К мобильным носителям можно отнести все виды энергонезависимых ПЗУ. Позволяют достаточно долго хранить информацию и при этом не требуют дополнительного питания от компьютера. Это дискеты, компакт диски, flash-накопители. Мобильные носители - достаточно распространенный способ для размножения компьютерных вирусов. Однако по скорости распространения этот путь существенно уступает компьютерным сетям.
- Компьютерные сети
Для удобства обмена информацией между компьютерами, их объединяют в сети. Любые два компьютера, относящиеся к одной компьютерной сети, могут обмениваться данными без участия мобильных носителей - с помощью сетевых проводов, телефона, кабельного телевидения, радио или других технологий беспроводной связи. В большинстве случаев это существенно ускоряет и упрощает процедуру обмена файлами.
Компьютерные сети могут быть локальными и глобальными.
Локальная вычислительная сеть (ЛВС) - это компьютерная сеть, покрывающая относительно небольшую территорию - школу, институт, микрорайон.
На входящих в компьютерную сеть компьютерах часто организовывается открытый доступ к отдельным или даже всем хранимым на них файлам. Это означает, что пользователь, работающий на одном компьютере, входящем в ЛВС, может открывать, читать, изменять и запускать файлы, физически расположенные на другом компьютере. Нередко выделяется специальный компьютер, выполняющий функцию хранилища файлов - файловый сервер. Главная его задача - обеспечивать доступ к хранимым на нем данным для всех компьютеров этой сети.
Вредоносные программы в полной мере используют преимущества ЛВС - фактически, почти все современные вирусы имеют встроенные процедуры инфицирования по локальным сетям и как следствие высокие темпы распространения.
Инфицирование обычно происходит в такой последовательности. Зараженный компьютер с заданным интервалом инициирует соединение поочередно со всеми другими компьютерами сети и проверяет наличие на них открытых для общего доступа файлов. Если такие есть, происходит инфицирование.
Глобальная вычислительная сеть (ГВС) - это компьютерная сеть, покрывающая большие территории - города, страны, континенты.
Самая большая и самая известная на сегодняшний день глобальная вычислительная сеть - это всемирная сеть Интернет. Количество компьютеров, постоянно или временно подключенных к Интернет на сегодняшний день достигает почти 1 миллиарда. Это означает, что приблизительно каждый шестой житель Земли имеет доступ в Интернет. Наличие сети такого масштаба делает возможным всемирные эпидемии компьютерных вирусов.
-Электронная почта
Электронная почта - это способ передачи информации в компьютерных сетях, основанный на пересылке пакетов данных, называемых электронными письмами.
Суть электронной почты заключается в том, что любой пользователь может создать почтовый ящик и зарезервировать соответствующий ему адрес электронной почты.
Адрес электронной почты- это имя вида [email protected], где ru - название зоны, в данном случае это Россия, domain - это обозначение компьютера, на котором будет храниться почтовый ящик (доменное имя), user - имя пользователя.
Таким образом, пользователь фактически получает некоторое количество памяти на жестком диске удаленного компьютера, который постоянно находится во включенном состоянии. Любой другой человек может написать ему письмо, которое до прочтения адресатом будет храниться на этом сервере.На сегодняшний день электронная почта выступает основным путем распространения вирусов. Опытные пользователи знают, что не нужно принимать сообщения, пришедшие от неизвестных людей. Однако вирусописатели для ослабления бдительности нередко используют обманные методы. Например, в параметрах письма в качестве отправителя указывают адрес, очень похожий на настоящий, или завлекающий текст в теме.
- Операционная система
Операционная система (ОС) - это комплекс программ, который обеспечивает управление физическими устройствами компьютера (клавиатура, монитор, жесткий диск, оперативная память и др.), доступ к файлам, ввод и вывод данных, выполнение и взаимодействие пользовательских программ.
Работа программного обеспечения построена следующим образом. После включения компьютера происходит загрузка операционной системы. Это фактически означает запуск входящих в нее основных программ и загрузку в оперативную память ряда необходимых в работе программных модулей. При этом на одном компьютере (без применения специальных средств) может быть загружена только одна операционная система.
