Программа архиватор не позволяет вылечить файлы от вирусов

Обновлено: 22.01.2025

Уязвимость в WinRAR позволяет злоумышленникам получить контроль над вашим компьютером, если вы распакуете зловредный архив.

Про то, что не стоит запускать первые попавшиеся EXE-файлы, известно многим. Некоторые даже в курсе, что вредоносное ПО может таиться и в документах MS Office, а значит, к ним тоже стоит относиться с осторожностью. Но чем может грозить распаковка обычного архива WinRAR? Как выяснилось, много чем.

На свете 500 миллионов пользователей WinRAR. И все они – идеальная цель для взломщиков, если, конечно, не успели обновить архиватор. Недавно выяснилось, что в версиях WinRAR, выпущенных за последние 19 лет (кроме самых последних), есть критическая уязвимость, используя которую, киберпреступники могут попасть в вашу систему. Сейчас уже известно более 100 способов ее эксплуатации — и это число продолжает расти.

Как работает 19-летняя уязвимость WinRAR

Баг позволяет злоумышленникам создать вредоносный RAR-архив. Стоит пользователю распаковать его, и зараженный исполняемый файл незаметно извлечется в папку автозагрузки. Во время следующей перезагрузки системы он автоматически запустится и – заразит компьютер жертвы тем, чем его начинили создатели.

Чтобы усыпить нашу бдительность, преступники дают EXE-файлам самые безобидные названия, например GoogleUpdate.exe.

Само собой, вредоносные архивы и электронные письма с ними оформлены так, чтобы жертва распаковала зловред как можно охотнее. Кибержулики используют самые разные приманки: подписывают вложение как фото для взрослых, предлагают очень интересную вакансию, иногда даже предупреждают о риске террористической атаки. Бывает, что злоумышленники отправляют вам какие-то якобы технические документы или информируют о недавних изменениях в местном законодательстве. Некоторые даже предлагают скачать пиратскую копию популярного альбома, например последние хиты Арианы Гранде.

В общем, все делается для того, чтобы большинство получателей не заподозрили дурного и распаковали архив без задней мысли.

Что происходит после эксплуатации уязвимости

В архиве может оказаться любая из вредоносных программ, которыми кишит Интернет: шифровальщик, банковский троян или какое-нибудь средство удаленного доступа, позволяющее делать снимки экрана, скачивать файлы с устройства жертвы или, наоборот, загружать их туда.

На сегодняшний день нет абсолютных методик лечения файловых вирусов.

1) Скачайте на заведомо "здоровом" компьютере утилиту от DrWeb - CureIT! Разархивируйте и запишите её на CD или DVD, можно записать и на флешку, если производителем предусмотрен режим защиты данных от изменений (только чтение). Иначе активный вирус повредит утилиту ещё до запуска. Сделайте полную проверку зараженного компьютера в режиме Safe Mode, затем в нормальном.

Этот способ может не сработать, если в сигнатурх продуктов DrWeb нет данной модификации зловреда, заразившего Ваш компьютер. Отправьте несколько зараженных файлов аналитикам Dr. Web.* и в течении суток CureIT! "научат" лечить вирус, утилиту придется скачать заново на заведомо "здоровом" компьютере.

2) Этот способ подразумевает наличие "здорового" компьютера, на котором установлен антивирус Dr. Web или Касперского, делаищие упор на сигнатурный детект, что позволяет наиболее эффективно бороться с классическими вирусами. Для борьбы необходимо наличие наиболее свежих антивирусных баз. Необходимо жёсткий диск (HDD) "зараженного" компьютера подключить к чистой машине и провести полную проверку. После проверки\лечения жесткий диск необходимо вернуть на место.

P.S. При лечении файлового вируса вторым методом. т.е. посредством подключения жёсткого диска к чистой машине следует быть очень внимательным и аккуратным, т.к. можно заразить чистую машину. Если вы не сомневаетесь в своих возможностях лучше не пробывать.

Добавлено через 31 секунду
Еще одна довольно эффективная методика: это использование LiveCD, собранного специально для очистки компьютера от вредоносных программ, которых обычными средствами проблематично уничтожить.

1. В нашем случае (заражении файловым вирусом) необходимо использовать Dr.Web LiveCD, позволяет восстановить работоспособность системы, пораженной действиями вредоносных программ. Эта сборка LiveCD не только очистит компьютер от инфицированных и подозрительных файлов, но и попытается вылечить зараженные объекты.

Документация (перед началом использования и если у Вас нет опыта работы с подобными продуктами, обязательно почитайте документацию по продукту)
Прямой линк на скачивание образа диска

WinRAR – популярная программа для создания и извлечения архивов в Windows и других поддерживаемых операционных системах. Причина высокой популярности лежит в поддержке широкого спектра различных форматов архивов и в том, что срок действия пробной версии никогда не истекает.

Уязвимость обнаружена исследователями безопасности в библиотеке, которую WinRAR использует для извлечения файлов из архивов формата ACE. Для эксплуатации ошибки необходимо разместить на компьютере жертвы специально подготовленный архив. Ошибка позволяет извлечь содержимое архива в любую папку в системе вместо папки, выбранной пользователем или папки по умолчанию.

Так, например, злоумышленники могут извлечь содержимое архива в папку автозагрузки, чтобы запустить исполняемые файлы при следующей перезагрузке системы.

Исследователи опубликовали видео, демонстрирующее методику эксплуатации.

WinRAR использует содержимое файла, чтобы определить формат архива, который использовался для сжатия файлов. Таким образом, простое исключение использования файлов ACE не позволяет снизить риск эксплуатации. Злоумышленники могут переименовывать файлы ACE в RAR или ZIP, и WinRAR будет их обрабатывать.

Как обезопаситься от атак

Библиотека, ответственная за уязвимое поведение называется UNACEV2.DLL Разработчик WinRAR удалил файл библиотеки из последней бета-версии WinRAR 5.70. Пользователи могут перейти на бета-версию, чтобы защитить свои устройства от потенциальных проблем безопасности.

Установке бета-версии могут помешать групповые политики. Кроме того, некоторые домашние пользователи могут не захотеть устанавливать бета-версию программного обеспечения на свои основные системы.

Пользователи и администраторы могут вручную удалить уязвимый файл UNACEV2.DLL из папки WinRAR, чтобы защитить устройство. Рассмотрим, как это сделать:

1. Откройте Проводник Windows.
2. Перейдите в C:\Program Files\WinRAR, если вы используете 64-битную версию WinRAR.
3. Перейдите в C:\Program Files (x86)\WinRAR, если вы используете 32-битную версию WinRAR.
4. Найдите файл UNACEV2.DLL, а затем переименуйте или удалите его:
   1. для удаления выберите файл и нажмите Del или щелкните правой кнопкой мыши и выберите пункт меню “Удалить”.
   2. для переименования выберите файл, щелкните правой кнопкой мыши и выберите пункт меню “Переименовать”.

   
   

   Данные действия лишают возможность извлекать содержимое архивов ACE. Это не очень большая плата за безопасность, учитывая низкую популярность ACE по сравнению с ZIP или RAR.

   А вы пользуетесь WinRAR или предпочитаете другой архиватор (например, Bandizip, 7-Zip)?

   Как лечить файловый вирус?

   Перед выполнением лечения в любом случае необходимо:
   - Отключить восстановление системы, как написано в правилах.
   - Если компьютер подключен к локальной сети, то на время лечения отключить его.

   В настоящее время эффективны две стратегии лечения файловых вирусов:

   1) Скачайте на здоровом компьютере утилиту от DrWeb - CureIT! Разархивируйте и запишите её на CD или DVD (ни в коем случае не записывайте на флэшку! активный вирус повредит утилиту ещё до запуска!). Сделайте полную проверку "больного" в режиме Safe Mode, затем в нормальном.

   Этот способ может не помочь, если антивирус DrWeb не знает модификацию вируса, заразившего Ваш компьютер. Если это так, отправьте несколько зараженных файлов в вирусную лабораторию Dr. Web. В течении суток CureIT! "научится" лечить вирус, правда утилиту придется скачать заново на "чистом" компьютере.

   2) Второй способ предполагает наличие здорового компьютера с установленным антивирусом Касперского или Dr. Web. Именно эти антивирусы делают упор на сигнатурный детект, который необходим в лечении классических вирусов. Антивирусные базы должны быть самыми свежими. Достаньте жесткий диск "зараженного" компьютера и подключите к "здоровому". Запустите полную проверку антивирусом. По окончании проверки\лечения верните диск на место.

   Данный способ также не гарантирует успеха, если антивирус не знает вирус. Кроме того его нельзя применять если один из компьютеров находится на гарантии или у Вас нет соответствующих навыков перестановки жесткого диска.

