ИБ Лк Вирусы и Анитвирусы - ч2

Вредоносное ПО, методы и средства для борьбы с ним ч2

Признаки присутствия вредоносного ПО Что такое вредоносное программное обеспечение, как оно проникает на

компьютер и чем оно занимается мы разобрали. А вот как понять, что система заражена вредоносным ПО?

Вредоносное ПО вообще может никак не проявлять своего присутствия в заражённой системе («бессимптомное носительство»). Так могут вести себя, например, представители класса шпионского программного обеспечения: ведь их задача – как можно дольше скрытно собирать и передавать своим владельцам как можно больше ценных данных. Не проявлять своего присутствия могут и представители других типов вредоносного ПО, если они находятся в «спящем режиме», ожидая выполнения каких-либо условий или поступления прямой команды, чтобы начать действовать.

Но на практике, само наличие вредоносного ПО уже может влиять на систему. Кроме того, вредоносные программы могут содержать ошибки и недочёты так же, как и обычное легальное ПО, а необходимость работать на разных программных и аппаратных платформах, находящихся в разных состояниях, включающих разные версии программ, драйверов, прошивок и т. п. только способствует проявлению этих возможных недостатков.

Как правило, в зависимости от типа и назначения вредоносное ПО может проявлять своё присутствие в системе следующими способами:

1.замедление работы компьютера;

2.замирания и зависания системы;

3.внезапные выключения, перезагрузки, сообщения о критических ошибках (например, BSOD в среде ОС Windows);

4.уменьшение места на жёстких дисках;

5.увеличение использования ресурсов системы (например, постоянное активное использование жёстких дисков, постоянная занятость процессора, высокая сетевая активность);

6.появление новых или исчезновение, переименование, перенос старых файлов, папок, ярлыков;

7.изменения настроек системы (значков в системных меню, часовых поясов, заставок и т. д.);

8.выполнение каких-либо действий без участия пользователя (например, автоматические установка и запуск неизвестных программ);

9.нарушения в процессе стандартного взаимодействиях с системой (например, блокирование передвижения указателя мыши в определённой области, невозможность изменения флажков, переключателей, других

элементов графического интерфейса); 10.изменение параметров и поведения браузера (другая стартовая страница;

появление неизвестных дополнений и панелей; автоматическое открытие незапрошенных вкладок и окон);

11.появление рекламных сообщений;

1/10

12.отключение или блокировка антивирусной программы, невозможность выполнения её обновлений;

13.сообщения антивирусного программного обеспечения о подозрительной активности или выявлении заражённых объектов.

Важно отметить, что эти признаки не всегда однозначно свидетельствуют о заражении компьютера вредоносным ПО. Так замирания и зависания могут быть вызваны слишком активным использованием жёстких дисков, например, во время полной глубокой антивирусной проверки, резервного копирования, поиска дубликатов файлов и тому подобных легальных и санкционированных пользователем действий. А повышенная сетевая активность – загрузкой обновлений ПО или скачиванием чего-либо через торрент или менеджер загрузок.

Правда, при завершении работы соответствующих программ, система должна приходить в норму. Если же такие аномалии в работе компьютера сохраняются и их причины выявить не удаётся, то можно быть уверенным либо в наличии сбоев в работе программного и аппаратного обеспечения, либо в заражении системы вредоносным ПО.

Методы противодействия вредоносному ПО Раз компьютерные системы содержат возможности для успешной

деятельности вредоносного ПО, то логично предположить, что есть методы и средства противодействия им. Самые главные методы противодействия вредоносному программному обеспечению таковы:

1.соблюдение правил простой компьютерной гигиены

1)устанавливайте только нужного вам программного обеспечения (это снизит вероятность появления на компьютере вредоносного ПО и позволит сохранить производительность устройства, ведь жёсткий диск не будет переполнен файлами массы не нужных и не используемых программ, а операционная система не нагружена сведениями о них и не выполняет их обработку при включении компьютера);

2)обязательно обращайте внимание на расширение файлов (музыка и книги, в общем, являются статическими данными, поэтому их распространение

ввиде программ – файлов с расширением .EXE или самораспаковывающихся архивов .SFX, скорее всего, уловка злоумышленников, пытающихся спровоцировать пользователя установить их вредоносную программу);

3)обязательно обращайте внимание на ссылки и имена сайтов, на которые предлагается перейти (например, при наведении курсора мыши на ссылку, браузер покажет адрес, по которому в действительности будет выполнен переход – https://ru.malwarebytes.com/mwb-download/, так как на скриншоте открыта страница с сайта MalwareBytes, что видно из адресной строки https://ru.malwarebytes.com/malware/, и мы ожидаем переход на другую страницу этого же сайта, то данную ссылку можно считать безопасной – она не ведёт на вредоносный ресурс или фишинговый сайт-двойник);