После загрузки ОС управление компьютером передается пользователю - для запуска прикладных программ. В большинстве операционных систем существует возможность указать прикладные программы, которые необходимо всегда запускать после завершения загрузки операционной системы. Это удобно в таких случаях как запуск почтовых, антивирусных, обучающих - таких программ, которые пользователь рассматриваемого компьютера использует очень часто.
Однако наличие автозагрузки дает возможность вредоносным вирусам практически незаметно выполнять свои функции. Для этого во время заражения в список автозагрузки добавляется ссылка на программу, которая загружает вирус в оперативную память при каждой загрузке операционной системы. То есть фактически активация вируса происходит без участия пользователя при каждом включении компьютера.
Уязвимости
Любая программа представляет собой написанную программистом последовательность действий, переведенную в машинный код. Программист может ошибиться или через некоторый промежуток времени могут появиться новые технологии, в свете которых старая программа в ряде ситуаций будет вести себя не так как планировалось. (Windows:40 млн. строк программного кода. Установлено: на 1000 строк кода - 5-50 ошибок). Такие ошибки или погрешности в планировании программ приводят к появлению уязвимостей. Поиск ошибок в Windows - в 10, 100 раз больше программистов, чем в создании ПО.
Уязвимость ОС - это место в программном коде, которое может быть использовано для несанкционированного доступа к управлению программой.
Уязвимости могут появляться как в системном, так и в прикладном программном обеспечении. После обнаружения уязвимости, производители программ обычно стараются как можно скорее выпустить дополнения, которые бы исправляли исходный код и закрывали брешь.
Заплата или патч (от англ. patch - латать, ставить заплаты) - это программный код, используемый для модификации используемой программы.
Другими словами заплата - это дополнительная программа, которую следует запустить на выполнение, если в уже используемой программе обнаружилась ошибка или уязвимость. В большинстве случаев для каждой уязвимости или ошибки в программе выпускается отдельный патч. Однако иногда целесообразно собрать несколько заплат в один модуль. Такой модуль обычно называется пакетом обновлений. Следовательно, если фирмой-производителем используемой программы был выпущен пакет обновлений к ней, настоятельно рекомендуется его установить.
2.2. Последствия заражений компьютерными вирусами.
Последствия инфицирования компьютера вредоносной программой могут быть как явными, так и неявными.
К неявным обычно относят заражения программами, которые по своей сути являются вирусами, однако из-за ошибок в своем коде или нестандартному программному обеспечению компьютера, вредоносную нагрузку выполнить не могут. При этом свое присутствие в системе они никак не выражают.
Класс явных последствий с ростом числа вирусов постоянно увеличивается. Можно выделить следующие действия:
Несанкционированная рассылка электронных писем. Ряд вирусов после заражения компьютера ищут на жестком диске файлы, содержащие электронные адреса и без ведома пользователя начинают рассылку по ним инфицированных писем.
Кража конфиденциальной информации. Очень часто главной целью вирусной атаки является кража конфиденциальной информации - такой как номера кредитных карт, различные пароли, секретные документы. То есть после инфицирования вирус ищет файлы, содержащие информацию, для кражи которой он предназначен, и передает ее хозяину. Это может происходить путем отправки выбранных данных в электронном сообщении на определенный адрес или прямой пересылки их на удаленный сервер.
Несанкционированное использование сетевых ресурсов. Существуют вирусы, которые после заражения без ведома пользователя подключаются к различным платным службам с использованием личных данных, найденных на компьютере. Впоследствии жертве приходится оплачивать не заказанные ею услуги, а злоумышленник обычно получает процент от этого счета.
Удаленное управление компьютером. После того, как произошло заражение, некоторые вирусы передают своему хозяину инструменты для удаленного управления инфицированным компьютером - открывают бекдоры (от англ. backdoor - черный ход). Обычно это выражается в возможности удаленно запускать размещенные на нем программы, а также загружать из Интернет по желанию злоумышленника любые файлы. Пользователь, чей компьютер заражен вирусом удаленного управления, может ничего и не подозревать. Свое присутствие такие программы обычно выражают только в использовании части ресурсов зараженного компьютера для своих нужд - в основном процессора и оперативной памяти. Такие компьютеры часто называют машинами-зомби.
