Сетевые вирусы сообщение. Вирусы и их классификация. OBJ-, LIB-вирусы и вирусы в исходных текстах

Программы

Сетевые вирусы – это чрезвычайная опасность со стороны локальных сетей и Интернета включительно. Вирусы, проникая на компьютер через сеть, могут привести не только к повреждению важной информации, но и самой системы в целом. Сетевые вирусы для распространения используют возможности и протоколы глобальных и локальных сетей. Самым главным принципом работы такого вируса является уникальная возможность передать свой код без сторонней помощи на рабочую станцию или удаленный сервер. Большинство сетевых вирусов, кроме возможности самостоятельно проникать через сеть на удаленные компьютеры, могут там же запустить на выполнение свой программный код, или, в некоторых случаях, немного «подтолкнуть» пользователя, что бы тот запустил инфицированный файл.

Шаг 1: Определение векторов угрозы и атак

Узнайте, как реагировать на активные угрозы безопасности в сети, или просмотреть удаление вирусов и устранить неполадки в передовой практике. Ответ на угрозы и вирусную инфекцию включает следующее. Чтобы сдерживать и устранять угрозу, вы должны знать все угрозы, которые присутствуют на компьютере, и какие угрозы были разработаны. Вы также должны понимать, какие методы используют для распространения по всей сети.

Вы идентифицировали зараженные или подозрительные файлы

Чтобы определить угрозы, следуйте инструкциям в соответствии с условиями, которые применяются, в зависимости от того, были ли вы идентифицированы зараженные или подозрительные файлы.

Настройте автоматическую защиту, чтобы разрешить сетевое сканирование

Защита конечных точек не обнаруживает угрозы, и вам необходимо определить, какие файлы заражены, если они есть.

Многие думают, что сетевым является абсолютно любой вирус, который распространяется в компьютерной сети. Но если следовать такому утверждению, то практически все современные вирусы были бы сетевыми. Ведь самый обычный нерезидентный вирус во время заражения файлов абсолютно не разбирается – локальный это диск или сетевой (удаленный). Как результат, этот вирус будет заражать файлы в пределах сети, но при этом он не будет являться сетевым вирусом.

Эвристика

Сетевое сканирование - настройка автоматической защиты для сетевого сканирования

Определение зараженных компьютеров. Как только вы определили угрозу, вы должны определить, заражены ли другие компьютеры. Обновлять определения вирусов с помощью файла подписи, который определяет вариант угрозы.

Карантин зараженных компьютеров

После того, как вы определили угрозу и понимаете, как распространяется угроза, вам необходимо предотвратить распространение угрозы по сети.

Удаление зараженного компьютера из сети

Крайне важно удалить удаленный компьютер из сети или добавить его в «сеть карантина». В противном случае угроза будет распространяться, поскольку она заражает другие компьютеры в сети. Физически отключите сетевой кабель от зараженного компьютера и отключите все беспроводные соединения.

Многие пользователи встречались с названиями сетевой червь. Это одни из самых популярных сетевых вирусов, появились они в далеком 1980 году. Для своего распространения такие вирусы использовали различные недокументированные функции и ошибки глобальных сетей – они передавали свои зараженные копии с сервера на сервер и по прибытию запускали их на выполнение.

Перенос зараженного компьютера в сеть карантина

В некоторых случаях уязвимый компьютер является критическим и не может быть изолирован от сети. В некоторых случаях, в зависимости от инфекции, их можно изолировать в так называемых карантинных сетях с некоторым ограниченным доступом к сети. Естественно, это работает только в тех случаях, когда деятельность угрозы не совпадает с функциями, которые необходимы компрометированному компьютеру.

Сама карантинная сеть представляет собой тщательно настроенную подсеть, предназначенную для ограничения трафика, который угроза должна распространяться на другие компьютеры. Это позволит зараженному компьютеру использовать ограниченную форму использования.

В прошлом, сетевые вирусы распространялись в сети и, обычно, так же как и компаньон-вирусы, во время заражения не изменяли сектора или файлы на дисках. Сетевые вирусы проникали в память компьютера из сети. По прибытию они моментально вычисляли сетевые адреса остальных компьютеров и моментально рассылали по найденным адресам свои копии. Иногда эти вирусы одновременно создавали на дисках системы рабочие файлы, но так же могли не обращаться вообще к системным ресурсам компьютера (оперативная память является исключением из правил).

Если удаление из сети или карантина невозможно

Из-за необходимости бизнеса вы можете не подвергать карантин некоторым зараженным системам или удалять их из сети. Вам может потребоваться настроить специальные правила, чтобы они могли функционировать в пределах своей текущей подсети и все еще препятствовали распространению угрозы. Это может включать любую комбинацию следующих действий в зависимости от вектора атаки, используемого угрозой.

Очистка зараженных компьютеров

Осторожно: это действие несет в себе высокую степень риска. Серьезно оцените риск, прежде чем следовать этим шагам. Требовать от пользователей повторной аутентификации при подключении к файловым серверам.

