Metody przenikania szkodliwych programów do systemu. Antywirus, aby przeciwdziałać złośliwym programom

Słowo "bot" jest redukcją słowa "robot". Bot jest fragmentem kodu, który wykonuje pewną funkcjonalność dla jego gospodarza, który jest autorem tego kodu. Boty (Bot) to rodzaj złośliwych programów, są one instalowane na tysiącach komputerów. Komputer, na którym jest zainstalowany bot, zwany zambi(Zambi). Bot otrzymuje zespoły od swojego mistrza i sprawia, że \u200b\u200bzainfekowany komputer wykonuje je. Takie zespoły mogą być rozpowszechniane spam, wirusy lub ataki przytrzymujące. Atakujący woli wykonać takie działania za pomocą botów, a nie jego komputera, ponieważ pozwala mu uniknąć wykrywania i identyfikacji.

Całość komputerów zombie narażonych przez atakującego, na którym zainstalowane są boty, zwane botet. (Botnet). Aby utworzyć Boteti, hakerzy pękają tysiące systemów, wysyłając złośliwy kod w wielu różnych metodach: w formie inwestycji w wiadomości e-mail, poprzez kompromisowane strony internetowe, wykorzystując linki do wysyłania do złośliwych witryn osadzonych w wiadomościach e-mail itp. W przypadku udanej instalacji na komputerze użytkownika, złośliwy kod wysyła napastnik wiadomość, że system został zhakowany i jest teraz dostępny dla atakującego, który może go używać na własnych życzeniach. Na przykład może używać utworzonej butelki do posiadania potężnych lub wynajmujących spamerów. W tym samym czasie większość komputerów zawartych w Botetu są komputerami domowymi nie mają podejrzanych użytkowników.

Właściciel tego Botsi zarządza systemami w nim zdalnie, z reguły, za pośrednictwem protokołu IRC (Internet Relay Chat).

Główne etapy tworzenia i używania Botet są pokazane poniżej:

1. Haker. różne sposoby Kieruje złośliwym kodem do potencjalnych ofiar, który zawiera w sobie oprogramowanie do butelki.
2. Po pomyślnej instalacji w systemie ofiary, bot zestawy kontaktu z serwerem sterowania Boteti, wiązaniem z nim za pomocą IRC lub specjalnego serwera WWW, zgodnie z tym, co jest wskazane w swoim kodzie. Następnie serwer zarządzający zakłada zarządzanie nowym botem.
3. Spamer płaci haker za pomocą systemów Boteti, haker przenosi odpowiednie polecenia do serwera zarządzającego, a serwerem sterowania, z kolei, podaje polecenie wszystkim zainfekowanym systemom, które są zawarte w Botet, wysłać spam.

Spamerzy używają tej metody, ponieważ znacznie zwiększa prawdopodobieństwo ich wiadomości odbiorców, omijając filtry spamowe ustanowione przez nich, ponieważ Takie wiadomości zostaną wysłane z jednego adresu, który szybko zostanie zablokowany lub dodany do wszystkich "czarnych list" i z wielu realnych adresów właścicieli hakowanych komputerów.

Aby stworzyć Botsi, jej przyszłego właściciela robi lub wszystko czyni lub płaci za hakerów rozwoju i rozpowszechniania szkodliwych programów do infekowania systemów, które staną się częścią jego Botsi. A potem do właściciela botcety i zapłacić mu, którzy chcą opowiedzieć o swoich nowych produktach, a także tych, którzy muszą mieć atak na konkurentów, aby przejść dane osobowe lub hasła użytkowników i wielu innych.

Tradycyjne oprogramowanie antywirusowe wykorzystuje podpisy do wykrywania złośliwego kodu. Podpisy są "odciskami palców" złośliwego kodu utworzonego przez producenta antywirusowego oprogramowanie. Podpisem jest fragmenty kodu ekstrahowanego z samego wirusa. Program antywirusowy skanuje pliki, wiadomości e-mail i inne dane przechodzące przez pewność i porównuje je z bazą danych sygnatur wirusowych. Podczas wykrywania zbiegów, program antywirusowy wykonuje wstępnie skonfigurowaną akcję, która może być wysłana do zanieczyszczonego pliku do kwarantanny, próba pliku "leczyć" (usunąć wirusa), wyświetlić okno z ostrzeżeniem dla użytkownika i / lub wpis w wydarzeniu.

Wykrywanie złośliwego kodu na podstawie podpisów - to jest skuteczna metoda Wykrywanie złośliwego oprogramowania, jednak istnieją pewne opóźnienia pod względem odpowiedzi na nowe zagrożenia. Po pierwszym wykryciu wirusa producent antywirusowy powinien zbadać ten wirus, opracowywać i przetestować nowe podpisy, zwolnij aktualizację bazy danych podpisu, a wszyscy użytkownicy muszą pobrać tę aktualizację. Jeśli złośliwy kod wysyła twoje zdjęcia do wszystkich znajomych, takie opóźnienie nie jest takie krytyczne. Jednakże, jeśli złośliwy program jest podobny do robaka slammera, uszkodzenia z takiej opóźnienia może być katastrofalne.

UWAGA. Wormmer Slammer pojawił się w 2003 roku. Użył podatności na DBMS Microsoft SQL. Serwer 2000, umożliwiający prowadzenie i spowodowanie utrzymania odmowy. Według pewnych szacunków slammer uszkodził się na ponad 1 mld USD.

Ponieważ nowe szkodliwe programy są tworzone codziennie, producenci oprogramowania antywirusowego są trudne nie do opóźnienia w tyle. Technologia przy użyciu podpisów wirusowych pozwala wykryć wirusy, które zostały już zidentyfikowane i dla których podpis został utworzony. Ale ze względu na fakt, że pisarze wirusów są bardzo płodne, a wiele wirusów może zmienić swój kod, bardzo ważne jest, aby oprogramowanie antywirusowe ma inne mechanizmy wykryć złośliwy kod.