Ботнеты. Группа компьютеров, которыми централизованно управляет один злоумышленник, называется ботнетом. Число таких компьютеров в Интернет на сегодняшний день достигает нескольких миллионов и продолжает увеличиваться каждый день.
Несанкционированная атака на чужой сервер. Последнее время вирусописатели используют ботнеты для организации так называемых DoS-атак. DoS (Denial of Service) - это построенное на принципе отказа в обслуживании нападение на удаленный сайт. Это означает, что каждый инфицированный компьютер периодически (с интервалом обычно порядка 1 секунды) посылает произвольный запрос на получение информации с заданного злоумышленником сайта. Все веб-сайты рассчитаны на определенное число запросов в единицу времени, поэтому резкое увеличение нагрузки практически всегда выводит сервер из строя. Атака, которая производится одновременно с большого количества компьютеров, называется распределенной DoS-атакой или DDoS (Distributed Denial of Service).
Пример.Одна из самых известных DDoS-атак была предпринята в июле 2001 года. Объектом нападения стал веб-сайт Белого дома в США (www.whitehouse.gov). В атаке участвовало около 200000 компьютеров, зараженных во время прошедшей незадолго до этого эпидемии вируса CodeRed.
Рассылка спама. Под этим термином обычно понимается ненужная, нежелательная, не запрошенная получателем корреспонденция. Обычно это рассылки рекламного характера. Спам может приходить как по электронной почте, так и в виде других сообщений, например на мобильный телефон в виде SMS. Поскольку электронных адресов в Интернет очень много, рассылка спама занимает много ресурсов. Поэтому злоумышленники часто используют для этих целей ботнеты.
Фишинг. Фактически фишинг - это метод кражи чужой информации. Суть его заключается в подделке известного сайта и рассылке электронных писем-приглашений зайти на него и ввести свою конфиденциальную информацию. Например, создается точная копия сайта какого-либо банка и с помощью спам-технологий рассылается письмо, максимально похожее на настоящее, с уведомлением о сбое в программном обеспечении и просьбой зайти на сайт и заново ввести свои данные. Тут же, в письме приводится адрес сайта - естественно, поддельный, но также максимально похожий на правду.
Уничтожение информации. Большинство современных вредоносных программ если и несут в себе процедуры уничтожения информации на компьютере-жертве, то только в качестве дополнительной, неосновной функции.
2.3. Классификация вирусов
Существует большое количество разновидностей вредоносных программ:
Вирусы – саморазмножающиеся программы, которые размножаются путем дописывания себя в исполняемые файлы.
Черви (сетевой червь) - это вредоносная программа, распространяющаяся по сетевым каналам и способная к самостоятельному преодолению систем защиты компьютерных сетей, а также к созданию и дальнейшему распространению своих копий, не обязательно совпадающих с оригиналом.
Жизненный цикл червей состоит из пяти стадий:
- Проникновение в систему
- Активация
- Поиск объектов для заражения
- Подготовка копий
- Распространение копий
В зависимости от способа проникновения в систему черви делятся на типы:
- сетевые черви (локальные сети и Интернет);
- почтовые черви (с помощью почтовых программ).
После проникновения на компьютер, червь должен активироваться - иными словами запуститься. По методу активации все черви можно разделить на две большие группы - на тех, которые требуют активного участия пользователя и тех, кто его не требует. Отличительная особенность червей из первой группы - это использование обманных методов. Это проявляется, например, когда получатель инфицированного файла вводится в заблуждение текстом письма и добровольно открывает вложение с почтовым червем, тем самым его активируя. В последнее время наметилась тенденция к совмещению этих двух технологий - такие черви наиболее опасны и часто вызывают глобальные эпидемии.
Сетевые черви могут кооперироваться с вирусами - такая пара способна самостоятельно распространяться по сети (благодаря червю) и в то же время заражать ресурсы компьютера (функции вируса).
Трояны - программа, основной целью которой является вредоносное воздействие по отношению к компьютерной системе. В отличие от вирусов и червей, не обязаны уметь размножаться. Это программы, написанные только с одной целью - нанести ущерб компьютеру путем выполнения несанкционированных действий: кражи, порчи или удаления конфиденциальных данных, нарушения работоспособности компьютера или использования его ресурсов в неблаговидных целях.
