Перемести соответствующие характеристики с видами вредоносных программ вирус червь руткит троян

Содержание

Определение Вредоносное ПО — любое программное обеспечение, написанное с целью нанесения ущерба или использования ресурсов атакуемого компьютера.

Определение

Вредоносное ПО — любое программное обеспечение, написанное с целью нанесения ущерба или использования ресурсов атакуемого компьютера. Вредоносное программное обеспечение часто скрыто внутри обычного ПО или замаскировано под него. В некоторых случаях оно само тиражируется на другие компьютеры по электронной почте или через инфицированные дискеты. Бывает самых разных типов: вирусы, троянские кони, черви, программы, используемые для инициации атак на отказ от обслуживания

Вряд ли о каких-либо опасностях, повреждениях компьютерной техники широкая публика наслышана больше, чем о вредоносном программном обеспечении, подстерегающем доверчивых компьютерных пользователей. Вирусы, черви, троянские кони, логические бомбы, зомби, модули считывания паролей — список можно продолжать еще долго. Различные типы вредоносного ПО используют весьма разнообразные методы, степень их опасности тоже различна.

100% удаление любого вируса: трояна, руткита, вымогателя, шпионской программы ☣️ ️

Вирусы «Чернобыль» и «Мелисса» и программа Worm.Explore.Zip в прошлом году нанесли серьезный ущерб персональным компьютерам, быстро растиражировав себя по электронной почте. Атаки на отказ от обслуживания, в начале этого года обрушившиеся на крупнейшие Web-узлы электронной коммерции, были инициированы вредоносным программным обеспечением, проникшим в сотни подключенных к Internet компьютеров, причем владельцы этих систем о том и не подозревали.

Небольшие группы организаций, специалисты и добровольцы предпринимают активные усилия, чтобы каталогизировать вредоносное ПО, рассылают предупреждения и предлагают программное обеспечение, способное выявлять такие программы, определять их местонахождение и уничтожать. Новые вредоносные программы появляются каждый месяц, они создаются подпольными группами программистов, которые стремятся испортить или украсть информацию, а иногда просто продемонстрировать свое техническое мастерство.

Берегитесь вирусов

Вирусы — самый известный вид вредоносного программного обеспечения. Эти программы незаметно присоединяются к другим исполняемым модулям. Они опасны тем, что, прежде чем нанести вред, на который они, собственно, и запрограммированы, копируют себя в другие программные файлы. Таким образом, компьютерные вирусы заражают и воспроизводятся аналогично биологическим.

По словам Сала Вивероса, директора подразделения McAfee Active Virus Defense компании Network Associates, разрабатывающей программы для защиты от вредоносного ПО, угроза, которую представляют собой вирусы, значительно возросла.

«Пять или шесть лет назад вирусы распространялись через дискеты. Они назывались вирусами загрузочного сектора, потому что попадали в компьютер с дисковода для гибких дисков. Тогда вирусная инфекция распространялась достаточно ограниченно и требовала намного больше времени, чем сейчас. Затем появились приложения типа Microsoft Outlook или Word, использующие макросы, что привело к возникновению множества макровирусов, — заметил Виверос. — В прошлом году была создана «Мелисса» и другие вирусы массовой рассылки, распространявшиеся по электронной почте. В конце прошлого года на нас обрушился вирус, получивший название BubbleBoy, которым можно было заразиться, всего лишь открыв свою электронную почту, поскольку он использовал язык описания сценариев Visual Basic».

Что такое ТРОЯН?

Вирусы по-прежнему остаются самой серьезной проблемой компьютерной защиты. По данным The WildList Organization International — независимой группы, отслеживающей распространение вирусов, по миру «гуляют» сейчас более 300 вредоносных программ, представляющих серьезную угрозу компьютерным пользователям. И это лишь малая часть из 50 тыс. вредоносных программных кодов, известных на сегодняшний день.

Директор Антивирусного исследовательского центра компании Symantec — еще одного производителя антивирусного программного обеспечения — признался, что они ежедневно получают около 15 новых копий вирусов, хотя большинство из них никогда не реализуются.

