Кирилл Михайлов (Kaspersky): Инструменты для обнаружения вредоносного ПО | BIS TV
Слайд 1 Учебный курс Обеспечение информационной безопасности с помощью антивируса Касперского
Как защитится от вредоносных программ
Лекция
1
Классификация вредоносных программ. Методы защиты
Лекции читает
методист образовательных программ Лаборатории
Касперского
Яшутина Ольга Александровна
Слайд 2
Типичная схема заражения
Слайд 3
Детектируемые объекты
Malware
Riskware
Adware
Pornware
Worms
Trojan programs
Viruses
Malicious tools
Suspicious packers
Слайд 4 Статья 273 УК РФ трактует термин «вредоносные программы
для ЭВМ» следующим образом: «. программы для ЭВМ или
внесение изменений в существующие программы, заведомо приводящие к несанкционированному уничтожению,
блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети. »
Корпорация Microsoft трактует термин Malware следующим образом: «Malware – это сокращение от «malicious software», обычно используемое как общепринятый термин для обозначения любого программного обеспечения, специально созданного для того, чтобы причинять ущерб отдельному компьютеру, серверу, или компьютерной сети, независимо от того, является ли оно вирусом, шпионской программой и т.д.»
Слайд 5 Классические вирусы
Классические вирусы — программы, распространяющие свои копии
по ресурсам локального компьютера с целью последующего запуска своего
кода при каких-либо действиях пользователя и дальнейшего внедрения в другие
Различаются между собой по следующим основным признакам:
Слайд 6 Классификация вирусов
Слайд 7
Слайд 8 Сетевые черви
Сетевые черви — программы, распространяющие свои копии
по локальным и/или глобальным сетям с целью:
удаленные компьютеры;
запуска своей копии на удаленном компьютере;
дальнейшего распространения на другие компьютеры сети.
Слайд 9 Троянские программы
Троянские программы — программы, осуществляющие различные несанкционированные
пользователем действия: сбор информации и ее передачу злоумышленнику, ее
разрушение или злонамеренную модификацию, нарушение работоспособности компьютера, использование ресурсов компьютера
в неблаговидных целях.
Слайд 10 Malicious tools (Вредоносные утилиты)
Malicious tools — программы,
разработанные для автоматизированного создания вирусов, червей или троянских программ,
организации DoS-атак на удаленные сервера, взлома других компьютеров и т. п.
Слайд 11 Adware, Pornware, Riskware
Adware ‑ рекламное программное обеспечение, предназначенное для показа
рекламных сообщений (чаще всего в виде графических баннеров), перенаправления
поисковых запросов на рекламные web-страницы, а также для сбора данных
маркетингового характера о пользователе (например, какие тематические сайты он посещает), что позволяет более четко задать аудиторию для рекламной кампании.
Pornware — программы, которые связаны с показом пользователю материалов порнографического характера.
Riskware ‑ это легальные программы (некоторые из них свободно продаются и широко используются в легальных целях), которые в руках злоумышленника способны причинить вред пользователю (вызвать уничтожение, блокирование, модификацию или копирование данных, нарушить работу компьютеров или компьютерных сетей).
Слайд 12
Серверы электронной почты
Рабочие станции
Сетевые серверы
Шлюз
Уровень шлюзов
Уровень почтовых систем
Уровень
сетевых серверов и рабочих станций
ИНТЕРНЕТ
Антивирусная защита
Слайд 13 Назначение Антивируса Касперского
Защита
в режиме реального времени
файловой системы
электронной почты
защита при работе в сети Интернет
контроль активности приложений
контроль сетевых соединений
защита от сетевых атак
Поиск вредоносных программ
Обновление сигнатур угроз и компонентов приложения
Аварийная проверка и восстановление системы
Слайд 14 Модули приложения
Базовый модуль
антивирусный сканер
компонент загрузки обновлений
Набор
опциональных компонентов
Файловый Антивирус
Почтовый Антивирус
Веб-Антивирус
Проактивная защита
Анти-Шпион
Анти-Хакер
Анти-Спам
Слайд 15 Скорость работы
Эффективность технологий iSwift и iChecker
Существенное ускорение (12сек
Источник: mypreza.com
Рейтинг вредоносных программ по версии «Касперского»
DimonVideo
Рейтинг вредоносных программ декабря по версии «Лаборатории Касперского»
«Лаборатория Касперского» представила вниманию пользователей рейтинг вредоносных программ. По итогам работы Kaspersky Security Network в декабре 2009 года сформированы две вирусные двадцатки. В первой зафиксированы те вредоносные и потенциально нежелательные программы, которые были задетектированы и обезврежены на компьютерах пользователей при первом обращении к ним.