Некоторые трояны способны к самостоятельному преодолению систем защиты компьютерной системы. Однако в большинстве случаев они проникают на компьютеры вместе с вирусом либо червем - то есть такие трояны можно рассматривать как дополнительную вредоносную нагрузку, но не как самостоятельную программу.
Жизненный цикл троянов состоит из трех стадий:
- Проникновение в систему
- Активация
- Выполнение вредоносных действий
Проникать в систему трояны могут двумя путями - самостоятельно и в кооперации с вирусом или сетевым червем. В первом случае обычно используется маскировка, когда троян выдает себя за полезное приложение, которое пользователь самостоятельно копирует себе на диск (например, загружает из Интернет) и запускает. При этом программа действительно может быть полезна, однако наряду с основными функциями она может выполнять действия, свойственные трояну.
После проникновения на компьютер, трояну необходима активация и здесь он похож на червя - либо требует активных действий от пользователя или же через уязвимости в программном обеспечении самостоятельно заражает систему.
Главная цель написания троянов - производство несанкционированных действий, классифицируются по типу вредоносной нагрузки:
- клавиатурные шпионы, постоянно находясь в оперативной памяти, записывают все данные, поступающие от клавиатуры с целью последующей их передачи своему автору;
- похитители паролей предназначены для кражи паролей путем поиска на зараженном компьютере специальных файлов, которые их содержат;
- утилиты скрытого удаленного управления - обеспечивают несанкционированный удаленный контроль над инфицированным компьютером;
- утилиты дозвона в скрытом от пользователя режиме - инициируют подключение к платным сервисам Интернет;
- модификаторы настроек браузера, меняют стартовую страницу в браузере, страницу поиска или еще какие-либо настройки, открывают дополнительные окна, имитируют нажатия на рекламные баннеры.
Боты (bots) - вид зловредного ПО. Наносит вред удаленным компьютерам и сетям, при этом не нарушая работоспособности инфицированного компьютера. Работают совместно с другими ботами. Размеры бот-сетей – сотни тысяч машин. Используются для DDoS-атак (Distributed Denial of Service – распределенная атака в обслуживании).
Другие вредоносные программы
Кроме вирусов, червей и троянов существует еще множество других вредоносных программ, для которых нельзя привести общий критерий. Однако среди них можно выделить небольшие группы. Это в первую очередь: условно опасные программы, то есть такие, о которых нельзя однозначно сказать, что они вредоносны. Такие программы обычно становятся опасными только при определенных условиях или действиях пользователя. К ним относятся:
Riskware - вполне легальные программы, которые сами по себе не опасны, но обладают функционалом, позволяющим злоумышленнику использовать их с вредоносными целями. К riskware относятся обычные утилиты удаленного управления, программы для загрузки файлов из Интернет, утилиты восстановления забытых паролей.
Рекламные утилиты (adware) - условно-бесплатные программы, которые в качестве платы за свое использование демонстрируют пользователю рекламу, чаще всего в виде графических баннеров. После официальной оплаты и регистрации обычно показ рекламы заканчивается и программы начинают работать в обычном режиме. Клиент ICQ.
Хакерские утилиты - К этому виду программ относятся программы скрытия кода зараженных файлов от антивирусной проверки (шифровальщики файлов), автоматизации создания сетевых червей, компьютерных вирусов и троянских программ (конструкторы вирусов).
2.4 Признаки присутствия на компьютере вредоносных программ
Косвенные проявления вредоносных программ:
- Блокировка антивируса
Обычно вредоносная программа проникает на защищенный антивирусом компьютер (если антивирус был отключен или это сравнительно новая вредоносная программа, для которой не было записи в антивирусной базе). Понятно, что в скором времени антивирус будет включен, либо вирус будет внесен в антивирусную базу, и антивирус сможет его обнаружить и обезвредить. Чтобы воспрепятствовать этому, многие вредоносные программы небезуспешно пытаются выгрузить антивирус из памяти или даже удалить файлы антивируса с дисков компьютера.
Поэтому внезапное завершение работы антивируса вполне может являться поводом для беспокойства.
