях память ещё может работать, но с критическими ошибками. К примеру, скол SPD, что изображён на фото ниже, сделал модуль полностью неработоспособным. К разговору о радиаторах – они позволяют снизить практически до ноля вероятность механического повреждения памяти, если, конечно, вы чай или кофе на него не прольёте…


Другие источники проблем работы памяти, но когда память ни при чём.

Немногие знают, что существуют три буквы, способные упростить подбор компонентов системы – QVL. Расшифровка звучит как Qualified Vendors List, что на русском звучит как список совместимости. В него входят те комплектующие, с которыми производитель материнской платы проверил своё изделие и гарантирует корректную работу. По понятным причинам, проверить сотни наименований может не каждый. Но каждый уважающий себя производитель предлагает достаточно обширный список в нашем случае моделей оперативной памяти.

Синие экраны смерти, зависания и перезагрузки – неисправность точно в…


Если ластик не помог

Что делать дальше? Если система работает с катастрофическими сбоями, то только проверять комплектующие на заведомо рабочей платформе. Если же подозрение именно на память, работающую в номинальном режиме, то можно выполнить несколько тестов. Существуют бесплатные и платные версии программ, некоторые работают из Windows/Linux, а некоторые из DOS или даже UEFI.



Результат нас ждёт один:



Данная программа является лучшим решением для поиска ошибок работы памяти. Она обладает достаточным количеством настроек и выводит результат в понятном виде. Сколько тестировать память? Чем больше – тем лучше, если вероятность появления ошибки мала. Если же какая-либо микросхема памяти явно проблемная, то результат не заставит себя долго ждать.


Существует также MemTest для Windows. Использовать тоже можно, но смысла будет меньше – он не тестирует ту область памяти, которая выделена для ОС и запущенных в фоне программ.


Так как эта программа не новая, то энтузиасты (в основном – азиаты) пишут для неё дополнительные оболочки, чтобы можно было удобно и быстро запускать сразу несколько копий для тестирования большого объёма памяти.


К сожалению, обновления этих оболочек, чаще всего, остаются на китайском языке.


А вот наши энтузиасты пишут свой софт. Яркий пример – TestMem5 от Serj.


В целом, можно и linpack ещё в список тестов привести, но для его работы потребуется и полная нагрузка на процессор, что чревато его перегревом, особенно, если используются AVX инструкции. Да и это не совсем подходящий для проверки памяти тест, скорее – для прогрева процессора с целью изучения эффективности системы охлаждения. Ну и на циферки посмотреть. В целом, это не для домашнего использования бенчмарк, у него совсем другое предназначение.

Быстрое решение всех проблем


Для получения дополнительной информации о продуктах HyperX и Kingston обращайтесь на сайты компаний.


Вас беспокоит, что на вашем компьютере может быть вирус? Если ваш компьютер заражен, то важно знать, как избавиться от компьютерного вируса.

Из этой статьи вы узнаете все, что нужно знать о том, как работают компьютерные вирусы и о том, как удалять компьютерные вирусы.

Краткий план статьи:

  • Как избавиться от компьютерного вируса.
  • Что такое компьютерный вирус.
  • Как определить компьютерный вирус на вашем компьютере.
  • Может ли ваш компьютер заразиться вирусом через электронную почту.
  • Как защитить компьютер от вирусов.

Как избавиться от компьютерного вируса

В этом разделе мы обсудим, как удалить компьютерный вирус с компьютера Windows и с компьютера Mac.

Удаление компьютерного вируса с компьютера с ОС Windows

Компьютерные вирусы почти никогда не видимы. Без антивирусной защиты вы можете и не знать о существовании вируса на вашем компьютере. Вот почему важно установить антивирусную защиту на всех ваших устройствах.

Если на вашем компьютере операционной системой Windows есть вирус, вам нужно выполнить следующие десять простых шагов, чтобы избавиться от него:


Шаг 1: Загрузить и установить антивирусный сканер

Загрузите антивирусный сканер или решение класса Internet Security. Мы рекомендуем использовать Kaspersky Internet Security. Процесс его установки показан в следующем видео:

Шаг 2: Отключиться от интернета

При удалении вируса с компьютера желательно отключаться от интернета, чтобы исключить дальнейшее распространение угрозы: некоторые компьютерные вирусы распространяются через интернет.

Шаг 3: Перезагрузите компьютер в безопасном режиме

Для защиты компьютера при удалении вируса, перезагрузите компьютер в Безопасном режиме. Если вы не знаете, как это сделать, то ниже дается инструкция.

Шаг 4: Удалите все временные файлы

Следуйте следующим шагам:

Некоторые вирусы начинают действовать при перезагрузке компьютера. Удаление временных файлов может удалить вирус. Однако, полагаться только на это не надежно. Чтобы убедиться, что ваш компьютер свободен от вирусов, рекомендуем выполнить следующие шаги.

Шаг 5: Запустите сканирование на вирусы

Теперь пора открыть ваш антивирус или решение класса Internet Security и запустить сканирование на вирусы. Если вы используете Kaspersky Internet Security, выберите и нажмите на кнопку ‘Запустить проверку’ (Scan).

Kaspersky Internet Security Scan

Шаг 6: Удалите вирус или поместите его в карантин

Шаг 7: Перезагрузите компьютер

Шаг 8: Поменяйте все пароли

Чтобы защитить компьютер от дальнейших атак, поменяйте все пароли на тот случай, если они скомпрометированы. Это обязательно, только если у вас есть причина считать, что ваши пароли украдены вредоносной программой, но перестраховаться не мешает в любом случае.

Функционал вируса вы всегда можете проверить на веб-сайте производителя вашего антивируса или связавшись с их группой технической поддержки.

Шаг 9: Обновите ваше ПО, браузер и операционную систему

Обновление ПО, браузера и операционной системы снизит риск эксплуатации киберпреступниками брешей в старом коде для установки вредоносных программ на вашем компьютере.

Удаление компьютерного вируса с компьютера Mac

Если у вас компьютер Mac, вам может казаться, что ваш компьютер не может заразиться вирусом. К сожалению, это заблуждение. Для Mac, по сравнению с Windows, создается меньше вирусов, но они существуют.

Некоторые Mac-вирусы маскируются под антивирусные продукты. Если вы случайно скачали один из таких вирусов, то ваш компьютер может быть заражен. Вот три примера вирусов такого типа: ‘MacDefender’, ‘MacProtector’ и ‘MacSecurity’.

Group of people using laptops and mobile devices

Если вам кажется, что на вашем компьютере Mac завелся вирус, нужно выполнить следующие шесть шагов, чтобы удалить его:

Чтобы проверить, что вы ничего не пропустили, и убедиться в защите вашего Mac, рассмотрите вариант установить и запустить антивирусное решение, если его у вас уже нет. Мы рекомендуем использовать комплексное решение класса Internet Security, такое как Kaspersky Total Security.

Что такое компьютерный вирус?

Компьютерный вирус – это вид вредоносного ПО, отличительной чертой которого является его самовоспроизведение – он копирует себя на любой носитель, который подключается к компьютеру.

Компьютерные вирусы так называются из-за того, что, по аналогии с настоящими вирусами, они способны самовоспроизводиться. После того, как вирус заражает ваш компьютер, он распространяет себя таким образом. При заражении вирусом компьютер может начать работать медленнее, возможны перебои в его работе.

Существует три основных пути, которыми ваш компьютер может заразиться компьютерным вирусом.

Во-первых, компьютер может заразиться через съемные носители, такие как USB-флешки. Если вы вставите в компьютер флешки или диск, полученный от неизвестных источников, то он может содержать вирус.


Иногда хакеры оставляют зараженные флешки или диски на рабочих столах людей или в публичных местах, например, в кафе, с расчетом распространить таким образом компьютерный вирус. Люди, которые совместно используют USB-носители, также могут переносить таким методом файлы с зараженного компьютера на незараженный.

Другой способ заражения компьютера вирусом – это скачать вирус из интернета.

Если вы загружаете ПО или приложения на ваш компьютер, обязательно берите их из доверенных источников, таких как Google Play или App Store у Apple. Не загружайте ничего из всплывающих окон или с веб-сайтов, о которых ничего не знаете.

Признаки того, что на вашем компьютере есть вирус

Есть несколько признаков того, что на вашем компьютере завелся вирус.

Во-первых, вас должно насторожить, если ваш компьютер стал тормозить. Если задачи выполняются дольше, чем обычно, то возможно, ваш компьютер заражен.

Во-вторых, будьте внимательны при появлении на компьютере подозрительных приложений или программ, о которых вы ничего не знаете. Если вы заметили, чтобы на компьютере появилось приложение или программа, которую вы не скачивали, будьте осторожны.

Желательно удалить все программы на компьютере, которые вам неизвестны, а затем запустить сканирование в антивирусе или защитном устройстве класса Internet Security, чтобы проверить компьютер на наличие угроз. Если при закрытии браузера возникают всплывающие окна – это верный признак того, что компьютер заражен вирусом. Если вы заметите такое, сразу же примите меры, чтобы удалить вирус. Для этого следуйте инструкциям, данным выше.

Frustrated man on a laptop browsing

Еще один признак возможного заражения компьютера вирусом – это странности в работе приложений или программ. Если программы стали завершаться аварийно по непонятной причине, то, возможно, на вашем компьютере завелся вирус.