Пик активности вирусов обычно приходится на осень и на период после зимних праздников. Именно тогда заканчиваются каникулы в колледжах, во время которых юные программисты получают возможность практиковаться в создании новых вирусов.

Макровирусы, которые инициируются автоматическими задачами внутри таких программ, как Microsoft Word, сегодня представляют серьезнейшую угрозу. В прошлом месяце из 15 самых активных вирусов 9 были именно этого типа. Существуют также более сложные варианты — полиморфные и скрытые вирусы, которые мимикрируют, меняя свою внутреннюю структуру.

Другие преступники

Помимо вирусов, очень опасны другие типы вредоносного программного обеспечения: троянские кони, черви и атаки на отказ от обслуживания. А недавно появились враждебные апплеты Java.

Троянский конь, как видно из названия, представляет собой программу, которая на первый взгляд абсолютно безвредна, но имеет вторую, скрытую функцию, способную нанести вред компьютеру. Троянский конь обычного типа часто распространяется по электронной почте с целью скопировать пароль доступа компьютера, а затем пересылает украденные данные анонимному получателю.

Черви используют компьютерные ресурсы, такие как память и сетевая полоса пропускания, замедляя работу и ПК, и серверов. Кроме того, черви иногда удаляют данные и быстро распространяются по электронной почте.

Атаки на отказ от обслуживания, нацеленные на конкретные Web-узлы, вызывают переполнение за счет преднамеренного направления на них Internet-трафика большого объема. Такие атаки, предусматривающие запуск программ, иногда называемых «зомби», ранее были скрыты на сотнях подключенных к Internet компьютерах, которые принадлежали обычно ничего не подозревающим организациям, например университетам.

Читайте также:
Как называется объект обработки в программе эксель

Враждебные апплеты Java служат для захвата информации или наносят ущерб компьютерам пользователей, которые посещают Web-узлы конкурентов. Пользователь может стать жертвой таких программ, когда щелкает мышкой по ссылке, полученной им по электронной почте. Хотя до сих пор враждебные апплеты не наносили серьезного ущерба, именно от них, по мнению Вивероса, в будущем стоит ждать самых страшных разрушений.

Основные типы вредоносного ПО

  • Вирус
    Программное обеспечение, присоединяющееся к другой программе. Как только запущена содержащая его программа, вирус активизируется. Он может вызвать повреждения, в частности, удалить данные и программы, но сначала заражает компьютер, присоединяя собственные копии к другим исполняемым модулям. Некоторые вирусы тиражируют себя на другие компьютеры по электронной почте
  • Макро-вирус
    Вирусы, которые содержатся не в самих программных файлах, а в макросах, являющихся составной частью документа, например созданного в редакторе Microsoft World или в электронных таблицах Excel
  • Троянский конь
    Программа, которая на первый взгляд осуществляет легитимные действия, но ее выполнение может нанести серьезный вред. Троянские кони часто применяются для получения паролей с компьютеров. В отличие от вируса, троянский конь сам себя не тиражирует
  • Червь
    Программа, которая тиражирует себя на жестком диске компьютера, в его памяти и по сети, загружая тем самым ресурсы системы. Червь отличается от вируса тем, что не несет в себе никакой «логической бомбы», его единственное назначение — самотиражирование. Некоторые черви распространяются через сообщения электронной почты
  • Зомби
    Программа, которая тайком проникает на другой компьютер, подключенный к Internet, а затем использует его для инициирования атак, масированных атак

Источник: www.osp.ru

Обнаружение вируса и устранение последствий его влияния, антивирусная утилита AVZ.. Обнаружение вируса и устранение последствий его влияния, антивир. Практическая работа 6 Тема Обнаружение вируса и устранение последствий его влияния, антивирусная утилита avz

Единственный в мире Музей Смайликов

Самая яркая достопримечательность Крыма

Скачать 62.01 Kb.

Практическая работа 6

Тема: Обнаружение вируса и устранение последствий его влияния , антивирусная утилита AVZ.

Цель: Приобретение навыка работы с программными продуктами анализа безопасности.

Оборудование: персональный компьютер, операционная система MS Windows 7 и выше, доступ к сайтам в сети Internet, антивирусная утилита AVZ.

