-
Пути проникновения вредоносных программ и способы защиты
Давно уже хотел написать статью про пути проникновения вредоносных программ, и вот, свершилось.
Когда-то давно всё было просто и понятно. Единственной проблемой были вирусы, все знали, что они бывают только в com и exe файлах, и единственный способ подхватить заразу был - принести дискетку с ней. Те времена давно прошли, и теперь всё намного сложнее. Цель этой статьи - объяснить начинающим пользователям как дело обстоит на данный момент.
Для начала определимся, что подразумевается под словом "вредоносная программа", или, как я их называю для краткости - "зверь".
"Зверь" - программа, устанавливающаяся на компьютер незаметно для пользователя, без его явного желания и действий, направленных на её установку, выполняющая действия, которые пользователю не нужны или вредны. Подробнее о типах зверей можно прочитать тут.
Теперь собственно пути и способы проникновения.
1. Зараженный файл - такой файл, при обращении к которому на компьютер устанавливается зверь.
Какие файлы могут быть заражены? Практически любые. Конечно, все исполняемые, а это не только com и exe, а также .vbs, .shs, .pif и многие другие. Кроме этого, на сегодня вредоносный код может прятаться в музыкальных файлах, картинках и фильмах, и запускаться при попытке эти файлы просмотреть или прослушать. Так что безопасных форматов практически нет. Любой файл потенциально опасен.
1.1. Как такие файлы могут попасть на компьютер? Да любым путём. Принесены на диске, получены по почте, скачаны с сайта или p2p программой.
При этом хочу предупредить. Для того, чтобы на компьютер был установлен зверь, может быть вполне достаточно просто вставить диск в CD-ROM, или просто подключить USB флеш карточку. Не нужно даже что-то с них запускать. Кстати, как отключить опцию автозапуска описано тут.
Защита: обновлённый антивирус с включённым монитором, и стараться как можно меньше
использовать файлы из сомнительных источников. Основные рассадники заразы - это p2p сети, порно и крякосайты, а так же почта.
2. Установка вредоносных программ из сети. На этот раз имеются в виду не файлы, скачанные из сети. Имеется в виду возможность установки зверей из сети без прямого участия в этом пользователя. Как такое может быть?
2.1. Черви, использующие уязвимости системы, могут устанавливаться совершенно без участия пользователя. С удалённого компьютера производится атака, в результате чего у вас на компьютере появляется вредоносный файл и тут же запускается. Для заражения достаточно просто подключиться к сети.
Защита: следить, чтобы всегда были установлены все заплатки. Также очень желательно установить стенку (firewall) или хотя бы включить встроенную в Windows XP. Кстати, это единственный вид атак, от которых защищает firewall. Широко распространено мнение, что firewall защищает от вирусов. Вовсе нет. Он защищает только от сетевых червей. Подробнее о принципах работы межсетевых экранов можно почитать тут.
2.2. Эксплойты (exploit), использующие уязвимость всевозможных программ, например, уязвимости Internet Explorer (IE). Т.е. заходите вы на сайт, и тут, не спрашивая вас, на ваш компьютер устанавливается целый зоопарк и начинает жить своей жизнью. Таких эксплойтов множество, и хотя MicroSoft регулярно выпускает патчи, закрывающие уязвимости, используемые этими эксплойтами, постоянно появляются новые, и даже все установленные заплатки не гарантируют безопасности. Однако устанавливать заплатки необходимо, иначе всевозможные звери будут проникать на ваш компьютер регулярно, и рано или поздно антивирус с ними не справится.
Защита: обновлённый антивирус со включённым монитором, следить за тем, чтобы всегда были установлены все обновления всех используемых программ, имеющих хоть какое-то отношение к сети, а так же свести к минимуму посещение всевозможных сомнительных сайтов (кряко-порно). Помогает использование нестандартных интернет-бродилок (Web browser), таких как Opera, Firefox и т.д. Конечно же, они тоже имеют уязвимости, и их тоже необходимо регулярно обновлять.
Почти идеальной защитой от этого типа атак является способ, описанный тут, а если этот способ кажется Вам слишком сложным, можно посоветовать DefenseWall HIPS.
2.3. Использование администраторских учетных записей без паролей или с простыми паролями. Вот устанавливаете вы себе Винду дома. Казалось бы, зачем ставить пароль? Оказывается необходимо. Для удобства администрирования компьютеров в сетях администратору даётся возможность дистанционного управления компьютером. Если на учетной записи администратора нет пароля или он очень простой и может быть угадан, любой желающий может через сеть сделать с вашим компьютером что угодно.
Защита: нетривиальные пароли на всех администраторских учетных записях. Если вы не предполагаете давать кому-либо в сети доступ к файлам на вашем компьютере, стоит отключить службы, описанные тут.
Еще более надёжная защита от всех неожиданностей с удалённым доступом - это отключение Netbios.
Ну и в виде заключения хочется развеять некоторые стандартные заблуждения.
1. Форматирование не всегда может избавить вас от зверей, которые у вас поселились, особенно если форматируется только один раздел из нескольких имеющихся.
2. Firewall защищает не от всех бед, а только от сетевых атак. Тем не менее, его желательно иметь.
3. В последнее время очень модны всякие антиспайвари и антишпионы. Однако большинство из них либо бесполезны, т.к. знают очень мало зверей, либо сами содержат шпионские или рекламные модули. Очень не рекомендую их устанавливать. Если у вас стоит хороший антивирус (КАВ с расширенными базами, ДрВеб, БитДефендер, НОД32, Макафи), то дополнительные антишпионские программы вам вряд ли что-то дадут.
Последний раз редактировалось Geser; 13.12.2007 в 18:55.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 72
Уря!пойду обмою это дело,с радостью и тоской в душе.
-
Прежде чем создавать соединение, т.е. выходить в интернет, вы могли бы предпринять примерно следующее для гарантированно безопасного вебсёрфинга:
1. В первую очередь, запустите все необходимые программы (брандмауэр, антивирусный пакет, обозреватель интернета и т.д.);
2. В закладке свойств всех имеющихся в системе жёстких дисков и их разделов (partition) под названием "Security" удалите всех, так называемых, "сторонних" пользователей ("Power users", "Users", "Everyone" и т.д.) до того момента пока не останутся, хотя бы, только два пользователя - "Administrators" и "System" соответственно. Далее лишите всех оставшихся правообладателей ("Administrators" и "System") на операции с вашими жёсткими дисками всех возможных прав, переставив галочку с режима "Allow" на "Deny".
Не знаю, насколько этот метод безупречен, но то, что он отнюдь не без достоинств, можно сказать уверенно. Если даже администраторы и система не имеют никаких прав на ваши винчестеры, тем более, это касается и любой деструктивной программы (трояны, вирусы и т.п.). То есть на то время, пока вы пребываете в сети, вы будете пребывать в относительной безопасности. То же самое можно проделать и с некоторыми виртуальными папками системы ("My Documents", "Shared Documents" и т.д.).
-
-
Сообщение от
Король обезьян
Далее лишите всех оставшихся правообладателей ("Administrators" и "System") на операции с вашими жёсткими дисками всех возможных прав, переставив галочку с режима "Allow" на "Deny".
Хм. ИМХО, для System запрет на работу с HDD будет равносилен убийству системы.
Left home for a few days and look what happens...
-
-
Чем такие страхи творить лучше уж работать под пользователем, или с виртуальной машины. Меньше головной боли.
-
-
Сообщение от
Geser
Чем такие страхи творить лучше уж работать под пользователем, или с виртуальной машины. Меньше головной боли.
Ну я немного дополню и сделаю обозрение пары прикольных программ от ShadowStor
Это ещё один нетривиальный способ защиты компьютера.
Собственно что представляет из себя ПО ShadowStor - у них представлено несколько продуктов, наиболее интересные для обычных пользователей -
- ShadowSurfer - наименее функциональная версия рассчита для использования на "публичных" компьютерах - к примеру библиотеки, компьютерные залы и т.д.