2/10

4) проверяйте написание имён известных вам сайтов и применяйте специальные средства проверки подлинности сайтов (к ним можно отнести службы репутации – например, в результатах поисковой выдачи рядом с адресом страницы можно увидеть значки, как показано на скриншоте ниже, которые отобразят краткую информацию об этом сайте при наведении указателя мыши; так же есть плагины для браузера от специальных сервисов репутации, например, WebOfTrust, обладающие похожей функциональностью; значок замка и протокол https в адресной строке говорят о том, что данные между пользователем и этим сайтом передаются по зашифрованному каналу – для этого сайт использует сертификат электронной цифровой подписи, который автоматически проверяется браузером и, часто, антивирусом, при установке соединения, что так же свидетельствует, что этот сайт настоящий, а не подделка злоумышленников;

5) не устанавливайте панели или дополнения для браузера, происхождение и назначение которых вам не известно;

3/10

6)используйте администраторскую учётную запись отдельно и только для выполнения обслуживания компьютера, в основное время нужно работать в системе под учётной записью обычного пользователя (это снизит вероятность заражения, так как в сеансе работы администратора все программы по умолчанию запускаются в привилегированном режиме, а значит операционная система не будет запрашивать подтверждения, даже если какая-то программа попытается, например, отформатировать жёсткие диски);

7)разграничивайте права пользователей компьютера;

8)используйте надёжные пароли;

9)учётных записей с пустыми паролями в системе быть не должно;

10)следует придерживаться принципа «один сервис или одна учётная запись – один пароль»;

11)не подключайтесь к неизвестным сетям (Bluetooth, WiFi);

12)не заходите в свои аккаунты на чужих недоверенных устройствах;

13)регулярно создавайте резервные копии важной информации и храните их на съёмных носителях в безопасном, надёжном месте;

14)повышайте собственную компьютерную грамотность и компетентность в области информационных технологий;

2. использование специальных программно-технических средств защиты

1)антиспама (если используются программы для работы с электронной почтой – почтовые клиенты, то в добавок к спам-фильтрам, работающим на почтовом сервере, стоит включить встроенный антиспам-модуль клиента, антивирусного решения или отдельное специальное программное обеспечение

–это позволяет отсекать не только ненужные рекламные письма, но и письма, содержащие вредоносные код или вложения);

2)сетевого экрана (представители данного типа ПО позволяют фильтровать всю сетевую активность компьютера: блокировать все ненужные входящие соединения – таким образом, не позволять злоумышленникам связываться с вредоносным или уязвимым ПО, находящемся на компьютере, а так же сетевым червям проникать в систему; разрешать только определённым программам выходить в сеть – таким образом можно заблокировать возможность обращения вредоносного ПО к серверам злоумышленников за инструкциями или для передачи собранной на заражённом компьютере информации, так же блокируется дальнейшее распространение вредоносного ПО);

3)резидентного антивируса (антивирусные программы данного типа запускаются на ранних этапах загрузки ОС и работают до её выключения, наблюдая, анализируя и, при необходимости, вмешиваясь в работу других программ и операционной системы – таким образом они выявляют вредоносное программное обеспечение, блокируют его работу и уничтожают его);

4)отдельных специальных антивирусных сканеров (такие сканеры бывают узко специализированы, потому, могут найти проблемы, которые пропустил универсальный антивирус, к таким программам можно отнести, например, Dr.Web CureIt, Kaspersky TDSSKiller);

4/10

5)поддерживайте защитное ПО в актуальном состоянии (своевременно устанавливать обновления самих программных модулей и используемых ими вирусных баз);

6)поддерживайте защитное ПО в постоянно включённом состоянии;

7)регулярно выполняйте полные проверки всех локальных носителей информации (периодичность зависит от интенсивности использования компьютера, но, в общем случае, рекомендуется выполнять полную проверку раз в неделю);

8)выполняйте проверку съёмных носителей каждый раз при их подключении к компьютеру, перед каким-либо обращением к ним и содержащимся на них файлам;

9)выполняйте проверки всех скачанных из интернета файлов перед их открытием или запуском;

10)поддерживайте операционную систему, драйвера, остальное системное

иприкладное программное обеспечения в актуальном состоянии (в составе обновлений часто присутствуют исправления уязвимостей, которые могут быть использованы злоумышленниками);

11)используйте только лицензионное ПО, полученное из доверенных источников (свободно распространяемое или коммерческое программное обеспечение, скачанное с официального сайта разработчика с меньшей вероятностью будет содержать вредоносный код или критические уязвимости);

12)открывайте подозрительные файлы сначала на изолированной виртуальной машине, а затем уже работайте с ними на основном компьютере.

Виды и типы защитного ПО Все антивредоносные средства защиты компьютеров и компьютерных

систем можно разделить на типы:

1.сканеры – по требованию пользователя или по расписанию проверяют объекты файловой системы, оперативную память, системные области носителей информации на предмет присутствия вредоносного программного обеспечения;

2.доктора – выполняют лечение или удаление заражённых объектов, могут быть универсальными, а могут специализироваться на определённом типе вредоносного ПО, на определённом семействе или даже на конкретной вредоносной программе;

3.вакцины – размещают специальные метки (следы заражения) в системе, файлах, на носителях информации (чтобы повторно не заражать уже заражённую систему, ряд вредоносных программ проверяет наличие таких «следов» своего собственного присутствия в системе и, если обнаруживает их, то считает свою миссию на этом компьютере выполненной и не предпринимает никаких дальнейших действий);

4.ревизоры – эти программы сохраняют информацию о состоянии файловой системы, программ, операционной системы, системных областей носителей информации в тот момент, когда компьютер «чист», – создают «эталон», затем выполняют периодическое сравнение текущего

5/10

состояния компьютера с этим эталоном, анализируют найденные различия и сообщают о них администратору, который и решает, вызваны ли найденные различия деятельностью вредоносного ПО или же нормальной работой компьютера и пользователей;

5.мониторы – постоянно работают с момента включения компьютера до момента завершения его работы, автоматически проверяют оперативную память, запускаемые программы, открываемые файлы, подключаемые носители информации на предмет присутствия вредоносного ПО;

6.сторожа – как и мониторы, работают всё время, пока работает компьютер, но выполняют не проверку определённых объектов, а «поведенческий анализ», то есть анализируют действия, совершаемые программами, и определяют, характерны эти действия для легальных программ или же

для вредоносного ПО.

Часто бывает, что защитную программу можно отнести сразу к нескольким типам. Например, сканеры часто имеют функции лечения или удаления заражённых объектов. Да и сами антивирусы сейчас представляют собой целые программные комплексы, выполняющие функции сетевого экрана, защиты паролей, сканирования файловой системы, анализа поведения программ, анализа кода веб-страниц, проверки URL, родительского контроля и д.р.

Отдельно стоит сказать об антивирусной защите компьютерных систем и сетей. Как правило, компьютерная сеть не является одноранговой, это означает, что в ней часть компьютеров является компьютерами обычных пользователей (рабочими местами), а часть – выполняет специализированные функции, например, файл-сервера, контроллера домена, сервера баз данных, сервера 1С, почтового или вебсервера, прокси-сервера и т. п. Это, в свою очередь, означает, что защищать приходится 1) компьютеры разного типа, 2) сравнительно большое количество компьютеров, расположенных на некотором удалении друг от друга. При этом параметры компонентов антивирусной защиты, расположенные на узлах сети одного и того же типа, должны быть одинаковыми.

Поэтому современные производители антивирусов предлагают комплексные сетевые решения. Как правило, такие решения включают следующие компоненты. Антивирус-Сервер – набор программных модулей и база данных, собирающий информацию о состоянии компьютеров сети и действующих правилах антивирусной защиты; централизованно подготавливающий и выполняющий запланированные операции, такие как обновление ПО и баз антивирус-клиентов.

Антивирус-Клиент – набор программных модулей и вирусных баз, непосредственно выполняющих защиту конкретного компьютера пользователя сети. С точки зрения пользователя этот компонент мало чем отличается от обычного домашнего резидентного антивируса. Но антивирус-клиент имеет возможности передавать информацию о своём состоянии и состоянии компьютера, на котором запущен, антивирус-серверу; получать от него обновления и настройки; а так же выполнять команды удалённого администратора.

6/10

Антивирус-Монитор – это программа, представляющая собой удобный инструмент администратора, позволяющий ему получать всю необходимую информацию о состоянии антивирусной защиты всей сети, управлять всеми компонентами защитного ПО на каждом из компьютеров сети.

Так же могут выделяться специализированные «версии» антивирусклиентов, предназначенные не для защиты компьютеров пользователей, а для защиты серверов. Например, почтовый сервер следует защищать версией антивируса, содержащей средства проверки электронной почты и анализа сообщений на спам. А шлюзы и прокси-сервера – версией, содержащей средства анализа сетевого трафика.

