Что необходимо иметь для проверки наличия вредоносного программного обеспечения

Обновлено: 18.05.2024

Парень, все кто советует тебе антивирусы - полные ламеры, которые ни одного вируса в своей жизни не убили.

Для начала ставь Process Explorer - замена стандартному, убогому "диспетчеру задач".

Да, да, эта штука на столько серьезна, что её выкупила империя зла и разместила на своём официальном сайте.
В списке программ наглядно видно какая программа запустила какую и кому принадлежит.

В первую очередь обрати внимание на столбец "Company Name". В большинстве случаев будет Microsoft Corporation и другие известные компании - например программки производителя ноутбука или драйверы от видеокарт. Увидишь что-то незнакомое - лови наркомана.

Во вторую очередь обрати внимание на столбец "Description" (описание по русски) - у _всех_ приличных программ есть хоть какое-то описание из нескольких слов. Иногда даже вполне внятное. Исключения в данный момент составляют только стандартные программы из комплекта windows10 (калькулятор, смотрелка изображений и тд). Увидишь что-то еще без описания (description) - лови наркомана.

В третью очередь обрати внимание где лежат исполняемые файлы программ. Для этого попросту наведи мышкой на программу в списке и всплывающая подсказка тебе быстро покажет путь до файла программы. Хорошие программы могут лежать _только_ в папках:
C:Windows
C:Program Files
C:Program Files (x86)
и ни в каких других! Увидишь программу, которая лежит в каком-то другом месте, особенно в каком-нибудь "Temp" или где-то в "AppData" - лови наркомана.

С некоторым опыт на автомате запомнишь все куски системы и сразу будешь видеть лишнее - когда некоторые вредные программы маскируются под запчасти Microsoft Corporation и подобное и уже чуть ли не на автопилоте будешь видеть и ловить наркоманов.

Далее ставишь Autoruns .
Авторы программы те же, точно так же выкуплено M$.

Там по вкладкам:
Logon - то что загружается при входе пользователя, смотрим - всё ли нам знакомо - к незнакомым программам приглядываемся, проверяем где они лежат. Нашли что-то подозрительное - отключаем, проверяем, если что не так - ловим наркомана.

Explorer - расширения рабочего стола. Например, там часто прописываются дополнительные меню при нажатии правой кнопкой мыши или вирусня. Точно так же проверяем и ловим если что.

Internet Explorer - расширения ослика ИЕ. Шерстим, ловим.

Sheduled Tasks - задания встроенного системного планировщика windows. Там тоже очень часто вирусня заседает. Очень уж удобный инструмент. Задания можно настроить на выполнение по разным событиям. Например - убил ты вирус, задание тут же (или завтра или при следующей перезагрузке или еще как-то) запускается и ставит вирус по новой. Так что это дерьмо следует тщательно проверить. Всё незнакомое и/или подозрительное выключить. Благо если ошибёмся - можно включить обратно любой пункт в Autoruns.

Services - те же самые Службы что можно проверить и в windows, но тут с преферансом и мадемуазелями.

"Boot Executable" и "Image Hijacks" - в идеале должны быть пустыми.

Теперь немножко о способах ловли наркомана.
Видите наркомана в Process Explorer? В первую очередь не надо пытаться его убить. Любой сносный вирус это поймёт и начнёт противодействовать - например как минимум запускаться снова. Вместо убийства, нажмите правой кнопкой мыши и выберите Suspend (приостановить - по русски). Процесс окажется как бы запущен но на паузе и соответственно ничего не сможет сделать. Далее открываем его свойства (Properties) через ПКМ или двойной щелчок. Смотрим: где эта сволочь живёт и от чьего имени запущена (система, пользователь или еще чего) (закладка Image) и куда он лезет в сети (закладка TCP/IP). С этой информацией мы уже практически оседлали бяку.

Далее можно запретить обращения к адресам куда лезет вирусня и навести геноцид в папке его обитания на вашем компе. Если папка не какая-то рандомная, а вирус всегда появляется в одной и тоже папке, то можно её не удалять. Вместо удаления папки, удаляем её содержимое, потом в свойствах папки делаем "только чтение ". А теперь нам нужна информация - от чьего имени был запущен вирус, например от имени "СИСТЕМА" (системный суперпользователь). В настройках прав доступа к папке, запрещаем пользователю СИСТЕМА любые действия с папкой как-то запись или чтение. На себя любимого эти права на всякий случай оставляем. PROFIT. Даже если вирус запустится - он не сможет себя сохранить в привычном месте и жестоко обломится.

