Хотя о вредоносном программном обеспечении написана масса статей, на мой взгляд, все же стоит еще раз разобрать вопрос подробнее и прежде всего дать определение самому понятию вредоносного программного обеспечения. Итак, что же это такое?
Вредоносной программой (на жаргоне антивирусных служб «зловред», англ. malware, malicious software — «злонамеренное программное обеспечение») называют любое программное обеспечение, предназначенное для получения несанкционированного доступа к вычислительным ресурсам электронно-вычислительной машины (ЭВМ) или к информации, хранящейся на ней, с целью несанкционированного использования ресурсов или причинения вреда (нанесения ущерба) владельцу информации, или владельцу ЭВМ, или владельцу сети ЭВМ путем копирования, искажения, удаления или подмены информации (см. статью по адресу: https://dic.academic.ru/dic.nsf/ ruwiki/99937). Другую версию определения можно найти на сайте Securitylab.ru.
Следует также отметить, что подобные программы могут оказаться у пользователя и вполне легально, например при приобретении совершенно законного лицензионного программного обеспечения, особенно если программное обеспечение имеет ограничения по срокам использования (как правило, в такое программное обеспечение встраиваются возможности удаленного управления или наблюдения).
Азбука Кибербезопасности | Поиск и уничтожение вредоносных программ на домашнем компьютере
Признаками заражения компьютера вредоносным программным обеспечением считаются: автоматическое открытие окон с незнакомым содержимым при запуске операционной системы, блокировка доступа к официальным сайтам антивирусных компаний, появление неопределенных процессов в диспетчере задач операционной системы, запрет на изменение настроек компьютера с учетной записью администратора, неожиданное аварийное завершение программ и т. д.
По методу распространения классифицируют следующее вредоносное программное обеспечение: программы использования изъянов, логические бомбы, троянские программы, компьютерные вирусы и сетевые черви (https://www.securitylab.ru/news/tags/%E2%F0%E5%E4%EE%ED%EE%F1%ED%EE%E5+%CF%CE/).
Чаще всего вредоносное программное обеспечение используется для:
- нарушения работы компьютерной системы;
- кражи конфиденциальной информации;
- причинения какого-либо ущерба.
И, самое главное, происходит все это без ведома пользователя.
Вместе с тем стоит подчеркнуть, что существует огромное количество программ двойного назначения и отличить вполне легитимное программное обеспечение от вредоносного в общем случае практически невозможно.
Так, например, программное обеспечение для удаленного администрирования (скажем, TeamViewer) вполне может использоваться как в законных, так и в злонамеренных целях. В первом случае это будет легитимное программное обеспечение, во втором — вредоносное.
Таким образом, чтобы однозначно сказать, легитимное перед нами программное обеспечение или вредоносное, нужно исследовать контекст, в котором оно используется. Увы, именно поэтому невозможно выстроить полностью автоматическую антивирусную поддержку.
Удаление вредоносных программ.Как удалить вредоносные программы с компьютера вручную
На самом же деле, как мы все прекрасно понимаем, это лишь одна из причин. Другая, на мой взгляд, заключается в том, что первыми делают шаг именно злоумышленники. Ведь причиной широкого распространения вредоносного программного обеспечения, без сомнения, является легкость его приобретения и разработки. По запросу вам могут предложить вредоносное программное обеспечение вместе с техподдержкой всего за 5 евро в месяц. Только вдумайтесь — с технической поддержкой!
Для того чтобы вредоносное программное обеспечение выглядело похожим на легитимное, как показано на экране 1, злоумышленники часто добавляют метаданные, в частности внушающий доверие значок программы, название процесса и описание (экран 2).
.jpg) |
| Экран 1. Метаданные подлинного файла |
.jpg) |
| Экран 2. Метаданные вредоносного файла |
Для защиты от вредоносного программного обеспечения и компьютерного мошенничества применяются различные методы: юридические (полицейские), образовательные и технические.
Сегодня практически во всех странах приняты законы, запрещающие создание и распространение вредоносного программного обеспечения, к тому же действия компьютерных злоумышленников попадают под некомпьютерные статьи уголовного кодекса, например такие, как мошенничество, вымогательство, неправомерный доступ к конфиденциальной информации и т. д.