Заметным новичком в декабре является рекламная программа GamezTar.a. Эта программа позиционируется как панель к популярным браузерам для быстрого доступа к онлайн-играм и, разумеется, показывает назойливую рекламу. Но помимо всего прочего она устанавливаетнесколько приложений, которые работают автономно от самой панели и вмешиваются в различные аспекты сетевой жизни пользователя: будь то поиск или отображение контента. К слову, все эти компоненты описаны в правилах пользования (www.gameztar.com/terms.do), но пользователя обычно больше привлекает большая мигающая кнопка “click here, get free games”, чем неприметная надпись “terms ofservice” внизу экрана. Перед тем как скачивать ПО, рекомендуется читать подобные документы, если они присутствуют.
Вторая двадцатка характеризует обстановку в интернете. В этот рейтинг попадают вредоносные программы, обнаруженные на веб-страницах, а также те зловреды, которые делали попытку загрузиться с веб-страниц на компьютеры пользователей.
Наиболее интересным образцом творчества злоумышленников этого рейтинга оказался Trojan-Downloader.JS.Twetti.a (17-е место), которым было заражено множество легитимных сайтов. Алгоритм работы этого загрузчика достоин внимания. После расшифровки в нем не оказалось ни ссылки на основной исполняемый файл, ни эксплойтов или ссылок на них! В процессе анализа выяснилось, что скрипт использует API (интерфейс программирования приложения) популярной, в том числе и у злоумышленников, социальной сети Twitter.
Схема работы троянца следующая: формируется запрос к API, результатом которого являются данные по так называемым “трендам” — наиболее обсуждаемым темам в Twitter. Из полученных данных впоследствии формируется псевдослучайное доменное имя, которое злоумышленники регистрируют заранее, получив его по аналогичному алгоритму, и выполняется скрытый переход на него. На этом домене и располагается основная вредоносная часть, будь то PDF-эксплойт или исполняемый файл. Таким образом, формирование вредоносной ссылки ипереход на нее осуществляется “на лету” через посредника, которым как раз и является Twitter.
Полная версия отчета
В первой таблице зафиксированы те вредоносные и потенциально нежелательные программы, которые были задетектированы и обезвреженына компьютерах пользователей при первом обращении к ним.
ПозицияИзменение позицииВредоносная программаКоличество зараженных компьютеров
1 0Net-Worm.Win32.Kido.ir 265622
2 0Net-Worm.Win32.Kido.iq 211101
3 0Net-Worm.Win32.Kido.ih 145364
4 0Virus.Win32.Sality.aa 143166
5 0Worm.Win32.FlyStudio.cu 101743
6 Newnot-a-virus:AdWare.Win32.GamezTar.a 63898
7 -1not-a-virus:AdWare.Win32.Boran.z 61156
8 -1Trojan-Downloader.Win32.VB.eql 61022
9 -1Trojan-Downloader.WMA.GetCodec.s 56364
10 NewTrojan.Win32.Swizzor.c 54811
11 NewTrojan-GameThief.Win32.Magania.cpct 42676
12 -3Virus.Win32.Virut.ce 45127
13 -3Virus.Win32.Induc.a 37132
14 0Trojan-Dropper.Win32.Flystud.yo 33614
15 3Packed.Win32.Krap.ag 31544
16 -3Packed.Win32.Black.a 31340
17 0Worm.Win32.Mabezat.b 31020
18 -2Packed.Win32.Klone.bj 28814
19 -7Packed.Win32.Black.d 28560
20 -5Worm.Win32.AutoRun.dui 28551
Первая двадцатка традиционно стабильна.
