Механизм самозащиты и автозапуска

Механизм защиты от удаления аналогичен большинству вирусов и руткитов, в частности:

• маскировка под системный процесс;
• использование нестандартных методов запуска (пути автозапуска унаследованные от старых версий ПО, подмена отладчика процессов);
• использование двух самоперезапускающихся процессов, перезапускающих друг друга (такие процессы практически невозможно завершить, так как они вызывают «следующий» процесс и завершаются раньше, чем их завершают принудительно);
• подмена системных файлов для самомаскировки;
• перезагрузка компьютера при доступе к исполняемым файлам или ключам автозагрузки, в которых файлы прописаны.

Механизм управления ботнетом

Ранее управление производилось или «слушанием» определённой команды по определённому порту, или присутствием в IRC-чате. До момента использования программа «спит» — (возможно) размножается и ждёт команды. Получив команды от «владельца» ботнета, начинает их исполнять (один из видов деятельности). В ряде случаев по команде загружается исполняемый код (таким образом, имеется возможность «обновлять» программу и загружать модули с произвольной функциональностью). Возможно управление ботом помещением определенной команды по заранее заготовленому URL.

В настоящее время получили распространение ботнеты, управляемые через веб-сайт или по принципу p2p-сетей.^[1]

Торговля

Ботнеты являются объектом нелегальной торговли, при продаже передаётся пароль к IRC каналу (пароля доступа к интерфейсу программы на компьютере).

Масштабы

По оценке создателя протокола TCP/IP Винта Серфа, около четверти из 600 млн компьютеров, подключённых к Интернету, могут находиться в ботнетах.^[2] Специалисты SecureWorks, изучив внутренние статистические сведения ботнета, основанного на трояне SpamThru, обнаружили, что около половины заражённых компьютеров работают под управлением операционной системы Windows XP с установленным Service Pack 2.^[2]

По данным специалиста по безопасности компании McAfee Майкла Де Чезаре (англ. Michael DeCesare), только в США в составе ботнетов порядка 5 млн. заражённых компьютеров, что составляет около 10% национального компьютерного парка^[3].

Известная атака ботнетов

Наиболее заметной из всех видов деятельности ботнета является DDoS атака. Среди успешных (и почти успешных) атак:

• DDos атака на сайт Microsoft.com (вирус MSBlast!, в один день начавший со всех заражённых машин посылать запросы на microsoft.com, привёл к простою сайта)
• Серия DDoS-атак на «Живой журнал» весной 2011 года

Профилактика и лечение

В настоящий момент существует множество антивирусных программ, используемых для предотвращения попадания вирусов в ПК. Однако нет гарантии, что они смогут справиться с новейшими разработками. Поэтому следует придерживаться некоторых мер предосторожности, в частности:

1. Не работать под привилегированными учётными записями без крайней необходимости.
2. Не запускать незнакомые программы из сомнительных источников.
3. Стараться блокировать возможность несанкционированного изменения системных файлов.
4. Отключать потенциально опасный функционал системы (например, autorun-носителей в MS Windows, сокрытие файлов, их расширений и пр.).
5. Не заходить на подозрительные сайты, обращать внимание на адрес в адресной строке обозревателя.
6. Пользоваться только доверенными дистрибутивами.
7. Постоянно делать резервные копии важных данных и иметь образ системы со всеми настройками для быстрого развёртывания.

8. Выполнять регулярные обновления часто используемых программ, особенно тех, которые обеспечивают безопасность системы.

 

Антивирусы

Антивирус ная программа - это компьютерная программа, целью которой является обнаружить, предотвратить размножение и удалить компьютерные вирусы и другие вредоносные программы. Многие антивирусные программы позволяют не только обнаруживать, но и препятствуют несанкционированному проникновению вредоносных программ в компьютер.

Большинство современных антивирусных программ запускается автоматически операционной системой, и постоянно проверяют безопасность совершаемых другими программами действий, а также контролируют оперативную память и файловую систему компьютера.

Классификация антивирусных программ

1) в зависимости от их принципа действия, которую предложил Евгений Валентинович Касперский:

Сканеры (устаревший вариант «полифаги»). Определяют наличие вируса по БД хранящей сигнатуры (или их контрольные суммы) вирусов. Их эффективность определяется актуальностью вирусной базы и наличием эвристического анализатора

Ревизоры - Запоминают состояние файловой системы, что делает в дальнейшем возможным анализ изменений.

Сторожа (мониторы) - Отслеживают потенциально опасные операции в режиме реального времени, выдавая пользователю соответствующий запрос на разрешение/запрещение операции.

Вакцины - Изменяют прививаемый файл таким образом, чтобы вирус, против которого делается прививка, уже считал файл заражённым. В современных условиях, когда количество возможных вирусов измеряется десятками тысяч, этот подход неприменим.

2) по их функциональному назначению:

Классический антивирус – (определение приводится в начале страницы)

Антишпион (antispyware) - антивирусная программа, предназначенная для обнаружения и удаления шпионского программного обеспечения (spyware) с компьютера пользователя. Сегодня антишпионы в чистом виде практически не используются. Как правило, они включаются в состав антивирусов или комплексных средств защиты компьютеров и имеют дополнительные функции позволяющие удалять агрессивную рекламу (add-aware), номеронабиратели (scumware), кейлоггеры (keylogger) и другие вредоносные программы.

Онлайн сканер - антивирусное средство для обнаружения и удаления вирусов из файловой системы персонального компьютера, подключенного к сети интернет. Основным преимуществом онлайн сканеров является отсутствие необходимости инсталляции приложения. К недостаткам можно отнести тот факт, что сканер только обнаруживает вирусы, которые уже проникли систему и не способен защитить компьютер от будущего заражения

Сетевой экран (firewall) - это программа, обеспечивающая безопасную работу компьютера в локальных сетях и интернете, которая позволяет блокировать нежелательный сетевой трафик, а также обеспечивает невидимость компьютера в сети, с целью предотвращения кибер атак. Актуальность использования этого эффективного средства безопасности растет по мере лавинообразно нарастающего объёма и скорости создания вирусов и других вредоносных программ.

Комплексная защита - это комплекс антивирусных программных средств, представляемый, как правило, под названием "Internet Security" и включающий в себя все перечисленные выше средства защиты компьютера плюс дополнительные функциональные компоненты, такие как родительский контроль, защита от спама и многое другое.

В настоящее время существует огромное количество лицензионных антивирусных программ от различных разработчиков, многие из которых имеют мировую известность, другие появились на рынке антивирусных средств защиты компьютеров недавно, но, несмотря на это, быстро прогрессируют, составляя ощутимую конкуренцию наиболее популярным производителям антивирусов.

Технологии антивирусной защиты:

· Классические антивирусные продукты (продукты, применяющие только сигнатурный метод детектирования)

· Продукты проактивной антивирусной защиты (продукты, применяющие только проактивные технологии антивирусной защиты);

· Комбинированные продукты (продукты, применяющие как классические, сигнатурные методы защиты, так и проактивные)

Обнаружение, основанное на сигнатурах — метод работы антивирусов и систем обнаружения вторжений, при котором программа, просматривая файл или пакет, обращается к словарю с известными вирусами, составленному авторами программы. В случае соответствия какого-либо участка кода просматриваемой программы известному коду (сигнатуре) вируса в словаре, программа антивирус может заняться выполнением одного из следующих действий:

1. Удалить инфицированный файл.

2. Отправить файл в «карантин» (то есть сделать его недоступным для выполнения, с целью недопущения дальнейшего распространения вируса).

3. Попытаться восстановить файл, удалив сам вирус из тела файла.

Проактивные технологии – совокупность технологий и методов, используемых в антивирусном программном обеспечении, основной целью которых, в отличие от реактивных (сигнатурных) технологий, является предотвращение заражения системы пользователя, а не поиск уже известного вредоносного программного обеспечения в системе.

Технологии проактивной защиты

Эвристический анализ

Технология эвристического анализа позволяет на основе анализа кода выполняемого приложения, скрипта или макроса обнаружить участки кода, отвечающие за вредоносную активность.

Эффективность данной технологии не является высокой, что обусловлено большим количеством ложных срабатываний при повышении чувствительности анализатора, а также большим набором техник, используемых авторами вредоносного ПО для обхода эвристического компонента антивирусного ПО.

Эмуляция кода

Технология эмуляции позволяет запускать приложение в среде эмуляции, эмулируя поведение ОС или центрального процессора. При выполнении приложения в режиме эмуляции приложение не сможет нанести вреда системе пользователя, а вредоносное действие будет детектировано эмулятором.

Несмотря на кажущуюся эффективность данного подхода, он также не лишен недостатков – эмуляция занимает слишком много времени и ресурсов компьютера пользователя, что негативно сказывается на быстродействии при выполнении повседневных операций, также, современные вредоносные программы способны обнаруживать выполнение в эмулированной среде и прекращать свое выполнение в ней.

Анализ поведения

Технология анализа поведения основывается на перехвате всех важных системных функций или установке т.н. мини-фильтров, что позволяет отслеживать всю активность в системе пользователя. Технология поведенческого анализа позволяет оценивать не только единичное действие, но и цепочку действий, что многократно повышает эффективность противодействия вирусным угрозам. Также, поведенческий анализ является технологической основой для целого класса программ – поведенческих блокираторов (HIPS – Host-based Intrusion Systems).