Однако следует признать, что очень часто подобные преступления совершаются технически грамотными специалистами, и это сильно затрудняет расследование. Поэтому исключительно юридическими методами победить в этой борьбе нельзя.
Другим важным фактором является то, что правоохранительные органы разных стран имеют различный уровень подготовки, зачастую, увы, весьма низкий.
Именно поэтому важным методом предотвращения компьютерных преступлений является образование пользователей, разъяснение им необходимости строгого следования базовым правилам поведения в сети. По сути, пользователям необходимо учесть, что существует всего три основных правила, которые верны как для корпоративного, так и для домашнего применения.
1. Обязательно используйте антивирусную защиту. Если вы не эксперт по компьютерной безопасности, то вы нуждаетесь в надежной антивирусной защите и способах предупреждения сетевых атак. Доверяйте свою защиту профессионалам! Большинство современных антивирусных программ защищают от самых разнообразных компьютерных угроз — вирусов, червей, троянских программ и рекламных систем. Интегрированные решения по безопасности также обеспечивают фильтрацию спама, предупреждают сетевые атаки, посещение нежелательных и опасных интернет-ресурсов и т. д.
2. Не следует доверять всей поступающей на компьютер информации — электронным письмам, ссылкам на веб-сайты и т. д. Категорически не следует открывать файлы и ссылки, поступающие из неизвестного источника. Даже если сообщение получено от знакомого или коллеги по работе, но присланный файл или ссылка приходит неожиданно, лучше переспросить о подлинности сообщения, поскольку обратный адрес электронной почты легко подделать. Интернет — достаточно опасное место, где следует вести себя осторожно.
Естественно, риск заражения можно уменьшить при помощи «организационных мер». К таким мерам относятся различные ограничения в работе пользователей (как индивидуальных, так и корпоративных), например:
- запрет на использование интернет-пейджеров;
- доступ только к определенному списку веб-страниц;
- физическое отключение внутренней сети предприятия от Интернета и использование для выхода в Интернет выделенных компьютеров и т. д.
К сожалению, жесткие ограничительные меры могут идти вразрез с пожеланиями конкретного пользователя или бизнес-процессами предприятия. В таких случаях приходится искать баланс, причем каждый раз по-разному. И, естественно, необходимо помнить, что организационные меры должны быть поддержаны техническими.
3. Важно обращать внимание на информацию от антивирусных компаний и экспертов по компьютерной безопасности. Обычно они своевременно сообщают о новых видах интернет-мошенничества, вирусных угрозах, эпидемиях и т. д.
Кроме того, я рекомендую помнить еще об одном весьма важном правиле — работать исключительно с лицензионным программным обеспечением и вовремя его обновлять, причем не только операционную систему и офисный пакет, как это делают многие, но и установленное программное обеспечение независимых производителей.
Не стоит также пренебрегать и встроенным в Windows компонентом «Контроль учетных записей», позволяющим отследить нежелательные действия, в том числе попытки шифрования. Ведь все чаще вирусные атаки предпринимаются спустя несколько месяцев после появления соответствующих исправлений, и объектом атаки оказываются те пользователи и организации, которые не установили соответствующие обновления.
Вместе с тем неоднократно отмечались случаи, когда сообщения о новых вирусах и инцидентах не вполне соответствовали реальному уровню угрозы. Поэтому три приведенных выше правила компьютерной гигиены можно сформулировать так: обязательно защищаться, никому слепо не доверять, антивирусным компаниям верить можно, однако помнить, что они тоже могут ошибаться.
Что еще можно сделать
Одной из перспективных технологий антивирусной защиты является эвристический анализ. Это метод, позволяющий находить вредоносное программное обеспечение путем поиска аномалий в поведении программ. При этом стоит помнить, что существует несколько базовых аномалий, на которые необходимо обращать внимание:
- отсутствие описания процесса (экран 2);
- ошибка в названии процесса:
— wiinlogon.exe вместо winlogon.exe;
— host.exe вместо svchost.exe;
- запуск из подозрительной папки.
Необходимо учесть, что эвристический анализ также, увы, не даст стопроцентную гарантию, что файл относится к вредоносному программному обеспечению. В некоторых случаях легитимное программное обеспечение тоже может иметь аномалии. Однако вероятность того, что файл является вредоносным, пропорциональна количеству аномалий в поведении программы.