Inną metodą stosuje się prawie wszystkie oprogramowanie antywirusowe, jest wykrywanie złośliwego kodu na podstawie analiza heurystyczna Wykrywanie heurystyczne. Ta metoda analizuje struktura ogólna Złośliwy kod ocenia instrukcje i algorytmy wykonywane przez kod, badania typów danych używanych przez złośliwy program. W ten sposób zbiera dużą ilość informacji o fragmentach Kodeksu i szacuje prawdopodobieństwo, że ma złośliwy charakter. Wykorzystuje pewny "miernik podejrzeń", który wzrasta, ponieważ program antywirusowy znajduje nowe potencjalnie niebezpieczne (podejrzane) właściwości w nim. Po osiągnięciu z góry określonego prógKod jest uważany za niebezpieczny, a program antywirusowy inicjuje odpowiednie mechanizmy ochronne. Umożliwia to oprogramowanie antywirusowe rozpoznawanie nieznanego złośliwego oprogramowania, a nie tylko polegać na podpisie.

Rozważ następującą analogię. Ivan jest policjantem, pracuje, aby złapać złych facetów i zablokować je. Jeśli Ivan będzie korzystać z metody podpisów, porównuje stosy zdjęć z każdą osobą, którą widzi na ulicy. Kiedy widzi zbieg okoliczności, szybko łapie zły facet i stawia go w swoim samochodzie patrolowym. Jeśli zamierza użyć metody heurystycznej, monitoruje podejrzane działania. Na przykład, jeśli widzi osobę w masce narciarskiej, zwróconej na wejście do banku, szacuje prawdopodobieństwo, że jest to rabusia, a nie tylko zamrożony facet, który ma drobiazgowy od gości Banku.

UWAGA. Stacje robocze rodzinne są również narażone na wirusy, mimo ich braku dysku twardego i pełnej fldedged system operacyjny. Mogą być zainfekowane wirusami, które są ładowane i żyją w pamięci. Takie systemy można uruchomić zdalnie (zdalny restart), aby oczyścić pamięć i zwrócić go do pierwotnego stanu, tj. Wirus żyje krótko w takim systemie.

Niektóre produkty antywirusowe tworzą sztuczne medium zwane maszyną wirtualną lub piaskownicą, i umożliwiają wykonywanie części podejrzanego kodu w chronionym środowisku. Daje to program antywirusowy możliwość zobaczenia Kodeksu w działaniach, co daje znacznie więcej informacji, aby podjąć decyzję, czy jest złośliwy, czy nie.

UWAGA. Maszyna wirtualna lub piaskownica jest czasami nazywana emulacja bufora (Bufor emulacji). Jest to takie samo jak chroniony segment pamięci, więc nawet jeśli kod naprawdę okazuje się złośliwy, system nadal będzie bezpieczny.

Analiza informacji o części kodu jest nazywana analiza statyczna Jeśli część części kodu jest uruchomiona maszyna wirtualna, nazywa się analiza dynamiczna . Oba te metody są uważane za heurystyczne metody wykrywania.

Szczepionka.Innym podejściem, które wykorzystało niektóre programy antywirusowe szczepionka(Immunizacja). Produkty z tą funkcjonalnością wprowadzono zmiany w plikach i obszarach dysków, aby wyglądały tak, jakby były już zainfekowane. W tym przypadku wirus może zdecydować, że plik (Dysk) jest już zainfekowany i nie wprowadzi żadnych dodatkowych zmian, obracając się do następnego pliku.

Program szczepień jest zwykle skierowany do konkretnego wirusa, ponieważ każdy z nich sprawdza fakt infekcji na różne sposoby i wyszukuje różne dane (podpisy) w pliku). Jednak liczba wirusów i innych złośliwych oprogramowania stale rośnie, liczba plików, które należy chronić, rośnie, więc podejście to nie ma obecnie obowiązujące w praktyce w większości przypadków, a producenci antywirusów nie są już używane.

Obecnie nawet biorąc pod uwagę wszystkie te złożone i skuteczne podejścia, nie ma żadnego dla gwarancji skuteczności funduszy antywirusowych, ponieważ wirusy są bardzo przebiegły. Jest to gra stojąca w myszce, która kontynuuje każdego dnia. Przemysł antywirusowy znajduje nowy sposób Złośliwe wykrywanie i pisarze wirusów znajdują następny tydzień Jak poruszać się w tym nowym sposobie. Zmusza producenci antywirusowe, aby stale zwiększyć intelektualizację swoich produktów, a użytkownicy muszą kupować nowe wersje rocznie.

Nazywany jest następny etap ewolucji oprogramowania antywirusowego bACKERY BEZWORZYCZNE Blokowanie zachowania. Oprogramowanie antywirusowe, które wykonuje blokowanie oparte na zachowaniu faktycznie pozwala na podejrzany kod do wykonywania w niezabezpieczonym systemie operacyjnym i monitoruje jego interakcję z systemem operacyjnym, zwracając uwagę na podejrzane działania. W szczególności oprogramowanie antywirusowe monitoruje następujące rodzaje działań:

• Nagrywanie automatycznego do pobrania podczas uruchamiania pliku systemowego lub na partycjach Autorun w rejestrze systemowym
• Otwarcie, usuwanie lub zmianę plików
• Włączanie skryptów do wiadomości e-mail do wysyłania kodu wykonywalnego
• Podłączanie do zasobów sieciowych lub folderów udostępnionych
• Zmiana logiki kodu wykonywalnego
• Tworzenie lub zmieniające się makra i skrypty
• Formatowanie dysku twardego lub zapisu do sektora rozruchowego

Jeśli program antywirusowy określa niektóre z tych potencjalnie niebezpiecznych działań, może on zmusić taki program i zgłosić go do użytkownika. Nowa generacja blokerów behawioralnych w rzeczywistości analizuje sekwencję wykonywania takich działań przed podjęciem decyzji, że system zostanie zainfekowany (hamowanie behawioralne pierwszej generacji zostały wywołane do oddzielnych działań, które doprowadziły do \u200b\u200bdużej liczby fałszywe pozytywy). Nowoczesne oprogramowanie antywirusowe może przechwycić wykonanie niebezpiecznych części kodu i nie pozwala im interakcji z innymi. uruchamiane procesy.. Mogą również wykryć. Niektóre z tych programów antywirusowych pozwalają wykonać "wycofywanie" systemu do państwa, w którym było przed infekcją, "mycie" wszystkie zmiany dokonane przez złośliwy kod.

Wydawałoby się, że bloki behawioralne mogą w pełni rozwiązać wszystkie problemy związane ze złośliwym kodem, ale mają jedną wadę, że wymaga takiego monitorowania złośliwego kodu w czasie rzeczywistym, w przeciwnym razie system może być nadal zainfekowany. Ponadto stałe monitorowanie wymaga dużej liczby zasobów systemowych ...