- ShadowUser - программа для домашнего использования с расширенным функционалом.
В чём суть технологии представляемой ShadowStor - Shadow User или Surfer после запуска запрещают приямую запись на жёсткий диск для операционной системы и создают на жёстком диске отдельную область "изменений" в которую сохраняют все изменения с файлами производимые операционной системой, при перезагрузке компьютера у пользователя спрашивается - необходимы ли ему произошедшие изменения или нет, если необходимы то данные с области "изменений" переносяятся на реальный жёсткий диск, а если нет - то область изменений просто очищается.
Достоинство программ - полный контроль над системой, недостаток - неудобство переключения режимов Shadow/обычный.
Область применения - как я уже писал - всевозможные компьютерные клубы и прочие публичные места, где нет необходимости пользователям сохранять свою информацию в памяти компьютера - для "чистки" компьютера достаточно перезагрузки.
Дома - удобно использовать для установки неизвестного програмного обеспечения, которое хочется "посмотреть", в Shadow режиме можно запускать фактически всё, что угодно...
-
-
Формально - да, а на деле нет никаких проблем, по крайней мере, я уже привык к этому. Безопасность требует жертв.
Сообщение от
ALEX(XX)
Хм. ИМХО, для System запрет на работу с HDD будет равносилен убийству системы.
-
-
Компьютер (точнее, жёсткий диск) у меня не очень реактивный, потому при использовании упомянутого вами продукта компании ShadowStor наблюдалось небольшое притормаживание. Кроме того, поделюсь с вами некоторым опытом, имели место подозрительные глюки в работе рассматриваемой программы.
Overquoting! - Geser
Сообщение от
RiC
Ну я немного дополню и сделаю обозрение пары прикольных программ от
ShadowStor
Это ещё один нетривиальный способ защиты компьютера.
Собственно что представляет из себя ПО ShadowStor - у них представлено несколько продуктов, наиболее интересные для обычных пользователей -
-
-
Сообщение от
Король обезьян
при использовании упомянутого вами продукта компании ShadowStor наблюдалось небольшое притормаживание. Кроме того, поделюсь с вами некоторым опытом, имели место подозрительные глюки в работе рассматриваемой программы.
Ну не знаю, я последний раз винду в Shadow mode довёл до синего экрана установив 2-ру десятков разных программ, в том числе кривых драйверов, никаких проблем вроде не наблюдал, пользуюсь периодически Правда я редко пользуюсь сливом данных из "Кубышки" на реальный комп, в основном откат в изначальное состояние, для бета тестинга вещь идеальная, гораздо лучше тормозной VmWare...
Последний раз редактировалось RiC; 21.12.2005 в 21:13.
-
-
К сведению, мы тут говорили о том, что можно оставить, хотя бы, двоих правообладателей, а, между прочим, у нас есть и другая альтернатива - удалить всех пользователей, имеющих право на операции с жёсткими дисками. Тем более, что логинимся мы под админом, чтобы иметь возможность (и право) вернуть всё на круги своя. Реально, машина до безобразия чиста. Мы не даём "врагу" даже возможности приземлиться на нашу тачку, не то, что бы он как-то там извращался над нами. Кстати, существуют и другие извороты, призванные, к примеру, обезопасить наши антивирусы и "стенки" (брандмауэры). Можно, например, воспользоваться встроенными в операционную систему (NT-подобные) средствами шифрования субъектов файловой системы (файловая система NewTechnologyFileSystem, как известно, не лишена этих средств). Надо просто зашифровать папки наших "защитников" со всех их контентом (Folder -> Properties -> Advanced -> Encrypt...).
Последний раз редактировалось Король обезьян; 24.12.2005 в 16:32.
-
-
Хорошее описание и инструкция по установке/настройке/работе Shadow User Pro 2.5 (со скриншотами):
http://www.uchebka.ru/last.html
Там же ссылки на скачку программы (6,3 Мб), руссификатор и всё остальное. ;-)
Наше дело правое--победа будет за нами!!!
-