В общем устал я писать, и так более чем достаточное руководство расписал. Удачи в поисках наркоманов!

Вредоносным программным обеспечением называют, любое приложение или скрипт, который предназначен, чтобы сломать защиту нашего компьютера, для его повреждения или кражи данных. Очень часто мы сталкиваемся с действиями, осуществляемыми преступными создателями такого программного обеспечения. Есть также случаи, когда авторы вредоносных программ хотят просто продемонстрировать дыры в безопасности. Но сейчас это редкость.

Ниже мы ознакомим Вас с наиболее распространенными видами угроз.

Вредоносное программное обеспечение может относиться к следующим типам угроз:

Рекламное

Получает информацию об активности пользователя в сети, для того, чтобы показывать объявления, которые могут его заинтересовать.

В случае "скрытых" модулей, "adware" часто соединяются с другими вредоносными кодами, как, например, модуль-шпион, предоставляющих авторам приложений много информации о пользователе – в основном IP-адрес, операционную систему, браузер, а иногда и страницы, к которым подключается пользователь.

Программы-шпионы

Это программное обеспечение, которое шпионит за пользователем и собирает любую информацию о нем, конечно, без его ведома и согласия.

Эта информация очень часто передается на автора программы и может касаться, в частности:

• адресов веб-сайтов, посещаемых пользователем

• номеров платежных карт

• интересов пользователя (например, на основе введенных слов в окне поиска)

• адресов электронной почты

Об их дальнейшем использовании, не надо, наверное, больше писать.

Это программы, выполняющие определенную функцию, которая выполняется автоматически на компьютере пользователя.

Некоторые сети типа "бот" могут включать в себя несколько сотен или несколько тысяч компьютеров, в то время как другие располагают сотнями тысячами компьютеров (именуемые на жаргоне IT - "зомби"). Компьютеры могут быть заражены вирусом без ведома владельцев. В течении многих месяцев бот может находиться "в режиме сна", чтобы в один прекрасный день, после получения внешней команды активизироваться и начать выполнять вредоносную операцию (это может быть, например, рассылка СПАМА, вирусов, кражи персональных данных и т. д.).

Вымогатели

Программное обеспечение, используемое в интернете для вымогания денег.

Руткиты

Это программное обеспечение, которое незаметно изменяет операционную систему и открывает удаленный доступ или контроль над компьютером.

Руткит заражает ядро и устанавливает запутывание программы, из списка процессов и файлов, возвращаемых программам. Он может, например, скрыть себя и троянского коня от администратора и антивирусного программного обеспечения. Скрытие осуществляется чаще всего на приобретение отдельных функций операционной системы, предназначенных, например для листинга процессов или файлов в каталоге, а затем скрывают rootkit, что бы имени не было в списке результатов. Обнаружение руткита - в инфицированной системе крайне сложно, поскольку rootkit способен контролировать работу даже инструментов, специализированных для его обнаружения и обмануть их так, чтобы они ошибочно сообщали пользователю, что система чистая.

Троян

Это очень вредоносные программы, не отличающиеся внешним видом от обычных файлов.

Trojan может притвориться невинным приложением, допустим отображением забавных анимаций. В фоновом режиме выполняет вредоносные действия, например, открывает порт, через который может быть осуществлена атака из Интернета. Такое название программы произошло от мифического коня, который был построен во время троянской войны. Термин троянский конь является синонимом обмана и также на этом основан эффект этой программы. Бессознательный ничего не подозревающий пользователь устанавливает, казалось бы, невинное приложение в системе и, тем самым, открывает неограниченный доступ к ресурсам своего компьютера. Автор такой программы получает возможность просматривать содержимое дисков компьютера и извлекать необходимые ему данные, и даже удалять их. Те же Трояны способны эффективно отключать антивирусную защиту, что может привести к еще большему количеству вредоносных программ в ПК. Программа, помимо прочего, может притворяться текстовым редактором, а на самом деле она может форматировать жесткий диск.