UWAGA. Analiza heurystyczna i blokowanie oparte na zachowaniu są uważane za metody proaktywne, mogą wykryć nowe szkodliwe programy, czasami nazywane atakami zero-day. Wykrywanie złośliwego kodu opartego na podpisach nie może zidentyfikować nowych szkodliwych programów.

Większość programów antywirusowych wykorzystuje kombinację wszystkich tych technologii, aby zapewnić maksymalną ochronę jak najwięcej. Oddzielne rozwiązania do kontroli złośliwego oprogramowania przedstawiono na rysunku 9-20.

Rysunek 9-20.Metody oprogramowania antywirusowego wykorzystują różne metody wykrywania złośliwego oprogramowania

Wszyscy jesteśmy bardzo zmęczeni wiadomościami e-mail, które oferują nam zakup czegoś niepotrzebnego. Takie listy są nazywane spam (SPAM) to niechciane wiadomości e-mail. Spam nie tylko rozprasza swoich odbiorców z ich spraw, ale konsumuje znaczące wydajność Sieci i mogą być źródłem rozprzestrzeniania się złośliwego oprogramowania. Wiele firm korzystających z filtrów spamowych na serwerach pocztowych, a użytkownicy mogą skonfigurować zasady filtrowania spamu w ich klienci pocztowi. Ale spamerzy, a także pisarze wirusów, stale wymyślają nowe pomysłowe sposoby prowadzenia filtrów spamowych.

Skuteczne rozpoznawanie spamu stało się prawdziwą nauką. Wezwana jest jedna z zastosowanych metod Bayesian Filtracja (Filtrowanie bayesów). Wiele lat temu pan nazwany Thomas Bayes (Matematyk) opracował skuteczny sposób przewidywania prawdopodobieństwa jakichkolwiek wydarzeń z matematyką. The Bayes Twierdzenie pozwala określić prawdopodobieństwo, że zdarzenie wystąpiło, jeśli istnieją tylko potwierdzenia pośrednie (dane), które mogą być niedokładne. Koncepcyjany nie jest tak trudny do zrozumienia. Jeśli uderzysz głowę trzykrotnie o ściana z cegły i za każdym razem, gdy możesz stwierdzić, że dalsze próby doprowadzą do tych samych bolesnych wyników. Jest bardziej interesujący, gdy ta logika dotyczy działań zawierających znacznie więcej zmiennych. Na przykład, jak działa filtr spamowy, który nie przegapi listów z propozycją zakupu Viagry, ale nie koliduje z dostawą poczty od znajomego, który jest bardzo zainteresowany tym lekiem i napisz do ciebie raporty na temat jego Właściwości i ekspozycja na organizm? Filtr Bayes stosuje symulację statystyczną do słów, z których składają się wiadomości e-mail. W tych słowach wykonane są formuły matematyczne, umożliwiając w pełni zrozumieć ich stosunek do siebie. Filtr Bayes wykonuje analizę częstotliwości każdego słowa, a następnie ocenia komunikat jako liczbę całkowitą, aby określić, spam jest lub nie.

Taki filtr nie tylko szukał słów "viagra", "seks" itp., Wygląda na to, jak często używane są te słowa, aw jakiej kolejności, czy komunikat jest spamem. Niestety, spamerzy wiedzą, jak działa takie filtry i manipulować słowami w wierszu tematycznym i treści wiadomości, aby spróbować oszukać filtr spamowy. Dlatego możesz odbierać wiadomości spamowe z błędami lub słowami, które używają symboli zamiast liter. Spamerzy są bardzo zainteresowani faktem, że otrzymujesz swoje wiadomości, ponieważ zarabiają dużo pieniędzy.

Ochrona firm z dużej liście różnych szkodliwych programów wymaga więcej niż tylko oprogramowania antywirusowego. Podobnie jak w przypadku innych składników, wymaga wdrożenia i utrzymania dodatkowych środków ochronnych i środków administracyjnych, fizycznych i technicznych.

Firma musi mieć oddzielne polityki antywirusowe lub pytania ochrona antywirusowa Należy wziąć pod uwagę ogólnie. Należy opracować, które określają typy oprogramowania antywirusowego i anty-spyware niezbędne do stosowania w firmie, a także podstawowych parametrów ich konfiguracji.

O. Informacje ataki wirusoweZużyte narzędzia do ochrony antywirusowej, a także oczekiwano użytkownikom zachowania w programie. Każdy użytkownik powinien wiedzieć, co powinien zrobić i gdzie stosować, jeśli wirus zostanie wykryty na swoim komputerze. W standardzie wszystkie pytania dotyczące działań użytkownika związanego ze złośliwym kodem należy wziąć pod uwagę, że użytkownik musi być wykonany i co to zrobić, jest zabronione. W szczególności standard musi zawierać następujące pytania:

• Każda stacja robocza, serwer, komunikator, smartfon powinien być zainstalowany oprogramowanie antywirusowe.
• Dla każdego z tych urządzeń metoda musi zostać wdrożona automatyczna aktualizacja Podpisy antywirusowe, które muszą być włączone i skonfigurowane na każdym urządzeniu.
• Użytkownik nie powinien mieć możliwości wyłączenia oprogramowania antywirusowego.
• Musi być zaprojektowany i planowany, proces usuwania wirusów, osoba kontaktowa musi być określona i wyznaczona, w przypadku wykrycia złośliwego kodu.
• Wszystko płyty zewnętrzne. (Napędy USB itp.) Muszą zostać automatycznie skanowane.
• Pliki kopii zapasowej muszą być zeskanowane.
• Roczna rewizja polityki i procedur antywirusowych powinna być utrzymywana.
• Używane oprogramowanie antywirusowe powinno zapewnić ochronę przed wirusami rozruchowymi.
• Skanowanie antywirusowe powinno być niezależnie wykonywane na bramce i na każdym urządzeniu.
• Skanowanie antywirusowe należy wykonać automatycznie włączony. Nie ma potrzeby obliczania, że \u200b\u200bużytkownicy będą działać ręcznie skanowanie.
• Krytyczne systemy powinny być chronione fizycznie w taki sposób, jak instalacja lokalna Złośliwe oprogramowanie było na nich niemożliwe.