   
   Ни один из вышеперечисленных способов не гарантирует 100% восстановления поврежденных файлов и их работоспособности. Если поврежденные данные для Вас очень ценны, рекомендуем обратится в сервисный центр.

   Последний раз редактировалось Rene-gad; 10.09.2008 в 08:57 .

   
   

   Еще одна довольно эффективная методика: это использование LiveCD, собранного специально для очистки компьютера от вредоносных программ, которых обычными средствами проблематично уничтожить.

   В нашем случае (заражении файловым вирусом) необходимо использовать Dr.Web LiveCD, позволяет восстановить работоспособность системы, пораженной действиями вредоносных программ. Эта сборка LiveCD не только очистит компьютер от инфицированных и подозрительных файлов, но и попытается вылечить зараженные объекты.

   В состав сборки Dr.Web LiveCD входят следующие приложения:
   1. Сканер Dr.Web® для Linux;
   2. Браузер Firefox;
   3. Файловый менеджер Midnight Commander;
   4. Терминал для работы с командной строкой непосредственно перед из-под графической оболочки;
   5. Текстовый редактор Leafpad.
   Более подробная информация находится в документации. Удачного лечения.

   Последний раз редактировалось Bratez; 19.01.2011 в 12:46 .

   Лечение файлового вируса с помощью VBA32

   
   1. Если Вы еще не скачали Live CD Vba32 Rescue, то скачайте его по следующим ссылкам:

   2. Запишите образ на болванку.

   3. Выставите в BIOS загрузку с CD/DVD-носителя, вставьте диск в привод и загрузитесь с него.

   4. Выберите режим vba32rescue, разрешение монитора и дождитесь появления окна навигации.

   5. В меню выбора языка выберите Русский.

   6. В главном меню нажмите Начать сканирование.

   
   Есть еще один вариант, но он более сложный и потребует еще одну машину.

   1. Вам нужно скачать файл Vba32Check.exe (порядка 55 Mb.) по следующим ссылкам:

   2. Разархивировать его на диск.

   3. Папку Vba32Check записать на болванку. Все это нужно сделать на чистой машине, чтобы не заразились файлы.

   4. Вставить болванку в CD/DVD-носитель зараженной машины и запустить с нее bat-файл vba32cdrun.bat.

   Внимание. На время лечения нужно отключить восстановление системы и отключить компьютер от локальной сети, в случае если он к ней подключен!

   Последний раз редактировалось Aleksandra; 19.06.2011 в 22:04 .

   Сердце решает кого любить. Судьба решает с кем быть.

   В ряде случаев активный вирус так прописывает себя в системе, что его удаление весьма затруднительно. В этих случаях целесообразно использование загрузки с LiveCD - специальных загрузочных дисков, содержащих антивирус. Таким образом заражённая система неактивна, а значит неактивна и инфекция, а потому удалить её становится значительно проще.

   На данный момент наиболее популярны два LiveCD: от DrWeb и от Лаборатории Касперского.

   Для того, чтобы воспользоваться этими дисками, Вам необходимо скачать по одной из приведённых выше ссылок файл с расширением .iso на заведомо незаражённом компьютере. Этот файл - образ диска, его можно записать на любой пустой CD-R или CD-RW носитель. Использовать для этого можно самые различные программы, однако учтите, что файл нужно записывать именно как образ, а не просто поместить его на диск. Как записывать iso-образы указано в документации к программе для записи дисков, которую Вы собираетесь использовать.

   После этого полученный диск вставьте в заражённый компьютер, убедитесь, что в настройках BIOS указано, что с CD-ROM нужно грузиться раньше, чем с HDD, после чего перезагрузите систему. Произойдёт загрузка с LiveCD в результате которой Вы сможете провести лечение заражённой системы автоматически.
   
   ВНИМАНИЕ: LiveCD содержит антивирусные базы, в которых хранится информация о вирусах. С помощью этих баз система на LiveCD может определять вирусы и эффективно их обезвреживать. Очевидно, что антивирусные базы должны быть как можно более новыми, в противном случае система может пропустить последние версии зловредов. Поэтому мы рекомендуем Вам скачивать образы LiveCD непосредственно перед применением.

   Читайте также:

     
   • Как может выглядеть основное рабочее поле программы excel
     
   • Carmodestub что это за программа на андроид
     
   • Почему в яндекс браузере медленно скачиваются файлы
     
   • Совокупность всех программ предназначенных для выполнения на компьютере называют тест ответы
     
   • 1с расширение для работы с файлами не подключено