Geser
19.12.2005, 20:30
Давно уже хотел написать статью про пути проникновения вредоносных программ, и вот, свершилось.
Когда-то давно всё было просто и понятно. Единственной проблемой были вирусы, все знали, что они бывают только в com и exe файлах, и единственный способ подхватить заразу был - принести дискетку с ней. Те времена давно прошли, и теперь всё намного сложнее. Цель этой статьи - объяснить начинающим пользователям как дело обстоит на данный момент.
Для начала определимся, что подразумевается под словом "вредоносная программа", или, как я их называю для краткости - "зверь".
"Зверь" - программа, устанавливающаяся на компьютер незаметно для пользователя, без его явного желания и действий, направленных на её установку, выполняющая действия, которые пользователю не нужны или вредны. Подробнее о типах зверей можно прочитать тут (http://virusinfo.info/showthread.php?t=1430).
Теперь собственно пути и способы проникновения.
1. Зараженный файл - такой файл, при обращении к которому на компьютер устанавливается зверь.
Какие файлы могут быть заражены? Практически любые. Конечно, все исполняемые, а это не только com и exe, а также .vbs, .shs, .pif и многие другие. Кроме этого, на сегодня вредоносный код может прятаться в музыкальных файлах, картинках и фильмах, и запускаться при попытке эти файлы просмотреть или прослушать. Так что безопасных форматов практически нет. Любой файл потенциально опасен.
1.1. Как такие файлы могут попасть на компьютер? Да любым путём. Принесены на диске, получены по почте, скачаны с сайта или p2p программой.
При этом хочу предупредить. Для того, чтобы на компьютер был установлен зверь, может быть вполне достаточно просто вставить диск в CD-ROM, или просто подключить USB флеш карточку. Не нужно даже что-то с них запускать. Кстати, как отключить опцию автозапуска описано тут (http://virusinfo.info/showthread.php?t=4246).
Защита: обновлённый антивирус с включённым монитором, и стараться как можно меньше
использовать файлы из сомнительных источников. Основные рассадники заразы - это p2p сети, порно и крякосайты, а так же почта.
2. Установка вредоносных программ из сети. На этот раз имеются в виду не файлы, скачанные из сети. Имеется в виду возможность установки зверей из сети без прямого участия в этом пользователя. Как такое может быть?
2.1. Черви, использующие уязвимости системы, могут устанавливаться совершенно без участия пользователя. С удалённого компьютера производится атака, в результате чего у вас на компьютере появляется вредоносный файл и тут же запускается. Для заражения достаточно просто подключиться к сети.
Защита: следить, чтобы всегда были установлены все заплатки. Также очень желательно установить стенку (firewall) или хотя бы включить встроенную в Windows XP. Кстати, это единственный вид атак, от которых защищает firewall. Широко распространено мнение, что firewall защищает от вирусов. Вовсе нет. Он защищает только от сетевых червей. Подробнее о принципах работы межсетевых экранов можно почитать тут (http://virusinfo.info/showthread.php?t=1755).
2.2. Эксплойты (exploit), использующие уязвимость всевозможных программ, например, уязвимости Internet Explorer (IE). Т.е. заходите вы на сайт, и тут, не спрашивая вас, на ваш компьютер устанавливается целый зоопарк и начинает жить своей жизнью. Таких эксплойтов множество, и хотя MicroSoft регулярно выпускает патчи, закрывающие уязвимости, используемые этими эксплойтами, постоянно появляются новые, и даже все установленные заплатки не гарантируют безопасности. Однако устанавливать заплатки необходимо, иначе всевозможные звери будут проникать на ваш компьютер регулярно, и рано или поздно антивирус с ними не справится.
Защита: обновлённый антивирус со включённым монитором, следить за тем, чтобы всегда были установлены все обновления всех используемых программ, имеющих хоть какое-то отношение к сети, а так же свести к минимуму посещение всевозможных сомнительных сайтов (кряко-порно). Помогает использование нестандартных интернет-бродилок (Web browser), таких как Opera, Firefox и т.д. Конечно же, они тоже имеют уязвимости, и их тоже необходимо регулярно обновлять.
Почти идеальной защитой от этого типа атак является способ, описанный тут (http://virusinfo.info/showthread.php?t=2852), а если этот способ кажется Вам слишком сложным, можно посоветовать DefenseWall HIPS (http://virusinfo.info/showthread.php?t=4222).
2.3. Использование администраторских учетных записей без паролей или с простыми паролями. Вот устанавливаете вы себе Винду дома. Казалось бы, зачем ставить пароль? Оказывается необходимо. Для удобства администрирования компьютеров в сетях администратору даётся возможность дистанционного управления компьютером. Если на учетной записи администратора нет пароля или он очень простой и может быть угадан, любой желающий может через сеть сделать с вашим компьютером что угодно.
Защита: нетривиальные пароли на всех администраторских учетных записях. Если вы не предполагаете давать кому-либо в сети доступ к файлам на вашем компьютере, стоит отключить службы, описанные тут (http://virusinfo.info/showthread.php?t=2768).
Еще более надёжная защита от всех неожиданностей с удалённым доступом - это отключение Netbios (http://virusinfo.info/showthread.php?t=4243).
Ну и в виде заключения хочется развеять некоторые стандартные заблуждения.
1. Форматирование не всегда может избавить вас от зверей, которые у вас поселились, особенно если форматируется только один раздел из нескольких имеющихся.
2. Firewall защищает не от всех бед, а только от сетевых атак. Тем не менее, его желательно иметь.
3. В последнее время очень модны всякие антиспайвари и антишпионы. Однако большинство из них либо бесполезны, т.к. знают очень мало зверей, либо сами содержат шпионские или рекламные модули. Очень не рекомендую их устанавливать. Если у вас стоит хороший антивирус (КАВ с расширенными базами, ДрВеб, БитДефендер, НОД32, Макафи), то дополнительные антишпионские программы вам вряд ли что-то дадут.
Когда-то давно всё было просто и понятно. Единственной проблемой были вирусы, все знали, что они бывают только в com и exe файлах, и единственный способ подхватить заразу был - принести дискетку с ней. Те времена давно прошли, и теперь всё намного сложнее. Цель этой статьи - объяснить начинающим пользователям как дело обстоит на данный момент.
Для начала определимся, что подразумевается под словом "вредоносная программа", или, как я их называю для краткости - "зверь".
"Зверь" - программа, устанавливающаяся на компьютер незаметно для пользователя, без его явного желания и действий, направленных на её установку, выполняющая действия, которые пользователю не нужны или вредны. Подробнее о типах зверей можно прочитать тут (http://virusinfo.info/showthread.php?t=1430).
Теперь собственно пути и способы проникновения.
1. Зараженный файл - такой файл, при обращении к которому на компьютер устанавливается зверь.
Какие файлы могут быть заражены? Практически любые. Конечно, все исполняемые, а это не только com и exe, а также .vbs, .shs, .pif и многие другие. Кроме этого, на сегодня вредоносный код может прятаться в музыкальных файлах, картинках и фильмах, и запускаться при попытке эти файлы просмотреть или прослушать. Так что безопасных форматов практически нет. Любой файл потенциально опасен.
1.1. Как такие файлы могут попасть на компьютер? Да любым путём. Принесены на диске, получены по почте, скачаны с сайта или p2p программой.
При этом хочу предупредить. Для того, чтобы на компьютер был установлен зверь, может быть вполне достаточно просто вставить диск в CD-ROM, или просто подключить USB флеш карточку. Не нужно даже что-то с них запускать. Кстати, как отключить опцию автозапуска описано тут (http://virusinfo.info/showthread.php?t=4246).
Защита: обновлённый антивирус с включённым монитором, и стараться как можно меньше
использовать файлы из сомнительных источников. Основные рассадники заразы - это p2p сети, порно и крякосайты, а так же почта.
2. Установка вредоносных программ из сети. На этот раз имеются в виду не файлы, скачанные из сети. Имеется в виду возможность установки зверей из сети без прямого участия в этом пользователя. Как такое может быть?
2.1. Черви, использующие уязвимости системы, могут устанавливаться совершенно без участия пользователя. С удалённого компьютера производится атака, в результате чего у вас на компьютере появляется вредоносный файл и тут же запускается. Для заражения достаточно просто подключиться к сети.
Защита: следить, чтобы всегда были установлены все заплатки. Также очень желательно установить стенку (firewall) или хотя бы включить встроенную в Windows XP. Кстати, это единственный вид атак, от которых защищает firewall. Широко распространено мнение, что firewall защищает от вирусов. Вовсе нет. Он защищает только от сетевых червей. Подробнее о принципах работы межсетевых экранов можно почитать тут (http://virusinfo.info/showthread.php?t=1755).
2.2. Эксплойты (exploit), использующие уязвимость всевозможных программ, например, уязвимости Internet Explorer (IE). Т.е. заходите вы на сайт, и тут, не спрашивая вас, на ваш компьютер устанавливается целый зоопарк и начинает жить своей жизнью. Таких эксплойтов множество, и хотя MicroSoft регулярно выпускает патчи, закрывающие уязвимости, используемые этими эксплойтами, постоянно появляются новые, и даже все установленные заплатки не гарантируют безопасности. Однако устанавливать заплатки необходимо, иначе всевозможные звери будут проникать на ваш компьютер регулярно, и рано или поздно антивирус с ними не справится.
Защита: обновлённый антивирус со включённым монитором, следить за тем, чтобы всегда были установлены все обновления всех используемых программ, имеющих хоть какое-то отношение к сети, а так же свести к минимуму посещение всевозможных сомнительных сайтов (кряко-порно). Помогает использование нестандартных интернет-бродилок (Web browser), таких как Opera, Firefox и т.д. Конечно же, они тоже имеют уязвимости, и их тоже необходимо регулярно обновлять.
Почти идеальной защитой от этого типа атак является способ, описанный тут (http://virusinfo.info/showthread.php?t=2852), а если этот способ кажется Вам слишком сложным, можно посоветовать DefenseWall HIPS (http://virusinfo.info/showthread.php?t=4222).
2.3. Использование администраторских учетных записей без паролей или с простыми паролями. Вот устанавливаете вы себе Винду дома. Казалось бы, зачем ставить пароль? Оказывается необходимо. Для удобства администрирования компьютеров в сетях администратору даётся возможность дистанционного управления компьютером. Если на учетной записи администратора нет пароля или он очень простой и может быть угадан, любой желающий может через сеть сделать с вашим компьютером что угодно.
Защита: нетривиальные пароли на всех администраторских учетных записях. Если вы не предполагаете давать кому-либо в сети доступ к файлам на вашем компьютере, стоит отключить службы, описанные тут (http://virusinfo.info/showthread.php?t=2768).
Еще более надёжная защита от всех неожиданностей с удалённым доступом - это отключение Netbios (http://virusinfo.info/showthread.php?t=4243).
Ну и в виде заключения хочется развеять некоторые стандартные заблуждения.
1. Форматирование не всегда может избавить вас от зверей, которые у вас поселились, особенно если форматируется только один раздел из нескольких имеющихся.
2. Firewall защищает не от всех бед, а только от сетевых атак. Тем не менее, его желательно иметь.
3. В последнее время очень модны всякие антиспайвари и антишпионы. Однако большинство из них либо бесполезны, т.к. знают очень мало зверей, либо сами содержат шпионские или рекламные модули. Очень не рекомендую их устанавливать. Если у вас стоит хороший антивирус (КАВ с расширенными базами, ДрВеб, БитДефендер, НОД32, Макафи), то дополнительные антишпионские программы вам вряд ли что-то дадут.