Ziņojums par tīkla vīrusiem. Vīrusi un to klasifikācija. OBJ-, LIB-vīrusi un vīrusi pirmkodā

Programmas

Tīkla vīrusi ir ārkārtējas briesmas vietējie tīkli un internets iekļauts. Vīrusi, kas iekļūst datorā caur tīklu, var izraisīt ne tikai bojājumus svarīga informācija bet arī sistēma kopumā. Tīkla vīrusi izmanto globālo un vietējo tīklu iespējas un protokolus, lai izplatītos. Svarīgākais šāda vīrusa darbības princips ir unikāla iespēja bez ārējas palīdzības pārsūtīt savu kodu uz darbstaciju vai attālo serveri. Lielākā daļa tīkla vīrusu, papildus iespējai patstāvīgi iekļūt tīklā attālos datoros, var tur palaist savu programmas kodu vai dažos gadījumos nedaudz “piespiest” lietotāju, lai palaistu inficēto failu.

1. darbība: nosakiet draudu un uzbrukuma vektorus

Uzziniet, kā reaģēt uz aktīviem tīkla drošības apdraudējumiem, vai skatiet vīrusu noņemšanas un traucējummeklēšanas labāko praksi. reakcija uz draudiem un vīrusu infekcija ietver sekojošo. Lai ierobežotu un novērstu draudus, jums jāzina visi datorā esošie draudi un kādi draudi ir izveidoti. Jums arī jāsaprot, kādas metodes tiek izmantotas izplatīšanai visā tīklā.

Jūs esat identificējis inficētus vai aizdomīgus failus

Lai identificētu draudus, izpildiet norādījumus atbilstoši attiecīgajiem nosacījumiem atkarībā no tā, vai esat identificējis inficētus vai aizdomīgus failus.

Iestatiet automātisko aizsardzību, lai atļautu tīkla skenēšanu

Endpoint Protection neatklāj draudus, un jums ir jānosaka, kuri faili ir inficēti, ja tādi ir.

Daudzi cilvēki domā, ka absolūti jebkurš vīruss, kas izplatās datortīklā, ir tīkla vīruss. Bet, ja sekojat šim apgalvojumam, tad gandrīz visi mūsdienu vīrusi būtu tīkla vīrusi. Galu galā visizplatītākais nerezidentu vīruss failu inficēšanas laikā vispār nesaprot - tas ir lokālais disks vai tīkla (tālvadības) disks. Rezultātā šis vīruss inficēs failus tīklā, taču tas nebūs tīkla vīruss.

Heiristisks

Tīkla skenēšana — automātiskās aizsardzības konfigurēšana tīkla skenēšanai

Inficēto datoru identificēšana. Kad esat identificējis draudus, jums ir jānosaka, vai citi datori nav inficēti. Atjauniniet vīrusu definīcijas, izmantojot paraksta failu, kas definē draudu variantu.

Karantīnā inficēti datori

Kad esat identificējis draudus un sapratis, kā draudi izplatās, jums ir jānovērš draudu izplatīšanās tīklā.

Inficēta datora noņemšana no tīkla

Ir ļoti svarīgi noņemt attālais dators no tīkla vai pievienojiet to "karantīnas tīklam". Pretējā gadījumā draudi izplatīsies, inficējot citus tīkla datorus. Fiziski atvienojiet tīkla kabeli no inficētā datora un izslēdziet visus bezvadu savienojumus.

Daudzi lietotāji ir saskārušies ar nosaukumiem tīkla tārps. Šie ir vieni no populārākajiem tīkla vīrusiem, tie parādījās tālajā 1980. gadā. To izplatīšanai šādi vīrusi izmantoja dažādas nedokumentētas globālo tīklu funkcijas un kļūdas - viņi pārsūtīja inficētās kopijas no servera uz serveri un pēc ierašanās palaida tās izpildei.

Inficēta datora pārvietošana uz karantīnas tīklu

Dažos gadījumos ietekmētais dators ir kritisks, un to nevar izolēt no tīkla. Dažos gadījumos atkarībā no infekcijas tos var izolēt tā sauktajos karantīnas tīklos ar zināmu ierobežotu piekļuvi tīklam. Protams, tas darbojas tikai gadījumos, kad apdraudējuma darbība neatbilst kompromitētajam datoram nepieciešamajām funkcijām.

Pats karantīnas tīkls ir rūpīgi konfigurēts apakštīkls, kas paredzēts, lai ierobežotu datplūsmu, ko apdraudējums varētu izplatīties uz citiem datoriem. Tas ļaus inficētajam datoram izmantot ierobežotu lietošanas veidu.

