Вирус на сетевом оборудовании

Проблема эпидемии сетевых червей актуальна для любой локальной сети. Рано или поздно может возникнуть ситуация, когда в ЛВС проникает сетевой или почтовый червь, который не детектируется применяемым антивирусом. Сетевой вирус распространяется по ЛВС через не закрытые на момент заражения уязвимости операционной системы или через доступные для записи общие ресурсы. Почтовый вирус, как следует из названия, распространяется по электронной почте при условии, что он не блокируется клиентским антивирусом и антивирусом на почтовом сервере. Кроме того, эпидемия в ЛВС может быть организована изнутри в результате деятельности инсайдера. В данной статье мы рассмотрим практические методики оперативного анализа компьютеров ЛВС с применением различных средств, в частности с помощью авторской утилиты AVZ.

Постановка задачи

В случае обнаружения эпидемии или некой нештатной активности в сети администратор должен оперативно решить минимум три задачи:

• обнаружить зараженные ПК в сети;
• найти образцы вредоносной программы для отправки в антивирусную лабораторию и выработки стратегии противодействия;
• принять меры для блокирования распространения вируса в ЛВС и его уничтожения на зараженных компьютерах.

В случае деятельности инсайдера основные шаги анализа идентичны и чаще всего сводятся к необходимости обнаружения установленного инсайдером постороннего ПО на компьютерах ЛВС. В качестве примера такого ПО можно назвать утилиты удаленного администрирования, клавиатурные шпионы и различные троянские закладки.

Рассмотрим более подробно решение каждой из поставленных задач.

Поиск зараженных ПК

Для поиска зараженных ПК в сети можно применять как минимум три методики:

• автоматический удаленный анализ ПК — получение информации о запущенных процессах, загруженных библиотеках и драйверах, поиск характерных закономерностей — например процессов или файлов с заданными именами;
• исследование трафика ПК с помощью сниффера — данный метод очень эффективен для отлова спам-ботов, почтовых и сетевых червей, однако основная сложность в применении сниффера связана с тем, что современная ЛВС строится на базе коммутаторов и, как следствие, администратор не может осуществлять мониторинг трафика всей сети. Проблема решается двумя путями: запуском сниффера на маршрутизаторе (что позволяет осуществлять мониторинг обмена данными ПК с Интернетом) и применением мониторинговых функций коммутаторов (многие современные коммутаторы позволяют назначить порт мониторинга, на который дублируется трафик одного или нескольких портов коммутатора, указанных администратором);
• исследование нагрузки на сеть — в данном случае очень удобно применять интеллектуальные коммутаторы, которые позволяют не только оценивать нагрузку, но и удаленно отключать указанные администратором порты. Данная операция существенно упрощается при наличии у администратора карты сети, на которой имеются данные о том, какие ПК подключены к соответствующим портам коммутатора и где они расположены;
• применение ловушек (honeypot) — в локальной сети настоятельно рекомендуется создать несколько ловушек, которые позволят администратору своевременно обнаружить эпидемию.

Автоматический анализ ПК можно свести к трем основным этапам:

• проведение полного исследования ПК — запущенные процессы, загруженные библиотеки и драйверы, автозапуск;
• проведение оперативного обследования — например поиск характерных процессов или файлов;
• карантин объектов по определенным критериям.

Все перечисленные задачи можно решить при помощи авторской утилиты AVZ, которая рассчитана на запуск из сетевой папки на сервере и поддерживает скриптовый язык для автоматического обследования ПК. Для запуска AVZ на компьютерах пользователей необходимо:

1. Поместить AVZ в открытую для чтения сетевую папку на сервере.
2. Создать в этой папке подкаталоги LOG и Qurantine и разрешить пользователям запись в них.
3. Запустить AVZ на компьютерах ЛВС при помощи утилиты rexec или логон-скрипта.

Запуск AVZ на шаге 3 должен производиться при таких параметрах:

\\my_server\AVZ\avz.exe Priority=-1 nw=Y nq=Y HiddenMode=2 Script=\\my_server\AVZ\my_script.txt

Рис. 1. Редактор скриптов AVZ

Рассмотрим три типовых скрипта, которые могут пригодиться в ходе борьбы с эпидемией. Во-первых, нам потребуется скрипт для исследования ПК. Задача скрипта — произвести исследование системы и создать протокол с результатами в заданной сетевой папке. Скрипт имеет следующий вид:

// Включение сторожевого таймера на 10 минут

// Запуск сканирования и анализа

//Завершение работы AVZ

В ходе выполнения данного скрипта в папке LOG (предполагается, что она создана в каталоге AVZ на сервере и доступна пользователям для записи) будут создаваться HTML-файлы с результатами исследования компьютеров сети, причем для обеспечения уникальности в имя протокола включается имя исследуемого компьютера. В начале скрипта располагается команда включения сторожевого таймера, который принудительно завершит процеcc AVZ через 10 минут в случае, если в ходе выполнения скрипта возникнут сбои.

Протокол AVZ удобен для изучения вручную, однако для автоматизированного анализа он мало пригоден. Кроме того, администратору часто известно имя файла вредоносной программы и требуется только проверить наличие или отсутствие данного файла, а при наличии — поместить в карантин для анализа. В этом случае можно применить скрипт следующего вида:

// Включение сторожевого таймера на 10 минут

// Поиск вредоносной программы по имени

QuarantineFile(‘%WinDir%\smss.exe’, ‘Подозрение на LdPinch.gen’);

QuarantineFile(‘%WinDir%\csrss.exe’, ‘Подозрение на LdPinch.gen’);

//Завершение работы AVZ

В этом скрипте задействуется функция QuarantineFile, которая совершает попытку карантина указанных файлов. Администратору остается только проанализировать содержимое карантина (папка Quarantine\сетевое_имя_ПК\дата_каратина\) на наличие помещенных в карантин файлов. Следует учесть, что функция QuarantineFile автоматически блокирует помещение в карантин файлов, опознанных по базе безопасных AVZ или по базе ЭЦП Microsoft. Для практического применения данный скрипт можно усовершенствовать — организовать загрузку имен файлов из внешнего текстового файла, проверять найденные файлы по базам AVZ и формировать текстовый протокол с результатами работы:

// Поиск файла с указанным именем

function CheckByName(Fname : string) : boolean;

if Result then begin

case CheckFile(FName) of

-1 : S := ‘, доступ к файлу блокируется’;

1 : S := ‘, опознан как Malware (‘+GetLastCheckTxt+’)’;

2 : S := ‘, подозревается файловым сканером (‘+GetLastCheckTxt+’)’;

3 : exit; // Безопасные файлы игнорируем

AddToLog(‘Файл ‘+NormalFileName(FName)+’ имеет подозрительное имя’+S);

//Добавление указанного файла в карантин

SuspNames : TStringList; // Список имен подозрительных файлов

// Проверка файлов по обновляемой базе данных

if FileExists(GetAVZDirectory + ‘files.db’) then begin

AddToLog(‘База имен загружена - количество записей = ‘+inttostr(SuspNames.Count));

for i := 0 to SuspNames.Count - 1 do

AddToLog(‘Ошибка загрузки списка имен файлов’);

Для работы данного скрипта необходимо создать в папке AVZ доступные пользователям для записи каталоги Quarantine и LOG, а также текстовый файл files.db — каждая строка данного файла будет содержать имя подозрительного файла. Имена файлов могут включать макросы, наиболее полезные из которых — %WinDir% (путь к папке Windows) и %SystemRoot% (путь к папке System32). Другим направлением анализа может стать автоматическое исследование списка процессов, запущенных на компьютерах пользователей. Информация о запущенных процессах есть в протоколе исследования системы, но для автоматического анализа удобнее применять следующий фрагмент скрипта:

// Обновление списка процессов

AddToLog(‘Количество процессов = ‘+IntToStr(GetProcessCount));

// Цикл анализа полученного списка

for i := 0 to GetProcessCount - 1 do begin

S1 := S1 + ‘,’ + ExtractFileName(GetProcessName(i));

// Поиск процесса по имени

if pos(‘trojan.exe’, LowerCase(GetProcessName(i))) > 0 then

S := S + GetProcessName(i)+’,’;

AddLineToTxtFile(GetAVZDirectory+’\LOG\_alarm.txt’, DateTimeToStr(Now)+’ ‘+GetComputerName+’ : ‘+S);

AddLineToTxtFile(GetAVZDirectory+’\LOG\_all_process.txt’, DateTimeToStr(Now)+’ ‘+GetComputerName+’ : ‘+S1);

В завершение рассмотрим последний из полезных скриптов анализа — скрипт автоматического карантина всех файлов, которые не опознаются по базе безопасных AVZ и по базе ЭЦП Microsoft:

Автоматический карантин изучает запущенные процессы и загруженные библиотеки, службы и драйверы, около 45 способов автозапуска, модули расширения браузера и проводника, обработчики SPI/LSP, задания планировщика, обработчики системы печати и т.п. Особенностью карантина является то, что файлы в него добавляются с контролем повторов, поэтому функцию автокарантина можно вызывать многократно.

Достоинство автоматического карантина заключается в том, что с его помощью администратор может оперативно собрать потенциально подозрительные файлы со всех компьютеров сети для их изучения. Простейшей (но весьма эффективной на практике) формой изучения файлов может быть проверка полученного карантина несколькими популярными антивирусами в режиме максимальной эвристики. Следует отметить, что одновременный запуск автокарантина на нескольких сотнях компьютеров может создать высокую нагрузку на сеть и на файловый сервер.

Исследование трафика можно проводить тремя способами:

• вручную при помощи снифферов;
• в полуавтоматическом режиме — в данном случае сниффер собирает информацию, и затем его протоколы обрабатываются либо вручную, либо некоторым ПО;
• автоматически при помощи систем обнаружения вторжений (IDS) типа Snort (http://www.snort.org/) либо их программных или аппаратных аналогов. В простейшем случае IDS состоит из сниффера и системы, анализирующей собираемую сниффером информацию.

Система обнаружения вторжений является оптимальным средством, так как позволяет создавать наборы правил для обнаружения аномалии в сетевой активности. Второе ее преимущество состоит в следующем: большинство современных IDS позволяют размещать агенты мониторинга трафика на нескольких узлах сети — агенты собирают информацию и передают ее. В случае же применения сниффера очень удобно пользоваться консольным UNIX-сниффером tcpdump. Например, для мониторинга активности по порту 25 (протокол SMTP) достаточно запустить сниффер с командной строкой вида:

tcpdump -i em0 -l tcp port 25 > smtp_log.txt

В данном случае ведется захват пакетов через интерфейс em0; информация о захваченных пакетах будет сохраняться в файле smtp_log.txt. Протокол сравнительно просто анализировать вручную, в данном примере анализ активности по порту 25 позволяет вычислить ПК с активными спам-ботами.

В качестве ловушки (Honeypot) можно использовать устаревший компьютер, производительность которого не позволяет применять его для решения производственных задач. Например, в сети автора в качестве ловушки успешно применяется Pentium Pro c 64 Мбайт оперативной памяти. На этот ПК следует установить наиболее распространенную в ЛВС операционную систему и выбрать одну из стратегий:

• Установить операционную систему без пакетов обновлений — она будет индикатором появления в сети активного сетевого червя, эксплуатирующего любую из известных уязвимостей для данной операционной системы;
• установить операционную систему с обновлениями, которые установлены на других ПК сети — Honeypot будет аналогом любой из рабочих станций.

Каждая из стратегий имеет как свои плюсы, так и минусы; автор в основном применяет вариант без обновлений. После создания Honeypot следует создать образ диска для быстрого восстановления системы после ее повреждения вредоносными программами. В качестве альтернативы образу диска можно использовать системы отката изменений типа ShadowUser и его аналогов. Построив Honeypot, следует учесть, что ряд сетевых червей ищут заражаемые компьютеры путем сканирования диапазона IP, отсчитываемого от IP-адреса зараженного ПК (распространенные типовые стратегии — X.X.X.*, X.X.X+1.*, X.X.X-1.*), — следовательно, в идеале Honeypot должен быть в каждой из подсетей. В качестве дополнительных элементов подготовки следует обязательно открыть доступ к нескольким папкам на Honeypot-системе, причем в данные папки следует положить несколько файлов-образцов различного формата, минимальный набор — EXE, JPG, MP3.

Рис. 2. Создание и настройка предупреждения о сетевой активности

В качестве предупреждения удобнее всего использовать сообщения электронной почты, отправляемые на почтовый ящик администратора, — в этом случае можно получать оперативные оповещения от всех ловушек в сети. Кроме того, если сниффер позволяет создавать несколько предупреждений, есть смысл дифференцировать сетевую активность, выделив работу с электронной почтой, FTP/HTTP, TFTP, Telnet, MS Net, повышенный трафик более 20-30 пакетов в секунду по любому протоколу (рис. 3).

Рис. 3. Письмо-оповещение, высылаемое
в случае обнаружения пакетов, соответствующих заданным критериям

При организации ловушки неплохо разместить на ней несколько применяемых в сети уязвимых сетевых служб или установить их эмулятор. Простейшим (и бесплатным) является авторская утилита APS, работающая без инсталляции. Принцип работы APS сводится к прослушиванию множества описанных в ее базе портов TCP и UDP и выдаче в момент подключения заранее заданного или случайно генерируемого отклика (рис. 4).

Рис. 4. Главное окно утилиты APS

Дистанционное удаление вредоносных программ

В идеальном случае после обнаружения образцов вредоносных программ администратор отправляет их в антивирусную лабораторию, где они оперативно изучаются аналитиками и в базы антивируса вносятся соответствующие сигнатуры. Эти сигнатуры через автоматическое обновление попадают на ПК пользователей, и антивирус производит автоматическое удаление вредоносных программ без вмешательства администратора. Однако эта цепочка не всегда работает как положено, в частности возможны следующие причины сбоя:

• по ряду независимых от администратора сети причин образы могут не дойти до антивирусной лаборатории;
• недостаточная оперативность антивирусной лаборатории — в идеале на изучение образцов и их внесение в базы уходит не более 1-2 часов, то есть в пределах рабочего дня можно получить обновленные сигнатурные базы. Однако не все антивирусные лаборатории работают столь оперативно, и обновления можно ждать несколько дней (в редких случаях — даже недель);
• высокая работоспособность антивируса — ряд вредоносных программ после активации уничтожают антивирусы или всячески нарушают их работу. Классические примеры — внесение в файл hosts записей, блокирующих нормальную работу системы автообновления антивируса, удаление процессов, службы и драйверов антивирусов, повреждение их настроек и т.п.

Следовательно, в перечисленных ситуациях придется бороться с вредоносными программами вручную. В большинстве случаев это несложно, так как по результатам исследования компьютеров известны зараженные ПК, а также полные имена файлов вредоносных программ. Остается только произвести их дистанционное удаление. Если вредоносная программа не защищается от удаления, то уничтожить ее можно скриптом AVZ следующего вида:

// Эвристическая чистка системы

Данный скрипт удаляет один заданный файл (или несколько файлов, так как команд DeleteFile в скрипте может быть неограниченное количество) и затем производит автоматическую чистку реестра. В более сложном случае вредоносная программа может защищаться от удаления (например, пересоздавая свои файлы и ключи реестра) или маскироваться по руткит-технологии. В этом случае скрипт усложняется и будет иметь следующий вид:

// Включение протоколирования BootCleaner

// Импорт в задание BootCleaner списка файлов, удаленных скриптом

В этом выпуске Константин Гончаров рассказывает о том, что общего у Google с электроовцами, жалуется на уязвимости в Office и удивляется классическим вирусам в сетевом оборудовании

Читал эту новость и не мог избавиться от чувства дежавю. Где-то это уже было… А!

Tyrell: Is this to be an empathy test? Capillary dilation of the so-called blush response? Fluctuation of the pupil. Involuntary dilation of the iris…
Deckard: We call it Voight-Kampff for short.

А-а-а-а! В фильме и книге люди тестами выявляли роботов, а тут роботы будут отличать людей друг от друга. Но принцип тот же! Будущее наступило. Билли, где моя электрическая овца? Светлое будущее, кажется, окончательно лишит нас прямого контроля над собственными устройствами, как уже лишило контроля над данными. Сейчас продолжим, а пока напоминаю, что все выпуски дайджеста — тут.

Итак, в общих чертах проект Abacus был анонсирован Google на прошлогодней конференции Google I/O, а в этом году на таком же мероприятии объявили, что технология будет доступна для пользователей уже в конце года. Abacus основан на изучении упомянутых выше повадок (включаю голос Дроздова) пользователя для выставления некоего Trust Score. Как только поведение пользователя меняется, Trust Score резко падает, и в определенный момент устройство блокируется. Trust Score, кстати, планируется хранить непосредственно на устройстве, на серверы Google он передаваться не будет. Похожую позицию касательно сбора биометрических данных занимает Apple.

Надо ли вообще хоронить пароли? Пожалуй, да, уже пора. Все прошлая неделя практически полностью состояла из новостей про утечки паролей, пользователи по-прежнему защищают свои данные надежными комбинациями а-ля 123321, а компании регулярно эти пароли теряют. Менеджерами паролей пользуется не так много людей, как хотелось бы.

Время пришло. Вообще пароли можно назвать представителями компьютерного олдскула: это такой же пережиток прошлого, как, например, полное доверие между компьютерами внутри одной локальной сети. Можно пойти еще дальше и отнести пароли к уходящей эпохе старого подхода к программированию электронных вычислительных машин.

Недавно в Wired была опубликована статья как раз об этом. Программирование, как мы сейчас его понимаем, все целиком будет объявлено низкоуровневым, а кодеры будущего скорее займутся тренировкой своих самообучаемых машин с последующей репликацией результатов. Ну как с собаками. Можете называть это пришиванием белыми нитками, но я вижу явную связь между развитием темы машинного обучения и подходом Google к безопасности.

У меня нет сомнений насчет перспективности проекта Abacus, но мы же в реальном мире живем, да? Поначалу все, что только можно, пойдет не так. Сомнения одного из комментаторов к новости на Threatpost вполне оправданны: а что, если мое поведение поменяется в силу каких-то внешних причин и меня ни за что отключат от моего же смартфона? Почему вообще компьютер должен решать такие вещи за меня?

Шутка про алкогольный детектор в телефоне, который блокирует исходящие и чатик, кажется, перестает быть шуткой. Дивный новый мир! Радует лишь то, что престиж тех, кто реально разбирается в подноготной всех этих умных систем, будет только расти. Одновременно со сложностью самих систем, конечно.

Уязвимость, закрытая апдейтом MS15-099, затрагивает версии Office с 2007 по 2013 и позволяет выполнить произвольный код, если заставить пользователя открыть подготовленное изображение в формате EPS.

Летом прошлого года ситуация с этой дырой пошла по плохому сценарию: реальные атаки были обнаружены еще в августе, до выпуска патча. Как видно, и патч не сильно помог. В числе жертв — множество компаний и госструктур в Азии. Эксплойт использовался минимум шестью разными группировками, из них четыре действуют и поныне. Как обычно, все начинается с весьма правдоподобного фишингового письма.

Непропатченный Microsoft Office очень часто становится входными воротами для таргетированных атак, а с недавнего времени его стали использовать бьющие по площадям авторы криптолокеров (вот тут есть интересная новость про очередной хитрый метод заражения через макросы). Вывод из всего этого простой: не надо давать атакующим шанс использовать хотя бы известные и закрытые уязвимости. Патчить — хорошо.

Проблема в том, что уязвимость затрагивает версии AirOS 5.6.2 и более ранние и вообще-то была закрыта год назад. Не все смогли за это время обновить прошивки своих устройств. Почему я не удивлен? Пожалуй, из всех потенциально уязвимых точек инфраструктуры сетевые устройства представляют наибольшую опасность в случае взлома: это, по сути, ключи от огороженного периметра. Представители вендора, впрочем, утверждают, что атакованных устройств было немного, и предоставляют пострадавшим утилиту для приведения сетевой аппаратуры в чувство.

TeslaCrypt — всё. Авторы одного из наиболее заметных криптолокеров извинились и опубликовали мастер-ключ для расшифровки данных.

История со взломом финансовой сети SWIFT продолжается. Помимо центробанка Бангладеш пострадала финансовая организация в Эквадоре. Представители SWIFT в свою очередь перестали делать вид, что их это не касается, и начали делиться информацией об атаках, хотя и в закрытом виде.

Обнаруженная совсем недавно уязвимость нулевого дня в Adobe Flash уже взята на вооружение тремя эксплойт-паками.

Вирус Petya, ставший причиной выхода из строя компьютеров десятков компаний по всему миру, может быть разработкой враждебного государства, а не криминальной группы. К такому выводу пришли эксперты информационной безопасности и сотрудники западных разведывательных служб.

Многие из них на фоне появившихся за прошедшую неделю свидетельств указывают на одно государство – Россию. Тактика, технология и процедура (это киберисследователи называют/сокращают до TTPs) разработчиков Petya похожа на игровую схему/игровой сценарий Кремля.

Вирус-шифровальщик едва окупается

По всей видимости, воздействие кибератаки (Petya повредил системы организаций более чем в 60 странах, от датского судоходного перевозчика Maersk до американской фармацевтической компании Merck) вызывает тревогу у агентств информационной безопасности Европы и США.

Многие опасаются, что это приведет к новой и опасной гонке кибервооружений. Эта атака подчеркивает, насколько враждебные государства, пользуясь своими возможностями, готовятся переступить границы дозволенного несмотря на возможные побочные последствия. К возможностям относятся умение озадачивать и отвлекать внимание, используя традиционные методы работы разведки, в то же время прибегая к технически более оснащенным преступным и криминальным сообществам.

Главный подозреваемый - Россия

Уотерс сообщил, что к такому заключению они пришли, основываясь на различных свидетельствах: технических данных сетевого оборудования, данных сетей, непосредственно запускающих кибератаку Petya, объектах, подвергшихся атаке вируса, на сложности кода и выбранной тактике заражения вирусом в целом.

Как защититься от вируса-шифровальщика

Европейские сотрудники разведки приходят к такому же выводу. В четверг вечером Британский национальный центр кибербезопасности, подразделение GCHQ (Правительственная спецслужба Великобритании), сообщил, что целью кибератаки была дестабилизация, а не вымогательство.

Больше чем вирус

С самого начала было понятно, что вирус Petya - это больше, чем просто вирус-вымогатель. И в отличие от других вымогателей, Petya не только зашифровывает жесткий диск, но и стирает загрузочную запись компьютера. Восстановить удаленную информацию практически невозможно.

Расшифровка системы за денежный выкуп достаточно посредственный/заурядный способ. Поэтому хакеры воспользовались более незаурядным – потребовали прислать деньги на единый электронный адрес, который был заблокирован провайдерами вскоре после начала кибератаки.

И если технология выкупа выглядит как разработка хакеров-любителей, то сама вредоносная программа отнюдь не выглядела дилетантской.

Вирус-вымогатель начал распространяться с Украины

Petya распространялся, скрываясь внутри лицензионного программного обеспечения M.E. Doc. украинской компании, которая занимается бухгалтерским учетом. Обновление отправлялось клиентам автоматически, что помогло избежать брандмауэров. Такой метод распространения вирусов никогда раньше не использовался криминальными сообществами. Для этого необходимо было тщательное планирование взлома программы M.E. Doc.

Если окажется, что вирус Petya – российская разработка, это будет способствовать значительному обострению мирового киберконфликта.

Стремительное распространение вируса Petya и его негативные последствия позволяют предположить, что организаторов атаки не пугает ни критика пострадавших стран, ни возможность введения санкций.

Перевела Елизавета Дикарева

Хотите скрыть рекламу? Оформите подписку и читайте, не отвлекаясь

Наши проекты

Контакты

Любое использование материалов допускается только при соблюдении правил перепечатки и при наличии гиперссылки на vedomosti.ru

Новости, аналитика, прогнозы и другие материалы, представленные на данном сайте, не являются офертой или рекомендацией к покупке или продаже каких-либо активов.

Сайт использует IP адреса, cookie и данные геолокации Пользователей сайта, условия использования содержатся в Политике по защите персональных данных

Любое использование материалов допускается только при соблюдении правил перепечатки и при наличии гиперссылки на vedomosti.ru

Новости, аналитика, прогнозы и другие материалы, представленные на данном сайте, не являются офертой или рекомендацией к покупке или продаже каких-либо активов.

Сайт использует IP адреса, cookie и данные геолокации Пользователей сайта, условия использования содержатся в Политике по защите персональных данных

Многие слышали о компьютерных вирусах, но не многие понимают — что они из себя представляют. Для начала определимся в понятиях. Несмотря на то, что понятие не было закреплено в словарях, мы будем использовать следующую формулировку:

Компьютерный вирус — программа или вредоносный код, способный совершать без ведома пользователя действия снижающие производительность компьютера, похищать или изменять личные данные пользователя и просто отвлекать его своими действиями. До определённого момента вирусы были способны вывести из строя аппаратную часть, но теперь производители закрыли возможность программно выводить настройки оборудования за безопасный диапазон.

Кто и зачем создаёт вирусы?

Вариации вирусов во многом зависят от опыта злоумышленника и его целей. Обычно вирусы создают хулиганы и мошенники. Первые зачастую неопытны, их фантазия обычно нацелена на уничтожение данных или самодублирование вредоносного кода. Арсенал вторых более разнообразен, так как для них это своего рода бизнес. Так как для АВК-ВЕЛЛКОМ важно, чтобы ваш интернет работал без сбоев, мы постараемся рассмотреть наиболее часто используемые принципы, подробнее останавливаясь на наиболее популярных схемах.

Как вирус попадает на компьютер?

Хакеры, которые могут взломать любой компьютер действительно существуют, но в подавляющем большинстве случаев именно пользователь "открывает дверь" для вируса. По статистике наиболее частыми способами заражения являются:

• Вложение к электронной почте от незнакомцев с большой долей вероятности будет вирусом. Это может быть исполняемый файл или даже текстовый документ.
• Вирус может попасть на ваш компьютер вместе, а иногда вместо программы, скаченной с непроверенного источника. Всегда проверяйте файлы из таких источников антивирусом.
• Носители USB стали любимым средством переноса вредоносных программ, будьте осторожны при использовании флешки в общественных местах.
• Нередко мошенники находят уязвимости в проверенных программах, старайтесь по возможности использовать свежии версии программы.
• Просмотр сайтов в теле которых, находится вредоносный код может легко стать причиной заражения, не переходите по подозрительным ссылкам.

Какие вирусы бывают?

Существует огромное количество разновидностей вирусов, отличающихся по основному способу распространения и функциональности. Мы приведём небольшую классификацию и для наглядности осветим несколько примеров:

1. Файловый вирус — это могут быть исполняемые файлы с расширением .exe или .com , динамические библиотеки .dll , или системные файлы .sys . Принцип у них всегда один — заставить пользователя запустить себя, после этого заразить другие файлы (зачастую системные) и при обращении системы к этим файлам вирус сможет совершать вредоносные действия.

2. Загрузочные вирус — по принципу схож с файловыми вирусами, но, как следует из названия, поражает загрузочные сектора устройств, если поражён жесткий диск, то загрузка вируса может проходить до загрузки операционной системы.

3. Ещё один тип вирусов это макросы, они похожи на файловые вирусы, им также требуется чтобы человек запустил их лично, но прячутся они в документах Microsoft Office. Поэтому если вам понадобилось скачать текстовую информацию в интернете, будьте осторожны.

4. Ещё один тип вредоносного программного обеспечения — сетевые черви. От вирусов их отличает умение использовать сетевые протоколы передачи данных, например электронную почту или ICQ. Червь получает доступ к адресной книге жертвы и рассылает себя по всем имеющимся в ней адресам.

5. Трояны — одни из самых опасных типов вредоносных программ. Троян маскируется под другую казалось бы безопасную программу, однако во время работы они совершают совсем не безвредные действия - начиная с передачи злоумышленнику Ваших паролей и заканчивая полным администрированием вашего компьютера.

Как защититься свой компьютер?

Интернет-преступность развивается — появляются новые схемы, старые кардинально меняются и описать их все не представляется возможным. Чтобы снизить риск заражения и потенциальный урон от вредоносного программного обеспечения вам следует:

2. Всегда устанавливайте обновления операционной системы и прикладных программ, предназначенные для устранения пробелов в их безопасности. Если вы пользуетесь Microsoft® Windows®, вам не нужно вручную загружать обновления каждый месяц, достаточно установить режим автоматических обновлений – Пуск | Панель управления | Центр обеспечения безопасности Windows® (Start | Control Panel | Security Center). Если вы пользуетесь программным пакетом Microsoft® Office, не забывайте регулярно устанавливать его обновления.

3. Если вы получили по электронной почте сообщение с вложенным файлом (документ Word, таблица Excel, исполняемый файл с расширением .EXE и т.д.), не открывайте вложение, если отправитель письма вам неизвестен. Если отправитель известен, но письмо пришло неожиданно, не стесняйтесь переспросить сам ли он отправил его. НИ ПРИ КАКИХ УСЛОВИЯХ не открывайте вложения, присланные в нежелательных сообщениях (спаме).

4. Регулярно (не реже раза в день) устанавливайте обновления программ, обеспечивающих безопасность вашего компьютера.

5. Используйте на своем компьютере учетную запись с правами администратора только в тех случаях, когда вам надо установить программы или изменить настройки системы. Для повседневного использования создайте отдельную учетную запись с ограниченными правами пользователя (для этого нужно зайти в раздел "Учетные записи пользователей" Панели управления). Это важно потому, что при атаке вредоносный код получает тот же уровень прав, с которым вы вошли в систему. Если вы зарегистрировались в системе с правами администратора, то такой же уровень прав будет и у вируса, червя или троянской программы, и вредоносное ПО получит доступ к ключевым данным, хранящимся в системе.

6. Регулярно сохраняйте резервные копии своих данных на компакт-диске (CD), DVD-диске, внешнем USB-накопителе или с помощью специальных решений. В случае повреждения или шифрования вредоносной программой данных на жестком диске вы сможете восстановить их из резервной копии.

Защищать свой компьютер необходимо. Естественно установка антивируса и сетевого экрана должны быть в первых рядах обороны вашего компьютера. На нашем сайте есть раздел, который поможет Вам подобрать себе антивирус, программы для резервного копирования данных и утилиты контентной фильтрации и родительского контроля.