  • Закройте все открытые акции.
  • Сделать исполняемые файлы на сетевых дисках только для чтения.
С угрозой, изолированной от отдельных компьютеров, вы можете удалить угрозу и отменить ее побочные эффекты. Когда вы выполните шаги, описанные в этом разделе, вы должны оценить следующее.

После громадных затрат, вызванных несколькими сетевыми вирусами, всевозможные ошибки в программном обеспечении и сетевых протоколах были исправлены, а так называемые «задние двери» надежно закрыты. Как результат таких действий – за последние несколько лет их активность спала. Так же за этот период не было зафиксировано ни единого случая успешной атаки сетевым вирусом. Так же нужно отметить, что за этот период не появилось ни одного нового сетевого вируса.

Является ли более эффективным с точки зрения затрат свежеперерабатывать или переустанавливать скомпрометированный компьютер? Можете ли вы легко удалить угрозу с компьютера, запустив антивирусную проверку или требуемые дополнительные задачи?

  • Угрозили ли какие-либо системные изменения на зараженных компьютерах?
  • Если да, то должны ли вы отменить эти изменения?
  • Когда можно безопасно добавить компьютеры в сеть?
Прежде чем приступать к дезинфекции скомпрометированного компьютера, важно учитывать уровень компрометации при наличии бэкдора или руткита.

Вновь актуальной проблемой атак сетевых вирусов стала в начале 1997-го года. Именно тогда появился «Win.Homer» и «Macro.Word.ShareFun». Последний из них использует все современные возможности электронной почты под названием Microsoft Mail. Этот вирус создает новое письмо, в состав которого входит сам код вируса, а результатом является файл-документ. После этого он выбирает из доступного списка адресов программы MS-Mail три абсолютно случайных адреса и после этого рассылает по ним только что созданное зараженное письмо. Сегодня очень много пользователей устанавливают параметры MS-Mail таким образом, что запуск MS Word происходит в автоматическом режиме, при получении письма. Таким образом, вирус в автоматическом режиме внедряется в компьютер. После чего он выполняет то, что заложено у него в исходном коде.

Пути распространения вирусов

Эти подклассы вредоносного кода позволяют разработчикам угроз получать доступ и скрывать свои вредоносные файлы и действия. В обоих случаях определение степени ущерба, нанесенного компьютеру, является трудным и может увеличить сложность удаления всех вредоносных функций с компьютера. В таких обстоятельствах часто требуется меньше времени для повторной обработки операционной системы и восстановления необходимых данных из чистых резервных копий.

Чтобы удалить вредоносные файлы с компьютера, вы должны остановить любые процессы, используемые угрозой. Для этого есть три основных варианта. Вы можете вручную запустить сканирование, скорее всего, самый простой вариант, который должен останавливать и обнаруживать вредоносные процессы при сканировании компьютера.

  • Антивирусное сканирование.
  • Затем вы можете вручную удалить вредоносные файлы или запустить сканирование.
Самый простой способ удалить угрозу с компьютера - запустить полное сканирование системы на зараженном компьютере.

Этот вирус ярко демонстрирует первый тип сетевого вируса нашего времени, который объединяет в себе все возможности встроенного в редакторы Excel и Word языка Basic, все особенности и главные протоколы электронной почты и специальные функции авто-запуска, которые крайне необходимы для последующего распространения самого вируса.

В отличии от первого, вирус «Homer» для своего распространения использует протокол под названием FTP и передает свою зараженную копию в каталог Incoming на удаленный ftp-сервер. Так как сетевой протокол FTP полностью исключает возможность автоматического запуска файла на удаленном сервере, то Homer можно назвать как «полу-сетевой».

При установлении последних определений сканирование должно удалять угрозу в большинстве случаев без инцидентов. Если угроза является червем или трояном, вы можете вручную удалить файлы. Предостережение: не пытайтесь вручную удалять файлы-инфицированные; невозможно определить, какие файлы заражены, а какие нет. Добавленная сложность угроз позволяет игнорировать что-то при попытке вручную удалить.

Восстановить изменения, сделанные угрозой

Угрозы могут сделать несколько изменений на компьютере в дополнение к установке файлов. Угрозы также могут снизить параметры безопасности и уменьшить функциональные возможности системы, основанные на изменениях конфигурации компьютера. В некоторых случаях вам необходимо подтвердить настройки или восстановить их вручную после устранения угрозы.

Среди особенностей алгоритма работы вирусов выделяются следующие пункты:

Резидентность;

Использование стелс-алгоритмов;

Самошифрование и полиморфичность;

Использование нестандартных приемов.

РЕЗИДЕНТНЫЙ вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращения операционной системы к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения компьютера или перезагрузки операционной системы. Нерезидентные вирусы не заражают память компьютера и сохраняют активность ограниченное время. Некоторые вирусы оставляют в оперативной памяти небольшие резидентные программы, которые не распространяют вирус. Такие вирусы считаются нерезидентными.

Что такое «вирус-червь»?

Вы можете дополнительно настроить эти параметры в соответствии с потребностями сети. Если оставить эти записи без изменений после устранения угрозы, могут возникнуть сообщения об ошибках при загрузке компьютера или при использовании компьютера. В некоторых случаях это может помешать пользователю войти в систему после перезагрузки компьютера.

Проверка системных файлов и программного обеспечения

Удалите или восстановите любые элементы реестра, добавленные угрозой, к настройке по умолчанию компьютера или, если возможно, к более безопасному параметру. Угрозы могут использовать несколько системных файлов, используемых операционной системой. При чистке компьютера проверьте следующие элементы для признаков модификации.

Резидентными можно считать макро-вирусы, посколько они постоянно присутствуют в памяти компьютера на все время работы зараженного редактора. При этом роль операционной системы берет на себя редактор, а понятие "перезагрузка операционной системы" трактуется как выход из редактора.

В многозадачных операционных системах время "жизни" резидентного DOS-вируса также может быть ограничено моментом закрытия зараженного DOS-окна, а активность загрузочных вирусов в некоторых операционных системах ограничивается моментом инсталляции дисковых драйверов OC.

Восстановить компьютеры в сети

Если это не влияет на функциональность сети, эти записи, вероятно, не нужны, и вы можете безопасно их удалить. Некоторые угрозы специально предназначены для антивирусного программного обеспечения, установленного на компьютере. В случае успеха это может привести к тому, что антивирусное программное обеспечение не будет предупреждать об угрозе или не сможет обновить свои определения. Если это произошло с зараженным компьютером, проверьте целостность антивирусного программного обеспечения и при необходимости переустановите. Антивирусное программное обеспечение. . Если сканирование возвращается обратно, снова подключите компьютер к производственной сети.

Использование СТЕЛС-алгоритмов позволяет вирусам полностью или частично скрыть себя в системе. Наиболее распространенным стелс-алгоритмом является перехват запросов OC на чтение/запись зараженных объектов. Стелс-вирусы при этом либо временно лечат их, либо "подставляют" вместо себя незараженные участки информации. В случае макро-вирусов наиболее популярный способ - запрет вызовов меню просмотра макросов. Один из первых файловых стелс-вирусов - вирус "Frodo ", первый загрузочный стелс-вирус - "Brain".

Шаг 5: Послеоперационный период и предотвращение повторения

Примечание. Подключите только несколько компьютеров одновременно, чтобы убедиться, что вы правильно устранили угрозу и что никаких вторичных симптомов не представлено.

Обзор инцидентов и сетевой аудит

После устранения угрозы вы должны выполнить следующее.

Просмотрите инцидент и внесите необходимые изменения во внутренние процессы и процедуры, чтобы избежать этого типа атаки в будущем. Выполните сетевой аудит с вашей командой безопасности, чтобы определить, как угроза проникла в сеть.

  • Понимание векторов атаки угроз со стадии 1.
  • Пригодится.
  • Внедрите меры безопасности, чтобы предотвратить другой инцидент.
Некоторые люди считают, что безопасность и удобство использования обратно пропорциональны друг другу, а повышение безопасности увеличивает шаги, необходимые для выполнения задачи.

САМОШИФРОВАНИЕ и ПОЛИМОРФИЧНОСТЬ используются практически всеми типами вирусов для того, чтобы максимально усложнить процедуру детектирования вируса. Полиморфик-вирусы (polymorphic ) - это достаточно труднообнаружимые вирусы, не имеющие сигнатур, т.е. не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик-вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика.

Простота использования, но более эффективная, может открывать дыры в безопасности, которые облегчают распространение угроз. Слабыми точками в сети обычно являются те технологии, которые делают компьютеры более доступными и удобными для пользователя. При нормальных обстоятельствах и передовой практике угрозы не могут повторно защитить защищенный жесткий диск без обеспечения безопасности, обнаруживающего угрозу. Если это произойдет, повторите проверку конфигурации системы и безопасности. Кроме того, просмотрите следующие уязвимые места безопасности и убедитесь, что у вас есть закрытые общие атаки.

Различные НЕСТАНДАРТНЫЕ ПРИЕМЫ часто используются в вирусах для того, чтобы как можно глубже спрятать себя в ядре OC (как это делает вирус "3APA3A"), защитить от обнаружения свою резидентную копию (вирусы "TPVO", "Trout2"), затруднить лечение от вируса (например, поместив свою копию в Flash-BIOS) и т.д.

Рекомендуем
Запеканка из кабачков и картофеля Запеканка с кабачком картошкой и овощами
Преподобный Амфилохий Почаевский – «Знаете, что это за человек?
Самые сильные молитвы Богородице: о зачатии здорового ребёнка и желанной беременности
Советы о сохранении жареных грибов на зиму