Кроме того, стоит обращать внимание на сертификаты сайтов, ведь довольно часто поддельный сайт пытается установить на компьютер пользователя программу-троянца, и делает это именно с его согласия, и даже сообщает, что надо установить для ускорения и улучшения работы, хотя все системы защиты пытаются (правда, не слишком настойчиво) предупредить пользователя о нежелательности подобных действий (экран 3).
.jpg) |
| Экран 3. Сертификаты сайтов |
Как искать подозрительные процессы
Как правило, для просмотра запущенных процессов используется компонент операционной системы «Диспетчер задач». Однако стоит отметить, что существует целый ряд альтернативных программ с более широкой функциональностью. В этой статье мы обратимся к программному обеспечению Process Hacker (http://processhacker.sourceforge.net) в контексте обнаружения вредоносных процессов.
Process Hacker
Это бесплатный мощный универсальный инструмент, который поможет вам контролировать ресурсы системы и выполнять обнаружение вредоносных программ. Программное обеспечение Process Hacker 2.39.124 выпущено 29 марта 2016 года (экран 4).
.jpg) |
| Экран 4. Активность системы |
Графики и статистика данного приложения позволяют быстро отслеживать процессы, занимающие ресурсы, и процессы их освобождения (экран 5). Для просмотра информации о производительности системы используйте комбинацию клавиш Ctrl+I. Переместите курсор над графом, чтобы получить подсказку с информацией о точке данных под курсором. Вы можете дважды щелкнуть по графику, чтобы просмотреть информацию о процессе в этой точке данных, даже если процесс больше не работает.
.jpg) |
| Экран 5. Графики и статистика приложения Process Hacker |
Вы не можете отредактировать или удалить файл? Узнайте, какие процессы используют его, как показано на экране 6.
.jpg) |
| Экран 6. Процессы, использующие файл |
Примените комбинацию клавиш Ctrl + F для поиска дескриптора или библиотеки DLL. Если все остальное не помогает, можете щелкнуть правой кнопкой мыши по записи и закрыть дескриптор, связанный с файлом. Однако это следует делать только в крайнем случае, так как возможна потеря данных, как показано на экране 7.
.jpg) |
| Экран 7. Программы, имеющие активные сетевые подключения |
Следует учесть, что некоторые антивирусы обнаруживают Process Hacker и относят его к категории RiskTool. Безусловно, это не означает, что перед нами вредоносная программа, но все же необходимо добавлять данное программное обеспечение в список исключений.
В случае необходимости вы сможете задействовать другое приложение, Process Explorer (https:// docs.microsoft.com/en-us/sysinternals/ downloads/process-explorer). Его интерфейс показан на экране 8.
.jpg) |
| Экран 8. Process Explorer |
Что такое упакованный процесс
Разберемся вначале с термином «упаковка». Для этого я хочу привести определение из статьи Николая Гребенникова, заместителя директора департамента инновационных технологий «Лаборатории Касперского» (http://www.itsec.ru/articles2/Oboran dteh/tehnologii_zashiti_vredonosnih_programm):
«Упаковка — процесс уменьшения размера исполняемого файла с сохранением возможности самостоятельного выполнения. Реализуется с помощью специальных утилит — пакеров. Ранее упаковка использовалась для экономии места на жестком диске. На данный момент эта функция пакеров частично устарела, однако упаковкой активно пользовались и продолжают пользоваться авторы вредоносных программ, так как если программа-антивирус не умеет распаковывать файлы, упакованные некоторым пакером, то и найти в них вирус она также в большинстве случаев не сможет. На сегодня известно несколько сотен упаковщиков, а количество их версий приближается к трем тысячам».
Таким образом, упаковка — процесс сжатия исполняемого файла и добавление специального загрузчика, распаковывающего код после запуска файла. Упаковка может использоваться для:
- уменьшения размера файла;
- защиты кода и данных от простых методов анализа.
Упаковка часто применяется разработчиками (в том числе вредоносного программного обеспечения) для противодействия обратной разработке, позволяющей узнать, как функционирует программа. На экране 9 приведен пример упаковки файла с помощью утилиты UPX (https://upx.githab.io). На экране видно, что строки, определяющие операционную систему, превратились в нечитаемый набор символов.
Факт упаковки определяется наличием случайных данных. Эту случайность можно измерить, вычислив энтропию файла. Утилита Process Hacker выделяет упакованные файлы фиолетовым цветом, как показано на экране 10.
.jpg) |
| Экран 9. Результат работы UPX |
.jpg) |
| Экран 10. Process Hacker показывает подозрительный файл |
В стандартной установке Windows любая программа, запущенная не администратором, не может создавать файлы в системных папках, поэтому вредоносное программное обеспечение часто устанавливает себя в пользовательские папки, например в папку Temp (папка с временными файлами) или в папку с документами.
Наиболее распространенные пути установки программ:
- c:Program Files;
- c:Program Files (x86);
- c:WindowsSystem32.
Данные папки используются чаще всего, если пользователь вручную не пропишет иной путь.
Подозрительное расположение программ:
- C:UserscyberAppDataLocalTemp;
- C:Program FilesGoogle Chrome, если запускаемый файл не chrome.exe.
С помощью Process Hacker можно отыскать расположение запускаемого файла. Для этого следует выбрать интересующий вас процесс, а затем нажать правую клавишу мыши и из выпавшего меню выбрать Properties и путь запуска на вкладке General.
Источник: www.osp.ru
Блог
Одной из областей, вызывающих наибольшее беспокойство у пользователей, является все, что связано с конфиденциальностью и безопасностью на их компьютерах. Одна из причин этого заключается в том, что мы все чаще работаем со все более частными и конфиденциальными данными. Ниже мы расскажем вам о некоторых типах вредоносных программ, с которыми следует быть наиболее осторожными.
Если принять во внимание, что Windows является самой распространенной настольной системой, то можно понять, почему авторы вредоносных программ уделяют ей особое внимание. Это означает, что компьютеры на базе Windows являются наиболее частой мишенью киберпреступников и их различных разновидностей вредоносного ПО. Эти вредоносные элементы были с нами на протяжении десятилетий и не перестают развиваться.
В результате в настоящее время мы сталкиваемся с большим количеством различных типов вредоносных программ. Поэтому сейчас мы поговорим с вами о самых распространенных и опасных типах вредоносных программ, которых следует опасаться.
Вирус
Вредоносные компьютерные программы типы и характеристика
Вредоносные компьютерные программы суть и характеристика
Добрый день, друзья. В данной статье, я решил затронуть такую сложную тему, как вредоносные программы. Многие пользователи по большей части не видят особой разницы между компьютерным вирусом, трояном, компьютерным червём или вредоносной программой. Скажу сразу, что вредоносная программа – это обобщающий термин. Который включает в себя все вышеизложенные вредители и не только.
Чтобы их все рассмотреть, понадобится не только данная статья, но целая сеть статей. Часть статей по данной тематике я уже рассмотрел, часть только предстоит рассмотреть.
Я, как и многие прочие авторы, также иногда называю вирусом программу, которая по сути является вредоносным ПО. Часть пользователей мне об этом открыто указывают. Не стоит на меня из-за этого обижаться, делаю я это для более удобного и понятного изложения материала.
На западе также часто подобным образом излагают материал, только используют не привычный нам термин «Вирус», а «Malware», который можно перевести как «Злонамеренное ПО». Также, мы рассмотрим не только вредоносные программы, но и вредительские действия злоумышленников. Но давайте вернемся к теме статьи.
Вредоносные компьютерные программы что это
Под вредоносной программой можно понять любое ПО, суть которого в получении злонамеренного доступа к компьютеру и данным, хранящимся на нем. Также, смысл подобных программ в причинении вреда данному ЭВМ или его владельцу, в виде нарушении работы компьютера, порче имущества ПК, кражи данных, использовании данного компьютера как перевалочную базу для нападения на прочие компьютеры (DDoS атаки) и другие методы вредительства.
Итак, давайте перечислим наиболее распространённые виды вредоносных программ.
Вирус – специально созданная программка, может состоять всего из нескольких строк, может занимать приличное пространство. Данная программа способна многократно воспроизводить свои копии, внедряться в код других программ, в систему, ее автозагрузку, вклинивать свои копии в ОС и прочее (что очень похоже действие на настоящих вирусов).
Основной функцией вируса является сбой работы ПК и его многочисленных узлов, удаления различных файлов, копировании информации, блокировки компьютера и др. Сами вирусы внедряться в ПК не могут, попадают на компьютер из-за невнимательности человека, в основном, при копировании программ и через CD-DVD привод.