Agrāk tīkla vīrusi izplatījās tīklā un, tāpat kā to pavadošie vīrusi, inficēšanās laikā parasti nemainīja sektorus vai failus diskā. Tīkla vīrusi no tīkla iekļuva datora atmiņā. Pēc ierašanās viņi acumirklī aprēķināja atlikušo datoru tīkla adreses un uzreiz nosūtīja savas kopijas uz atrastajām adresēm. Dažreiz šie vīrusi vienlaikus izveidoja darba failus sistēmas diskos, bet arī nevarēja piekļūt datora sistēmas resursiem (RAM ir izņēmums no noteikuma).

Ja izņemšana no tīkla vai karantīna nav iespējama

Uzņēmējdarbības vajadzību dēļ varat izvēlēties neiekļaut dažas inficētās sistēmas karantīnā vai noņemt tās no tīkla. Iespējams, jums būs jāiestata īpaši noteikumi, lai tie varētu darboties pašreizējā apakštīklā un joprojām novērstu draudu izplatīšanos. Tas var ietvert jebkuru tālāk minēto kombināciju atkarībā no apdraudējuma izmantotā uzbrukuma vektora.

Inficēto datoru tīrīšana

Uzmanību: šī darbība ir saistīta ar augstu riska pakāpi. Pirms šo darbību veikšanas nopietni novērtējiet risku. Pieprasīt lietotājiem atkārtoti autentificēties, veidojot savienojumu ar failu serveriem.

  • Aizveriet visas atvērtās koplietošanas.
  • Padariet tīkla diskos izpildāmos failus tikai lasāmus.
Ja apdraudējums ir izolēts no atsevišķiem datoriem, varat tos noņemt un atcelt blakus efekti. Kad esat pabeidzis šajā sadaļā norādītās darbības, jums vajadzētu novērtēt tālāk norādīto.

Pēc milzīgiem izdevumiem, ko izraisījuši vairāki tīkla vīrusi, ir novērstas visdažādākās programmatūras un tīkla protokolu kļūdas, kā arī droši aizvērtas tā saucamās "aizmugurējās durvis". Šādu darbību rezultātā viņu aktivitāte pēdējos gados ir apsīkusi. Arī šajā periodā netika fiksēts neviens veiksmīga tīkla vīrusa uzbrukuma gadījums. Jāpiebilst arī, ka šajā periodā neparādījās neviens jauns tīkla vīruss.

Vai ir izdevīgāk atkārtoti pārstrādāt vai pārinstalēt apdraudētu datoru? Vai varat viegli noņemt draudus no datora, veicot pretvīrusu skenēšanu vai nepieciešamos papildu uzdevumus?

  • Vai kādas sistēmas izmaiņas apdraudēja inficētos datorus?
  • Ja tā, vai jums vajadzētu atsaukt šīs izmaiņas?
  • Kad ir droši pievienot datorus tīklam?
Pirms turpināt bojāta datora dezinfekciju, ir svarīgi apsvērt kompromisa līmeni aizmugures durvju vai rootkit klātbūtnē.

Atkal faktiskā tīkla vīrusu uzbrukumu problēma kļuva 1997. gada sākumā. Toreiz parādījās "Win.Homer" un "Macro.Word.ShareFun". Pēdējais izmanto visas mūsdienu funkcijas E-pasts sauc par Microsoft Mail. Šis vīruss izveido jaunu burtu, kurā ir iekļauts pats vīrusa kods, un rezultātā tiek izveidots dokumenta fails. Pēc tam tas atlasa trīs pilnīgi nejaušas adreses no pieejamā adrešu saraksta programmā MS-Mail un pēc tam nosūta tām jaunizveidoto inficēto ziņojumu. Mūsdienās daudzi lietotāji MS-Mail parametrus iestata tā, ka MS Word sākas automātiski, saņemot vēstuli. Tādējādi vīruss tiek automātiski ievadīts datorā. Pēc tam viņš dara to, kas viņam ir avota kodā.

Vīrusu izplatīšanās veidi

Šīs ļaunprātīgā koda apakšklases ļauj draudu izstrādātājiem piekļūt un slēpt savus ļaunprātīgos failus un darbības. Abos gadījumos ir grūti noteikt datoram nodarītā kaitējuma apmēru, un tas var palielināt grūtības noņemt visus ļaunprātīgos līdzekļus no datora. Šādos apstākļos operētājsistēmas atkārtota apstrāde un nepieciešamo datu atjaunošana no tīrām dublējumkopijām bieži vien aizņem mazāk laika.