Общие сведения

Массовое распространение вирусов, серьезность последствий их воздействия на ресурсы КС вызвали необходимость разработки и использования специальных антивирусных средств и методов их применения. Антивирусные средства применяются для решения следующих задач:

— обнаружение вирусов в КС;

— блокирование работы программ-вирусов;

— устранение последствий воздействия вирусов.
Обнаружение вирусов желательно осуществлять на стадии их внедрения или, по крайней мере, до начала осуществления деструктивных действий вирусов. Не существует антивирусных средств, гарантирующих обнаружение всех возможных вирусов.

При обнаружении вируса необходимо сразу же прекратить работу программы-вируса, чтобы минимизировать ущерб от его воздействия на систему.

Устранение последствий воздействия вирусов ведется в двух направлениях:

— восстановление (при необходимости) файлов, областей памяти.
Восстановление системы зависит от типа вируса, а также от момента времени обнаружения вируса по отношению к началу деструктивных действий. Восстановление информации без использования дублирующей информации может быть невыполнимым, если вирусы при внедрении не сохраняют информацию, на место которой они помещаются в память, а также, если деструктивные действия уже начались, и они предусматривают изменения информации.

Для борьбы с вирусами используются программные и аппаратно-программные средства, которые применяются в определенной последовательности и комбинации, образуя методы борьбы с вирусами, подразделяемые на:

— методы удаления вирусов.

Методы обнаружения вирусов

— сканирование (осуществляется программой-сканером, которая просматривает файлы в поисках опознавательной части вируса – сигнатуры. Программа фиксирует наличие уже известных вирусов, за исключением полиморфных вирусов, которые применяют шифрование тела вируса, изменяя при этом каждый раз и сигнатуру. Программы-сканеры могут хранить не сигнатуры известных вирусов, а их контрольные суммы. Программы-сканеры часто могут удалять обнаруженные вирусы. Такие программы называют полифагами). Пример – Aidstest Дмитрия Лозинского;

— обнаружение изменений (базируется на использовании программ-ревизоров, которые определяют и запоминают характеристики всех областей на дисках, в которых обычно размещаются вирусы. При периодическом выполнении программ-ревизоров сравниваются хранящиеся характеристики и характеристики, получаемые при контроле областей дисков, по результата которых программа выдает сообщение о предположительном наличии вирусов. Недостатки метода – с помощью программ-ревизоров невозможно определить вирус в файлах, которые поступают в систему уже зараженными; вирусы будут обнаружены только после размножения в системе);

— эвристический анализ (позволяет определить неизвестные вирусы, но не требует предварительного сбора, обработки и хранения информации о файловой системе. Сущность метода – проверка возможных сред обитания вирусов и выявление в них команд (групп команд), характерных для вирусов (команды создания резидентных модулей в ОП, команды прямого обращения к дискам, минуя ОС);

— использование резидентных сторожей (основан на применении программ, которые постоянно находятся в ОП ЭВМ и отслеживают все действия остальных программ: при выполнении каких-либо подозрительных действий (обращение для записи в загрузочные сектора, помещение в ОП резидентных модулей, попытки перехвата прерываний и т.п.) резидентный сторож выдает сообщение пользователю. Недостаток – значительный процент ложных тревог, что мешает работе и вызывает раздражение пользователя);

— вакцинирование программ (создание специального модуля для контроля ее целостности. В качестве характеристики целостности файла обычно используется контрольная сумма. При заражении вакцинированного файла, модуль контроля обнаруживает изменение контрольной суммы и сообщает об этом пользователю. Метод позволяет обнаруживать все вирусы, в т.ч. и незнакомые, за исключением «стелс»-вирусов);

Читайте также:
Как загрузить программу на компьютер с 1

— аппаратно-программная защита от вирусов (самый надежный метод защиты. В настоящее время используются специальные контроллеры и их программное обеспечение. Контроллер устанавливается в разъем расширения и имеет доступ к общей шине, что позволяет ему контролировать все обращения к дисковой системе. В программном обеспечении контроллера запоминаются области на дисках, изменение которых в обычных режимах работы не допускается. Можно устанавливать защиту на изменение главной загрузочной записи, загрузочных секторов, файлов конфигурации, исполняемых файлов и др.).

Методы удаления последствий заражения вирусами

  • первый – предполагает восстановление системы после воздействия известных вирусов (разработчики программы-фага, удаляющей вирус, должен знать структуру вируса и его характеристики размещения в среде обитания);
  • второй – позволяет восстанавливать файлы и загрузочные сектора, зараженные неизвестными вирусами (для восстановления файлов программа восстановления должна заблаговременно создать и хранить информацию о файлах, полученную в условиях отсутствия вирусов. Имея информацию о незараженном файле и используя сведения об общих принципах работы вирусов, осуществляется восстановление файлов. Если вирус подверг файл необратимым изменениям, то восстановление возможно только с использованием резервной копии или с дистрибутива. При их отсутствии существует только один выход – уничтожить файл и восстановить его вручную).

Антивирусная утилита AVZ

  • SpyWare и AdWare модулей — это основное назначение утилиты;
  • Dialer (Trojan.Dialer);
  • Троянских программ;
  • BackDoor модулей;
  • Сетевых и почтовых червей;
  • TrojanSpy, TrojanDownloader, TrojanDropper.

Утилита является прямым аналогом программ TrojanHunter и LavaSoft Ad-aware 6. Первичной задачей программы является удаление SpyWare и троянских программ. Интерфейс программы представлен на рисунке 1.

Рисунок 1 – Главный экран AVZ
! Запуск утилиты должен производиться от имени администратора.

  • Микропрограммы эвристической проверки системы. Микропрограммы проводят поиск известных SpyWare и вирусов по косвенным признакам — на основании анализа реестра, файлов на диске и в памяти.
  • Обновляемая база безопасных файлов. В нее входят цифровые подписи десятков тысяч системных файлов и файлов известных безопасных процессов. База подключена ко всем системам AVZ и работает по принципу «свой/чужой» — безопасные файлы не вносятся в карантин, для них заблокировано удаление и вывод предупреждений, база используется антируткитом, системой поиска файлов, различными анализаторами. В частности, встроенный диспетчер процессов выделяет безопасные процессы и сервисы цветом, поиск файлов на диске может исключать из поиска известные файлы (что очень полезно при поиске на диске троянских программ);
  • Встроенная система обнаружения Rootkit. Поиск RootKit идет без применения сигнатурна основании исследования базовых системных библиотек на предмет перехвата их функций. AVZ может не только обнаруживать RootKit, но и производить корректную блокировку работы UserMode RootKit для своего процесса и KernelMode RootKit на уровне системы. Противодействие RootKit распространяется на все сервисные функции AVZ, в результате сканер AVZ может обнаруживать маскируемые процессы, система поиска в реестре «видит» маскируемые ключи и т.п. Антируткит снабжен анализатором, который проводит обнаружение процессов и сервисов, маскируемых RootKit. Одной из главных на мой взгляд особенностей системы противодействия RootKit является ее работоспособность в Win9X (распространённое мнение об отсутствии RootKit, работающих на платформе Win9X глубоко ошибочно — известны сотни троянских программ, перехватывающих API функции для маскировки своего присутствия, для искажения работы API функций или слежения за их использованием). Другой особенностью является универсальная система обнаружения и блокирования KernelMode RootKit, работоспособная под Windows NT, Windows 2000 pro/server, XP, XP SP1, XP SP2, Windows 2003 Server, Windows 2003 Server SP1
  • Детектор клавиатурных шпионов (Keylogger) и троянских DLL. Поиск Keylogger и троянских DLL ведется на основании анализа системы без применения базы сигнатур, что позволяет достаточно уверенно детектировать заранее неизвестные троянские DLL и Keylogger;
  • Нейроанализатор. Помимо сигнатурного анализатора AVZ содержит нейроэмулятор, который позволяет производить исследование подозрительных файлов при помощи нейросети. В настоящее время нейросеть применяется в детекторе кейлоггеров.
  • Встроенный анализатор Winsock SPI/LSP настроек. Позволяет проанализировать настройки, диагностировать возможные ошибки в настройке и произвести автоматическоелечение. Возможность автоматической диагностики и лечения полезна для начинающих пользователей (в утилитах типа LSPFix автоматическое лечение отсутствует). Для исследования SPI/LSP вручную в программе имеется специальный менеджер настроек LSP/SPI. На работу анализатора Winsock SPI/LSP распространяется действие антируткита;
  • Встроенный диспетчер процессов, сервисов и драйверов. Предназначен для изучения запущенных процессов и загруженных библиотек, запущенных сервисов и драйверов. На работу диспетчера процессов распространяется действие антируткита (как следствие — он «видит» маскируемые руткитом процессы). Диспетчер процессов связан с базой безопасных файлов AVZ, опознанные безопасные и системные файлы выделяются цветом;
  • Встроенная утилита для поиска файлов на диске. Позволяет искать файл по различным критериям, возможности системы поиска превосходят возможности системного поиска. На работу системы поиска распространяется действие антируткита (как следствие — поиск «видит» маскируемые руткитом файлы и может удалить их), фильтр позволяет исключать из результатов поиска файлы, опознанные AVZ как безопасные. Результаты поиска доступны в виде текстового протокола и в виде таблицы, в которой можно пометить группу файлов для последующего удаления или помещения в каранти;
  • Встроенная утилита для поиска данных в реестре. Позволяет искать ключи и параметры по заданному образцу, результаты поиска доступны в виде текстового протокола и в виде таблицы, в которой можно отметить несколько ключей для их экспорта или удаления. На работу системы поиска распространяется действие антируткита (как следствие — поиск «видит» маскируемые руткитом ключи реестра и может удалить их);
  • Встроенный анализатор открытых портов TCP/UDP. На него распространяется действие антируткита, в Windows XP для каждого порта отображается использующий порт процесс. Анализатор опирается на обновляемую базу портов известных троянских/Backdoor программ и известных системных сервисов. Поиск портов троянских программ включен в основной алгоритм проверки системы — при обнаружении подозрительных портов в протокол выводятся предупреждения с указанием, каким троянских программам свойственно использование данного порта;
  • Встроенный анализатор общих ресурсов, сетевых сеансов и открытых по сети файлов. Работает в Win9X и в NT/W2K/XP;
  • Встроенный анализатор Downloaded Program Files (DPF) — отображает элементы DPF, подключен ко всем системам AVZ;
  • Микропрограммы восстановления системы. Микропрограммы проводят восстановления настроек Internet Explorer, параметров запуска программ и иные системные параметры, повреждаемые вредоносными программами. Восстановление запускается вручную, восстанавливаемые параметры указываются пользователем;
  • Эвристическое удаление файлов. Суть его состоит в том, что если в ходе лечения удалялись вредоносные файлы и включена эта опция, то производится автоматическое исследование системы, охватывающее классы, BHO, расширения IE и Explorer, все доступные AVZ виды автозапуска, Winlogon, SPI/LSP и т.п. Все найденные ссылки на удаленный файл автоматически вычищаются с занесением в протокол информации о том, что конкретно и где было вычищено. Для этой чистки активно применяется движок микропрограмм лечения системы;
  • Проверка архивов. Начиная с версии 3.60 AVZ поддерживает проверку архивов и составных файлов. На настоящий момент проверяются архивы формата ZIP, RAR, CAB, GZIP, TAR; письма электронной почты и MHT файлы; CHM архивы;
  • Проверка и лечение потоков NTFS. Проверка NTFS потоков включена в AVZ начиная с версии 3.75;
  • Скрипты управления. Позволяют администратору написать скрипт, выполняющий на ПК пользователя набор заданных операций. Скрипты позволяют применять AVZ в корпоративной сети, включая его запуск в ходе загрузки системы;
  • Анализатор процессов. Анализатор использует нейросети и микропрограммы анализа, он включается при включении расширенного анализа на максимальном уровне эвристики и предназначен для поиска подозрительных процессов в памяти;
  • Система AVZGuard. Предназначена для борьбы с трудноудалимыми вредоносными программами, может кроме AVZ защищать указанные пользователем приложения, например, другие антишпионские и антивирусные программы;
  • Система прямого доступа к диску для работы с заблокированными файлами. Работает на FAT16/FAT32/NTFS, поддерживается на всех операционных системах линейки NT, позволяет сканеру анализировать заблокированные файлы и помещать их в карантин;
  • Драйвер мониторинга процессов и драйверов AVZPM. Предназначен для отслеживания запуска и остановки процессов и загрузки/выгрузки драйверов для поиска маскирующихся драйверов и обнаружения искажений в описывающих процессы и драйверы структурах, создаваемых DKOM руткитами;
  • Драйвер Boot Cleaner. Предназначен для выполнения чистки системы (удаление файлов, драйверов и служб, ключей реестра) из KernelMode. Операция чистки может выполняться как в процессе перезагрузки компьютера, так и в ходе лечения.
Читайте также:
Блок схема управляющей программы

Практическое задание

Изучить категории вредоносных программ и изучить работу с антивирусной утилитой AVZ.

Изучите основные теоретические сведения.

Источник: topuch.com

Помогите удалить троян/руткит (заявка № 85945)

MidasInc вне форума

Репутация

Junior Member Регистрация 05.11.2008 Сообщений 42 Вес репутации 54

Thumbs upПомогите удалить троян/руткит

Проблема была обнаружена только по аномально большому и не прекращающемуся трафику, а поскольку интернет на зараженном компьютере мобильный, то и по существенно большим расходам.
С помощью TcpView и cports было видно, что какой-то процесс постоянно шлет запросы на разные адреса.
На компьютере был установлен nod32, который ничего не показал. Был заменен на Avira Antivir Personal, который обнаружил проблему, но решить ее не смог.
Из отчета Avira Antivir Personal:

C:WINDOWSsystem32driversaaamgv.sys
[ОБНАРУЖЕНИЕ] Содержит сигнатуру руткит-программы RKIT/Bubnix.AU
[ПРЕДУПРЕЖДЕНИЕ] Невозможно открыть файл.
C:WINDOWSsystem32driversobnuts.sys
[ОБНАРУЖЕНИЕ] Троянская программа TR/Rootkit.Gen
[ПРЕДУПРЕЖДЕНИЕ] Невозможно открыть файл.

Начало дезинфекции:
C:WINDOWSsystem32driversaaamgv.sys
[ОБНАРУЖЕНИЕ] Содержит сигнатуру руткит-программы RKIT/Bubnix.AU
[ПРЕДУПРЕЖДЕНИЕ] Возникла ошибка при попытке записи резервной копии файла. Файл не может быть удален. Код ошибки: 26004
[ПРЕДУПРЕЖДЕНИЕ] Не удалось обнаружить исходный файл.
[УКАЗАНИЕ] Производится попытка выполнить действие с помощью ARK библиотеки.
[УКАЗАНИЕ] Файл был перемещен в карантинную папку под именем ‘4cc935e0.qua’.
C:WINDOWSsystem32driversobnuts.sys
[ОБНАРУЖЕНИЕ] Троянская программа TR/Rootkit.Gen
[ПРЕДУПРЕЖДЕНИЕ] Возникла ошибка при попытке записи резервной копии файла. Файл не может быть удален. Код ошибки: 26004
[ПРЕДУПРЕЖДЕНИЕ] Не удалось обнаружить исходный файл.
[УКАЗАНИЕ] Производится попытка выполнить действие с помощью ARK библиотеки.
[УКАЗАНИЕ] Файл был перемещен в карантинную папку под именем ‘4cd635e6.qua’.

Удаление файлов вручную с помощью утилиты IceSword ничего не дало, файлы тут же восстанавливались. Стандартные скрипты AVZ запускались.

Подскажите, пожалуйста что можно сделать в данной ситуации.
Отчеты AVZ приложены. Отчет HiJackThis получить не удалось. Вся процедура проводилась удаленно (по телефону), компьютер установлен в больнице, попасть лично туда сложно, человек, который все делал по моей подсказке, не обладает достаточными знаниями. Если будет таки необходим отчет HiJackThis, попытаемся еще сделать.

Источник: virusinfo.info

Рейтинг
( Пока оценок нет )
Комментарии0
Загрузка ...
Похожие материалы
EFT-Soft.ru