Появление трех новичков на 6, 10 и 11 позиции привело к незначительному сдвигу части программ, представленных в таблице, вниз. Исключением стал появившийся месяц назад Packed.Win32.Krap.ag, который поднялся на 3 пункта вверх. Напомним, что Krap.ag, как и другие представители Packed, является детектированием упаковщика вредоносных программ, в данном случае — фальшивых антивирусов. Абсолютные показатели этого зловреда также несколько возросли, что говорит об актуальности псевдоантивирусов и неутомимости использующих их в своих преступных схемах злоумышленников, которым эффективное распространение таких программ приносит существенный доход.
Заметным новичком в декабре является рекламная программа GamezTar.a, занявшая 6-е место в рейтинге. Эта программа позиционируется как панель к популярным браузерам для быстрого доступа к онлайн-играм и, разумеется, показывает назойливую рекламу. Но помимо всего прочего она устанавливает несколько приложений, которые работают автономно от самой панели и вмешиваются в различные аспекты сетевой жизни пользователя: будь то поиск или отображение контента. К слову, все эти компоненты описаны в правилах пользования (www.gameztar.com/terms.do), но пользователя обычно больше привлекает большая мигающая кнопка “click here, get free games”, чем неприметная надпись “termsof service” внизу экрана. Перед тем как скачивать ПО, рекомендуется читать подобные документы, если они присутствуют.
На десятом месте мы видим Trojan.Win32.Swizzor.c — родственника Swizzor.b, который уже побывал вдцадцаткев августе, а также Swizzor.a, который былзамеченнами в мае. Разработчики этого искусно обфусцированного зловреда не стоят на месте и регулярно работают над новыми версиями. Истинный же функционал этого троянца очень простой — он загружает другие зловредные файлы из интернета.
Вредоносные программы в интернете
Вторая таблица характеризует обстановку в интернете. В этот рейтинг попадают вредоносные программы, обнаруженные на веб-страницах, а также те зловреды, которые пытались загрузиться с веб-страниц на компьютеры пользователей.
ПозицияИзменение позицииВредоносная программаЧисло уникальных попыток загрузки
1 0Trojan-Downloader.JS.Gumblar.x 445881
2 3Trojan.JS.Redirector.l 178902
3 Newnot-a-virus:AdWare.Win32.GamezTar.a 165678
4 -2Trojan-Downloader.HTML.IFrame.sz 134215
5 NewTrojan-Clicker.JS.Iframe.db 128093
6 -2not-a-virus:AdWare.Win32.Boran.z 109256
7 NewTrojan.JS.Iframe.ez 91737
8 NewTrojan.JS.Zapchast.bn 64756
9 NewPacked.JS.Agent.bn 60361
10 NewPacked.Win32.Krap.ai 43042
11 8Packed.Win32.Krap.ag 41731
12 NewExploit.JS.Pdfka.asd 36044
13 NewTrojan.JS.Agent.axe 35309
14 NewTrojan-Downloader.JS.Shadraem.a 35187
15 ReturnTrojan.JS.Popupper.f 33745
16 Newnot-a-virus:AdWare.Win32.GamezTar.b 33266
17 NewTrojan-Downloader.JS.Twetti.a 30368
18 NewTrojan-Downloader.Win32.Lipler.iml 28634
19 NewTrojan-Downloader.JS.Kazmet.d 28374
20 NewTrojan.JS.Agent.axc 26198
Источник: dimonvideo.ru
Классификация вредоносных программ. Методы защиты. (Лекция 1)
1. Учебный курс Обеспечение информационной безопасности с помощью антивируса Касперского
Лекция 1
Классификация вредоносных программ. Методы
защиты
Лекции читает
методист образовательных программ Лаборатории Касперского
Яшутина Ольга Александровна
2. Типичная схема заражения
3.
Детектируемые
объекты
Malware
Riskware
Adware
Pornware
Viruses
Worms
Trojan programs
Suspicious packers
Malicious tools
3
4.
Вредоносная программа
Статья 273 УК РФ трактует термин «вредоносные программы для ЭВМ»
следующим образом: «. программы для ЭВМ или внесение изменений в
существующие программы, заведомо приводящие к несанкционированному
уничтожению, блокированию, модификации либо копированию информации,
нарушению работы ЭВМ, системы ЭВМ или их сети. »
Корпорация Microsoft трактует термин Malware следующим образом: «Malware –
это сокращение от «malicious software», обычно используемое как общепринятый
термин для обозначения любого программного обеспечения, специально
созданного для того, чтобы причинять ущерб отдельному компьютеру, серверу, или
компьютерной сети, независимо от того, является ли оно вирусом, шпионской
программой и т.д.»
4
5.
Классические вирусы
Классические
вирусы
программы,
распространяющие свои копии по ресурсам локального
компьютера с целью последующего запуска своего кода
при каких-либо действиях пользователя и дальнейшего
внедрения в другие ресурсы компьютера.
Различаются между
основным признакам:
собой
по
следующим
среда обитания;
способ заражения.
5
6.
Классификация вирусов
По среде обитания
Файловые вирусы
Загрузочные вирусы
Макро-вирусы
Скриптовые вирусы
6
7.
Классификация вирусов
Способы заражения
Перезаписывающие (overwriting)
Паразитические (parasitic)
Заражающие объектные модули (OBJ)
Вирусы-компаньоны (companion)
Заражающие библиотеки компиляторов (LIB)
Вирусы-ссылки (link)
Заражающие исходные тексты программ
7
8.
Сетевые черви
Сетевые
черви
программы,
распространяющие свои копии по локальным и/или
глобальным сетям с целью:
проникновения на удаленные компьютеры;
запуска своей копии на удаленном компьютере;
дальнейшего
распространения
на
другие
компьютеры сети.
8
9.
Троянские программы
Троянские
программы
программы,
осуществляющие
различные
несанкционированные
пользователем действия: сбор информации и ее передачу
злоумышленнику, ее разрушение или злонамеренную
модификацию,
нарушение
работоспособности
компьютера, использование ресурсов компьютера в
неблаговидных целях.
9
10.
Malicious tools (Вредоносные утилиты)
Malicious tools — программы, разработанные для
автоматизированного создания вирусов, червей или
троянских программ, организации DoS-атак на удаленные
сервера, взлома других компьютеров и т. п.
10
11.
Adware, Pornware, Riskware
Adware — рекламное программное обеспечение, предназначенное
для показа рекламных сообщений (чаще всего в виде графических
баннеров), перенаправления поисковых запросов на рекламные webстраницы, а также для сбора данных маркетингового характера о
пользователе (например, какие тематические сайты он посещает), что
позволяет более четко задать аудиторию для рекламной кампании.
Pornware — программы, которые связаны с показом пользователю
материалов порнографического характера.
Riskware — это легальные программы (некоторые из них свободно
продаются и широко используются в легальных целях), которые в руках
злоумышленника способны причинить вред пользователю (вызвать
уничтожение, блокирование, модификацию или копирование данных,
нарушить работу компьютеров или компьютерных сетей).
11
12.
Антивирусная защита
Уровень
шлюзов
Уровень
почтовых систем
Уровень сетевых серверов
и рабочих станций
ИНТЕРНЕТ
Шлюз
Серверы
электронной
почты
Сетевые
серверы
Рабочие
станции
12
13. Назначение Антивируса Касперского
Защита в режиме реального времени
файловой системы
электронной почты
защита при работе в сети Интернет
контроль активности приложений
контроль сетевых соединений
защита от сетевых атак
Поиск вредоносных программ
Обновление сигнатур угроз и компонентов приложения
Аварийная проверка и восстановление системы
13
14. Модули приложения
Базовый модуль
антивирусный сканер
компонент загрузки обновлений
Набор опциональных компонентов
Файловый Антивирус
Почтовый Антивирус
Веб-Антивирус
Проактивная защита
Анти-Шпион
Анти-Хакер
Анти-Спам
14
Источник: ppt-online.org