И наконец, зараженный компьютер может начать перегреваться. Если вы заметите такое, проверьте компьютер на вирусы, запустив антивирус или защитное решение класса Internet Security.

Как компьютер может заразиться вирусом через электронную почту?

Как защитить компьютер от вирусов

Вот основные способы, которые позволят вам защитить компьютер от вирусов:

Как работают компьютерные вирусы?

На вашем компьютере обнаружился вирус? Узнайте, как избавиться от компьютерного вируса, как проверить, не заражен ли ваш компьютер вирусами, и можно ли получить компьютерный вирус через почту.

Избранные статьи

content/ru-ru/images/repository/isc/2021/security-and-privacy-risks-of-ar-and-vr-1.jpg

Риски безопасности и конфиденциальности в виртуальной и дополненной реальности

content/ru-ru/images/repository/isc/2021/trickbot_image1_710x400px_300dpi.jpg

TrickBot – многоцелевой ботнет

content/ru-ru/images/repository/isc/2021/top_ransomware_attacks_1.jpg

Основные атаки программ-вымогателей

content/ru-ru/images/repository/isc/2020/deep-web-cover.jpg

Что такое глубокий и теневой интернет?

content/ru-ru/images/repository/isc/2020/keepkidssafecovid1.jpg

Как защитить детей в интернете во время коронавируса

Продукты для дома

Наши передовые решения помогают защитить то, что для вас ценно. Узнайте больше о нашей удостоенной наград защите.

Бесплатные утилиты

Наши бесплатные утилиты помогают обеспечить защиту ваших устройств на базе Windows, Mac и Android.

Связаться с нами

Наша главная цель - обеспечить вашу безопасность. Мы всегда готовы ответить на ваши вопросы и оказать техническую поддержку.

О компании

Узнайте больше о том, кто мы, как мы работаем и почему наша главная цель - сделать цифровой мир безопасным для всех.

Пробные версии

Попробуйте наши решения. Всего за несколько кликов вы можете скачать бесплатные пробные версии нашего продукта и проверить их в действии.

Сувенирный портал Lab Shop


Всем привет. Вирус в оперативной памяти, это явление довольно неприятное и к сожалению не редкое.

Кстати чаще всего проявляется в случаях неправильной настройки антивируса или отсутствия оного. Если у вас такая ситуация, то советую вам ознакомится с статьей — настройка и установка антивируса .

Аналогичный алгоритм заражения операционной системы Windows, применяет Conficker (популярный как Downup, Downadup и Kido) — это червь, от которого пострадало 12.000.000 машин (компьютеров) во всем мире в 2009 году.
Этот червь использовал чувствительность Windows, из интернета скачивался, при этом файлы его расположены в папке system 32 под видом dll библиотеки с рандомным именем. В результате создавались файлы autorun.inf и RECYCLED\название папки\название файла.vmx.

Антивирусная программа извещает Вас о том, что обнаружила вирус, ликвидирует его, но в последствии снова его обнаруживает, опять ликвидирует, в итоге действия становятся систематическими и избавиться от него не получиться.

1 Удаление вируса из оперативной памяти

1) Правильно удаляем (при помощи деинсталлятора — установка/удаление программ) установленную антивирусную программу, она здесь ни к чему.

2) Скачиваем из интернета Ccleaner и устанавливаем ее. Начинаем работу, для начала очищаем папки temp. Это программное обеспечение подходит обычным пользователям, поэтому можно ставить все флажки в настройках- пользовательскую информацию она не сотрет! Подробней о программе я писал в статье — чистка реестра .

3) Далее нам на помощь понадобится утилита для очистки вирусов. О них я писал в статье — бесплатные утилиты для удаления вирусов . Выбираем любую. Например скачиваем из интернета программу Dr.web Cure it и устанавливаем ее.

Ставим обновление, запускаем одно из двух сканирований(быстрое или полное). Быстрое сканирование дает в принципе эффективный результат. Все вирусы, которые были обнаружены — удаляем. Перезагружаем компьютер.

4) Скачиваем новый антивирус. Важно! Если до проблемы, у Вас был установлена антивирусная Eset NOD32 antivirus, то тогда, ставим Avast или Avira, если был установлен Avast ставим Eset, или любую другую программу антивируса на ваш вкус.

Объяснить такие действия довольно просто, антивирусная программа, которая у Вас была скорее всего, была повреждёна, данные в реестре могли остаться, а это что вызовет неточную работу антивирусной программы, тем более, что именно эта антивирусная программа не обнаружила угрозу из интернета на вашем компьютере.

Таким образом вы сможете удалить вирус из оперативной памяти и обновить защиту компьютера для возможных следующих атак. Удачи вам 🙂

Читайте также: