|
Программы-доктора не только обнаруживают, но и «лечат» зараженные программы, удаляя из них тело вируса. Программы этого типа делятся на фаги и полифаги. Последние служат для обнаружения и уничтожения большого количества разнообразных вирусов. Наибольшее распространение в России имеют такие полифаги, как MS AntiVirus, Aidtest, Doctor Web. Они непрерывно обновляются для борьбы с новыми вирусами.
Программы-детекторы позволяют обнаруживать файлы, зараженные известными разработчикам этих программ вирусами.
Программы-вакцины, или иммунизаторы, относятся к резидентным программам. Они модифицируют программы и диски таким образом, что это не отражается на работе программ, но вирус, от которого производится вакцинация, считает их уже зараженными и не внедряется в них.
Антивирусные программы, как правило, имеют настраиваемые пользователем параметры:
· объекты проверки (диски, каталоги, файлы, типы файлов);
· режим работы (проверка или лечение);
· уровень сложности проверки (по базе вирусов или эвристический анализ):
· режим использования ресурсов компьютера (основной или фоновый) и т.п.
Перечислим правила, которые следует соблюдать для уменьшения потерь от действий компьютерных вирусов.
1. Используйте регулярно обновляемое антивирусное программное обеспечение, приобретаемое у разработчиков или их официальных дистрибьютеров.
2. Программы и документы, выполненные с использованием пакета MS Office и полученные из компьютерных сетей, требуют осторожного обращения. Перед их применением следует провести проверку на наличие вирусов.
3. Для защиты файлов на сервере используйте возможности защиты сети: ограничение прав пользователей; установку атрибутов файлов «только на чтение»; скрытие важных разделов диска и директорий. Регулярно проверяйте сервер антивирусными программами. Перед запуском нового программного обеспечения проверьте его на компьютере, не подключенном к сети. Желательно использование бездисковых рабочих станций.
4. Приобретайте дистрибутивы программного обеспечения у официальных продавцов. Использование «левых» продуктов может привести к большим потерям. Храните копии дистрибутивов программного обеспечения на защищенных от записи дисках.
5. Подождите некоторое время перед использованием полученной из глобальной сети и проверенной Вами антивирусами программы. Если она заражена новым вирусом, то через некоторое время об этом появится сообщение. Ограничивайте круг лиц, имеющих доступ к компьютеру; наиболее часто заражаются «многопользовательские» ПК.
6. Регулярно проводите проверку целостности информации. Используйте для этого утилиты, создающие и хранящие в специальных базах информацию о системных областях дисков и файлах (контрольные суммы, размеры, атрибуты и т.п.).
7. Сохраняйте на внешнем носителе Ваши рабочие файлы.
Заметим, что проблему защиты от вирусов следует рассматривать как часть проблемы защиты информации.
Использование ботнетов
Обычно считается, что робот, он же бот (bot, англ) — специальная программа для автоматизации рутинных задач, чаще всего используется в Интернете.
Ботнет (botnet, англ) – это сеть компьютеров, зараженных вредоносной программой поведения Backdoor. Backdoor’ы позволяют киберпреступникам удаленно управлять зараженными машинами. (каждой в отдельности, частью компьютеров, входящих в сеть, или всей сетью целиком) без ведома пользователя.
История ботнетов началась в 1998-1999 годах, когда появились первые программы Backdoor. Эти программы реализовали принципиально новые технологические решения и имели полный набор функций удаленного управления зараженным компьютером. Это позволяло злоумышленникам работать с файлами на удаленном компьютере, запускать новые программы, получать снимки экрана, открывать/закрывать CD-привод и т.д.
Изначально созданные как троянские программы, бэкдоры работали без разрешения или уведомления пользователя. Для управления зараженным компьютером злоумышленник должен был сам установить соединение с каждой инфицированной машиной. Первые бэкдоры работали в локальных сетях.
Клиентские программы для удаленного управления компьютерами уже в начале 2000-х могли одновременно управлять сразу несколькими машинами. Кто-то из злоумышленников придумал сделать так, чтобы зараженные бэкдорами компьютеры сами выходили на связь и их всегда можно было видеть онлайн (при условии, что они включены и работают). Компьютеры, зараженные новыми ботами, стали соединяться с IRC-серверами, в качестве посетителей выходить на связь через определенный IRC-канал и ждать указаний от хозяина ботнета. Хозяин мог в любое время появиться онлайн, увидеть список ботов, отослать команды сразу всем зараженным компьютерам или отправить отдельное сообщение одной машине.
Разработка таких ботов была несложной благодаря простоте синтаксиса протокола IRC. Для того чтобы использовать IRC-сервер, необязательно нужна специализированная клиентская программа. Достаточно иметь универсальный сетевой клиент, такой как приложение Netcat или Telnet.
О появлении IRC-ботнетов стало известно довольно быстро. Как только о них появились публикации в хакерских журналах, появились и «угонщики» ботнетов люди, которые обладали, возможно, теми же знаниями, что и владельцы ботнетов, но охотились за более легкой наживой. Они искали такие IRC-каналы, где было подозрительно много посетителей, заходили на них, изучали и «угоняли» ботнет: перехватывали управление сетью, перенаправляли боты на другие, защищенные паролем, IRC-каналы и в результате получали полный единоличный контроль над «чужой» сетью зараженных машин.
Следующим этапом развития ботнетов стало перемещение центров управления во всемирную паутину. Сначала хакеры разработали средства удаленного управления сервером, которые были основаны на скрипт - движках Perl и PHP, ASP, JSP и некоторых других.
Затем кто-то создал такое соединение компьютера в локальной сети с сервером в Интернете, которое позволяло откуда угодно управлять компьютером. Схема удаленного управления компьютером в локальной сети в обход таких средств защиты, как прокси и NAT, была опубликована в Интернете и быстро стала популярной в определенных кругах.
Полулегальные разработки средств удаленного управления, направленные на получение в обход защиты удаленного доступа к машинам в локальных сетях, дали толчок к созданию веб-ориентированных ботнетов. Чуть позже был разработан простой скрипт управления небольшой сетью компьютеров, а злоумышленники нашли способ использовать такие управляемые сети в корыстных целях.
Веб-ориентированные ботнеты оказались чрезвычайно удобным решением, которое популярно и сегодня. Множеством компьютеров можно управлять с любого устройства, имеющего доступ в Интернет, в том числе с мобильного телефона, а с веб-интерфейсом способен справиться даже школьник.
Ботнеты обладают мощными вычислительными ресурсами, являются грозным кибероружием и хорошим способом зарабатывания денег для злоумышленников. При этом зараженными машинами, входящими в сеть, хозяин ботнета может управлять откуда угодно: из другого города, страны или даже с другого континента, а организация Интернета позволяет делать это анонимно.
Управление компьютером, который заражен ботом, может быть прямым и опосредованным. В случае прямого управления злоумышленник может установить связь с инфицированным компьютером и управлять им, используя встроенные в тело программы-бота команды. В случае опосредованного управления бот сам соединяется с центром управления или другими машинами в сети, посылает запрос и выполняет полученную команду.
В любом случае хозяин зараженной машины, как правило, даже не подозревает о том, что она используется злоумышленниками. Именно поэтому зараженные вредоносной программой-ботом компьютеры, находящиеся под тайным контролем киберпреступников, называют еще зомби-компьютерами, а сеть, в которую они входят, – зомби-сетью. Чаще всего зомби-машинами становятся персональные компьютеры домашних пользователей.
Ботнеты могут использоваться злоумышленниками для решения криминальных задач разного масштаба: от рассылки спама до атак на государственные сети.
Do'stlaringiz bilan baham: |
