Главная > Windows, Администрирование, безопасность, Теория > Безопасность: Выявление недетектируемых вредоносных файлов.

Безопасность: Выявление недетектируемых вредоносных файлов.

Каждый пользователь, наверно, периодически сталкивается с ситуацией когда его ПК проявлял подозрительную активность - "тормоза", частые ошибки приложений и самой системы. При этом ваша антивирусная система упорно молчит и при каждом очередном сканировании утверждает что ПК "чист".

Причина тому могут быть разные обстоятельства: возможно это некорректная установка (или удаление) ПО, может быть не правильная настройка какого-либо используемого специализированного ПО или другая, вполне легальная, причина. Но чаще всего,  примерно с вероятностью 75-80% из всех случаев (прошу строго не судить за цифры, т.к. они взяты из личного опыта, и вполне возможно могут отличаться от Ваших), это "вирусное заражение ПК".

Что же делать? Как определить, скомпрометирован ли ваш ПК или это ошибка конфигурации системы? Срочно, менять пароль к "одноклассникам" и личной электронной почте, либо попытаться настроить систему правильно?

Не много теории.
В основном все заражения ПК происходят через внешние устройства(носители) хранения информации(флешки, диски, телефоны, фотоаппараты и т.п.) либо через интернет. Для защиты от заражения по первой схеме в основном справляются антивирусы и блокируют все попытки автозапуска вредоносного ПО с внешних носителей. А вот вторая схема - это "настеж открытые двери", даже с актуальной базой сигнатур антивирусной защиты. Связано это с тем, что мы используем уязвимое ПО. К нему относятся: Adobe Flash Player, Adobe Acrobat, Java, браузеры. Как бы разработчики данного ПО не старались прикрыть все, вновь выявленные, "дыры", всякие негодяи умудряются найти новые уязвимости.

Заражение в основном происходит при просмотре страниц вредоносных (частенько "доверенных", но "поломанных")ресурсов. Также угрозу безопасности вашего ПК несут ресурсы, которые напичканы баннерной рекламой и всплывающими окнами, которые могут содержать механизмы, взламывающие и заражающие ПК по средствам эксплойтов.

Эксплойт - это последовательность команд(если речь идет о скриптах или программах), либо некорректная последовательность данных, которые при их обработке влияют на логику работы атакуемых программ (систем, сервисов).

Посещая подобные Интернет-ресурсы, при успешной реализации атаки, на ПК в профиле пользователя по следующим адресам создаются вредоносные исполняемые файлы:

C:\Documents and Settings\<Пользователь>\
C:\Documents and Settings\<Пользователь>\Start Menu\Programs\Startup\
C:\Documents and Settings\<Пользователь>\Local Settings\Temp\

Чаще всего это *.exe, jar_*.tmp, *.pdf, *.swf. Файлы формата jar_*.tmp(java-апплеты) в основном представляют собой экплойты, направленные на уязвимое ПО - Java, при выполнении которых ваш браузер закачивает с некоторого интернет-ресурса вредоносные исполняемые файлы, так называемые загрузчики. Они, в свою очередь, закачивают на взломанный ПК другие вредоносные файлы различного назначения (трояны, вирусы, руткиты, боты, шпионы).

Примечание:
Если атака (заражение) прошла успешна, то высока вероятность что вредонос будет скрывать свое присутствие в системе и блокировать возможность просмотра стандартными средствами скрытые и системные папки, коими являются указанные выше.

Поэтому, для изучения содержимого папок профиля пользователя понадобится файловый менеджер. Рекомендую использовать FAR Manager, так как он свободно распространяется и достаточно мощный инструмент, либо Total Commander (не менее мощный, но платный), либо на ваш вкус и цвет, но чтобы он (файловый менеджер) позволял просматривать все файлы и папки (скрытые, системные). FAR по умолчанию уже настроен так как надо. Total потребуется настроить.

Используя файловый менеджер необходимо внимательно изучить содержимое папок, указанных выше. При выявлении в папке файлов удовлетворяющих маске *.exe, jar_*.tmp, *.pdf, *.swf, или иные файлы, вызывающие явное подозрения, рекомендуется скопировать данные файлы в отдельную папку.

Далее, используя Интернет-ресурс VirusTotal, проверьте каждый подозрительный файл и развейте (или подтвердите) свои сомнения.

VirusTotal — бесплатная служба, осуществляющая анализ подозрительных файлов и ссылок (URL) на предмет выявления вирусов, червей, троянов и всевозможных вредоносных программ.

В случае, если ваши подозрения подтвердились результатами проверки ресурса VirusTotal, а ваш антивирус помалкивает - пакуйте их в архив, согласно рекомендациям используемого вами антивируса (см. на официальном сайте вашего антивируса) и направляйте их в антивирусную лабораторию. Тем самым Вы внесете свой личный вклад в общее дело по борьбе с вредоносным ПО. И быть может этими действиями защитите кого-то от "компрометация ПК и пользовательских данных".

Примечание:
Если ваши подозрения подтвердились, то лучше сменить пароли ко всем вашим учетным записям и почтовым ящикам, которые у вас есть(Социальные сети, почтовые ящики, учетные записи(даже корпоративные), доступ к клиент-банку, важные интернет-ресурсы и т.п.). При смене пароля рекомендуется обязательно придерживаться следующих правил:

  1. Пароль должен быть длиной не менее 8 символов.
  2. Состоять из символов верхнего(ABCDEF..., АБВГДЕЁ...) и нижнего регистров(abcdef..., абвгдеё...), а также спецсимволов (~!;%:$#_-=+ и т.п.) и цифр (0123456789).
  3. В качестве пароля не рекомендуется использовать общеизвестные (стандартные) или простые пароли: Love, terminator, 12345678, номера телефонов, даты рождения, имена и т.п.).
  4. Не рекомендуется использовать функционал используемых программ или интернет-ресурсов, предлагающих сохранить ваш пароль, чтобы не вводить его каждый раз, когда это требуется. Это удобно, но НЕ БЕЗОПАСНО.
Пожалуйста, оцените полезность и качество данной статьи. Одна звезда - плохо, 5 - хорошо.
1/5. Мы будем признательны, если вы напишете комментарий с причиной низкой оценки.2/5. Мы будем признательны, если вы напишете комментарий с причиной низкой оценки.3/5. Мы будем признательны, если вы напишете комментарий с причиной низкой оценки.4/5.5/5. (1 голосов, средний: 5,00 из 5)
Загрузка...
  1. Пока что нет комментариев.
  1. Пока что нет уведомлений.