Методы работы антивирусов Сигнатурный анализ. Любые данные, параметры, команды представляются

в памяти компьютера в виде последовательностей байт. Такие последовательности байт, отображающие программный код конкретных вредоносных программ или их семейств в достаточной степени уникальны. Благодаря этому вирусные аналитики могут формировать базы данных уникальных фрагментов байтовых последовательностей, позволяющих однозначно идентифицировать вредоносную программу. Такие уникальные последовательности и называются сигнатурами.

Если вредоносная программа ещё не была проанализирована в антивирусной лаборатории или обновление базы данных антивируса, содержащее информацию о ней, ещё не было установлено, то сигнатурный анализ не определит присутствия этого вредоноса. Для защиты компьютеров в такой ситуации был разработан ряд не сигнатурных методов.

Поведенческий анализ. Вредоносные программы, естественно, в зависимости от типа, назначения, семейства, иных параметров, всё же, выполняют схожие действия. Например, запись в определённые ветви системного реестра, попытка получить доступ к оперативной памяти, используемой другими программами и т. п. Антивирусные программы, реализующие данный подход, наблюдают за действиями запущенных программ и сравнивают их с известным поведением, характерным для вредоносного ПО. Если поведение некоторой программы оказывается слишком похожим на такой шаблон, антивирус распознаёт её как вредоносную.

Так как в случае применения данного механизма, вредоносное ПО выявляется уже после того, как оно начнёт действовать, возникает риск причинения вреда защищаемому компьютеру. Чтобы устранить этот недостаток был разработан дополнительный метод – метод эмуляции или метод песочницы. По сути, он представляет собой автоматизацию уже озвученной рекомендации по антивирусной защите – предварительного запуска подозрительных программ на изолированной виртуальной машине. В этом же случае, антивирусное ПО запускает программу в специальном эмуляторе так, что программа считает, что работает в обычном режиме, но реальных изменений на компьютере она сделать не сможет. Затем антивирус анализирует действия подозрительной

7/10

программы и решает, является ли она вредоносным программным обеспечением.

Эвристический анализ. Данный метод основан на подсчёте в сканируемом файле подозрительных команд или признаков подозрительных кодовых последовательностей. Если счётчик показывает больше определённого порогового значения, программа считается вредоносной. Данный метод обладает хорошим быстродействием, но, часто, оказывается не слишком эффективен для выявления новых вредоносных программ.

Контроль целостности. Этот метод основывается на сохранении эталонного состояния системы или отдельных объектов файловой системы в тот момент, когда считается, что компьютер точно не заражён. Затем, периодически или по требованию пользователя выполняется сравнение текущего состояния с сохранённым эталоном и выполняется анализ выявленных изменений. Часть из них принимается и включается в эталон, так как является следствием нормальной работы компьютера и штатной деятельности пользователей. Часть может быть распознана как подозрительные изменения, требующие внимания системного администратора. А часть – как признаки присутствия вредоносного программного обеспечения.

Главной задачей защитных программ в целом, является предотвращение попадания вредоносного ПО в систему, предотвращение причинения им вреда, удаление вредоносов из системы, а так же лечение заражённых объектов. О лечении важно отметить следующее.

Лечение – если под ним понимать удаление вредоносного кода из легальной программы, файла или из операционной системы вообще, вместе с полным восстановлением данных и работоспособности до состояния, предшествующего заражению, автоматически средствами только антивируса, то лечение практически не осуществимо. Если только 1) антивирус или другое специализированное ПО не создавало резервной копии повреждённых данных, или 2) вредоносное ПО не удалило и не перезаписало файлы данных и программ (то есть, если вредонос только добавило свой код или иные вставки в заражённые объекты, то защитное ПО может полностью вылечить компьютер, просто выявив и удалив эти вставки).

В ситуациях, когда восстановление нормальной работоспособности операционной системы после удаления всего вредоносного кода оказывается не возможным или слишком сложным, часто выполняется простая переустановка операционной системы. Это занимает время, учитывая, что приходится снова устанавливать ОС, драйвера, прикладное и системное программное обеспечение, снова их настраивать. Но 1) в результате снова получается полностью работоспособный, готовый к использованию компьютер; 2) процесс такого восстановления можно значительно ускорить, используя особый вид резервного копирования – создание образов системы или носителей информации (в этом случае, все действия по восстановлению будут сводиться к запуску специальной программы и автоматизированного «разворачивания» образа на повреждённый компьютер). Выполнение этих операций так же

8/10

значительно упрощает логическое разделение носителей информации на системные и не системные тома: системные разделы содержат файлы самой ОС и, как правило, установленных программ; не системные разделы содержат файлы пользователей. Соответственно, при переустановке операционной системы можно просто отформатировать существующий системный раздел и указать его в качестве целевого – пользовательские файлы не пострадают.

Как бороться с заражением?

Следует сразу отметить, что действия, которые стоит предпринять в случае заражения компьютера вредоносным ПО, могут сильно различаться в зависимости от типа попавшего в систему вредоноса. В общем случае, если возникли подозрения, что компьютер заражён, по возможности, стоит выполнить следующие действия:

1.обновить антивирусные базы данных (провести обновление по требованию);

2.запустить полное антивирусное сканирование компьютера;

3.если поиск с помощью установленного антивируса не выявил проблем, следует воспользоваться отдельной программой-сканером, лучше от другого производителя (возможно, в базах установленного антивируса вредоноса ещё нет или нормальная работа антивируса уже нарушена данным вредоносным ПО);

4.физически отключить компьютер ото всех сетей, к которым он подключён (локальная сеть, Интернет, др.), физически отключить от компьютера беспроводные адаптеры;

5.ни в коем случае не пользоваться важными программами и интернетсервисами (например, банковским ПО и сервисами платёжных систем);

6.не следует обращаться к персональным, конфиденциальным или особо ценным данным;

7.при необходимости, обратиться в службу поддержки того антивирусного решения, которое установлено на пострадавшем компьютере.

Если не удаётся запустить антивирусное ПО, возможно лечение компьютера по средством его загрузки со специального загрузочного диска (например, Dr.Web LiveDisk и Kaspersky Rescue Disc) или путём подключения его жёстких дисков к другому компьютеру. В обоих случаях происходит загрузка «чистой» операционной системы, что позволяет свободно использовать антивредоносное программное обеспечение и, более того, иметь полный доступ ко всей информации, включая системные папки и файлы на дисках заражённого компьютера. Эти же способы позволяют скопировать информацию с носителей заражённого компьютера, если она ещё не была уничтожена или зашифрована.

В случае заражения программами-шифровальщиками, алгоритм действий будет несколько отличаться. Компания Dr.Web рекомендует соблюдать следующие правила при возникновении подобных инцидентов:

1.обратиться в службу технической поддержки;

2.приложить к обращению 2 – 3 зашифрованных файла;

9/10

3.постараться в точности описать обстоятельства заражения;

4.постараться собрать необходимую техническую информацию с помощью специального инструмента «Отчёт для технической поддержки», входящего в состав продуктов Dr.Web;

5.не изменять содержимое папок с зашифрованными файлами;

6.не удалять никакие файлы;

7.не пытаться восстановить зашифрованные файлы самостоятельно;

8.не пытаться переустановить операционную систему самостоятельно (в этом случае расшифровать файлы будет не возможно);

9.не пользоваться заражённым компьютером до получения инструкций от

службы технической поддержки; 10.если запущено антивирусное сканирование, не выполнять лечения или

удаления обнаруженных вредоносных программ (они могут понадобиться специалистам в процессе поиска ключа для расшифровки файлов).

Специалисты компании Dr. Web категорически не рекомендуют перезагружать компьютер в случае заражения шифровальщиком – что полностью оправдано: велики шансы, что вредоносная программа запустится на ранних этапах загрузки ОС и завершить загрузку только после того, как закончит шифровать все доступные файлы пользователя. Однако, в случае обнаружения программ удаляющих или шифрующих данные, возможно, физически обесточить компьютер (выдернуть вилку из розетки) – всё же, будет оправданным действием: файлы, которые ещё не были удалены или зашифрованы можно будет скопировать, загрузившись со специальных загрузочных дисков или подключив носители к «здоровому» компьютеру, как это уже было описано выше.

Полезные информационные ресурсы В качестве полезных ресурсов, в которых можно получить самую свежую,

точную и полную информацию о вредоносном и антивредоносном ПО из первых рук, можно рекомендовать специальные разделы и сайты антивирусных компаний:

1.информационный раздел на сайте компании Доктор Веб https://vms.drweb.ru/;

2.«Энциклопедия» Касперского https://encyclopedia.kaspersky.ru/;

3.раздел «Основы кибербезопасности» на сайте компании Malwarebytes https://ru.malwarebytes.com/cybersecurity/

4.сайт Anti-Malware https://www.anti-malware.ru/;

5.блог компании Avast https://blog.avast.com/ru;

6.библиотека материалов компании McAfee

https://www.mcafee.com/enterprise/ru-ru/resource-library.html.

Так же, на сайтах антивирусных компаний нередко размещаются бесплатные образовательные курсы, другие полезные сервисы, продукты, новостные (не рекламные) рассылки о событиях в мире компьютерной безопасности.

10/10