www.aip.vsau.ru
 
   
   
Сделать стартовой ¦ Добавить в избранное
 
     
  Логин :  
  Пароль :  
   
  Напомнить пароль?
 
aip@vsau.ru
 
  Расширенный поиск
 
  Навигация по сайту  
 
   
 
  А ты пишешь новости в АиП?  
  Наш опрос  
 
Нужен ли студентам форум на сайте АиП?

да
да, если он будет модерироваться и поддерживаться
нет, он превратится в помойку
нет, пока администрация факультета и ВУЗа не начнет в нем отвечать на вопросы
не имеет смысла его создавать

 
  О нас  
  Газета была создана в 2000 году и уже на протяжении десяти лет стабильно работает, во время сдавая выпуски и доставляя удовольствие обширной аудитории, а точнее всему экономическому факультету.  
  Календарь статей  
«    Октябрь 2021    »
ПнВтСрЧтПтСбВс
 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
   
fh

aprofkom

   
Ориентир на безопасность. Изучаем логику преступника
Глобально » Виртуальная реальность
 
altПроблема безопасности компьютеров всегда стола остро. Даже при отсутствии сети Интернет хакеры находили всевозможные обходные пути распространения своих творений. Хотя масштабы атак были не столь велики, как в наше время, все же имело место такое явление как «вирусописание». Порождение вредоносного ПО, повлекло за собой создание антивирусных программ, и в дальнейшем превратив этот сектор в наиболее прибыльный в софтовом классе. В этой статье мы расскажем о борьбе с некоторыми уязвимостями, а также рассмотрим правильное удаление антивирусов.

Итак, все по порядку…

Самый первый зафиксированный компьютерный вирус, который увидело человечество в 1982 году, был - Elk Cloner. Его придумал 15-ти летний школьник из Питтсбурга. Вирус заражал дискеты, вследствие чего, жертвами юного «вирусолога» стали его одноклассники и учитель информатики. Пятнадцатилетний школьник открыл эру киберпреступности. Но он даже не мог предположить, что через 27 лет она достигнет весьма внушительных масштабов.

Сейчас хакеры не только заражают машины пользователей, но также с помощью вредоносных программ воруют конфиденциальные данные. Подделка пластиковых банковских карт, продажа паспортов считается в сети обычным делом и доходы от этого черного бизнеса весьма внушительны. В Интернете существует огромное множество сайтов, на которых пользователю подробно расскажут, как написать своего червя или создать трояна. А также помимо этого продадут все, что необходимо для отмыва заработанных денег: банковские карты как анонимные, так и зарегистрированные на какого-то человека (в список входят даже карты Сбербанка России). Заказ спама, продажа вредоносного ПО – все это лишь шелуха от семечек, костяк киберпреступников находится в так называемом «привате», то есть не на виду скрытый от глаз общественности и что творится там – можно только догадываться.

Не смотря на разнообразие мошеннических схем, все же главную роль в них играет вирус, так как эта программа и есть добытчик средств, а все остальное - лишь подготовка и маскировка преступления. В наше время вредоносные программы разделили на несколько классов, по видам выполняемых ими действий. Мы рассмотрим основные из них, так как врага нужно знать в лицо.

Самыми распространенными представителями вредоносного программного обеспечения является так называемые «трояны», которые в отличие от вирусов не могут самостоятельно распространяться. Данный вид вредоносного ПО обладает огромным набором функций, начиная от кражи паролей к мессанджерам, почтовым клиентам и заканчивая уделенным администрированием ПК злоумышленником. Эти программы маскируются под системные процессы и, используя библиотеки операционной системы служат на благо создателю.

Следующий вид вредоносного ПО – это Spyware. Программы, собирающие информацию с компьютера: набранный текст, список посещенных интернет сайтов, адресная книга e-mail и т.д. После успешного сбора информации Spyware отправляет все данные своему владельцу на электронные почтовый ящик, или специализированный web-сайт. В дальнейшем злоумышленник использует полученную информацию в корыстных целях.

Последний представитель самых распространенных программ-вредителей – Adware. Это приложение представляют собой рекламную площадку на машине пользователя, на которой отображается реклама, в основном сайтов для взрослых. По сути, данные приложения не несут с собой никакого вреда, но в последнее время участилось появление новой разновидности Adware – которые блокируют определенные приложения (к примеру, Internet Explorer) требуя от пользователя посетить рекламируемый ресурс или отправить SMS для разблокировки.

Перечисленные выше приложения не являются самыми опасными, они лишь входят в рейтинг самых популярных вредоносных программ. Помимо них существует огромное число вирусов, сочетающих в себе полный набор мошеннических средств: кража паролей к банковским счетам, рассылка спама, шантаж и т.д.

«Ручная защита» от кибер-преступников

Мы рассмотрели основные вредоносные приложения, а теперь стоит поговорить и о методах их распространения. Ведь знаю методику злоумышленника, можно снизить вероятность атаки на компьютер и применить комплекс мер по предотвращению его заражения.

Как вы помните из начала статьи – первый вирус был создан для дискет и заражал те компьютеры, в которые был вставлен этот съемный носитель информации. Спустя 27 лет практически ничего не изменилось, главным источником распространения также являются переносные источники информации, но уже не дискеты, а flash-диски. Разработчики вредоносного ПО обратили на них пристальное внимание, когда «флешки» стали неотъемлемым атрибутом современного человека. Ведь очень удобно с помощью нее хранить и переносить информацию, да и вероятность потери данных ниже, чем в CD-дисках и дискетах.

Вирусологи нашли способ эксплуатации USB-носителей в своих целях. Они воспользовались такой полезной функцией, как автозапуск. Используя autorun.ini можно запустить любую программу или документ на flash-диске незаметно от пользователя. Сейчас практически все антивирусные программы блокируют, или, в крайнем случае, предупреждают пользователя о наличии вредоносного файла под названием autorun.ini, который из ряда ранее весьма полезных функций, перешел в опасную уязвимость.

Для того чтобы предотвратить запуск такого рода приложения, а это возможно даже при использовании антивируса, ознакомьтесь с ниже приведенным советом. Самый простой путь к защите от автозапуска является его отключение, мы будем рассматривать все действия в операционной системе Windows Vista.

Отключение автозапуска возможно в «Редакторе групповой политики». Для этого откроем «Выполнить» и запустим в нем gpedit.msc. В открывшемся окне выберем ветку дерева «Конфигурация компьютера – Административные шаблоны – Компоненты Windows – Политики автозапуска – Вариант работы автозапуска по умолчанию». Сделаем двойной клик по этому параметру и выставим значение на «Включен». Далее в ниже расположенном поле выбираем пункт «Не использовать команды автозапуска». В разделе «Политики автозапуска» нам также необходимо зайти в свойства параметра и «Отключить автозапуск». После перезагрузки компьютера все установки вступят в силу и резидентные приложения не смогут запустить себя с USB-носителей.

Ориентир на безопасность. Изучаем логику преступника

После того как вы отключите автозапуск USB-носителей, проверьте их на наличие autorun.inf. Этот файл всегда является скрытым и поэтому нужно включить отображение скрытых и защищенных файлов. В Windows Vista в любой папке нажмем клавишу «Alt» и выбираете «Сервис - Свойства папки – Вид – Показывать скрытые файлы и папки», а также включим отображение расширения файлов (далее мы объясним, зачем это нужно) «Сервис - Свойства папки – Вид – Скрывать расширения зарегистрированных типов файлов». Отыскав autorun.inf не спешите удалять его. Откройте этот файл с помощью блокнота и проанализируйте код. В нем вы можете найти такую команду как: OPEN=название_программы.exe – эта команда позволяет запускать указанный файл. Если антивирус не обнаружил это приложение, то удалям его вручную. В некоторых случаях даже при отображении скрытых файлов, мы не увидим программу, которая указана в autorun.inf. Это связано с тем, что все образованные «вирусосоздатели» одним из атрибутов к своему творению отмечают «системный». Поэтому для отображения такого файла в меню необходимо отключить следующий параметр «Сервис - Свойства папки – Вид – Скрывать защищенные системные файлы». После удаления вредоносного объекта включите эту опцию снова, чтобы в дальнейшем не навредить операционной системе, случайно удалив как-либо системный файл.

Включение отображения расширения файлов нам понадобится в анализе объектов на вероятность заражения. Приведем на пример двух разновидностей вирусов, которые маскируясь абсолютно под другие типы файлов, обманывают пользователя и выполняю вредоносный код. Первым будет вирус, который создает бесчисленное количество собственных копий со значком в виде папки. Представьте себе такую ситуацию: пользователь, ничего не подозревая, захочет открыть из неоткуда появившуюся новую папку, а в это время запустится вредоносное ПО, которое и дальше будет продолжать создавать собственные копии и заражать exe-файлы.

Следующий представитель - это вирус, занимающийся заражением изображений. Приложение создает exe-файл, который состоит из двух частей: сам вирус и изображение. При запуске вредоносной программы происходит отсоединение файла изображения и открытие его в окне программы для просмотра изображений, тем самым не вызывая у пользователя никаких подозрений. Обнаружив же разрешение *.exe мы сразу поймем, что здесь дело не чисто и стоит воспользоваться антивирусом с обновленными базами для проверки данного файла.

Наряду с распространением вирусов через съемные носители информации существует метод социальной инженерии. Он заключается в психологическом воздействии на жертву, путем отсылки ей специально сформулированного письма. К примеру, содержащего информацию о выигрыше в лотерее, а далее в тексте указана ссылка, по которой «победитель» может ознакомиться с правилами получения выигрыша. Пользователь, перейдя по этой ссылке заразит компьютер вирусом, который установлен на этом сайте. Но тут возникает встречный вопрос: как происходит загрузка приложения, если его открытие браузеры не поддерживают? Все очень просто. Существует такое понятие как «эксплоит» - это специально сформулированный документ или код, использующий уязвимость в программе, для запуска вредоносного кода. То есть, используя уязвимости браузеров такие скрипты могут загружать и выполнять вирусы на компьютере жертвы.

В сети есть сайты посвященные разного рода «эксплоитам». На них энтузиасты своего дела выкладывают ошибки в программах и созданные к ним документы или скрипты. Эти примеры работ в основном запускают калькулятор, тем самым, являясь безобидными демонстрационными приложениями. Но вирусописатели не дремлют, используя успехи исследователей, они создают новые связки эксплоитов (наборы сриптов для различных уязвимостей), в дальнейшем атакуя компьютеры.

Чтобы не стать жертвой таких кибер-преступников необходимо обновлять программы расположенные на компьютере как можно чаще. А также стараться не открывать присланные от незнакомых лиц: архивы, PDF-файлы, документы Microsoft Office Word. Следует также помнить, что ссылки на сайты от имени друзей могут присылать и злоумышленники (данное явление сейчас широко распространено в социальных сетях). Поэтому лучше переспросить друга о том, стоит ли открывать этот сайт или нет.

Следующим методом распространение является создание «сетевого червя». Это одна из  разновидностей вирусов, способных к самораспространению как в локальных сетях, так и в сети интернет. Они работают следующим образом: запущенное вредоносное приложение проверяет наличие подключения компьютера к какой-либо сети, если соединение установлено – программа приступает к действию. Перебирая все подключенные к сети компьютеры, приложение проверяет их каталоги на возможность записи, тем самым, оставляя в разрешающих запись местах свои копии. Существуют также и другие модификации сетевых червей, которые распространяются через e-mail, используя адресную книгу жертвы для спам-рассылки.

Первый шаг на пути к борьбе с такими вредоносными программами является запрет на запись в папках, к которым открыт общий доступ. Для этого в свойствах папки выберем пункт «Доступ – Дополнительный доступ - Разрешения», где  отметим только права на чтение папки и вложенных в нее файлов. Кроме этого стоит внимательно относится к содержимому присылаемых писем.

Ориентир на безопасность. Изучаем логику преступника

Не стоит также забывать и о том, что вредоносное ПО может также содержаться в различного рода «кряках» и программах для взлома, поэтому лучше всего пользоваться программами, скачанными с официальных сайтов производителей, или купленными в компьютерных магазинах.

Самым простым, но в тоже время существенным повышением безопасности компьютера является создание дополнительной учетной записи с ограниченными правами. Чаще всего пользователи используют учетную запись администратора – а это главная ошибка. Так как вредоносные программы запускаются с теми правами, которые установлены в данной учетной записи и если в ней «разрешено все», то и особых преград для распространения вирус не испытает.

Мертвый антивирус хуже живого трояна

Рынок защиты информации в наше время считается золотой жилой. Чем сильнее прогресс двигает компьютеры в массы, тем большее количество вирусов появляется. Соответственно и спрос на антивирусное программное обеспечение растет с каждым днем. Есть, конечно, и те люди, которые по-старинке пользуется серыми ключами – но это временное явление. Как и в любой отрасли между компаниями, занимающимися одним и тем же видом деятельности возникает конкуренция. Но как ни странно, конкуренция среди таких антивирусных программ больше напоминает «холодную войну», чем естественное веяние рынка.

Мы не будем выделять какие-то определенные антивирусные продукты, а поговорим о проблеме, которая возникает при их неправильном удалении и разберем методы ее решения. Среди пользователей бытует такая поговорка: «Снес антивирус – поменял операционную систему». Как ни странно, но зачастую это так и есть. И связано в первую очередь с необразованностью самих пользователей.

Известная линейка антивирусов от Лаборатории Касперского наиболее часто сталкивается с такой проблемой. Главная причина тому –  встроенная защита от удаления антивируса. Для пользователя же это выходит ошибками в ОС, после удаления программы. После простой деинсталляции антивируса через встроенную в Windows программу «Установка и удаление» остается огромное количество записей в реестре и файлов на компьютере. В дальнейшем это приводит к накоплению ошибок и серьезным сбоям в работе компьютера.

Поэтому, для удаления «каспера» с компьютера (как и других антивирусов), необходимо заранее подготовится. Скачаем с официального сайта компании специализированную утилиту для деинсталляции антивирусов Лаборатории Касперского. Ее название - Kaspersky Anti-Virus Remover. После этого запускаем программу на компьютере и подождем пока она определит версию установленного антивируса. Если процесс детектирования прошел успешно - вводим контрольные символы с картинки и нажимаем кнопку «Remove». После окончания работы деинсталлятора необходимо перезагрузить компьютер.

alt

Если программа не смогла определить версию антивируса, необходимо «поколдовать» с командной строкой. Для этого заходим в командную строку от имени администратора – правая клавиша мыши на ярлыке программы «Запуск от имени администратора». Теперь в появившемся окне вводим следующую команду: путь_к_файлу\kavremover9.exe префикс_продукта. Где префикс продукта для каждой версии индивидуален: kav6, kav7, kav2009, kav2009x64, kis6, kis7, kis2009, kis2009x64, kav6fs, kav6wks. К примеру, для Kaspersky Internet Security 6 необходимо ввести следующую команду: путь_к_файлу\kavremover9.exe kis6 и нажать клавишу «Enter». После произведенных действий антивирус Лаборатории Касперского будет удален корректно.

Ориентир на безопасность. Изучаем логику преступника

Dr.Web

Для того чтобы приступить к ручной читке реестра, необходимо удалить сам антивирус, а также службу обновлений. Эти действия можно произвести через «Установка и удаление программ».

После чего запустим редактор реестра («Выполнить» - regedit). Далее проверим на наличие следующие ключи:

HKLM\SYSTEM\CurrentControlSet\Services\drwagntd

HKLM\SYSTEM\CurrentControlSet\Services\drwupgrade

Если они остались – необходимо удалить их. Также если в «HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run» присутствует ключ DrWebAgetnUI нужно тоже ликвидировать его.

Затем нам нужно деинсталлировать SpIDer Mail с помощью программы «Выполнить». Для этого набираем команду «spiderml.exe -remove» и нажимаем кнопку «ОК», после чего программа удалить продукт полностью, а если SpIDer Mail уже был деинсталлирован, на экране появится сообщение с ошибкой, в котором будет сказано, что программа не может удалить объект из-за его отсутствия.

Теперь убедимся в том, что службы и драйверы SpIDer Guard были корректно удалены, набрав в «Выполнить» следующую команду: spidernt.exe –remove. Даже если деинсталляция прошла успешно не нужно терять бдительности и необходимо обязательно проверить ветки реестра относящиеся к данной службе:

HKLM\SYSTEM\CurrentControlSet\Services\drwebnet

HKLM\SYSTEM\CurrentControlSet\Services\SPIDER

HKLM\SYSTEM\CurrentControlSet\Services\spidernt

И если они присутствуют – удалить их. Помимо этого нужно проверить ветку «HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run» на наличие в ней ключа "SpIDerNT". Если он там имеется, произвести удаление. А раздел «HKLM\SOFTWARE\IDAVLab» необходимо полностью очистить.

После проверим все ключи Dr.Web относящиеся к установке и удаления программ:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Dr.Web

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\DRWEB

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{BBE2F69C-4338-11D7-8F0C-00A0244F4E2D}

И если они присутствуют в реестре, то как и в предыдущих случаях удалим их. Следующим этапом будет полная очистка компьютера от ярлыков антивируса, которые располагаются на Рабочем столе и в «Пуск - Программы», а также в меню быстрого запуска.

После основной очистки, перейдем к удалению мелочей. Первая наша цель: убрать из контекстного меню файла пункта «Проверить Dr.Web». Для успешного достижения этой цели необходимо разрегестрировать библиотеку drwsxtn.dll, выполнив команду: regsvr32 "C:\Program Files (x86)\DrWeb\drwsxtn.dll" /u

В завершении удалим корневой каталог программы, который в Windows Vista по умолчанию находится здесь: C:\Program Files (x86)\DrWeb. А также помимо главного каталога удалим файлы: spider.cpl и drwebnet.sys, которые располагаются в «%windir%\system32» и «%windir%\system32\drivers» соответственно. На этом деинсталляция антивируса закончена, если в ходе удаления корневого каталога возникли некоторые проблемы – перезагрузите компьютер и попробуйте снова удалить их.

Norton AntiVirus

Для этой программы, также как и для «каспера», создана специальная утилита - Norton Removal tool, которая позволяет деинсталлировать практически все продукты компании. Ее можно скачать на сайте разработчика. После запуска приложения от вас потребуется лишь выбрать нужную программу для деинсталляции и нажать на кнопку «Next». Программа сама выполнит полную очистку компьютера от антивируса.

NOD32

Как и в случае с Dr.Web, NOD32 придется удалять вручную. Первое, что надо сделать - это удалить корневые каталоги программы, которые располагаются по следующим путям: «C:\Program Files (x86)\ESET» и «C:\Users\All Users\Application Data\ESET». После этого зайдем в редактор реестра и удалим нижеперечисленные ключи:

HKEY_LOCAL_MACHINE\SOFTWARE\ESET – удаляем ветку целиком

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\eamon

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\easdrv

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EhttpSrv

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ekrn

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\epfw

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Epfwndis

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\epfwtdi

Перезагружаем компьютер и не беспокоимся о том, что могут возникнуть сбои в работе.

Outpost

Мы рассмотрим удаление на примере Outpost Security Suite, так как для каждого отдельного продукта предусмотрена своя система деинсталляции. Для начала запустим компьютер в безопасном режиме и удалим программу с помощью «Выполнить» введя в строку: "C:\Program Files\Agnitum\Outpost Security Suite\install.exe" /u

Произведя начальное удаление, приступим к разрегистрации компонентов. Запустим следующую команду: regsvr32 /u: "C:\Program Files\Agnitum\Outpost Security Suite\op_shell.dll". После по такому же принципу выполняем и остальные команды:

regsvr32 /u: "C:\Program Files\Agnitum\Outpost Security Suite\op_data.dll"

regsvr32 /u: "C:\Program Files\Agnitum\Outpost Security Suite\op_log.dll"

regsvr32 /u: "C:\Program Files\Agnitum\Outpost Security Suite\Plugins\BrowserBar\ie_bar.dll"

И перейдем к чистке реестра. Найдем ключ «HKLM\SOFTWARE\Agnitum\Outpost Security Suite» со значением OutpostFeedBack и удалим его. Такие же действия произведем и над двумя другими ветками реестра:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Agnitum Outpost Security Suite_is1.

После чистки реестра, нам останется только удалить некоторые компоненты антивируса. Начнем с драйвера Sandbox, который деинсталлируются с помощью команды: rundll32 setupapi,InstallHinfSection DefaultUninstall 132 C:\Program Files\Agnitum\Outpost Security Suite\Kernel\sandbox.inf

За ним последует удаление фильтра LSP:

rundll32 "C:\Program Files\Agnitum\Outpost Security Suite\lspfilt.dll",uninstall

для 64-х битных версий команда будет следующего вида:

rundll32 "C:\Program Files\Agnitum\Outpost Security Suite\lspfilt64.dll",uninstall

В завершении произведем удаление всех ярлыков и фалов Outpost Security Suite, которые находятся в меню «Пуск - Программы» и на Рабочем столе. Помимо них останется также удалить и основные каталоги, это: «C:\Program Files\Agnitum\Outpost Security Suite» и «C:\Program Files\Common Files\Agnitum Shared». На этом деинсталляция программы будет закончена, перезагрузим компьютер для сохранения всех параметров.

На этом наша борьба с ветвистыми «корнями антивирусов» будет закончена. И можно сделать вывод - некорректно удаленный антивирус может стать жестоким борцом против вашей операционной системы и в конечном итоге вывести ее из строя, поэтому следуйте вышеперечисленным рекомендациям - безопасность превыше всего.

Вывод

В нашем время безопасность информации стоит на первом месте как у обычных пользователя, так и у крупной компании. Поэтому знание методом защиты компьютера от злоумышленников и работа с антивирусными приложениями – залог успеха. В данном материале мы рассказали об основных методах заражения компьютеров, которые используют хакеры, а также на практике разобрали ручную защиту от такого рода приложений.

 

Неберекутин Александр (neberekutin.ru)


 
На сайте работает система проверки ошибок. Обнаружив неточность в тексте, выделите ее и нажмите Ctrl + Enter.

Информация
 
Комментировать статьи на нашем сайте возможно только в течении 365 дней со дня публикации.