- Блокировка антивирусных сайтов
Поскольку выгрузка или удаление антивируса все же достаточно заметны, некоторые вредоносные программы идут другим путем и нейтрализуют только возможность обновления антивирусных средств. Если антивирусная база не будет обновляться, антивирус не сможет обнаруживать новые вирусы и станет неэффективным.
При этом вредоносные программы не блокируют доступ в Интернет целиком - это было бы слишком заметно, а только доступ к сайтам и серверам обновлений наиболее известных компаний - производителей антивирусов. В среднем, пользователи не часто заходят на сайты антивирусных компаний, а сообщения антивируса о невозможности обновиться могут списывать на проблемы у провайдера или на самих серверах обновления. Таким образом вирус может длительное время оставаться незамеченным.
- Сбои в системе или в работе других программ
Очень часто причиной сбоев в работе программ пользователи считают присутствие на компьютере вирусов. И хотя большинство подобных случаев на поверку оказывается ложной тревогой, вирусы действительно иногда могут быть причиной сбоев.
- Почтовые уведомления
Если компьютер заражен и рассылает инфицированные почтовые сообщения, они могут быть обнаружены на одном из серверов в Интернете и антивирус на сервере может отправить уведомление отправителю зараженного сообщения. Следовательно, косвенным признаком присутствия вируса может быть получение почтового сообщения о том, что с почтового адреса пользователя компьютера был отправлен вирус.
2.5. Проверка системы на присутствие на компьютере вредоносных программ:
1. Просмотр списка процессов, обнаружение подозрительных процессов.
2. Проверка автозагрузки на наличие подозрительных
программ,загружаемых вместе с запуском ОС.
3. Проверка открытых портов и выявление среди них портов, открытых
вредоносными программами.
Просмотр списка процессов, обнаружение подозрительных процессов Процесс - это фактически запущенный исполняемый файл. Часть процессов относится к операционной системе, часть к запущенным программам.
Чтобы получить список процессов, нужно вызвать диспетчер задач - стандартное средство Windows для управления процессами. В операционных системах Windows NT/2000/XP/2003 для вызова диспетчера задач нужно нажать комбинацию клавиш Ctrl + Shift + Esc или вызвать контекстное меню в системной панели (внизу экрана) и выбрать пункт Диспетчер задач.
На закладке Процессы в колонке Имя образа содержатся имена файлов, которым соответствуют запущенные процессы. Процессы, которые видны на рисунке являются стандартными для свежеустановленной Windows 2000 Professional. Например, процесс svchost.exe отвечает за запуск служб в Windows 2000.
Найти информацию о неизвестном процессе можно в сети Интернет.
Проверка автозагрузки на наличие подозрительных программ
Отличительным признаком большинства червей и многих троянских программ является изменение параметров системы таким образом, чтобы файл вредоносной программы выполнялся автоматически при каждом запуске компьютера. Поэтому наличие незнакомых файлов в списке файлов автозапуска также является поводом для пристального изучения этих файлов.
Где находится информация об автоматически запускаемых файлах? В множестве разных мест, и поэтому имеет смысл рассмотреть их по отдельности.
Автозагрузка в меню Пуск
Наиболее известный источник файлов автозапуска - это папка Автозагрузка в меню Программы, доступном при нажатии кнопки Пуск. Ярлыки, находящиеся в этой папке соответствуют запускаемым программам. Собственно имя запускаемого файла, можно определить через свойства ярлыка.
Однако в связи с тем, что папка Автозагрузка известна большинству пользователей, вредоносные программы редко используют ее для автозапуска, предпочитая менее заметные способы.
Системный реестр Windows
В последнее время стандартным способом настройки автозапуска для большинства программ является использование специальных ключей реестра Windows.
Системный реестр Windows - это основное хранилище большинства настроек операционной системы и многих приложений. Для доступа к системному реестру используется системная утилита regedit.exe, расположенная в папке операционной системы
Окно утилиты представлено на рис. 2.2. В левой его части находится дерево ключей реестра, ключи изображены в виде папок. В правой части окна отображаются записи, относящиеся к выбранному ключу. В ключе могут находиться и записи - параметры настройки, и другие ключи - группы параметров настройки.
На верхнем уровне реестр делится на несколько веток (пять или шесть, в зависимости от версии Windows). C точки зрения автозапуска наиболее важны две ветки:
HKEY_CURRENT_USER - ветка ключей, относящихся к текущему пользователю, часто сокращенно обозначается как HKCU
HKEY_LOCAL_MACHINE - ветка ключей, относящихся к компьютеру в целом, сокращается до HKLM
Для настройки автозапуска в реестре Windows предназначено несколько ключей:
Первая группа находится в ключе HKCUSoftwareMicrosoftWindowsCurrentVersion, все ключи, относящиеся к автозагрузке, начинаются с Run. Эти программы запускаются только при входе в систему текущего пользователя. В зависимости от операционной системы это могут быть ключи:
Run - основной ключ автозапуска.
RunOnce - служебный ключ для программ, которым требуется запуститься только один раз.
Другая группа находится в ключе HKLMSoftwareMicrosoftWindowsCurrentVersion, т. е. в аналогичном ключе, но в настройках, относящихся к компьютеру в целом, а значит, ко всем пользователям.
Run
RunOnce
RunServices
RunServicesOnce
Каждая запись в ключе автозапуска соответствует одной запускаемой программе. Запись состоит из имени записи, типа записи (для параметров автозапуска тип записи - строковый, обозначается как REG_SZ) и значения, которое и является строкой запуска, т. е. включает имя исполняемого файла и параметры командной строки.
Например, представленная на рисунке запись "internat.exe" служит для автозапуска одноименной программы internat.exe. Эта программа является системной утилитой Windows, отвечающей за переключение раскладки (языка) клавиатуры.
В зависимости от настроек Windows и установленных программ ключи автозапуска могут содержать множество различных строк для запуска различных программ. Поэтому все на первый взгляд подозрительные файлы нужно перепроверять - они могут оказаться вполне обычными программами.
Ни в коем случае не следует изменять настройки системного реестра наугад - это может привести к полной неработоспособности компьютера и необходимости переустанавливать операционную систему. Вносить изменения в реестр можно только будучи абсолютно уверенным в своих действиях и полностью осознавая характер и последствия производимых модификаций.
В Windows NT, 2000, XP и 2003 параметры стандартной оболочки задаются в реестре, в ключе HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon в параметре Shell. Значение этого параметра также в подавляющем большинстве случаев должно быть Explorer.exe.
Другие источники
Вместо того, чтобы собирать информацию об автоматически запускаемых приложениях из разных источников, можно воспользоваться системной утилитой msconfig.exe. Эта утилита входит в состав Windows 98, Me, XP и 2003 и предоставляет сводную информацию обо всех источниках объектов автозапуска.
Вид окна утилиты отличается в зависимости от операционной системы. В Windows XP она выглядит так, как изображено на рисунке 2.3.
Рис. 2.3. Утилита msconfig.exe
На закладке Автозагрузка собраны данные о запускаемых программах из реестра и меню Пуск. В колонке Элемент автозагрузки приводится имя записи в реестре или имя ярлыка в меню Пуск. В колонке Команда - строка запуска программы, в колонке Расположение - ключ реестра, в котором расположена соответствующая запись, или Common Startup - для ярлыков меню Пуск.
Данные о настройках файлов system.ini и win.ini расположены на одноименных закладках. Кроме этого имеется закладка Службы, содержащая информацию о запускаемых службах в Windows XP.
Службы - это служебные компоненты Windows или прикладных программ, которые запускаются при старте компьютера, еще до того, как пользователь вошел в систему. Службы отвечают, например, за вывод на печать, за обнаружение новых устройств, за обеспечение сетевого взаимодействия компьютеров. Но в качестве служб могут регистрироваться и некоторые вредоносные программы.
В то же время, обращаться со службами нужно не менее осторожно, чем с настройками реестра. Отключение важных служб может привести к тому, что компьютер вообще не загрузится.
3. Проверка открытых портов и выявление среди них портов, открытых вредоносными программами.
Вредоносные программы могут проявляться не только в виде подозрительных процессов или файлов автозапуска, но и в виде сетевой активности. Черви используют сеть для распространения, троянские программы - для загрузки дополнительных компонентов и отсылки информации злоумышленнику.
Некоторые типы троянских программ специально предназначены для обеспечения удаленного управления зараженным компьютером. Для обеспечения доступа к компьютеру по сети со стороны злоумышленника они открывают определенный порт.
Каждый компьютер обладает IP-адресом, на который этому компьютеру можно передавать данные. Но если на компьютере имеется несколько программ, работающих с сетью, например, почтовый сервер и веб-сервер, как определить, какие данные какой программе предназначены? Для этого и используются порты. За каждой программой, ожидающей данные из сети закрепляется определенное число - номер порта, а данные, пересылаемые на компьютер, кроме адреса компьютера содержат также и номер порта, чтобы было понятно, какая программа должна получить эти данные.
Как правило, похожие по назначению программы используют одни и те же порты для приема соединений. Почтовый сервер использует порт 25 для приема исходящих писем от почтовых клиентов. Веб-сервер использует порт 80 для приема соединений от браузеров. Впрочем, никаких принципиальных ограничений на использование портов нет, кроме того, что две программы не могут использовать один и тот же порт.
Аналогично почтовому серверу, вредоносные программы для приема команд или данных от злоумышленника используют определенный порт, постоянно ожидая сигналов на этот порт. В таких случаях принято говорить, что программа слушает порт.
Определить, какие порты слушаются на компьютере можно при помощи команды netstat –n. Для ее выполнения сперва нужно запустить командную оболочку. В случае Windows NT, 2000, XP и 2003 она запускается командой cmd.exe, а в Windows 98 и Me - command.com. Для запуска используются команды Выполнить в меню Пуск.
После выполнения в командной оболочке команды netstat -a в том же окне отображаются данные об установленных соединениях и открытых портах. Выглядит это как на рис. 2.4.
Рис. 2.4. Команда netstat -a
Результатом выполнения команды является список активных подключений, в который входят установленные соединения и открытые порты. Открытые TCP-порты обозначаются строкой LISTENING (прослушивание) в колонке состояние – ожидание запроса. ESTABLISHED(установлено) – соединение активно в данный момент. TIME_WAIT – (ожидание закрытия) – соединение в состоянии закрытия. Часть портов связана с системными службами Windows и отображается не по номеру, а по названию - epmap, microsoft-ds, netbios-ssn. Порты, не относящиеся к стандартным службам, отображаются по номерам.
UDP-порты обозначаются строкой UDP в колонке Имя. Они не могут находиться в разных состояниях, поэтому специальная пометка LISTENING в их отношении не используется. Как и TCP-порты они могут отображаться по именам или по номерам.
Порты, используемые вредоносными программами, чаще всего являются нестандартными и поэтому отображаются согласно их номерам. Впрочем, могут встречаться троянские программы, использующие для маскировки стандартные для других приложений порты, например 80, 21, 443 - порты, используемые на файловых и веб-серверах.
Просто обнаружить неизвестные порты мало. Нужно еще узнать, какие программы используют эти порты. Команда netstat не позволяет этого сделать(netstat –ab), поэтому потребуется воспользоваться сторонними утилитами, например, утилитой tcpview.exe. Эта утилита отображает более полную информацию о подключениях, включая данные о процессах, слушающих порты. Характерный вид окна утилиты представлен на рис.2.5.
Рис. 2.5. Утилита tcpview.exe
Как несложно заметить, утилита TCPView отображает те же данные, что и команда netstat -a, но дополняет их информацией о процессах.
По результатам анализа процессов, параметров автозагрузки и соединений получен список подозрительных с точки зрения пользователя процессов (имен файлов). Для неопытного пользователя неизвестных, а значит подозрительных имен файлов может оказаться слишком много, поэтому имеет смысл выделить наиболее подозрительные из них - те, которые были обнаружены в двух и более источниках. Например, файлы, которые присутствуют в списке процессов и в списке автозагрузки. Еще более подозрительными являются процессы, обнаруженные в автозагрузке и слушающие порты.
Для выяснения природы подозрительных процессов проще всего использовать Интернет. В глобальной сети имеются сайты, собирающие информацию о различных процессах. Данных по всем процессам вредоносных программ на таких сайтах может и не быть, но во всяком случае на них есть информация о большом количестве неопасных процессов и таким образом можно будет исключить из списка те процессы, которые относятся к операционной системе или известным невредоносным программам. Одним из таких сайтов является:
http://www.processlibrary.com
После того, как список подозрительных процессов максимально сужен и в нем остались только те, о которых нет исчерпывающей и достоверной информации, остается последний шаг, найти эти файлы на диске и отправить на исследование в одну из антивирусных компаний для анализа.
Уголовный кодекс РФ
Написание и распространение вирусов - уголовно наказуемые действия. Глава 28 "Преступления в сфере компьютерной информации".
Статья 138. Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений. Лишением свободы на срок до трех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.
Статья 272. Неправомерный доступ к компьютерной информации. Лишением свободы на срок до пяти лет.
Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ. Лишением свободы на срок от трех до семи лет.
studopedia.su - Студопедия (2013 - 2024) год. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав!Последнее добавление
Рис. 2.4. Команда netstat -a
Результатом выполнения команды является список активных подключений, в который входят установленные соединения и открытые порты. Открытые TCP-порты обозначаются строкой LISTENING (прослушивание) в колонке состояние – ожидание запроса. ESTABLISHED(установлено) – соединение активно в данный момент. TIME_WAIT – (ожидание закрытия) – соединение в состоянии закрытия. Часть портов связана с системными службами Windows и отображается не по номеру, а по названию - epmap, microsoft-ds, netbios-ssn. Порты, не относящиеся к стандартным службам, отображаются по номерам.
UDP-порты обозначаются строкой UDP в колонке Имя. Они не могут находиться в разных состояниях, поэтому специальная пометка LISTENING в их отношении не используется. Как и TCP-порты они могут отображаться по именам или по номерам.
Порты, используемые вредоносными программами, чаще всего являются нестандартными и поэтому отображаются согласно их номерам. Впрочем, могут встречаться троянские программы, использующие для маскировки стандартные для других приложений порты, например 80, 21, 443 - порты, используемые на файловых и веб-серверах.
Просто обнаружить неизвестные порты мало. Нужно еще узнать, какие программы используют эти порты. Команда netstat не позволяет этого сделать(netstat –ab), поэтому потребуется воспользоваться сторонними утилитами, например, утилитой tcpview.exe. Эта утилита отображает более полную информацию о подключениях, включая данные о процессах, слушающих порты. Характерный вид окна утилиты представлен на рис.2.5.
Рис. 2.5. Утилита tcpview.exe
Как несложно заметить, утилита TCPView отображает те же данные, что и команда netstat -a, но дополняет их информацией о процессах.
По результатам анализа процессов, параметров автозагрузки и соединений получен список подозрительных с точки зрения пользователя процессов (имен файлов). Для неопытного пользователя неизвестных, а значит подозрительных имен файлов может оказаться слишком много, поэтому имеет смысл выделить наиболее подозрительные из них - те, которые были обнаружены в двух и более источниках. Например, файлы, которые присутствуют в списке процессов и в списке автозагрузки. Еще более подозрительными являются процессы, обнаруженные в автозагрузке и слушающие порты.
Для выяснения природы подозрительных процессов проще всего использовать Интернет. В глобальной сети имеются сайты, собирающие информацию о различных процессах. Данных по всем процессам вредоносных программ на таких сайтах может и не быть, но во всяком случае на них есть информация о большом количестве неопасных процессов и таким образом можно будет исключить из списка те процессы, которые относятся к операционной системе или известным невредоносным программам. Одним из таких сайтов является:
http://www.processlibrary.com
После того, как список подозрительных процессов максимально сужен и в нем остались только те, о которых нет исчерпывающей и достоверной информации, остается последний шаг, найти эти файлы на диске и отправить на исследование в одну из антивирусных компаний для анализа.
Уголовный кодекс РФ
Написание и распространение вирусов - уголовно наказуемые действия. Глава 28 "Преступления в сфере компьютерной информации".
Статья 138. Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений. Лишением свободы на срок до трех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.
Статья 272. Неправомерный доступ к компьютерной информации. Лишением свободы на срок до пяти лет.
Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ. Лишением свободы на срок от трех до семи лет.