Вирусы

Это фрагмент кода склеивающий разные файлы без ведома пользователя при запуске зараженного приложения.

Защиту от этого типа вредителей составляют брандмауэры и антивирусные программы.

Черви

Это тип вируса, средой которого является Интернет.

Программа может самостоятельно размножаться исключительно в сети, например, с помощью электронной почты или связи peer-to-peer (P2P). После попадания в компьютер, червь внедряется в систему и через сеть пытается дальше распространяться. Черви заражают компьютеры и замедляют систему через использование его ресурсов для создания своих копий.

Эффективным методом борьбы, с такого рода программами, являются сайты плотины, которые обнаруживают активность червей в момент попытки установления соединения с другими компьютерами, подключенными к сети.

Как избежать вредоносного программного обеспечения?

Несмотря на то, что лучшим способом защиты от вредоносных программ являются антивирусы, следует иметь в виду, что есть несколько других способов, которые могут защитить Ваш компьютер.

Вот несколько советов, которые мы рекомендуем использовать:

1. Обновить полностью свое программное обеспечение. Это касается и операционной системы, антивирус (обновляется автоматически), а также приложения, такие как ваш веб-браузер или система WordPress. Если вы получаете какие-либо уведомление об обновлении, не игнорируйте его!

Одна из наиболее часто совершаемых ошибок - это откладывание обновления „на потом”. Помните, что хакеры также внимательно следят за информацией об обнаруженных люках и в полной мере используют их. Отсутствие регулярного обновления, это как приглашение для всеобщего обозрения своих данных.

3. Будьте осторожны на файлы P2P (peer to peer) в сети. Вы можете загрузить много полезных программ, но нужно помнить, что кряки и keygen’ы (программы, которые создают ключ или лицензию, исключая необходимость приобретения оригинального программного обеспечения), очень часто заражены. Пиратские программы и приложения, часто не чистые. Загрузка файлов с помощью P2P-клиента подвергает Вас большой опасности.

Вы всегда должны быть осторожны, просматривая сеть или загружая новое программное обеспечение на ваш компьютер. Помните, что ни один антивирус не является "пропуском" для беззаботного пользования интернетом и для большей безопасности, он должен быть использован в сочетании с вышеуказанными рекомендациями.

Клавиатурный шпион (keylogger) – это устройство или программа со способностью регистрировать нажатия клавиш на клавиатуре, нажатие и движение мыши и т.д.

Подумать только, любая информация, которая вводится через клавиатуру и компьютерную мышь – может стать известной злоумышленнику, в том числе пароли к посещаемым сайтам, данные банковских карт и даже личная переписка, которая даёт огромный простор для социальной инженерии.

Обнаружить подобное вторжение можно через методы, включающие в себя поиск аномалий, т.е. мониторинг компьютерной системы пользователя на предмет аномальных изменений при отображении веб-страницы. Иной путь – использовать среду выполнения, позволяющей работать с JavaScript и отслеживать его поведение во время исполнения. Средства обеспечения безопасности, в т.ч. антивирусы, могут совмещать разнообразные методы обнаружения шпионского ПО, используя наработанные базы данных с множеством сигнатур для сопоставления шаблонов вредоносных скриптов. Однако методы обфускации (запутывания кода) позволяют избегать обнаружения шпионов защитной программой.

Что может сделать обычный пользователь, чтобы предотвратить такие попутные загрузки, спросите вы?

Конечно, можно сказать про то, что нужно заходить только на проверенные и надежные сайты, избегать всплывающие окна, регулярно обновлять веб-браузеры и антивирусы, что не стоит нажимать на всё, что попадается в сети. Но если приходится посещать много разнообразных веб-сайтов? Искать информацию где только можно и где нельзя? Тогда, один из наиболее простых вариантов – использование блокировщика сценариев, например, NoScript. Это бесплатное расширение для веб-браузеров на базе Mozilla и Google Chrome. Оно позволяет отключать все сценарии (скрипты) на посещаемом сайте, а после выборочно включить нужные. Это не только поможет избежать вредоносных программ, в т.ч. шпионов, но и в дальнейшем сэкономит время и трафик, позволяя не загружать сценарии (например, таргетированную рекламу), которые собирают личные данные пользователя.

