Безопасность: Выявление недетектируемых вредоносных файлов

Каждый пользователь, наверно, периодически сталкивается с ситуацией когда его ПК проявлял подозрительную активность — «тормоза», частые ошибки приложений и самой системы. При этом ваша антивирусная система упорно молчит и при каждом очередном сканировании утверждает что ПК «чист».

Причина тому могут быть разные обстоятельства: возможно это некорректная установка (или удаление) ПО, может быть не правильная настройка какого-либо используемого специализированного ПО или другая, вполне легальная, причина. Но чаще всего,  примерно с вероятностью 75-80% из всех случаев (прошу строго не судить за цифры, т.к. они взяты из личного опыта, и вполне возможно могут отличаться от Ваших), это «вирусное заражение ПК».

Что же делать? Как определить, скомпрометирован ли ваш ПК или это ошибка конфигурации системы? Срочно, менять пароль к «одноклассникам» и личной электронной почте, либо попытаться настроить систему правильно?

Не много теории.
В основном все заражения ПК происходят через внешние устройства(носители) хранения информации(флешки, диски, телефоны, фотоаппараты и т.п.) либо через интернет. Для защиты от заражения по первой схеме в основном справляются антивирусы и блокируют все попытки автозапуска вредоносного ПО с внешних носителей. А вот вторая схема — это «настеж открытые двери», даже с актуальной базой сигнатур антивирусной защиты. Связано это с тем, что мы используем уязвимое ПО. К нему относятся: Adobe Flash PlayerAdobe AcrobatJavaбраузеры. Как бы разработчики данного ПО не старались прикрыть все, вновь выявленные, «дыры», всякие негодяи умудряются найти новые уязвимости.

Заражение в основном происходит при просмотре страниц вредоносных (частенько «доверенных», но «поломанных»)ресурсов. Также угрозу безопасности вашего ПК несут ресурсы, которые напичканы баннерной рекламой и всплывающими окнами, которые могут содержать механизмы, взламывающие и заражающие ПК по средствам эксплойтов.

Эксплойт — это последовательность команд(если речь идет о скриптах или программах), либо некорректная последовательность данных, которые при их обработке влияют на логику работы атакуемых программ (систем, сервисов).

Посещая подобные Интернет-ресурсы, при успешной реализации атаки, на ПК в профиле пользователя по следующим адресам создаются вредоносные исполняемые файлы:

C:\Documents and Settings\<Пользователь>\
C:\Documents and Settings\<Пользователь>\Start Menu\Programs\Startup\
C:\Documents and Settings\<Пользователь>\Local Settings\Temp\

Чаще всего это *.exejar_*.tmp*.pdf*.swf. Файлы формата jar_*.tmp(java-апплеты) в основном представляют собой экплойты, направленные на уязвимое ПО — Java, при выполнении которых ваш браузер закачивает с некоторого интернет-ресурса вредоносные исполняемые файлы, так называемые загрузчики. Они, в свою очередь, закачивают на взломанный ПК другие вредоносные файлы различного назначения (трояны, вирусы, руткиты, боты, шпионы).

Примечание:
Если атака (заражение) прошла успешна, то высока вероятность что вредонос будет скрывать свое присутствие в системе и блокировать возможность просмотра стандартными средствами скрытые и системные папки, коими являются указанные выше.

Поэтому, для изучения содержимого папок профиля пользователя понадобится файловый менеджер. Рекомендую использовать FAR Manager, так как он свободно распространяется и достаточно мощный инструмент, либо Total Commander (не менее мощный, но платный), либо на ваш вкус и цвет, но чтобы он (файловый менеджер) позволял просматривать все файлы и папки (скрытые, системные). FAR по умолчанию уже настроен так как надо. Total потребуется настроить.

Используя файловый менеджер необходимо внимательно изучить содержимое папок, указанных выше. При выявлении в папке файлов удовлетворяющих маске *.exejar_*.tmp*.pdf*.swf, или иные файлы, вызывающие явное подозрения, рекомендуется скопировать данные файлы в отдельную папку.

Далее, используя Интернет-ресурс VirusTotal, проверьте каждый подозрительный файл и развейте (или подтвердите) свои сомнения.

VirusTotal — бесплатная служба, осуществляющая анализ подозрительных файлов и ссылок (URL) на предмет выявления вирусов, червей, троянов и всевозможных вредоносных программ.

В случае, если ваши подозрения подтвердились результатами проверки ресурса VirusTotal, а ваш антивирус помалкивает — пакуйте их в архив, согласно рекомендациям используемого вами антивируса (см. на официальном сайте вашего антивируса) и направляйте их в антивирусную лабораторию. Тем самым Вы внесете свой личный вклад в общее дело по борьбе с вредоносным ПО. И быть может этими действиями защитите кого-то от «компрометация ПК и пользовательских данных».

Примечание:
Если ваши подозрения подтвердились, то лучше сменить пароли ко всем вашим учетным записям и почтовым ящикам, которые у вас есть(Социальные сети, почтовые ящики, учетные записи(даже корпоративные), доступ к клиент-банку, важные интернет-ресурсы и т.п.).

При смене пароля рекомендуется обязательно придерживаться следующих правил:

  1. Пароль должен быть длиной не менее 8 символов.
  2. Состоять из символов верхнего(ABCDEF…, АБВГДЕЁ…) и нижнего регистров(abcdef…, абвгдеё…), а также спецсимволов (~!;%:$#_-=+ и т.п.) и цифр (0123456789).
  3. В качестве пароля не рекомендуется использовать общеизвестные (стандартные) или простые пароли: Love, terminator, 12345678, номера телефонов, даты рождения, имена и т.п.).
  4. Не рекомендуется использовать функционал используемых программ или интернет-ресурсов, предлагающих сохранить ваш пароль, чтобы не вводить его каждый раз, когда это требуется. Это удобно, но НЕ БЕЗОПАСНО.

Понравилась статья? Поделиться с друзьями:
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: