Hálózati vírus üzenet. Vírusok és osztályozásuk. OBJ-, LIB-vírusok és vírusok forráskódban

Programok

Hálózati vírusok rendkívüli veszélyt jelent helyi hálózatokés az Internet is benne van. A hálózaton keresztül a számítógépbe behatoló vírusok nemcsak károkat okozhatnak fontos információ hanem a rendszer egészét is. A hálózati vírusok a globális és helyi hálózatok képességeit és protokolljait használják a terjedéshez. Az ilyen vírusok legfontosabb alapelve az az egyedülálló képesség, hogy a kódját külső segítség nélkül átviheti egy munkaállomásra vagy távoli szerverre. A legtöbb hálózati vírus azon túlmenően, hogy képes önállóan behatolni a hálózatba a távoli számítógépekbe, ott lefuttathatja programkódját, vagy bizonyos esetekben „megnyomja” a felhasználót a fertőzött fájl elindításához.

1. lépés: A fenyegetés és támadás vektorok azonosítása

Ismerje meg, hogyan reagálhat az aktív hálózati biztonsági fenyegetésekre, vagy tekintse meg a víruseltávolítási és hibaelhárítási bevált módszereket. fenyegetésekre adott válasz és vírusos fertőzés a következőket tartalmazza. A fenyegetés visszaszorításához és kiküszöböléséhez ismernie kell a számítógépen jelen lévő összes fenyegetést, és azt, hogy mely fenyegetéseket fejlesztették ki. Azt is meg kell értenie, hogy milyen módszereket használnak a hálózaton belüli terjesztéshez.

Fertőzött vagy gyanús fájlokat azonosított

A fenyegetések azonosításához kövesse az utasításokat a vonatkozó feltételeknek megfelelően, attól függően, hogy fertőzött vagy gyanús fájlokat azonosított-e.

Állítsa be az Auto-Protect funkciót a hálózati szkennelés engedélyezéséhez

Az Endpoint Protection nem észlel fenyegetéseket, és meg kell határoznia, hogy mely fájlok fertőzöttek, ha vannak ilyenek.

Sokan azt hiszik, hogy minden vírus, amely a számítógépes hálózaton terjed, hálózati vírus. De ha követi ezt az állítást, akkor szinte minden modern vírus hálózati vírus lenne. Végül is a leggyakoribb nem-rezidens vírus egyáltalán nem érti a fájlok fertőzését - ez egy helyi lemez vagy egy hálózati (távoli) lemez. Ennek eredményeként ez a vírus megfertőzi a hálózaton belüli fájlokat, de nem lesz hálózati vírus.

Heurisztikus

Hálózati szkennelés – Az Auto-Protect beállítása hálózati szkenneléshez

A fertőzött számítógépek azonosítása. A fenyegetés azonosítása után meg kell határoznia, hogy más számítógépek fertőzöttek-e. Frissítse a vírusleírásokat a fenyegetésváltozatot meghatározó aláírásfájllal.

A fertőzött számítógépek karanténba helyezhetők

Miután azonosította a fenyegetést, és megértette, hogyan terjed a fenyegetés, meg kell akadályoznia a fenyegetés terjedését a hálózaton.

Fertőzött számítógép eltávolítása a hálózatról

Nagyon fontos az eltávolítás távoli számítógép a hálózatból, vagy adja hozzá a „karanténhálózathoz”. Ellenkező esetben a fenyegetés továbbterjed, mivel megfertőzi a hálózat többi számítógépét. Fizikailag húzza ki a hálózati kábelt a fertőzött számítógépről, és kapcsoljon ki minden vezeték nélküli kapcsolatot.

Sok felhasználó találkozott már a hálózati féreg elnevezéssel. Ezek az egyik legnépszerűbb hálózati vírusok, még 1980-ban jelentek meg. Az ilyen vírusok terjesztésükhöz a globális hálózatok különféle dokumentálatlan funkcióit és hibáit használták fel - fertőzött példányaikat szerverről szerverre vitték át, majd érkezésükkor végrehajtásra indították.

Fertőzött számítógép áthelyezése karanténhálózatba

Egyes esetekben az érintett számítógép kritikus, és nem lehet elkülöníteni a hálózattól. Egyes esetekben, a fertőzéstől függően, úgynevezett karanténhálózatokban izolálhatók, korlátozott hozzáféréssel a hálózathoz. Ez természetesen csak olyan esetekben működik, amikor a fenyegetés tevékenysége nem egyezik meg azokkal a funkciókkal, amelyekre a feltört számítógépnek szüksége van.

Maga a karanténhálózat egy gondosan konfigurált alhálózat, amelyet arra terveztek, hogy korlátozza azt a forgalmat, amelyet a fenyegetésnek más számítógépekre továbbítania kell. Ez lehetővé teszi a fertőzött számítógép számára, hogy korlátozott használati formát használjon.

Korábban a hálózati vírusok elterjedtek a hálózaton, és a kísérővírusokhoz hasonlóan általában nem változtattak szektorokat vagy fájlokat a lemezeken a fertőzés során. A hálózati vírusok a hálózatról behatoltak a számítógép memóriájába. Megérkezésükkor azonnal kiszámolták más számítógépek hálózati címét, és azonnal elküldték másolatukat a talált címekre. Néha ezek a vírusok egyidejűleg munkafájlokat hoztak létre a rendszerlemezeken, de egyáltalán nem tudtak hozzáférni a számítógép rendszererőforrásaihoz (a RAM kivétel a szabály alól).

Ha a hálózatból való eltávolítás vagy karantén nem lehetséges

Üzleti igények miatt dönthet úgy, hogy egyes fertőzött rendszereket nem helyez karanténba, vagy nem távolítja el őket a hálózatról. Előfordulhat, hogy speciális szabályokat kell beállítania, hogy azok a jelenlegi alhálózatukon belül működhessenek, és továbbra is megakadályozzák a fenyegetés terjedését. Ez a fenyegetés által használt támadási vektortól függően a következők bármely kombinációját tartalmazhatja.

A fertőzött számítógépek tisztítása

Vigyázat: Ez a művelet nagy kockázattal jár. Komolyan mérje fel a kockázatot, mielőtt végrehajtja ezeket a lépéseket. A fájlkiszolgálókhoz való csatlakozáskor megköveteli a felhasználóktól a hitelesítés újbóli elvégzését.

  • Zárja be az összes nyitott megosztást.
  • Tegye csak olvashatóvá a hálózati meghajtókon lévő futtatható fájlokat.
Az egyes számítógépektől elkülönített fenyegetésekkel eltávolíthatja és törölheti azt mellékhatások. A szakasz lépéseinek elvégzése után értékelnie kell a következőket.

A több hálózati vírus okozta hatalmas kiadás után a szoftverek és a hálózati protokollok mindenféle hibáját kijavították, az úgynevezett "hátsó ajtókat" pedig biztonságosan bezárták. Az ilyen akciók eredményeként tevékenységük az elmúlt néhány évben alábbhagyott. Ebben az időszakban sem jegyeztek fel egyetlen hálózati vírus általi sikeres támadást sem. Azt is meg kell jegyezni, hogy ebben az időszakban egyetlen új hálózati vírus sem jelent meg.

Költséghatékonyabb egy kompromittált számítógép újbóli újrahasznosítása vagy újratelepítése? Könnyen eltávolíthatja a fenyegetést a számítógépéről egy víruskereső futtatásával vagy a szükséges további feladatok elvégzésével?

  • Fenyegette-e bármilyen rendszerváltozás a fertőzött számítógépeket?
  • Ha igen, vissza kell vonni ezeket a változtatásokat?
  • Mikor biztonságos számítógépek hozzáadása a hálózathoz?
Mielőtt elkezdené egy kompromittált számítógép fertőtlenítését, fontos mérlegelnie a kompromisszum szintjét egy hátsó ajtó vagy rootkit jelenlétében.

A hálózati vírustámadások tényleges problémája ismét 1997 elején jelent meg. Ekkor jelent meg a "Win.Homer" és a "Macro.Word.ShareFun". Az utolsó az összes modern funkciót használja Email Microsoft Mail néven. Ez a vírus létrehoz egy új levelet, amely magában foglalja a víruskódot, és az eredmény egy dokumentumfájl. Ezt követően három teljesen véletlenszerű címet választ ki az MS-Mail program elérhető címlistájából, majd elküldi nekik az újonnan létrehozott fertőzött üzenetet. Manapság sok felhasználó úgy állítja be az MS-Mail paramétereit, hogy az MS Word automatikusan elindul, amikor levél érkezik. Így a vírus automatikusan bekerül a számítógépbe. Ezt követően azt csinálja, ami a forráskódban van.

A vírusok terjedésének módjai

A rosszindulatú kódok ezen alosztályai lehetővé teszik a fenyegetésfejlesztők számára, hogy hozzáférjenek és elrejtsék rosszindulatú fájljaikat és tevékenységeiket. Mindkét esetben nehéz meghatározni a számítógépen okozott kár mértékét, és megnehezítheti az összes rosszindulatú funkció eltávolítását a számítógépről. Ilyen körülmények között gyakran kevesebb időbe telik az operációs rendszer újrafeldolgozása és a szükséges adatok visszaállítása a tiszta biztonsági másolatokból.

A rosszindulatú fájlok számítógépéről való eltávolításához le kell állítania a fenyegetés által használt folyamatokat. Erre három fő lehetőség kínálkozik. Manuálisan is futtathat egy vizsgálatot, amely valószínűleg a legegyszerűbb lehetőség, amely leállítja és észleli a rosszindulatú folyamatokat a számítógép ellenőrzése közben.

  • Víruskereső.
  • Ezután manuálisan eltávolíthatja a rosszindulatú fájlokat, vagy lefuttathatja a vizsgálatot.
A fenyegetés számítógépről való eltávolításának legegyszerűbb módja a teljes rendszerellenőrzés futtatása a fertőzött számítógépen.

Ez a vírus egyértelműen bemutatja korunk első típusú hálózati vírusát, amely egyesíti a beépített Excel és Word szerkesztők összes funkcióját. Alapnyelv, minden olyan szolgáltatást és főbb e-mail protokollt és speciális automatikus futtatási funkciót, amelyek elengedhetetlenek magának a vírusnak a későbbi terjedéséhez.

Az elsővel ellentétben a Homer vírus FTP nevű protokollt használ a terjesztéséhez, és a fertőzött példányát egy távoli ftp-szerver bejövő könyvtárába továbbítja. Mivel az FTP hálózati protokoll teljesen kiküszöböli a fájl automatikus elindításának lehetőségét egy távoli szerveren, a Homer "félig hálózatosnak" nevezhető.

A legújabb definíciók telepítésével a vizsgálatnak a legtöbb esetben incidens nélkül kell eltávolítania a fenyegetést. Ha a fenyegetés egy féreg vagy trójai, manuálisan törölheti a fájlokat. Figyelem: ne próbálja meg kézzel törölni a fertőzött fájlokat; lehetetlen megállapítani, hogy mely fájlok fertőzöttek és melyek nem. A fenyegetések összetettsége lehetővé teszi, hogy figyelmen kívül hagyjon valamit, amikor megpróbálja manuálisan eltávolítani.

Állítsa vissza a fenyegetés által végrehajtott változtatásokat

A fenyegetések a fájlok telepítése mellett számos változtatást is végrehajthatnak a számítógépen. A fenyegetések csökkenthetik a biztonsági beállításokat és csökkenthetik funkcionalitás számítógép-konfiguráció változásán alapuló rendszerek. Bizonyos esetekben meg kell erősítenie a beállításokat, vagy manuálisan vissza kell állítania azokat a fenyegetés eltávolítása után.

A vírusalgoritmus jellemzői közül a következő pontok emelkednek ki:

Rezidencia;

Lopakodó algoritmusok használata;

Öntitkosítás és polimorfizmus;

Nem szabványos módszerek alkalmazása.

A RESIDENT vírus, amikor megfertőz egy számítógépet, távozik véletlen hozzáférésű memória a rezidens része, amely azután elfogja az operációs rendszer fertőzött objektumokhoz intézett hívásait, és beléjük szúrja magát. Az állandó vírusok a memóriában vannak, és a számítógép kikapcsolásáig vagy az operációs rendszer újraindításáig aktívak. A nem rezidens vírusok nem fertőzik meg a számítógép memóriáját, és korlátozott ideig aktívak maradnak. Egyes vírusok kis rezidens programokat hagynak a RAM-ban, amelyek nem terjesztik a vírust. Az ilyen vírusok nem rezidensnek minősülnek.

Mi az a "féregvírus"?

Ezeket a beállításokat tovább szabhatja a hálózati igényeinek megfelelően. Ha a fenyegetés kijavítása után változatlanul hagyja ezeket a bejegyzéseket, hibaüzeneteket kaphat a számítógép indításakor vagy a számítógép használatakor. Bizonyos esetekben ez megakadályozhatja, hogy a felhasználó bejelentkezzen a számítógép újraindítása után.

Rendszerfájlok és szoftverek ellenőrzése

Távolítsa el vagy állítsa vissza a fenyegetés által hozzáadott rendszerleíró adatbázis-bejegyzéseket a számítógép alapértelmezett beállításához, vagy ha lehetséges, biztonságosabb beállításhoz. A fenyegetések több, az operációs rendszer által használt rendszerfájlt is használhatnak. A számítógép tisztításakor ellenőrizze a következő elemeket, hogy nincs-e rajta változás.

A makrovírusok rezidensnek tekinthetők, mivel folyamatosan jelen vannak a számítógép memóriájában a fertőzött szerkesztő teljes működése alatt. Ebben az esetben az operációs rendszer szerepét a szerkesztő veszi át, és az "operációs rendszer újraindítása" fogalmát a szerkesztőből való kilépésként értelmezzük.

Multitaskingban operációs rendszer a rezidens DOS-vírus „élettartamát” a fertőzött DOS-ablak bezárásának pillanatára is korlátozhatjuk, míg a rendszerindító vírusok aktivitása egyes operációs rendszerekben az OC-lemez-illesztőprogramok telepítésének pillanatára korlátozódik.

Állítsa vissza a számítógépeket a hálózaton

Ha ez nincs hatással a hálózati funkciókra, akkor ezekre a bejegyzésekre valószínűleg nincs szükség, és biztonságosan eltávolíthatja őket. Egyes fenyegetéseket kifejezetten vírusirtóhoz terveztek szoftver telepítve a számítógépre. Siker esetén előfordulhat, hogy a víruskereső szoftver nem figyelmezteti Önt egy fenyegetésre, vagy nem tudja frissíteni a definícióit. Ha ez egy fertőzött számítógéppel történt, ellenőrizze a víruskereső szoftver integritását, és szükség esetén telepítse újra. Víruskereső szoftver. . Ha a vizsgálat újra megjelenik, csatlakoztassa újra a számítógépet az éles hálózathoz.

A STEALTH algoritmusok segítségével a vírusok teljesen vagy részben elrejtőzhetnek a rendszerben. A leggyakoribb lopakodó algoritmus a fertőzött objektumok OC olvasási/írási kérelmeinek lehallgatása. Ugyanakkor a lopakodó vírusok vagy ideiglenesen meggyógyítják őket, vagy a nem fertőzött információkat „helyettesítik” helyettük. Makróvírusok esetén a legnépszerűbb módszer a makrónézet menü hívásainak letiltása. Az egyik első fájllopakodó vírus a "Frodó", az első boot lopakodó vírus pedig a "Brain".

5. lépés: Posztoperatív időszak és a kiújulás megelőzése

Jegyzet. Egyszerre csak néhány számítógépet csatlakoztasson, hogy megbizonyosodjon arról, hogy megfelelően hárította el a fenyegetést, és nincs másodlagos tünet.

Incidens felülvizsgálata és hálózat audit

A fenyegetés megszüntetése után a következőket kell tennie.

Tekintse át az incidenst, és hajtsa végre a szükséges változtatásokat a belső folyamatokban és eljárásokban, hogy elkerülje az ilyen típusú támadásokat a jövőben. Végezzen hálózati auditot a biztonsági csapattal, hogy megállapítsa, hogyan került a fenyegetés a hálózatba.

  • A fenyegetések támadási vektorainak megértése az 1. szakasztól kezdve.
  • Hasznos lesz.
  • Hajtson végre biztonsági intézkedéseket az újabb események megelőzésére.
Vannak, akik úgy vélik, hogy a biztonság és a használhatóság fordítottan összefügg egymással, és a biztonság növelése megnöveli a feladat végrehajtásához szükséges lépéseket.

Az ÖNTITKOSÍTÁST és a POLIMORPHICITÁST szinte minden vírustípus alkalmazza annak érdekében, hogy a vírusfelderítési eljárást a lehető legnagyobb mértékben megnehezítsék. A polimorf vírusok (polimorf) meglehetősen nehezen kimutatható vírusok, amelyek nem rendelkeznek aláírásokkal, pl. nem tartalmaz egyetlen állandó kódrészletet sem. A legtöbb esetben ugyanazon polimorf vírus két mintája nem egyezik. Ez a vírus törzsének titkosításával és a visszafejtő program módosításával érhető el.

Az egyszerű használat, de hatékonyabb, biztonsági réseket nyithat meg, amelyek megkönnyítik a fenyegetések terjedését. A hálózatok gyenge pontjai általában azok a technológiák, amelyek a számítógépeket hozzáférhetőbbé és felhasználóbarátabbá teszik. Normál körülmények és bevált gyakorlatok mellett a fenyegetések nem védhetik újra a védettséget HDD anélkül, hogy a biztonság észlelné a fenyegetést. Ha ez megtörténik, ellenőrizze újra a rendszer konfigurációját és biztonságát. Tekintse át a következő biztonsági réseket is, és győződjön meg arról, hogy bezárta az általános támadásokat.

A vírusokban gyakran alkalmaznak különféle NEM SZABVÁNYOS TECHNIKÁKAT, hogy a lehető legmélyebben elrejtőzzenek az OC kernelben (ahogyan a "3APA3A" vírus teszi), hogy megvédjék rezidens példányát az észleléstől ("TPVO", "Trout2" vírusok), megnehezítik a vírus kezelését (például Flash-BIOS-ba helyezve) stb.

Ajánlott
Vendéglátás a családban
Natasha királynő és Tarzan a szerelem ünnepét rendezték Miamiban Natasha királynő és Tarzan esküvője
Örmény khashlama - receptek, fotók
Örmény khashlama - receptek, fotók