Другой популярный способ завести себе личного шпиона – это загрузить условно бесплатное ПО, peer-to-peer приложения, online игры, скачивать игры, фильмы, музыку с непроверенных источников, в т.ч. торрентов. Не надо так. 😐

Вернемся к нашим баранам! На каких принципах работают клавиатурные шпионы?

Одни шпионы могут использовать перехватывающие механизмы, например, функцию Windows API SetWindowsHookEx(), позволяющую следить за логом о нажатии клавиш клавиатуры. Кстати говоря, данная функция может перехватывать даже самозаполняющиеся пароли.

Другие шпионы могут располагаться на уровне ядра вводного устройства и получать всю информацию напрямую, заменяя собой основное программное обеспечение. Невидимый и начинающий свою работу ещё на этапе загрузки системы кейлоггер, но не перехватывающий самозаполняющиеся пароли.

Есть ещё аппаратные шпионы, которые представляют собой миниатюрные устройства, находящиеся между устройством ввода и самим компьютером. Для профилактики достаточно регулярно осматривать свой ПК и не покупать с рук устройства ввода, т.к. есть вероятность, что те имеют недокументированный функционал.

Итак, мы знаем, что собой представляют клавиатурные шпионы, знаем, что делать, чтоб свести риск проникновения шпиона к минимуму. Но если он уже проник в систему?

Особенность шпионского ПО в том, что его сигнатуры отличаются от вирусных, и антивирусы принимают кейлоггеры за обычную программу. Для проверки системы и удаления шпионов можно использовать такие продукты как:

IObit Malware Fighter, Ad-Ware, Emsisoft Anti-Malware и Microsoft Defender.

Последний – встроенное программное обеспечение по умолчанию для Windows.

Ниже инструкция как его запустить, если вы подозреваете, что на вашем компьютере есть вредоносное ПО, которое не обнаружили другие средства обеспечения безопасности:

Принимая превентивные меры и проводя регулярно профилактику с помощью средств безопасности, мы снижаем риски, связанные с вредоносным ПО, до разумного уровня. Однако при вводе чувствительных данных рекомендуется не использовать клавиатуру. Как вариант — использовать виртуальную клавиатуру или голосовой ввод. Стоит помнить, что большинство интернет угроз рассчитаны на массовых пользователей. При использовании Windows и Internet Explorer риски получить нежелательное ПО намного выше, чем при использовании систем Linux или Mac OS с нестандартными браузерами.

Поэтому при выборе вычислительной техники и используемых программных инструментов стоит руководствоваться не только критериями цены, технических характеристик и удобства, но и критериями кибербезопасности.

ГОСУДАРСТВЕННЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

ИСПЫТАНИЯ ПРОГРАММНЫХ СРЕДСТВ НА НАЛИЧИЕ КОМПЬЮТЕРНЫХ ВИРУСОВ

Information security. Software testing for the existence of computer viruses. The sample manual

ОКС 35.080
ОКСТУ 4002

Дата введения 1999-07-01

Предисловие

1 РАЗРАБОТАН И ВНЕСЕН 27 Центральным научно-исследовательским институтом Министерства обороны Российской Федерации (27 ЦНИИ МО РФ) и Научно-консультационным центром по созданию и применению информационных технологий (НКЦ "ЦНИИКА-СПИН")

2 ПРИНЯТ И ВВЕДЕН В ДЕЙСТВИЕ Постановлением Госстандарта России от 14 июля 1998 г. N 295

3 ВВЕДЕН ВПЕРВЫЕ

4 ПЕРЕИЗДАНИЕ. Август 2003 г.

1 ОБЛАСТЬ ПРИМЕНЕНИЯ

1.1 Настоящий стандарт распространяется на испытания программных средств (ПС) и их компонентов, цели которых - обнаружить в этих ПС и устранить из них компьютерные вирусы (KB) силами специальных предприятий (подразделений), и устанавливает общие требования к организации и проведению таких испытаний.

1.2 Требования, установленные настоящим стандартом, направлены на обеспечение специальной обработки ПС в целях выявления KB, а также на устранение последствий, вызванных возможными воздействиями KB на операционные системы, системные и пользовательские файлы с программами и данными, начальные секторы магнитных дисков, таблицы размещения файлов и др.

1.3 Настоящий стандарт устанавливает типовые требования, предъявляемые к испытаниям ПС на наличие KB, в том числе:

- к составу мероприятий по подготовке и проведению испытаний;

- к составу, структуре и назначению основных частей программно-аппаратного стенда, обеспечивающего проведение испытаний;

- к выбору и использованию методов проведения испытаний;

- к тестовым (антивирусным) программам, обнаруживающим и уничтожающим KB;

- к составу и содержанию документации, фиксирующей порядок проведения испытаний и их результаты.

1.4 Настоящий стандарт предназначен для применения в испытательных лабораториях, проводящих сертификационные испытания ПС на выполнение требований защиты информации.

2 НОРМАТИВНЫЕ ССЫЛКИ

В настоящем стандарте использована ссылка на следующий стандарт:

ГОСТ 19.301-79 Единая система программной документации Программа и методика испытаний. Требования к содержанию и оформлению .

3 ОПРЕДЕЛЕНИЯ И СОКРАЩЕНИЯ

В настоящем стандарте применены следующие термины с соответствующими определениями:

Защита программных средств - организационные, правовые, технические и технологические меры, направленные на предотвращение возможных несанкционированных действий по отношению к программным средствам и устранение последствий этих действий.

Сертификация - действия третьей стороны, цель которых - подтвердить (с помощью сертификата соответствия) то, что изделие (в том числе программное средство) или услуга соответствует определенным стандартам или другим нормативным документам.

Профилактика - систематические действия эксплуатационного персонала, цель которых - выявить и устранить неблагоприятные изменения в свойствах и характеристиках используемых программных средств, в частности проверить эксплуатируемые, хранимые и (или) вновь полученные программные средства на наличие компьютерных вирусов.

Ревизия - проверка вновь полученных программ специальными средствами, проводимая путем их запуска в контролируемой среде.

Несанкционированный доступ к программным средствам - доступ к программам, записанным в памяти ЭВМ или на машинном носителе, а также отраженным в документации на эти программы, осуществленный с нарушением установленных правил.

Вакцинирование - обработка файлов, дисков, каталогов, проводимая с применением специальных программ, создающих условия, подобные тем, которые создаются определенным компьютерным вирусом, и затрудняющих повторное его появление.

Компьютерный вирус - программа, способная создавать свои копии (необязательно совпадающие с оригиналом) и внедрять их в файлы, системные области компьютера, компьютерных сетей, а также осуществлять иные деструктивные действия. При этом копии сохраняют способность дальнейшего распространения. Компьютерный вирус относится к вредоносным программам.

В настоящем стандарте приняты следующие сокращения:

- ПС - программные средства.

- KB - компьютерные вирусы.

- ПЭВМ - персональная электронно-вычислительная машина (персональный компьютер).

- ЭВМ - электронно-вычислительная машина.

4 ПОРЯДОК ПРОВЕДЕНИЯ ИСПЫТАНИЙ ПРОГРАММНЫХ СРЕДСТВ НА НАЛИЧИЕ КОМПЬЮТЕРНЫХ ВИРУСОВ

4.1 Испытания ПС на наличие KB следует проводить на специально оборудованном программно-аппаратном испытательном стенде, в составе которого должны быть необходимые технические и программные средства, в том числе антивирусные программы.

4.2 Предприятие [подразделение (далее - организация)], проводящее проверку ПС на наличие KB, должно поддерживать испытательный стенд в работоспособном состоянии и не допускать проникновения KB в программы и данные до начала проведения испытаний.

4.3 Организация, проводящая проверку ПС на наличие KB, должна определить и зафиксировать в программе испытаний цель и объем испытаний, а также свои обязательства, касающиеся мер защиты проверяемых ПС от их заражения KB с учетом требований ГОСТ 19.301.

4.4 Меры по защите проверяемых ПС от заражения KB могут включать в себя:

- разработку и выполнение комплекса мероприятий по профилактике, ревизии и вакцинированию используемых ПС;

- подготовку должностных лиц, отвечающих за проведение испытаний ПС;

- разработку и выбор способов применения программно-технических средств для обнаружения KB в ПС;

- взаимодействие организаций, заказывающих и проводящих испытания ПС;

- контроль за проведением испытаний ПС;

- оценку эффективности применяемых антивирусных средств;

- совершенствование системы мероприятий по защите ПС от KB на основе современных достижений информационной технологии;

- установление административной ответственности должностных лиц за выполнение требований защиты ПС от KB;

- назначение ответственных должностных лиц и определение их полномочий, относящихся к организации и проведению мероприятий по защите ПС от КВ.

4.5 Организация, выполняющая проверку ПС на наличие KB, должна обеспечить весь процесс проверки необходимыми вычислительными техническими и программными средствами, а также назначить специально обученных сотрудников для проведения испытаний.

4.6 Организация, выполняющая проверку ПС на наличие KB, должна назначить постоянного представителя, который получает определенные полномочия и несет постоянную ответственность за выполнение требований, установленных настоящим стандартом.

4.7 В состав технических средств испытательного стенда должны входить:

- необходимые элементы телекоммуникационных сетей;

4.8 Конкретный набор технических компонентов испытательного стенда должен быть таким, чтобы были обеспечены условия воспроизведения всех необходимых внешних воздействий на ПС в процессе проведения испытаний.

Перед началом испытаний состав технических средств, используемых для проведения проверок ПС на наличие KB, должен быть согласован с организацией, заказывающей эти проверки. При этом согласование должно быть оформлено соответствующим актом.

4.9 Наряду с компонентами, указанными в 4.7, в состав испытательного стенда могут входить соответствующие аппаратные антивирусные средства. К ним относятся:

- компьютеры специальной конструкции, благодаря которой несанкционированный доступ к данным и заражение файлов KB могут быть существенно затруднены;

- специальные платы, подключаемые к одному из разъемов ПЭВМ и выполняющие те или иные функции защиты информации;

- электронные ключи защиты информации, главным достоинством которых является их многофункциональность.

4.10 Состав и функциональное назначение программных средств испытательного стенда определяются системой защиты, применяемой при проведении испытаний ПС на наличие КВ.

4.11 Программные средства, входящие в состав испытательного стенда, должны обеспечивать:

- регулярное ведение архивов измененных файлов;

- контрольную проверку соответствия длины и значения контрольных сумм, указываемых в сертификате и полученных программах;

- систематическое обнуление первых трех байтов сектора начальной загрузки на полученных несистемных дискетах;

- другие виды контроля целостности программ перед считыванием с дискеты;

- проверку программ на наличие известных видов KB;

- обнаружение попыток несанкционированного доступа к испытательным (инструментальным) и (или) испытуемым программам и данным;

- вакцинирование файлов, дисков, каталогов с использованием резидентных программ-вакцин, создающих при функционировании условия для обнаружения KB данного вида;

- автоконтроль целостности программ перед их запуском;

- удаление обнаруженного KB из зараженных программ или данных и восстановление их первоначального состояния.

4.12 Состав программных средств, используемых при проведении испытаний по просьбе заказчика, должен быть документально оформлен в соответствии с требованиями заказчика.

4.13 Сроки проведения испытаний должны быть установлены в программе и методике испытаний по договоренности между заказчиком и организацией, проводящей испытания.

4.14 Проверяемые ПС должны быть переданы для испытаний на магнитных носителях (дискетах) вместе с документацией.

4.15 Состав работ по подготовке и проведению испытаний ПС на наличие КВ в общем случае следующий:

- ознакомление с документацией на ПС;

- выбор методов проверки ПС на наличие KB;

- определение конфигурации программных и аппаратных средств испытательного стенда;

- подготовка программно-аппаратного испытательного стенда к проведению испытаний;

- организация и проведение испытаний;

- оформление протокола проверки ПС и его передача в орган по сертификации в соответствии с 6.2 настоящего стандарта;

- передача заказчику проверенных ПС на магнитных носителях (дискетах);

- установление по согласованию с заказчиком правил (порядка) гарантийного сопровождения проверенных ПС.

4.16 Проверка ПС на наличие KB в общем случае включает в себя:

- поиск вирусоподобных фрагментов кодов ПС;

- моделирование ситуаций, предположительно способных вызвать активизацию KB;

- анализ особенностей взаимодействия компонентов ПС с окружающей операционной средой;

Читайте также: