Poruka o mrežnim virusima. Virusi i njihova klasifikacija. OBJ-, LIB-virusi i virusi u izvornom kodu

Programi

Mrežni virusi je ekstremna opasnost lokalne mreže i internet uključen. Virusi, koji prodiru u računar kroz mrežu, mogu dovesti ne samo do oštećenja važna informacija ali i sistem u cjelini. Mrežni virusi koriste mogućnosti i protokole globalnih i lokalnih mreža za širenje. Najvažniji princip takvog virusa je jedinstvena sposobnost da prenese svoj kod bez vanjske pomoći na radnu stanicu ili udaljeni server. Većina mrežnih virusa, pored mogućnosti da samostalno prodiru kroz mrežu do udaljenih računala, mogu tamo pokrenuti svoj programski kod ili, u nekim slučajevima, malo "pogurati" korisnika da pokrene zaraženu datoteku.

Korak 1: Identifikujte vektore pretnje i napada

Naučite kako odgovoriti na aktivne prijetnje mrežne sigurnosti ili pogledajte najbolje prakse za uklanjanje virusa i rješavanje problema. odgovor na prijetnje i virusna infekcija uključuje sljedeće. Da biste suzbili i eliminisali pretnju, morate znati sve pretnje koje su prisutne na računaru i koje su pretnje razvijene. Također morate razumjeti koje metode se koriste za distribuciju kroz mrežu.

Identificirali ste zaražene ili sumnjive datoteke

Da biste identificirali prijetnje, slijedite upute u skladu s uvjetima koji vrijede, ovisno o tome jeste li identificirali zaražene ili sumnjive datoteke.

Postavite automatsku zaštitu da omogućite mrežno skeniranje

Endpoint Protection ne otkriva prijetnje i morate odrediti koje su datoteke zaražene, ako ih ima.

Mnogi ljudi misle da je apsolutno svaki virus koji se širi kompjuterskom mrežom mrežni virus. Ali ako slijedite ovu izjavu, onda bi gotovo svi moderni virusi bili mrežni. Uostalom, najčešći nerezidentni virus uopće ne razumije tokom zaraze datoteka - to je lokalni disk ili mrežni (udaljeni). Kao rezultat toga, ovaj virus će zaraziti datoteke unutar mreže, ali neće biti mrežni virus.

Heuristički

Mrežno skeniranje - Konfiguriranje automatske zaštite za mrežno skeniranje

Identifikacija zaraženih računara. Kada identifikujete pretnju, morate utvrditi da li su drugi računari zaraženi. Ažurirajte definicije virusa pomoću datoteke potpisa koja definira varijantu prijetnje.

Karantin zaraženih računara

Nakon što identificirate prijetnju i shvatite kako se prijetnja širi, morate spriječiti širenje prijetnje širom mreže.

Uklanjanje zaraženog računara sa mreže

Veoma je važno ukloniti udaljeni računar sa mreže ili ga dodajte u "karantensku mrežu". U suprotnom, prijetnja će se širiti dok inficira druge računare na mreži. Fizički odspojite mrežni kabl sa zaraženog računara i isključite sve bežične veze.

Mnogi korisnici su naišli na nazive mrežni crv. Ovo su jedni od najpopularnijih mrežnih virusa, pojavili su se još 1980. godine. Za svoju distribuciju, takvi virusi su koristili razne nedokumentirane funkcije i greške globalnih mreža – prenosili su svoje zaražene kopije sa servera na server i po dolasku ih pokretali na izvršenje.

Premještanje zaraženog računara u karantensku mrežu

U nekim slučajevima, zahvaćeni računar je kritičan i ne može se izolovati od mreže. U nekim slučajevima, ovisno o infekciji, mogu se izolirati u takozvane karantenske mreže s ograničenim pristupom mreži. Naravno, ovo funkcioniše samo u slučajevima kada aktivnost pretnje ne odgovara funkcijama koje su potrebne kompromitovanom računaru.

Sama karantenska mreža je pažljivo konfigurisana podmreža dizajnirana da ograniči saobraćaj koji pretnja treba da se proširi na druge računare. Ovo će omogućiti zaraženom računaru da koristi ograničeni oblik upotrebe.

U prošlosti su se mrežni virusi širili mrežom i, kao i njihovi prateći virusi, obično nisu mijenjali sektore ili datoteke na diskovima tokom infekcije. Mrežni virusi su iz mreže prodrli u memoriju računara. Po dolasku, odmah su izračunali mrežne adrese drugih računara i odmah poslali njihove kopije na pronađene adrese. Ponekad su ovi virusi istovremeno kreirali radne fajlove na sistemskim diskovima, ali uopšte nisu mogli da pristupe sistemskim resursima računara (RAM je izuzetak od pravila).

Ako uklanjanje s mreže ili karantene nije moguće

Zbog poslovnih potreba, možete odlučiti da neke zaražene sisteme ne stavljate u karantin ili da ih uklonite s mreže. Možda ćete morati postaviti posebna pravila tako da mogu funkcionirati unutar svoje trenutne podmreže i dalje spriječiti širenje prijetnje. Ovo može uključivati ​​bilo koju kombinaciju sljedećeg u zavisnosti od vektora napada koji koristi prijetnja.

Čišćenje zaraženih računara

Oprez: Ova radnja nosi visok stepen rizika. Ozbiljno procijenite rizik prije nego što slijedite ove korake. Zahtijevajte od korisnika ponovnu autentifikaciju prilikom povezivanja na servere datoteka.

  • Zatvorite sve otvorene dionice.
  • Učinite izvršne datoteke na mrežnim diskovima samo za čitanje.
Uz prijetnju izoliranu od pojedinačnih računara, možete ukloniti prijetnju i otkazati je nuspojave. Kada dovršite korake u ovom odeljku, trebalo bi da procenite sledeće.

Nakon ogromnog troška uzrokovanog nekoliko mrežnih virusa, otklonjene su sve vrste grešaka u softveru i mrežnim protokolima, a takozvana "stražnja vrata" su sigurno zatvorena. Kao rezultat ovakvih akcija, njihova aktivnost je splasnula u posljednjih nekoliko godina. Takođe u ovom periodu nije zabilježen niti jedan slučaj uspješnog napada mrežnog virusa. Također treba napomenuti da se u ovom periodu nije pojavio niti jedan novi mrežni virus.

Da li je isplativije svježe reciklirati ili ponovo instalirati ugroženi računar? Možete li lako ukloniti prijetnju sa svog računala pokretanjem antivirusnog skeniranja ili potrebnih dodatnih zadataka?

  • Da li su bilo kakve sistemske promjene ugrozile zaražene računare?
  • Ako je tako, treba li poništiti te promjene?
  • Kada je bezbedno dodati računare na mrežu?
Pre nego što nastavite sa dezinfekcijom ugroženog računara, važno je razmotriti nivo kompromitovanja u prisustvu backdoor-a ili rootkita.

Opet, stvarni problem napada mrežnih virusa postao je početkom 1997. godine. Tada su se pojavili "Win.Homer" i "Macro.Word.ShareFun". Posljednji koristi sve moderne funkcije Email pod nazivom Microsoft Mail. Ovaj virus kreira novo slovo, koje uključuje sam virusni kod, a rezultat je datoteka dokumenta. Nakon toga bira tri potpuno nasumične adrese sa dostupne liste adresa u programu MS-Mail i zatim im šalje novokreiranu zaraženu poruku. Danas mnogi korisnici postavljaju MS-Mail parametre na način da se MS Word automatski pokreće kada dobiju pismo. Tako se virus automatski unosi u računar. Nakon toga radi ono što ima u izvornom kodu.

Načini širenja virusa

Ove podklase zlonamjernog koda omogućavaju programerima prijetnji da pristupe i sakriju svoje zlonamjerne datoteke i aktivnosti. U oba slučaja, utvrđivanje obima štete nanesene računaru je teško i može povećati poteškoće uklanjanja svih zlonamernih funkcija sa računara. U takvim okolnostima, često je potrebno manje vremena za ponovnu obradu operativnog sistema i vraćanje potrebnih podataka iz čistih rezervnih kopija.

Da biste uklonili zlonamjerne datoteke sa svog računala, morate zaustaviti sve procese koje koristi prijetnja. Za to postoje tri glavne opcije. Možete ručno pokrenuti skeniranje, najvjerovatnije najjednostavniju opciju, koja bi trebala zaustaviti i otkriti zlonamjerne procese dok skenirate vaš računar.

  • Antivirusno skeniranje.
  • Zatim možete ručno ukloniti zlonamjerne datoteke ili pokrenuti skeniranje.
Najlakši način da uklonite prijetnju sa računara je da izvršite potpuno skeniranje sistema na zaraženom računaru.

Ovaj virus jasno pokazuje prvu vrstu mrežnog virusa našeg vremena, koji kombinuje sve karakteristike ugrađenih Excel i Word uređivača. Osnovni jezik, sve značajke i glavne protokole e-pošte i posebne funkcije automatskog pokretanja koje su neophodne za kasnije širenje samog virusa.

Za razliku od prvog, Homer virus koristi protokol koji se zove FTP za svoju distribuciju i prenosi svoju zaraženu kopiju u Incoming direktorij na udaljenom ftp serveru. Budući da FTP mrežni protokol u potpunosti eliminira mogućnost automatskog pokretanja datoteke na udaljenom serveru, Homer se može nazvati "polu-mreženim".

Uz instalirane najnovije definicije, skeniranje bi u većini slučajeva trebalo ukloniti prijetnju bez incidenata. Ako je prijetnja crv ili trojanac, možete ručno izbrisati datoteke. Oprez: ne pokušavajte ručno izbrisati zaražene datoteke; nemoguće je utvrditi koje datoteke su zaražene, a koje nisu. Dodatna složenost prijetnji omogućava vam da zanemarite nešto kada pokušavate to ručno ukloniti.

Vratite promjene napravljene prijetnjom

Prijetnje mogu napraviti nekoliko promjena na računaru pored instaliranja datoteka. Prijetnje također mogu smanjiti sigurnosne postavke i smanjiti ih funkcionalnost sistemi zasnovani na promenama konfiguracije računara. U nekim slučajevima morate potvrditi postavke ili ih ručno vratiti nakon uklanjanja prijetnje.

Među karakteristikama virusnog algoritma ističu se sljedeće:

Residence;

Upotreba prikrivenih algoritama;

Samošifriranje i polimorfizam;

Upotreba nestandardnih metoda.

RESIDENT virus, kada inficira računar, odlazi ram memorija njegov rezidentni dio, koji zatim presreće pozive operativnog sistema zaraženim objektima i ubrizgava se u njih. Rezidentni virusi se nalaze u memoriji i aktivni su sve dok se računar ne isključi ili operativni sistem ponovo pokrene. Nerezidentni virusi ne inficiraju memoriju računala i ostaju aktivni ograničeno vrijeme. Neki virusi ostavljaju male rezidentne programe u RAM-u koji ne šire virus. Takvi virusi se smatraju nerezidentnim.

Šta je "virus crva"?

Ove postavke možete dodatno prilagoditi prema potrebama vaše mreže. Ako ostavite ove unose nepromijenjene nakon što je prijetnja popravljena, možete dobiti poruke o grešci kada pokrenete računar ili kada koristite računar. U nekim slučajevima, ovo može spriječiti korisnika da se prijavi nakon ponovnog pokretanja računara.

Provjera sistemskih datoteka i softvera

Uklonite ili vratite sve stavke registratora koje je pretnja dodala na podrazumevanu postavku računara ili, ako je moguće, na sigurniju postavku. Pretnje mogu koristiti nekoliko sistemskih datoteka koje koristi operativni sistem. Kada čistite računar, proverite sledeće stavke da li postoje znakovi modifikacije.

Makrovirusi se mogu smatrati rezidentnim, jer su stalno prisutni u memoriji računara sve vreme dok zaraženi uređivač radi. U ovom slučaju, ulogu operativnog sistema preuzima urednik, a koncept "ponovnog pokretanja operativnog sistema" se tumači kao izlazak iz editora.

U multitaskingu operativni sistemi"životni vijek" rezidentnog DOS virusa također se može ograničiti na trenutak kada se zaraženi DOS prozor zatvori, dok je aktivnost virusa za pokretanje u nekim operativnim sistemima ograničena na trenutak instaliranja drajvera OC diska.

Vratite računare na mrežu

Ako to ne utiče na funkcionalnost mreže, ovi unosi vjerovatno nisu potrebni i možete ih bezbedno ukloniti. Neke prijetnje su posebno dizajnirane za antivirusne programe softver instaliran na računaru. Ako bude uspješno, ovo može dovesti do toga da vas antivirusni softver neće upozoriti na prijetnju ili neće moći ažurirati njegove definicije. Ako se to dogodilo zaraženom računaru, provjerite integritet antivirusnog softvera i ponovo ga instalirajte ako je potrebno. Antivirusni softver. . Ako se skeniranje vrati, ponovo povežite računar na proizvodnu mrežu.

Upotreba STEALTH algoritama omogućava virusima da se potpuno ili djelimično sakriju u sistemu. Najčešći stealth algoritam je presretanje OC zahtjeva za čitanje/pisanje za zaražene objekte. U isto vrijeme, stealth virusi ih ili privremeno liječe, ili umjesto njih "zamjenjuju" nezaražene informacije. U slučaju makro virusa, najpopularnija metoda je onemogućavanje poziva u meni za pregled makroa. Jedan od prvih fajl stealth virusa bio je "Frodo", prvi boot stealth virus bio je "Brain".

Korak 5: Postoperativni period i prevencija recidiva

Bilješka. Povežite samo nekoliko računara istovremeno kako biste bili sigurni da ste pravilno eliminirali prijetnju i da nema sekundarnih simptoma.

Pregled incidenata i revizija mreže

Kada se prijetnja eliminira, morate učiniti sljedeće.

Pregledajte incident i izvršite potrebne promjene u internim procesima i procedurama kako biste izbjegli ovu vrstu napada u budućnosti. Izvršite reviziju mreže sa svojim sigurnosnim timom kako biste utvrdili kako je prijetnja ušla u mrežu.

  • Razumijevanje vektora napada prijetnje iz faze 1.
  • Dobro doći.
  • Poduzmite sigurnosne mjere kako biste spriječili novi incident.
Neki ljudi vjeruju da su sigurnost i upotrebljivost obrnuto povezane jedna s drugom, a povećanje sigurnosti povećava korake potrebne za završetak zadatka.

SAMOKRIPTIRANJE i POLIMORFNOST koriste gotovo sve vrste virusa kako bi se što više zakomplikovala procedura detekcije virusa. Polimorfni virusi (polimorfni) su prilično teško detektljivi virusi koji nemaju signature, tj. ne sadrži niti jedan konstantni dio koda. U većini slučajeva, dva uzorka istog polimorfnog virusa neće imati jedno podudaranje. To se postiže šifriranjem glavnog tijela virusa i modifikacijom programa za dešifriranje.

Lakoća upotrebe, ali efikasnija, može otvoriti sigurnosne rupe koje olakšavaju širenje prijetnji. Slabe tačke u mreži su obično one tehnologije koje računare čine pristupačnijim i lakšim za korišćenje. U normalnim okolnostima i najboljim praksama, prijetnje ne mogu ponovo zaštititi zaštićenog HDD a da bezbednost ne otkrije pretnju. Ako se to dogodi, ponovo provjerite konfiguraciju sistema i sigurnost. Također, pregledajte sljedeće sigurnosne propuste i provjerite jeste li zatvorili opšte napade.

Različite NESTANDARDNE TEHNIKE se često koriste u virusima kako bi se sakrili što je dublje moguće u OC kernelu (kao što to čini virus "3APA3A"), kako bi zaštitili svoju rezidentnu kopiju od otkrivanja (virusi "TPVO", "Trout2"), otežati liječenje virusa (na primjer, stavljanjem vaše kopije u Flash-BIOS) itd.

Preporučeno
Ugostiteljstvo u porodici
Natasha queen i Tarzan dogovorili proslavu ljubavi u Majamiju Vjenčanje Natasha Queen i Tarzan
Jermenska hašlama - recepti, fotografije
Jermenska hašlama - recepti, fotografije