Lai no datora noņemtu ļaunprātīgus failus, ir jāpārtrauc visi procesi, ko izmanto drauds. Tam ir trīs galvenās iespējas. Varat manuāli palaist skenēšanu, kas, visticamāk, ir vienkāršākā opcija, kurai vajadzētu apturēt un atklāt ļaunprātīgus procesus datora skenēšanas laikā.

  • Pretvīrusu skenēšana.
  • Pēc tam varat manuāli noņemt ļaunprātīgos failus vai veikt skenēšanu.
Vienkāršākais veids, kā novērst draudus no datora, ir inficētajā datorā veikt pilnu sistēmas skenēšanu.

Šis vīruss uzskatāmi demonstrē mūsu laika pirmā tipa tīkla vīrusu, kas apvieno visas iebūvēto Excel un Word redaktoru iespējas. Pamatvaloda, visas funkcijas un galvenie e-pasta protokoli un īpašas automātiskās palaišanas funkcijas, kas ir būtiskas paša vīrusa tālākai izplatībai.

Atšķirībā no pirmā, Homēra vīruss izplatīšanai izmanto protokolu, ko sauc par FTP, un pārsūta savu inficēto kopiju uz attālā ftp servera ienākošo direktoriju. Tā kā FTP tīkla protokols pilnībā izslēdz iespēju automātiski palaist failu attālajā serverī, Homēru var saukt par "daļēji tīklu".

Ja ir instalētas jaunākās definīcijas, skenēšanai ir jānovērš draudi vairumā gadījumu bez starpgadījumiem. Ja draudi ir tārps vai Trojas zirgs, varat manuāli izdzēst failus. Uzmanību: nemēģiniet manuāli dzēst inficētos failus; nav iespējams noteikt, kuri faili ir inficēti un kuri nav. Papildu sarežģītība draudiem ļauj ignorēt kaut ko, mēģinot to manuāli noņemt.

Atjaunot apdraudējuma veiktās izmaiņas

Draudi var veikt vairākas izmaiņas datorā papildus failu instalēšanai. Draudi var arī pazemināt drošības iestatījumus un samazināt funkcionalitāte sistēmas, kuru pamatā ir datora konfigurācijas izmaiņas. Dažos gadījumos pēc draudu noņemšanas iestatījumi ir jāapstiprina vai jāatjauno manuāli.

Starp vīrusa algoritma iezīmēm izceļas šādi punkti:

Dzīvesvieta;

Maskēšanās algoritmu izmantošana;

Paššifrēšana un polimorfisms;

Nestandarta metožu izmantošana.

REZIDENTA vīruss, inficējot datoru, aiziet brīvpiekļuves atmiņa tā pastāvīgā daļa, kas pēc tam pārtver operētājsistēmas zvanus uz inficētiem objektiem un injicē sevi tajos. Rezidenti vīrusi atrodas atmiņā un ir aktīvi, līdz dators tiek izslēgts vai operētājsistēma tiek restartēta. Nerezidentu vīrusi neinficē datora atmiņu un paliek aktīvi ierobežotu laiku. Daži vīrusi RAM atstāj mazas rezidentu programmas, kas neizplata vīrusu. Šādi vīrusi tiek uzskatīti par nerezidentiem.

Kas ir "tārpu vīruss"?

Varat tālāk pielāgot šos iestatījumus atbilstoši savām tīkla vajadzībām. Ja pēc draudu novēršanas atstājat šos ierakstus nemainīgus, startējot vai lietojot datoru, iespējams, tiks parādīti kļūdu ziņojumi. Dažos gadījumos tas var neļaut lietotājam pieteikties pēc datora restartēšanas.

Sistēmas failu un programmatūras pārbaude

Noņemiet vai atjaunojiet visus apdraudējuma pievienotos reģistra ierakstus datora noklusējuma iestatījumam vai, ja iespējams, drošākam iestatījumam. Draudi var izmantot vairākus sistēmas failus, ko izmanto operētājsistēma. Tīrot datoru, pārbaudiet, vai tālāk norādītajos punktos nav redzamas modifikāciju pazīmes.

Makrovīrusus var uzskatīt par pastāvīgiem, jo ​​tie pastāvīgi atrodas datora atmiņā visu inficētā redaktora darbības laiku. Šajā gadījumā operētājsistēmas lomu uzņemas redaktors, un jēdziens "operētājsistēmas pārstartēšana" tiek interpretēts kā iziešana no redaktora.

Daudzuzdevumu veikšanā operētājsistēmas rezidenta DOS vīrusa "dzīves ilgums" var būt ierobežots arī līdz brīdim, kad tiek aizvērts inficētais DOS logs, savukārt sāknēšanas vīrusu darbība dažās operētājsistēmās ir ierobežota līdz brīdim, kad tiek instalēti OC diska draiveri.

Atjaunojiet datorus tīklā

Ja tas neietekmē tīkla funkcionalitāti, šie ieraksti, iespējams, nav nepieciešami, un jūs varat tos droši noņemt. Daži draudi ir īpaši izstrādāti pretvīrusu lietošanai programmatūra instalēta datorā. Ja tas izdosies, pretvīrusu programmatūra var nebrīdināt jūs par draudiem vai nevarēs atjaunināt tās definīcijas. Ja tas notika ar inficētu datoru, pārbaudiet pretvīrusu programmatūras integritāti un, ja nepieciešams, pārinstalējiet. Pretvīrusu programmatūra. . Ja skenēšana atkārtojas, atkārtoti pievienojiet datoru ražošanas tīklam.

STEALTH algoritmu izmantošana ļauj vīrusiem pilnībā vai daļēji paslēpties sistēmā. Visizplatītākais slepenais algoritms ir pārtvert OC lasīšanas/rakstīšanas pieprasījumus inficētiem objektiem. Tajā pašā laikā slepenie vīrusi tos vai nu uz laiku izārstē, vai to vietā “aizvieto” neinficētas informācijas daļas. Makrovīrusu gadījumā vispopulārākā metode ir makro skata izvēlnes zvanu atspējošana. Viens no pirmajiem failu stealth vīrusiem bija "Frodo", pirmais boot Stealth vīruss bija "Brain".

5. solis: Pēcoperācijas periods un recidīvu novēršana

Piezīme. Vienlaicīgi pievienojiet tikai dažus datorus, lai nodrošinātu, ka esat pareizi novērsis draudus un ka nav sekundāru simptomu.

Incidentu pārbaude un tīkla audits

Kad draudi ir novērsti, jums jāveic šādas darbības.

Pārskatiet incidentu un veiciet nepieciešamās izmaiņas iekšējos procesos un procedūrās, lai izvairītos no šāda veida uzbrukumiem nākotnē. Veiciet tīkla auditu kopā ar savu drošības komandu, lai noteiktu, kā draudi iekļuva tīklā.

  • Izpratne par draudu uzbrukuma vektoriem no 1. posma.
  • Noderēs.
  • Ieviesiet drošības pasākumus, lai novērstu citu incidentu.
Daži cilvēki uzskata, ka drošība un lietojamība ir apgriezti saistītas viena ar otru, un drošības palielināšana palielina uzdevuma izpildei nepieciešamos soļus.

PAŠKRIPTĒŠANĀS un POLIMORFIZITĀTES izmanto gandrīz visu veidu vīrusi, lai pēc iespējas sarežģītu vīrusu noteikšanas procedūru. Polimorfie vīrusi (polimorfie) ir diezgan grūti nosakāmi vīrusi, kuriem nav parakstu, t.i. nesatur nevienu nemainīgu koda daļu. Vairumā gadījumu diviem viena un tā paša polimorfā vīrusa paraugiem nebūs vienas atbilstības. Tas tiek panākts, šifrējot vīrusa galveno daļu un modificējot atšifrēšanas programmu.

Vienkārša lietošana, bet efektīvāka, var atvērt drošības caurumus, kas atvieglo draudu izplatīšanos. Tīkla vājās vietas parasti ir tās tehnoloģijas, kas padara datorus pieejamākus un lietotājam draudzīgākus. Normālos apstākļos un paraugprakses apstākļos apdraudējumi nevar atkārtoti aizsargāt aizsargāto HDD bez drošības atklāšanas draudiem. Ja tā notiek, vēlreiz pārbaudiet sistēmas konfigurāciju un drošību. Pārskatiet arī tālāk norādītās drošības ievainojamības un pārliecinieties, vai esat aizturējis vispārīgus uzbrukumus.

Vīrusos bieži tiek izmantotas dažādas NESTANDARTA TEHNIKA, lai pēc iespējas dziļāk paslēptos OC kodolā (kā to dara vīruss "3APA3A"), lai aizsargātu tā pastāvīgo kopiju no atklāšanas ("TPVO", "Trout2" vīrusi), līdz apgrūtināt vīrusa ārstēšanu (piemēram, ievietojot savu kopiju Flash-BIOS) utt.

Ieteicams
Es nevaru palikt stāvoklī: ko darīt un kādi iemesli
Augļa foto, ultraskaņa, sievietes vēdera foto un video
Augļa foto, ultraskaņa, sievietes vēdera foto un video
Labākie veidi, kā palielināt spermas kustīgumu