Sandboxing (Песочница) – ограничение привилегий выполнения

Технология Песочницы работает по принципу ограничения активности потенциально вредоносных приложений таким образом, чтобы они не могли нанести вреда системе пользователя.

Ограничение активности достигается за счет выполнения неизвестных приложений в ограниченной среде – собственно песочнице, откуда приложение не имеет прав доступа к критическим системным файлам, веткам реестра и другой важной информации. Технология ограничения привилегий выполнения является эффективной технологией противодействия современным угрозам, но, следует понимать, что пользователь должен обладать знаниями, необходимыми для правильной оценки неизвестного приложения.

Виртуализация рабочего окружения

Технология виртуализации рабочего окружения работает с помощью системного драйвера, который перехватает все запросы на запись на жесткий диск и вместо выполнения записи на реальный жесткий диск выполняет запись в специальную дисковую область – буфер. Таким образом, даже в том случае, если пользователь запустит вредоносное программное обеспечение, оно проживет не далее чем до очистки буфера, которая по умолчанию выполняется при выключении компьютера.

Однако, следует понимать, что технология виртуализации рабочего окружения не сможет защитить от вредоносных программ, основной целью которых является кража конфиденциальной информации, т.к. доступ на чтение к жесткому диску не запрещен.

Метод «Белого списка»

Общая технология по борьбе с вредоносными программами — это «белый список». Вместо того, чтобы искать только известные вредоносные программы, эта технология предотвращает выполнение всех компьютерных кодов за исключением тех, которые были ранее обозначены системным администратором как безопасные. Выбрав этот параметр отказа по умолчанию, можно избежать ограничений, характерных для обновления сигнатур вирусов. К тому же, те приложения на компьютере, которые системный администратор не хочет устанавливать, не выполняются, так как их нет в «белом списке». Так как у современных предприятий есть множество надежных приложений, ответственность за ограничения в использовании этой технологии возлагается на системных администраторов и соответствующим образом составленные ими «белые списки» надежных приложений. Работа антивирусных программ с такой технологией включает инструменты для автоматизации перечня и эксплуатации действий с «белым списком».

 

Требования к антивирусным программам

Количество и разнообразие вирусов велико и чтобы их быстро и эффективно обнаружить, антивирусная программа должна отвечать некоторым параметрам.

1. Стабильность и надежность работы. Этот параметр, без сомнения, является определяющим — даже самый лучший антивирус окажется совершенно бесполезным, если он не сможет нормально функционировать на вашем компьютере, если в результате какого-либо сбоя в работе программы процесс проверки компьютера не пройдет до конца. Тогда всегда есть вероятность того, что какие-то зараженные файлы остались незамеченными.

2. Размеры вирусной базы программы (количество вирусов, которые правильно определяются программой). С учетом постоянного появления новых вирусов база данных должна регулярно обновляться — что толку от программы, не видящей половину новых вирусов и, как следствие, создающей ошибочное ощущение “чистоты” компьютера.

3. Возможность программы определять разнообразные типы вирусов, и умение работать с файлами различных типов (архивы, документы).

4. Наличие резидентного монитора, осуществляющего проверку всех новых файлов “на лету” (то есть автоматически, по мере их записи на диск, в процессе работы операционной системы).

5. Скорость работы программы, наличие дополнительных возможностей типа алгоритмов определения даже неизвестных программе вирусов (эвристическое сканирование).

6. Возможность восстанавливать зараженные файлы, не стирая их с жесткого диска, а только удалив из них вирусы.

7. Процент ложных срабатываний программы (ошибочное определение вируса в “чистом” файле).

8. Многоплатформенность (наличие версий программы под различные операционные системы). Конечно, если антивирус используется только дома, на одном компьютере, то этот параметр не имеет большого значения. Но вот антивирус для крупной организации просто обязан поддерживать все распространенные операционные системы.

9. При работе в сети немаловажным является наличие серверных функций, предназначенных для административной работы, а также возможность работы с различными видами серверов.

Примеры антивирусных приложений

Основные характеристики Avast!: выявление вирусов, троянов и червей. Резидентный (в режиме реального времени) и обычный сканер. Сканирование архивов. Проверка входной и выходной электронной почты. Интеграция в систему. Проверить тот или иной файл можно непосредственно из проводника Windows, щелкнув по нему правой кнопкой мыши и выбрав надпись "Сканировать... ".Карантин Avast! изолированный от операционной системы (ни один файл, который сохраняется в карантине не может быть запущен). Автоматические или запланированные обновления вирусных баз (20-80 KB). Возможность обновления "вручную". Поддержка шкур (скинов) Avast!. Основной пакет содержит три скина, дополнительные можно скачать с официального сайта.