Ponieważ złośliwe oprogramowanie może spowodować obrażenia wielo milionów (w formie wydatków operacyjnych, utraty wydajności), wiele firm ustanawia rozwiązania przeciwwirusowe we wszystkich punktach wejścia. Skaner antywirusowy może być zintegrowany z oprogramowaniem serwera poczty lub. Taki skaner antywirusowy sprawdza cały ruch przychodzący do obecności złośliwego kodu w nim, aby wykryć i zatrzymać go z góry przed wejściem do sieci wewnętrznej. Produkty Wdrażające takie funkcjonalność może skanować SMTP, HTTP, ruch FTP, a także inne protokoły. Ważne jest jednak, aby zrozumieć, że taki produkt monitoruje tylko jeden lub dwa protokoły, a nie dla całego ruchu przychodzącego. Jest to jeden z powodów, dla których na każdym serwerze i stacja robocza Należy również zainstalować oprogramowanie antywirusowe.

Niezbędne dla pisarzy wirusów i cyberprzestępnych zadania jest wprowadzenie programu wirusa, robaka lub trojana w komputerze ofiarowym lub telefon komórkowy. Cel ten uzyskuje się na różne sposoby podzielone na dwie główne kategorie:

• inżynieria społeczna (wykorzystywała również termin "inżynieria społeczna" - śledzenie z angielskim "inżynierią społeczną");
• techniki techniki wprowadzania złośliwego kodu w zainfekowany system bez wiedzy użytkownika.

Często te metody są używane jednocześnie. Często używany jest również specjalne środki do przeciwdziałania programy antywirusowe.

Inżynieria społeczna

Metody inżynierii społecznej w taki czy inny sposób sprawiają, że użytkownik uruchomić zainfekowany plik lub otworzyć link do zainfekowanej witryny. Metody te są stosowane nie tylko przez liczne robaki pocztowe, ale także przez inne typy złośliwych oprogramowania.

Zadaniem napisów hakerów i wirusów - aby przyciągnąć uwagę użytkownika do zainfekowanego pliku (lub link HTTP do zainfekowanego pliku), zainteresuj użytkownikiem, aby kliknąć plik (lub link do pliku). "Classic of the Gateria" jest Loveletter Postewall w maju 2000 r., Wciąż zachowując przywództwo w skali szkody finansowej, zgodnie z danymi ekonomii komputerowej. Wiadomość, że robak został wyświetlony na ekranie, wyglądał tak:

Po uznaniu "Kocham cię" zareagowałem bardzo wielu, a w wyniku serwery pocztowe. Duże firmy nie mogły wytrzymać ładunku - robak wysłał swoje kopie na wszystkich kontaktach z książki adresowej za każdym razem, gdy otwiera się zainwestowany plik VBS.

Worm Mydoom, "Rushing" w Internecie w styczniu 2004 r., Używane teksty, które symulują wiadomości techniczne serwera pocztowego.

Warto również wspomnieć o dżdżowcach, który wydał komunikat z Microsoft i zamaskowany pod łatką, która eliminuje szereg nowych luk w systemie Windows (nie jest zaskakujące, że wielu użytkowników uległo ustawieniu "następnej komory od Microsoft") .

Istnieją również przypadki, z których jeden miało miejsce w listopadzie 2005 r. W jednej z wersji robaka trzeźwy, zgłoszono, że niemiecka policja przestępcza zbadała przypadki odwiedzania nielegalnych stron internetowych. Ten list spadł do fanów pornografii dziecięcej, która wzięła go za oficjalną list - i posłusznie poddał się władzom.

Ostatnio, nie popularność została dokonana w liście zainwestowanym w liście, ale linki do plików znajdujących się na zainfekowanym miejscu. Wiadomość jest wysyłana do potencjalnej ofiary - pocztowa, poprzez ICQ lub inny pager, rzadziej - dzięki czatowaniu internetowym IRC (w przypadku wirusów mobilnych, komunikat SMS jest używany w zwykłej metodzie dostarczania). Komunikat zawiera jakiś atrakcyjny tekst, który sprawia, że \u200b\u200bniczego nie podejrzewający użytkownik kliknij link. Ta metoda Penetracje w Komputery Ofiarniowe są dziś najbardziej popularne i skuteczne, ponieważ pozwala na pominięcie czujnych filtrów antywirusowych na serwerach e-mail.

Wykorzystywane są również możliwości sieci udostępniania plików (sieci P2P). Program robak lub Trojan jest określony w sieci P2P pod różnymi nazwami "pysznymi" nazwami:

• Cel & Aol Password Hacker.exe
• Microsoft CD Key Generator.exe
• Pornstar3d.exe.
• play stacja emulator crack.exe

W poszukiwaniu nowych programów użytkownicy sieci P2P są wciągnięte do tych nazw, pobierz pliki i uruchom je do wykonania.

Również dość popularne "okablowanie", gdy ofiara pasuje darmowe narzędzie lub instrukcje dotyczące hakowania różnych systemy płatności. Na przykład, oferowany darmowy dostęp do Internetu lub operator komórkowy., Pobierz generator numeru karty kredytowej, zwiększ ilość pieniędzy w osobisty portfel internetowy itp. Oczywiście ofiary takich oszustwa są mało prawdopodobne, aby udać się do organów ścigania (przecież, w rzeczywistości sami próbowali zarobić oszustwo), a przez Internetowo przestępcy są wykorzystywani.

Niezwykły sposób "okablowania" użył nieznanego atakującego z Rosji w latach 2005-2006. Program Trojan został wysłany na adresy znalezione na stronie internetowej Job.ru specjalizujące się w zatrudnieniu i poszukiwaniu personelu. Niektórzy z tych, którzy opublikowali tam wznowienie, otrzymali rzekomy wniosek do pracy z plikiem zainwestowanym w liście, który został zaproponowany, aby otworzyć i zapoznać się ze swoim treścią. Plik był oczywiście program Trojan. Ciekawe jest również, że atak został wyprodukowany głównie do korporacyjnych adresy pocztowe.. Obliczanie, najwyraźniej został zbudowany na tym, że pracownicy firm są mało prawdopodobne, aby zgłosiły źródło zakażenia. Tak się stało - specjaliści z Kaspersky Lab od ponad sześciu miesięcy nie mogli uzyskać zrozumiałe informacje o sposobie przenikania programu Trojan w komputerach użytkowników.

Istnieją również dość egzotyczne przypadki, na przykład list z zainwestowanym dokumentem, w którym klient banku jest proszony o potwierdzenie (lub raczej raport) ich kodów dostępu - wydrukuj dokument, wypełnij załączony formularz, a następnie wyślij go przez faks do numeru telefonu określonego w liście.

Kolejna niezwykła obudowa dostawy program spyware. "Do domu" wystąpiło w Japonii jesienią 2005 r. Niektórzy atakujący wysłali płyty CDS infekujące z Trojan Spy do Home Adreses (City, Ulica, House) klientów jednego z japońskich banków. Jednocześnie informacja została użyta z wstępnie skradzionej podstawy klienta tego samego banku.

Realizacja technologii.

Technologie te są wykorzystywane przez intruzów do wdrożenia złośliwego kodu w systemie jest skryty, nie przyciągając uwagi właściciela komputera. Jest przeprowadzany przez lukę w systemie bezpieczeństwa systemów operacyjnych i oprogramowania. Obecność luk pozwala na atakujący robak sieciowy Lub program Trojan, aby wprowadzić poświęcenie komputera i niezależnie uruchomić siebie.

Luki są zasadniczo błędami w kodzie lub w logikę pracy różnych programów. Nowoczesne systemy operacyjne i aplikacje mają złożoną strukturę i obszerną funkcjonalność, a po prostu niemożliwe jest uniknięcie błędów w ich projekcie i rozwoju. Jest to używane przez wirusy i intruzów komputerowych.

Luki w programie Outlook Poczniowe klienci Klienci używali Nimda i Aliz Postal Worms. Aby uruchomić plik robaków, wystarczył, aby otworzyć zainfekowany list lub po prostu przynieść kursor w oknie podglądu.

Złośliwe programy aktywnie korzystały z luki w składnikach sieciowych systemów operacyjnych. W celu ich dystrybucji, robaki zakwalifikowanych, Sasser, slammer, Lovesan (Blaster) i wiele innych robaków działających w systemie Windows używały takich luk. Pod ciosem i systemami Linux - Worms Ramen i Slapper przeniknął komputery przez luki w tym środowisku operacyjnym i aplikacje.

W ostatnie lata Jedną z najpopularniejszych metod zakażenia było wprowadzenie złośliwego kodu za pomocą stron internetowych. Często stosuje się luki w przeglądarkach internetowych. Strona internetowa jest umieszczona w programie z wyprzedzeniem i programem skryptowym, który wykorzystuje luki w przeglądarce. Gdy użytkownik przybywa na zainfekowaną stronę, uruchomiono program skryptu, który luka pobiera zainfekowany plik do komputera i zaczyna go na wykonanie. W rezultacie, aby zainfekować dużą liczbę komputerów, wystarczy zwabić jak najwięcej użytkowników na taką stronę internetową. Jest to osiągnięte na różne sposoby, na przykład spam wysyłając wskazaniem adresu strony, wysyłając podobne wiadomości za pośrednictwem pagerów internetowych, czasami nawet do tego. wyszukiwarki. Na zainfekowanej stronie znajduje się zróżnicowany tekst, który wcześniej lub późno jest sprawdzany przez wyszukiwarki - a link do tej strony znajduje się na liście innych stron w wynikach wyszukiwania.

Oddzielna klasa to programy Trojan, które mają do pobrania i uruchomienia innych programów trojanów. Zazwyczaj te trojany, którzy mają bardzo mały rozmiar, w taki czy inny sposób (na przykład, używając kolejnej luki w systemie) "FIT" na komputerze ofiarowym, a następnie już wyrzucają z Internetu i instalują innych do systemu złośliwe komponenty. Często takie trojany zmienią ustawienia przeglądarki do najbardziej niebezpiecznego "ułatwienia drogi" do innych trojanów.

Luki stają się znane są niezwłocznie skorygowane przez programistów, ale informacje o nowych lukach stale pojawiają się, które natychmiast zaczynają stosować licznymi hakerami i wirusami. Wiele Trojan "Bots" wykorzystuje nowe luki, aby zwiększyć ich liczby, a nowe błędy w biurze Microsoft natychmiast zaczynają być używane do wprowadzania regularnych programów Trojan do komputerów. Jednocześnie niestety istnieje tendencja do zmniejszenia tymczasowej przerwy między pojawieniem się informacji o następnej luki i początku wykorzystania robaków i trojanów. W rezultacie producenci wrażliwych oprogramowania i programistów programów antywirusowych są w sytuacji zemietic. Pierwszy musi być naprawiony tak szybko, jak to możliwe, przetestuj wynik (zwykle nazywany "Patch", "Patch") i wyślij go do użytkowników, a druga ma natychmiastowy zwolnić narzędzie do wykrywania i blokowania obiektów (pliki, pakiety sieciowe) przy użyciu luki.

Jednoczesne wykorzystanie technologii wdrażania i metod inżynierii społecznej

Dość często intruzery komputera są używane jednocześnie obie metody. Metodą inżynierią społeczną jest przyciągnięcie uwagi potencjalnej ofiary i technicznej - w celu zwiększenia prawdopodobieństwa penetracji zainfekowanego obiektu do systemu.

Na przykład robak pocztowy Mimieil rozprzestrzenił się jako osadzony w e-mailu. Aby użytkownik zwrócił uwagę na listę, włożono do niego specjalnie urządzony tekst i uruchomić kopię robaka z archiwum ZIP dołączony do listu - luka przeglądarka internetowa Poszukiwacz. W rezultacie, otwierając plik z archiwum, robak stworzył kopię na dysku i rozpoczął go na wykonaniu bez żadnych ostrzeżeń systemowych lub dodatkowych działań użytkownika. Nawiasem mówiąc, ten robak był jednym z pierwszych, przeznaczonych do kradzieży danych osobowych użytkowników E-Gold Internet Internet.

Innym przykładem jest wysyłanie spamu z "Cześć" i tekstem ", zobacz, co piszą o tobie". Tekst wykonał link do pewnej strony internetowej. Podczas analizy okazało się, że ta strona internetowa zawiera program skryptu, który używając innej luki Internet Explorer., Ładuje program Trojan Ldpinch do użytkownika, przeznaczony do kradzieży różnych haseł.

Przeciwdziałanie programom antywirusowym

Ponieważ celem komputerowych intruzów jest wprowadzenie złośliwego kodu w komputerach ofiar, a następnie dla tego muszą nie tylko zmusić użytkownika do rozpoczęcia zanieczyszczonego pliku lub wprowadź system za pomocą dowolnej luki, ale także niezauważalnie poślizgnięci przez zainstalowany filtr antywirusowy. Dlatego nie jest zaskakujące, że atakujący są celowo zmagającym się z programami antywirusowymi. Stosowane techniki techniczne są bardzo zróżnicowane, ale najczęściej występują następujące:

Kod pakowania i szyfrowania. Znaczna część (jeśli nie większość) nowoczesna robaki komputerowe. A programy trojańskie są pakowane lub zaszyfrowane w taki czy inny sposób. Ponadto podnalazek komputerowy jest tworzony specjalnie dla tego zaprojektowanego opakowania i narzędzia szyfrowania. Na przykład złośliwy okazał się absolutnie wszystkie pliki traktowane Cryptexe, Exeref, Polikrypt Narzędzia i niektóre inne.

Aby wykryć takie robaki i trojany, programy antywirusowe muszą dodać nowe metody rozpakowania i deszyfrowania, albo dodać podpisy dla każdej próbki złośliwego programu, co zmniejsza jakość wykrywania, ponieważ wszystkie możliwe pobierane próbki kodu są w rękach firmy antywirusowej.

Mutacja kodu. Rozcieńczenie instrukcji kodu trojańskiego "śmieci". W rezultacie, funkcje programu Trojan pozostają, ale zmienia się znacznie " wygląd" Przypadki występują okresowo, gdy mutacja kodu występuje w czasie rzeczywistym - przy każdym pobraniu programu Trojan z zainfekowanej strony internetowej. Te. Cała lub znaczna część próbek trojańska spadająca z takiej witryny są różne. Przykładem zastosowania tej technologii jest robak poczty Warezowa, którego kilka wersji spowodowało istotne epidemie w drugiej połowie 2006 r.

Ukrywanie twojej obecności. Tak zwane "technologie Rootkit" (z Rootkit angielskiego "), powszechnie stosowany w programach Trojan. Przechwytywanie i zastępowanie funkcje systemuDzięki, do którego zainfekowany plik nie jest widoczny do regularnych środków systemu operacyjnego ani programów antywirusowych. Czasami oddziały rejestru są również ukryte, w których rejestrują kopię Trojan i innych obszarów systemu komputera. Technologie te są aktywnie używane, na przykład, Trojan-backdoor Hacdef.

Zatrzymywanie pracy antywirusowej i systemu uzyskiwania aktualizacji baz płyt antywirusowych (aktualizacje). Wiele programów trojańskich i robaków sieciowych podejmuje specjalne działania przed programami antywirusowymi - szukając ich na liście aktywnych aplikacji i starając się zatrzymać ich pracę, psuje bazy danych antywirusowych, zablokować otrzymywanie aktualizacji itp. Programy antywirusowe muszą chronić się z odpowiednimi sposobami - monitorować integralność baz danych, ukrywają swoje procesy od trojanów itp.

Ukrywanie kodu na stronach internetowych. Adresy stron internetowych, na których występują pliki trojańskie, prędzej czy później firmy antywirusowe stają się znane. Naturalnie, takie strony obniżają uwagę analityków antywirusowych - zawartość strony okresowo pobierania, nowe wersje programów Trojan są rejestrowane w aktualizacjach antywirusowych. Aby temu przeciwdziałać, strona internetowa jest modyfikowana w specjalny sposób - jeśli żądanie przejdzie na adres firmy antywirusowej, a niektóre pliku nucleani jest pobierane zamiast trojana.

Ilość ataku. Pokolenie i dystrybucja w Internecie Duża liczba nowych wersji programów Trojan w krótkim czasie. W rezultacie firmy antywirusowe są "wzrastaniami" z nowymi próbkami, które wymagają czasu na analizę czasu, co daje zamocowany kod dodatkową szansę na udane wprowadzenie do komputerów.

Te i inne metody są wykorzystywane przez podziemia komputerowe do przeciwdziałania programom antywirusowym. Jednocześnie aktywność cyberprzestępców rośnie w roku po roku, a teraz możemy porozmawiać o obecnych "Race Technologies", która zamieniła się między przemysłem antywirusowym a przemysłem wirusowym. W tym samym czasie rośnie liczba poszczególnych hakerów i grup przestępczych, a także ich profesjonalizmu. Wszystko to znacznie zwiększa złożoność i ilość pracy niezbędnej dla firm antywirusowych w celu opracowania wystarczających poziomów.

Ponieważ celem komputerowych intruzów jest wdrożenie złośliwego kodu w komputerach ofiar, a następnie w tym celu muszą nie tylko zmusić użytkownika do rozpoczęcia zainfekowanego pliku lub wprowadź system za pomocą dowolnej luki, ale także wygładzić zainstalowany antywirus filtr. Dlatego napastnicy są celowo walczący z programami antywirusowymi. Techniki techniki, których używasz, są bardzo zróżnicowane, ale najczęściej następuje.

Kod pakowania i szyfrowania. Znaczna część (jeśli nie większość) nowoczesnych robaków komputerowych i programów trojanów są pakowane lub zaszyfrowane w taki czy inny sposób. Ponadto w tym celu utworzone są specjalnie utworzone narzędzia do pakowania i szyfrowania. Aby wykryć podobne programy programów i trojanów, programy antywirusowe muszą dodać nowe metody rozpakowania i dekodowania, lub podpisów dla każdej próbki VP, co zmniejsza jakość wykrywania, ponieważ nie zawsze wszystkie możliwe, zmodyfikowane próbki kodu znajdują się w rękach Firma antywirusowa.

Mutacja kodu - rozcieńczenie instrukcji kodu trojańskiego "śmieci". W rezultacie utrzymuje się funkcjonalność programu Trojan, ale jego "wygląd" znacznie się zmienia. Przypadki występują okresowo, gdy mutacja kodu występuje w czasie rzeczywistym - przy każdym pobraniu programu Trojan z zainfekowaną stroną internetową. Oznacza to, że wszystko lub znaczna część próbek programu Trojan różni się od takiej witryny na komputerach.

Ukrywanie jego obecności - tak zwana technologie rootkit, powszechnie stosowany w programach Trojan. W tym przypadku przechwycenie i zastępowanie funkcji systemu są przechwytywane, w wyniku czego zainfekowany plik nie jest widoczny, ani regularne środki systemu operacyjnego, ani programów antywirusowych. Czasami oddziały rejestru również się ukrywają, w których rejestruje się kopię programu Trojan i innych obszarów systemu komputera.

Zatrzymywanie pracy programu antywirusowego i systemu uzyskiwania aktualizacji baz danych antywirusowych. Wiele programów trojańskich i robaków sieciowych podejmuje specjalne działania przeciwko programom antywirusowym: szuka ich na liście aktywnych aplikacji i starając się zatrzymać ich pracę, "wirowane" bazy danych antywirusowych, bloku odbierających aktualizacje itp. Programy antywirusowe muszą chronić się nad odpowiednimi sposobami: monitorować integralność baz danych, "Ukryj" z trojanów ich procesów itp.

Ukrywanie kodu na stronach internetowych. Adresy stron internetowych, na których występują pliki trojańskie, prędzej czy później firmy antywirusowe stają się znane. Oczywiście, takie strony obniżają uwagę analityków antywirusowych: zawartość strony okresowo pobierania, nowe wersje programów Trojan są wprowadzane do aktualizacji antywirusowych. Aby temu przeciwdziałać, strona internetowa jest modyfikowana w specjalny sposób: Jeśli żądanie pochodzi z adresu firmy antywirusowej, a niektóre plik nuczengi jest pobierany zamiast trojan.

Ilość ataku - Wytwarzanie i dystrybucja w Internecie duża liczba nowych wersji programów trojańskich w krótkim czasie. W rezultacie firmy antywirusowe są "wzrastaniami" z nowymi próbkami, której analiza wymaga czasu, co daje złośliwemu kodowi dodatkową szansę na udane wdrożenie komputerów.

Te i inne metody są wykorzystywane przez hakerów do kontroli programów antywirusowych. Jednocześnie ich działalność rośnie rok od roku na rok, a teraz możemy porozmawiać o obecnym "wyścigu technologicznym", który obrócił się między przemysłem antywirusowym i wirusowym. Jednocześnie rośnie nie tylko liczba osób fizycznych i grup karnych, ale także profesjonalizm tego ostatniego rośnie. Wszystko to znacznie zwiększa złożoność i zakres prac wymaganych przez firmy antywirusowe do opracowania wystarczających poziomów.

I profilaktyka - zapobieganie infekcji (modyfikacji) plików lub system operacyjny Złośliwy om.

Metody ochrony wirusów.[ | ]

Aby chronić przed wirusami, użyj trzech grup metod:

1. Metody oparte na analiza treści plików (Zarówno pliki danych, jak i pliki z poleceniami AMI). Ta grupa obejmuje skanowanie podpisów Viuse, a także testowanie integralności i skanowania podejrzanych zespołów.
2. Metody oparte na program zachowania śledzenia Z ich egzekucją. Metody te polegają na rejestrowaniu wszystkich zdarzeń, które zagrażają bezpieczeństwu systemu i występują z rzeczywistym wykonaniem weryfikowalnego A lub podczas jego emulacji oprogramowania.
3. Metody regulacja zlecenia pracy z plikami i programami. Metody te odnoszą się do środków administracyjnych w celu zapewnienia bezpieczeństwa.

Metoda skanowania podpisu (analiza alarmu. , metoda podpisu) opiera się na wyszukiwaniu w plikach unikalnej sekwencji bajtów - podpischarakterystyczny dla pewnego wirusa. Dla każdego nowo odkrytym wirusa laboratorium antywirusowe przeprowadzono przez analityków A, na podstawie których określa się jego podpis. Uzyskany fragment jest umieszczony w specjalnej bazy danych wirusowych podpisów, z którymi działa program antywirusowy. Godność ta metoda Jest to stosunkowo niski udział fałszywych pozytywów, a główną wadą jest podstawową niezdolność do wykrycia nowego wirusa w systemie, dla którego nie ma podpisu w bazie danych programu antywirusowego, w związku z tym terminowo aktualizującą bazy danych podpisu jest wymagane.

Metoda integralności monitorowania Opiera się na tym, że każda nieoczekiwana i bezprecedensowa zmiana dysku na dysku jest podejrzanym wydarzeniem, który wymaga szczególnej uwagi systemu antywirusowego. Wirus koniecznie pozostawia dowody na jego pobyt (zmieniając te istniejące pliki (zwłaszcza systemowe lub wykonywalne), pojawienie się nowych plików wykonywalnych itp.). Fakt zmiany danych - inwalidztwo - łatwo zainstalować według porównania suma kontrolna (Digest), obliczony z góry stan źródłowy. Testowanie a, a kontrolę (Digest) bieżącego stanu testowanego. Jeśli nie pokrywają się, to integralność jest zepsuta i są wszystkie tereny do tego dodatkowy czekNa przykład, skanując sygnatury wirusowe. Określona metoda działa szybciej niż metoda skanowania podpisu, ponieważ zliczanie kwoty kontrolne. Wymaga to mniejszych obliczeń niż operacje porównawcze ovalwood, ponadto pozwala wykryć ślady wszelkich działań, w tym nieznanych, wirusów, dla których nie ma podpisów w bazie danych.

Podejrzana metoda skanowania (skanowanie heurystyczne , metoda heurystyczna) opiera się na identyfikacji podejrzanych zespołów w zeskanowanym pliku i (lub) objawach podejrzanych sekwencji (na przykład zespołów formatowanie twardego dysk lub funkcja wdrażania w procesie wykonawczym lub wykonywalnym). Następnie zakłada się, że jest to złośliwy podmiot pliku, a dodatkowe kroki są podjęte w celu sprawdzenia. Ta metoda ma dobrą prędkość, ale dość często nie jest w stanie zidentyfikować nowych wirusów.

Metoda śledzenia zachowań programowych Zasadniczo różni się od metod skanowania zawartości wspomnianych plików wcześniej. Ta metoda opiera się na analizie zachowania. uruchamianie programówPorównywalne z wychwytywaniem karnego "ręcznie" na miejscu zbrodni. Narzędzia antywirusowe ten typ Często wymagają aktywnego udziału użytkownika, mających na celu podejmowanie decyzji w odpowiedzi na liczne ostrzeżenia systemowe, których znacząca część może być następnie fałszywe alarmy. Częstotliwość fałszywych pozytywów (podejrzenie wirusa dla nieszkodliwego pliku lub złośliwego przekazywania plików) Gdy określony próg przekracza, ta metoda jest nieefektywna, a użytkownik może przestać odpowiadać na ostrzeżenia lub wybrać strategię optymistyczną (zezwalaj na wszystkie działania dla wszystkich Uruchamianie programów lub wyłącz ta cecha antywirusowy). Korzystając z systemów antywirusowych, które analizują zachowanie programów, zawsze istnieje ryzyko wykonywania wirusowych poleceń zdolnych do uszkodzenia chronionego komputera lub sieci. Aby wyeliminować taką wadę później została opracowana metoda emulacji. (Imitacja), która pozwala na uruchomienie programu testowego w sztucznym stworzonym (wirtualnym) środowisku, który jest często nazywany piaskownica (piaskownica.), bez niebezpieczeństwa uszkodzenia środowiska informacyjnego. Korzystanie z metod analizy zachowań programów wykazało ich wysoką wydajność, gdy zarówno znane, nieznane szkodliwe programy.

Lesaniwirusy. [ | ]

W 2009 r. Zaczęła się aktywna dystrybucja Lysistywirusów [ ] - Oprogramowanie nie-antywirusowe (to znaczy, nie posiadające prawdziwej funkcjonalności do przeciwdziałania złośliwe programy), ale wyjątkowy dla tego. W rzeczywistości Lysistywirusy mogą być zarówno programami do oszustwa użytkowników i zysków w formie płatności za "leczenie systemu wirusów" i zwykłego złośliwego oprogramowania.

Specjalny antywirus[ | ]

W listopadzie 2014 r. Międzynarodowa organizacja praw człowieka Amnesty International Wydany program antywirusowy Wykryć. Ma na celu zidentyfikowanie złośliwego oprogramowania dystrybuowane przez agencje rządowe do nadzoru w dziewiątkach cywilnych i przeciwnikach politycznych. Antivirus, zgodnie z zastosowaniem twórców, wykonuje głębsze skanowanie dysk twardyzamiast zwykłych antywirusów.

Wydajność antywirusowego.[ | ]

Firma analityczna Imperva w ramach projektu inicjatywy wywiadowczej Hacker opublikował ciekawe badanie, które pokazuje małą wydajność większości antywirusów w prawdziwych warunkach.

Zgodnie z wynikami różnych badań syntetycznych, antywirusy pokazują średnią wydajność w dziedzinie 97%, ale testy te są prowadzone na bazach danych z setek tysięcy próbek, absolutnej większości (może około 97%) nie używaj już ataków.

Pytanie brzmi, jak skuteczne antywirusy są sprzeczne z najbardziej odpowiednimi zagrożeniami. Aby odpowiedzieć na to pytanie, imperva i studenci Uniwersytetu Tel Awiwu dostali się na rosyjskie podziemne forum 82 próbki bardzo świeżym złośliwego oprogramowania - i sprawdził go z Virustotal, czyli przed 42 silnikami antywirusowymi. Rezultat był zgadzany.

1. Skuteczność antywirusów przeciwko po prostu skompilowanym złośliwym oprogramowaniu była mniejsza niż 5%. Jest to w pełni logiczny wynik, ponieważ twórcy wirusów są koniecznie przetestowane przez Virustotal.
2. Od wyglądu wirusa przed rozpoczęciem jego rozpoznawania antywirusy trwa do czterech tygodni. Taki wskaźnik uzyskuje się przez "Elite" antywirusy, a pozostałe antywirusy, czas może osiągnąć do 9-12 miesięcy. Na przykład, na początku badania 9 lutego 2012 r. Sprawdzono świeżą próbkę fałszywy instalatora. Google Chrome.. Po zakończeniu studiów 17 listopada 2012 r. Został ustalany tylko 23 z 42 antywirusów.
3. Antywirus z najwyższym procentem definicji złośliwego oprogramowania jest również wysoki odsetek fałszywych pozytywów.
4. Chociaż badanie jest trudne do odebrania celu, ponieważ próbka złośliwego oprogramowania była zbyt mała, ale można założyć, że antywirusy są całkowicie nieodpowiednie przeciwko świeżemu cyberprzestępcom.

Klasyfikacja oprogramowania antywirusowego[ | ]

Programy antywirusowe są podzielone na wykonanie (narzędzia blokujące) na:

• oprogramowanie;
• oprogramowanie i sprzęt.

Na znaku umieszczenia losowy pamięć dostępu Przeznaczyć:

• mieszkańcy (rozpocznij pracę podczas uruchamiania systemu operacyjnego, stale w pamięci komputera i automatycznie sprawdzają pliki);
• niezrezydent (uruchomiony na żądanie użytkownika lub zgodnie z określonym harmonogramem).

Według rodzaju (metoda) ochrona przed wirusami rozróżniającymi:

Zgodnie z regulacyjnym aktem prawnym FSTEC z Rosji "Techniczne wymogi regulacyjne dla produktów stosowanych w celu ochrony informacji stanowiących w tajemnicy państwowej lub przypisywanej zgodnie z prawodawstwem Federacja Rosyjska Inne informacje o ograniczonym dostępie (wymagania dotyczące ochrony antywirusowej) (zatwierdzone przez porządek FSTEC z Rosji z dnia 20 marca 2012 r.) Przydziel następujące rodzaje narzędzi antywirusowych:

• wpisz "A" - narzędzia ochrony antywirusowej (składniki środków ochrony antywirusowej) przeznaczony do scentralizowanych narzędzi administracyjnych dla ochrony antywirusowej zainstalowanej na komponentach systemu informacyjnego (serwery, automatyczne miejsca pracy);
• wpisz "B" - środki ochrony antywirusowej (elementy narzędzi ochrony antywirusowej) przeznaczone do stosowania na serwerach systemów informatycznych;
• wpisz "B" - środki ochrony antywirusowej (składniki ochrony antywirusowej), przeznaczone do stosowania w automatycznych miejscach pracy systemów informatycznych;
• typ "G" - środki ochrony antywirusowej (elementy środków ochrony antywirusowej) przeznaczone do stosowania na autonomicznych automatycznych miejscach pracy.

Ochrona antywirusowa typu "A" nie ma zastosowania systemy informacyjne. Sam i są przeznaczone wyłącznie do stosowania tylko za pomocą ochrony antywirusowej typów "B" i (lub) "B".