Эволюция: от ламера к хакеру. Часть 4. Борьба с зловредами(с) | Блог Кириллова Дмитрия про блоги, продвижение и оптимизацию.
Главная страница
Авторизоваться
Подписаться на RSS
Об авторе
Сервисы
Реклама
Услуги
Портфолио
Партнерство

Эволюция: от ламера к хакеру. Часть 4. Борьба с зловредами(с)

Февраль 10th, 2011 Автор grafchitaru Рубрики: ИТ

Во первых, давайте разберемся, что же такое вредоносная программа(ВП) и какие типы ВП существуют.
Вирус — это программа, способная к размножению(саморепликации). Вирус может повредить или полностью уничтожить информацию на компьютере жертвы. Вирусы распространяются, внедряя себя в исполнимый код других программ, кроме того, они могут внедряться и в непрограммы, например в неформатированный текст., после чего вам потребуется www.uborkamusora.su уборка территории своего компьютера.Вирус может начать размножаться, только в том случае, если пользователь сам запустит зараженное приложение. Своими силами вирус активизироваться не может. Именно поэтому вирусописатели прибегают к различным способам, которые позволяют пользователю запустить зараженный объект.

Троянская программа(Троянский конь) — вредоносная программа, которая проникает на компьютер жертвы под видом безобидной, например кодека, скринсейвера и т.д. Троян не имеет собственного механизма размножения. Троян может нести тело вируса, в таком случае он получает возможность к размножению.

Шпионское программное обеспечение — программа, которая скрыто устанавливается на компьютер жертвы, с целью контроля за работой компьютера и пользователя, без его согласия.

Каналы распространения ВП:
Флэш-накопители

Сюда относятся не только флэшки, а все, что использует флэш-накопители, например: сотовые телефоны, фотоаппараты, видеокамеры и т.д. Когда вы подключаете флэшку к зараженному компьютеру, в корне диска ВП создает файл autorun.inf и файл вируса. Когда пользователь запускает зараженную флэшку на незараженном компьютере, то система, считывая информацию из файла autorun.inf, получает сведения, какой файл необходимо запустить, после чего происходит заражение.

РЕКОМЕНДАЦИИ:
Отключить автозапуск, метод №1

I. «Пуск» — «Выполнить» и вызываем команду «regedit»

II. Открыть HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies

III. Далее необходимо создать новый раздел

IV. Переименовать новый раздел в «Explorer»

V. В созданном разделе создать ключ NoDriveTypeAutoRun.

Допустимые значения ключа:

0x1 — отключить автозапуск приводов неизвестных типов

0x4 — отключить автозапуск съемных устройств

0x8 — отключить автозапуск интегрированных устройств

0x10 — отключить автозапуск сетевых дисков

0x20 — отключить автозапуск CD-приводов

0x40 — отключить автозапуск RAM-дисков

0x80 — отключить автозапуск на приводах неизвестных типов

0xFF — отключить автозапуск вообще всех дисков.

Значения ключа суммируются (в шестнадцатеричной системе счисления), возможно подобрать необходимый вариант автозагрузки.
Отключить автозапуск, метод №2

I. «Пуск» — «Выполнить» и вызываем команду «gpedit.msc»

II. Слева выбираем ветку дерева Конфигурация компьютера — Административные шаблоны — Система. Справа найдите пункт «Отключить автозапуск»

III. Выбираем «включен» и «на всех дисководах»
Отключить автозапуск, метод №3

Данный метод является скорее хаком, т.к. происходит подмена файла autorun.inf значением из реестра, которое является пустым или неверным. Если мы вставим зараженную флэшку, то система распознает autorun.inf пустым.
Создадим текстовый документ со следующим содержимым:

REGEDIT4
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionIniFileMappingAutorun.inf]
@=»@SYS:DoesNotExist»
Сохраним документ под названием, например «noautorun.reg»
Запустим файл, соглашаясь с добавлением значения в реестр.

Готовый файл можете взять здесь: http://www.graf.chita.ru/load/0-0-0-1-20
Электронная почта

ВП в письмах электронной почты маскируются под безобидные вложения, например: картинки, документы, музыку, ссылки на сайт и т.д. Также в самом письме может и не содержаться ВП, но если открыть ссылку, то можно попасть на зараженный веб-сайт, который внедрит код на ваш компьютер.

РЕКОМЕНДАЦИИ:
Никогда не открывать сразу почтовое вложение в полученном сообщении.
Если отправитель сообщения неизвестен, то сообщение с вложением может быть удалено. Если отправитель известен, то сообщение с вложением также может содержать вирус, т.к. отправитель может быть сам заражен, либо это может быть подмена. Никогда не открывать вложений, если которые небыли запрошены или о которых небыло уведомления от отправителя.
Прежде чем открывать вложение, необходимо проверить его антивирусом.
Если существует сомнение в отсутствии ВП во вложении, то можно связаться с отправителем и запросить у него информацию о вложении.
Установить все необходимые обновления в почтовом клиенте, для закрытия основных уязвимостей.

Системы обмена мгновенными сообщениями(СОМС)

ВП в СОМС могут быть присланы также в виде ссылок на зараженныесайты, либо высланным файлом.

РЕКОМЕНДАЦИИ:
Отключить возможность получения файлов в СОМС.
Если вы получили сообщение со ссылкой, спросите у отправителя, что это за ссылка, причем желательно спрашивать не обычными фразами, по типу «что это», «это шо» и так далее, а использовать фразы посложнее, т.к. боты могут быть изначально запрограммированы на ответ на дежурные фразы. Так же чаще всего, бот выдает ответ в ту же секунду, как вы задали вопрос.
Веб-страницы

Веб-страницы могут изначально содержать вредоносный код. Любой сайт может быть заражен. Когда пользователь заходит на зараженный сайт, то начинается загрузка вредоносного кода на компьютер жертвы. Это достигается за счет наличия на странице активного содержимого, например ActiveX-компоненты, Java-апплетов. Используются уязвимости программного обеспечения, установленного на компьютере жертвы, либо уязвимости в программном обеспечении владельца сайта.

РЕКОМЕНДАЦИИ:
Не посещать подозрительные ресурсы. В первую очередь к подозрительным ресурсам можно отнести порно сайты и кряк сайты.
Если вы не уверенны в безопасности ресурса, можно открыть google.ru и ввести URL сайта. Если сайт занесен в базу опасных сайтов google, то после заголовка сайта поисковик выдаст сообщение:

Этот сайт может нанести вред Вашему компьютеру.
Настроить антивирус таким образом, чтобы сканирование страниц происходило в реальном времени.
В настройках браузера отключить возможность запуска активного содержимого веб-страниц.
Интернет и локальная сеть

Черви — вид вирусов, которые проникают на компьютер-жертву без участия пользователя. Черви используют так называемые «дыры» (уязвимости) в программном обеспечении операционных систем, чтобы проникнуть на компьютер. Уязвимости — это ошибки и недоработки в программном обеспечении, которые позволяют удаленно загрузить и выполнить машинный код, в результате чего вирус-червь попадает в операционную системы и, как правило, начинает действия по заражению других компьютеров через локальную сеть или Интернет. Злоумышленники используют заражённые компьютеры пользователей для рассылки спама или для DDoS-атак.

РЕКОМЕНДАЦИИ:
Регулярное обновление всего программного обеспечения, с целью закрытия распространенных уязвимостей.
Установка фаервола.

Как бороться с вирусами при отсутствии специализированного ПО(антивирусов, фаерволов и т.д.) или если антивирус не помогает.

Итак, есть предположение, что ваш компьютер заражен.
Первое, что стоит выучить, для того, чтобы детектировать вирусы, это стандартный список процессов в операционной системе. Ниже список процессов, которые существуют в чистой Windows XP, если не запущены никакие дополнительные приложения:
процесс
описание
путь

csrss.exe
Данный процесс является частью подсистемы Win32, выполняющейся в непривилегированном режиме (Win32.sys является модулем привилегированного режима). Процесс Csrss представляет клиент-серверную подсистему времени выполнения. Данный процесс должен быть запущен все время. Процесс Csrss отвечает за консольные окна, создание и удаление потоков и за некоторые части 16-разрядной виртуальной среды MS-DOS.
C:\Windows\System32/

ctfmon.exe
Данный процесс нужен для альтернативных способов ввода текста.
C:\Windows\System32/

explorer.exe
Данный процесс является пользовательской оболочкой, которая отвечает за такие компоненты как Панель задач, Рабочий стол и так далее.
C:\Windows/

lsass.exe
Данный процесс является сервером аутентификации локальной защиты, создающим процесс, ответственный за проверку пользователей для службы Winlogon. Данный процесс использует пакеты аутентификации, такие как Msgina.dll. Если аутентификация успешна, процесс Lsass создает маркер доступа пользователя, который используется для запуска пользовательской оболочки. Другие процессы, инициализируемые пользователем, наследуют данный маркер.
C:\Windows\System32/

services.exe
Данный процесс является диспетчером управления службами и отвечает за запуск, остановку и взаимодействие с системными процессами.
C:\Windows\System32/

smss.exe
Данный процесс представляет подсистему менеджера сеансов. Данная подсистема является ответственной за запуск пользовательского сеанса. Этот процесс инициализируется системным потоком и ответствен за различные действия, включая запуск процессов Winlogon и Win32 (Csrss.exe) и установку системных переменных. После запуска данных процессов процесс Smss ожидает их завершения. При «нормальном» завершении процессов система корректно завершает работу. Если процессы завершаются аварийно, процесс Smss.exe заставляет систему прекратить отвечать на запросы.
C:\Windows\System32/

spoolsv.exe
Данный процесс ответственен за управление буферизацией печати для заданий печати и факсимильных заданий.
C:\Windows\System32/

svchost.exe
Данный процесс представляет собой универсальный процесс, который действует как исходный процесс для других процессов, вызываемых из библиотек DLL. Поэтому возможно наличие более одного экземпляра данного процесса.
C:\Windows\System32/

winlogon.exe
Данный процесс отвечает за управление входом и выходом пользователей системы. Кроме того, Winlogon активируется только при нажатии пользователем сочетания клавиш «CTRL + ALT + DEL» и отображает диалоговое окно «Безопасность Windows».
C:\Windows\System32/

System
Большинство системных потоков привилегированного режима выполняются как процесс System.

Бездействие системы
Данный процесс представляет собой отдельный поток, выполняющийся на каждом процессоре и имеющий единственную задачу — заполнение процессорного времени, когда система не обрабатывает другие потоки. В Диспетчере задач данный процесс занимает большую часть процессорного времени.

Запускаем диспетчер задач(хотя лучше воспользоваться сторонним диспетчером, например process killer) и изучаем, какие процессы запущены в системе. Сначала бросим беглый взгляд на пути, по которым располагаются процессы. Пути у стандартных процессов могут быть только такими, которые указаны в таблице выше. Если пути к файлам другие, то можно однозначно сделать заключение о том, что система заражена вирусом.

Далее, проверим, какие дополнительно процессы присутствуют, кроме стандартных. Проверим пути, по которым располагаются данные процессы. Если они располагаются в Program Files, то маловероятно, что это вирус, скорее всего это приложение, которое вы сами установили, т.к. вирусы редко прописываются в данной директории(иногда прописываются!!!)

Возьмем на заметку левые процессы, которые мы выявили.
Далее проверим, что располагается в автозагрузке, запустим msconfig — Пуск — выполнить — msconfig (хотя лучше воспользоваться каким-нибудь твикером для этой цели, например NeoTweaker). Перейдем во вкладку Автозагрузка и отключим абсолютно все программы здесь. Сохраним изменения, закроем msconfig. Далее снова запускаем msconfig и смотрим, какие из программ восстановились в автозагрузке. Те программы, что восстановились — однозначно вирусы. Включаем автозагрузку обратно, если это необходимо.

Возьмем на заметку левые программы в автозагрузке, которые мы выявили.
Далее проверяем, запускается ли настоящая оболочка при старте компьютера или подложная.

Открываем regedit — Пуск — Выполнить — regedit. Ищем в реестре следующий ключ:

Ключ: HKEY_Local_Machine\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

Имя: Shell

Значение: Explorer.exe

Если стоит какое-либо другое значение, значит однозначно вирус.

Возьмем на заметку левый ключ в реестре, который мы выявили.
Произведем поиск в директории C:\Windows на предмет скрытых системных файлов(В Total Commander они отобразятся в виде файлов с восклицательным знаком). Возможно, что данные файлы — вирусы.

Возьмем на заметку левые файлы, которые мы выявили.
Проверим, какие файлы запускаются по расписанию: C:\Windows\Tasks/. Возможно вирус скрывается здесь.

Возьмем на заметку левые файлы в расписании , которые мы выявили.
Проверить файл hosts. «%System%\drivers\etc\hosts», используя любое стандартное приложение (например, «Блокнот» — «Notepad»). Оригинальный файл hosts выглядит следующим образом:

# (C) Корпорация Майкрософт (Microsoft Corp.), 1993-1999
#
# Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows.
#
# Этот файл содержит сопоставления IP-адресов именам узлов.
# Каждый элемент должен располагаться в отдельной строке. IP-адрес должен
# находиться в первом столбце, за ним должно следовать соответствующее имя.
# IP-адрес и имя узла должны разделяться хотя бы одним пробелом.
#
# Кроме того, в некоторых строках могут быть вставлены комментарии
# (такие, как эта строка), они должны следовать за именем узла и отделяться
# от него символом ‘#’.
#
# Например:
#
# 102.54.94.97 rhino.acme.com # исходный сервер
# 38.25.63.10 x.acme.com # узел клиента x
127.0.0.1 localhost

Если в данном файле содержатся другие строки, необходимо изменить их удалить, оставив только стандартные.
Проверим службы. Здесь можно посмотреть стандартный список служб Windows XP: http://graf.chita.ru/blog/2009-09-21-26 Управлять службами можно, вызвав оснастку управления службами через Пуск ->Выполнить-> services.msc. Если в списке присутствуют левые службы, удостоверьтесь, устанавливали ли вы данные программы.

Общие рекомендации по деактивации обнаруженного вируса:
В первую очередь удалим из диспетчера задач левые процессы.
Блокируем вирус до лучших времен.

ПКМ на файле — свойства — безопасность — дополнительно — снимаем галочку «Наследовать от родительского объекта…» — удалить — ок.

Все, вирус заблокирован, вреда он больше не принесет.
Качаем Ccleaner, в дополнительных путях добавляем следующие:

C:\Documents and Settings\administrator\Local Settings\History\History.IE5\ — для всех пользователей

C:\Documents and Settings\administrator\Local Settings\Temp\ — для всех пользователей

C:\Documents and Settings\administrator\Local Settings\Temporary Internet Files\Content.IE5\ — для всех пользователей

C:\temp\

C:\WINDOWS\Tasks\

C:\WINDOWS\Temp\

Чистим Ccleaner-ом систему.

Прогоняем Ccleaner на исправление ошибок.
Отключаем все левые надстройки в браузере.
Устанавливаем самые последние обновления системы.

Теги:
Получать обновления блога по почте:

Комментариев пока нет.

Написать комментарий

Я не робот.