ESET NOD32 работает в режиме стандартного антивируса - защищает домашний компьютера от троянских программ, вирусов, червей, рекламного программного обеспечения, шпионских программ, руткитов и фишинг-атак. Если кратко, то это антивирус и антишпион в одном продукте.

AvP Gold Edition

Разработчик: Лаборатория Касперского                                        www . kaspersky . ru

Преимущества. Огромнейшая база вирусов, ежедневные обновления, возможность получать информацию об обновлениях по электронной почте. Наличие резидентной программы-сканера, позволяющей проверять файлы “на лету”. Поддержка многих платформ и наличие различных сетевых функций. Очень быстрые алгоритмы проверки, низкий процент ложных срабатываний. Очень простой и в то же время достаточно удобный интерфейс. Важным достоинством также является удобство обновления вирусной базы — вместо того чтобы скачивать, скажем, 30 файлов за месяц, существует возможность скачать одно кумулятивное обновление, включающее в себя все файлы за данный период времени.

Недостатки. Чрезмерно медленная работа под Windows 2000. Программа периодически пытается выйти в Интернет, и вообще всячески старается напомнить о себе пользователю, что не есть хорошо.

Dr.Web

 Разработчик: Лаборатория Данилова и Диалог-Наука                                             www.drweb.ru

Преимущества. Один из наиболее простых в использовании антивирусов. Важным преимуществом, отличающим его от многих более продвинутых сотоварищей, является его ненавязчивость; этот антивирус не пытается прописать себя в автозагрузке и не надоедает сообщениями о необходимости обновления.

Недостатки. К сожалению, с версии 4.20 этот антивирус перестал быть бесплатным, потеряв свое основное преимущество перед конкурентами. Кроме того, с этой же злополучной версии изменился формат антивирусных баз, вследствие чего стало невозможным обновлять бесплатную версию программы. Есть некоторые недостатки интерфейса, например, отсутствие сохранения настроек программы по умолчанию при выходе из нее. Довольно маленький (по сравнению с конкурентами) объем вирусной базы.

Norton Antivirus

Разработчик: Symantec                           www.symantec.com/region/ru/product/nav/index.html

Преимущества. В последней версии программы появились мощнейшие процедуры поиска новых вирусов, позволяющие определять совершенно незнакомые программе вирусы без всякого участия пользователя. В отличие от многих конкурентов, прекрасно справляется с файлами, сжатыми по различным алгоритмам (zip, pklite, lz, mime/uu и другими). Имеет множество сетевых функций. Программа позволяет контролировать борьбу с вирусами на удаленном компьютере не хуже, чем на своем собственном.

Недостатки.Полное отсутствие бесплатных версий.

 

McAfee VirusScan

Разработчик: McAfee Associates                                              www.mcafee.ru/virusscan.htm

Преимущества.Хорошая интеграция с другими продуктами фирмы McAfee, входящей в состав компании Network Associates, являющейся одним из мировых лидеров по антивирусной и сетевой безопасности. Позволяет сканировать электронную почту на уровне почтовых ящиков до ее записи в файлы на диск компьютера. Осуществляет защиту от деструктивных и некорректных Java-апплетов и скриптов, а также ActiveX-приложений. Имеется возможность полностью незаметной для пользователя работы — обновлений антивирусной базы, излечения зараженных файлов. Обладает удобным даже для новичков интерфейсом. Кроме того, имеет очень широкие сетевые возможности, вплоть до установки и работы на удаленном компьютере.

Недостатки. Высокая цена. Для получения демонстрационной версии программы надо сделать запрос на официальном сайте, а потом довольно долго ждать ответного письма со ссылкой. Однако сам антивирус нареканий не вызывает.

Avira

Panda

Microsoft Security Essentials

Symantic

 

Новый заголовок

Второй заголовок

Третий заголовок

Обычный текст, и так далее, и так далее, , и так далее, , и так далее, , и так далее, , и так далее, , и так далее, , и так далее, , и так далее, , и так далее, , и так далее, , и так далее, , и так далее, , и так далее, , и так далее, , и так далее, , и так далее, , и так далее, , и так далее, , и так далее, , и так далее, , и так далее, , и так далее, , и так далее, , и так далее, , и так далее, , и так далее, , и так далее, , и так далее, , и так далее, , и так далее, , и так далее, , и так далее, , и так далее, , и так далее, , и так далее,

Опять третий заголовок

 

---

Дата добавления: 2019-07-15; просмотров: 219; Мы поможем в написании вашей работы!

Поделиться с друзьями:

---

---

Мы поможем в написании ваших работ!