Троян – вредительская маскировочная программа. По аналогии напоминает хамелеона. Довольно часто выглядит как обычная программа, даже может быть антивирусом (логическая бомба). Но в определенное время, при благоприятных условиях или нажатий определенных горячих клавиш, начнет проявлять свои вредительские качества.
По аналогии с вирусом, может быть всего как из пары строк, так и грандиозных размеров. Также, как и вирусы, попадает на ЭВМ при скачивании программ, из флэшек или других носителей.
Клавиатурные шпионы – разновидность троянов. Главная задача данных вредителей – отслеживание работы пользователя на клавиатуре. Например, данное ПО следит за комбинациями набора на клавиатуре, проводит анализ, выявляет личные данные человека, его пароли, особенно с банковских карт и кредиток. Также КШ следит за прочей вашей личной информацией.
Сканеры паролей – также относятся к троянам. Похожи на предыдущего вредителя. Используют генератор паролей, метод подбора, различные словари паролей, случайные символы, с целью выявления личных данных пользователей. Когда человек применяет простые пароли, он этим намного упрощает жизнь данным вредителям. К примеру 1, 2,3,4…, ваш день рождения, admin и т.д.
Не стоит применять пароли такого рода.
Рекламные вредоносные программы, вроде BlockAndSurf. Попадают на ПК во время загрузки и установки различных ПО, как бы дополнение к программам. При попадании на компьютер, внедряются в ОС, затем его браузеры. Когда человек открывает браузер, на любой странице интернета, его начинает доставать навязчивая реклама, прочем в разных частях страницы.
Для недопущения попадания данного вредителя, скачивайте программы с известных сайтов и следите за установкой софта. Это касается галочек, установленных по умолчанию по время установки программ. Если не знаете, что означает надпись рядом с галкой, просто уберите галочку. Также соблюдайте осторожность во время скачивания с Торрента, следите за тем, что именно скачиваете (особенно вас должно насторожить, когда скачивается не одна, а несколько программ из одного файла).
Подлые браузеры – ярким представителем подобных браузеров является webssearches.com (хотя правильнее будет — подлый поисковик). Заражение происходит таким же способом, как при заражении рекламной программой. После заражения, во всех браузерах заменяется строка поиска.
Появляется новый поисковик, который на ваши запросы или не полностью отвечает, или перебрасывает вас на страницы с различной рекламой, которая вам совершенно не нужна, которую вы не запрашивали. Меры безопасности такие же, как при рекламном ПО.
Часовые бомбы – вредоносные компьютерные программы, которые, при попадании на компьютер срабатывают в определенное время. Многие из них имеют разную структуру, но суть одна – атака в заданное время.
Люки – вредоносное ПО, стремящееся войти в ОС с целью получить привилегированные полномочия для себя. Применяются злоумышленниками для того, чтобы обойти различные способы защиты на компьютерах. Данный вредитель не заражает компьютер, но производит свои настройки в реестре, с целью создания своих ключей, для облегчения проникновения в систему злоумышленникам.
DDoS атаки – довольно распространенный метод, и довольно опасный. Суть его проста. В многочисленные компьютеры попадают вредители, и ждут определенного часа. Когда наступает данный час, все данные ПК отправляют запросы на определенный сайт с целью отказа его сервера.
Например, совершенно не равнозначно, если на определенный сайт заходят 5000 человек в день, или в 1 минуту. Пять тысяч запросов за минуту мало какой сайт выдержит. Скорее всего, произойдет отказ сервера, или даже выйдет из строя оборудование. Довольно часто используется в среде конкурентов с целью шантажа.
Сниффинг – также разновидность атаки из сети. Суть его в незаконной слежке за сетью и копировании данных. Осуществляется с применением специального, не вредоносного ПО, так называемого пакетного сниффера, который производит копирование сетевых доменов. Скопированная информация применяется вредителями для входа в сеть в виде не настоящего пользователя.
Спуфинг – также атака из сети. Суть его – получение методом обмана доступа в интернет путем имитирования соединения. Применяется, чтобы обойти системы управления соединения с помощью различных IP. Применяется злоумышленниками, создающими двойники популярных сайтов, чтобы узнать пароли и прочие личные данные.
Бомбы из почты – тоже относятся к сетевым атакам. Довольно просты по своей сути. К человеку на ПК или его почтовый ящик злоумышленники отсылают довольно гигантское письмо (или множество маленьких). Данное действие выводит систему из работоспособности. Во многих антивирусах от подобной атаки предусмотрена специальная защита.
Фарминг – вредоносные программы, позволяющие менять DNS записи или запись в файлике HOSTS. Используется для снятия денег со счетов. Когда человек посещает легальную, по его мнению, страницу сайта, его перебрасывают на копию подобной страницы поддельного сайта. Человек вводит свои данные, пароли. Далее, я думаю, вам ситуация ясна.
Наиболее часто подделывают банковские страницы.
Советую прочитать: — Как узнать данные о компьютере программа Speccy 1.3
Руткит – вредительское ПО, которое создано для захвата функций управления ОС и сокрытия своего присутствие в данной операционке. Также, Руткит маскирует процессы, идущие в различных программах, папочки, разные реесторные ключи и файлы. Руткит может внедряться как в виде самостоятельных софтов, так и в виде различных компонентов прочих вредительских ПО, например — червей почтовиков, люков и прочее.
Вишинг – вредоносная технология мошенников сети, суть которой в том, что злоумышленник применяет автонабиратели и использует возможности технологии телефонии интернета, чтобы украсть личную информацию, вроде различных паролей, номеров, счетов, идентификаторов пластиковых карт, интернет кошельков и прочее.
К потерпевшим поступают звонки на телефоны, где звонящий представляется представителем легальной организации. Злоумышленники, в данных звонках, требуют срочного ввода паролей, PIN кодов, номеров счетов и прочее для различных технических целей со своих телефонов, смартфонов, клавиатуры для снятия наличности со счетов потенциальных жертв.
Зомби – небольшие вредоносные компьютерные программы, которые распространяются по интернету компьютерными червями. Попав в операционную систему, они её как бы зомбируют, подчиняют себе и ждут указаний от хакеров (например, очередных DDoS атак).
Компьютерные черви – вредоносное ПО, обладающее способностями проникать на ПК из интернета, почты и прочее. Черви различаются между собой по способу проникновения на ПК. Но есть и такие, которые применяют сразу несколько методов проникновения в компьютеры. Попав на компьютер, они могут стереть различную информацию, данные и целые программы. Также, они могут похищать личные данные владельца ПК.
Черви почтовики – я думаю, из названия понятно, что для внедрения в компьютер, данные вредоносные программы применяют эл. почту. Червячок может оказаться как во вложении в электронном письме, так и попасть на компьютер через ссылочку в данном письме.
Активация червя происходит во время перехода по ссылочке на зараженный ресурс или во время открытия вложения в письме. После заражения, червячок создает свои копии и рассылает их по электронным адресам, находящимся в памяти данного компьютера.
Чтобы защититься от подобного червячка, не следует переходить по ссылкам писем из неизвестных источников и открывать вложения в таких письмах. Также, вовремя обновляйте антивирусы, брандмауэры и операционную систему.
Веб – черви. Вредоносные программы, которые распространяются с помощью веб – серверов. Вначале заражается сервер и следом Веб – страничка сервера. Далее, червячок дожидается пользователей, запрашивающих данные с инфицированного сервера. К примеру, пользователь просто откроет страничку, которая заражена и внедряет вредителя в браузер, затем в компьютер.
Для защиты от подобных вредителей, запрещайте в браузерах получать активные элементы на ПК. Также, включайте меж сетевые экраны в антивирусах и проверку скриптов.
Я перечислил лишь часть подобных вредителей. Вредоносные компьютерные программы разнообразны и обширны. Для предотвращения попадания подобных вредителей необходимо соблюдать меры безопасности. О них мы поговорим в одной из следующих статей.
Также, если ваш компьютер уже заражен одним из перечисленных вирусов, я вам предлагаю мою БЕСПЛАТНУЮ книгу «Как быстро удалить компьютерный вирус?». С помощью неё, вы довольно быстро сможете избавить свой ПК о захватившего его вредителя. Подробнее о книге можно узнать, нажав на изображение.
С уважением Андрей Зимин 06.06.2015г.
Анекдот в каждой статье:
Источник: info-kibersant.ru