Удаление вредителей из Windows (часть 1)

Опубликовано: 13 Апреля, 2023

Предостережение: если вы собираетесь попробовать некоторые из предложенных в статье изменений, рекомендуется сделать резервные копии вашей системы и реестра перед попыткой внесения изменений. Резервные копии должны быть проверены на целостность, чтобы вы могли без проблем восстановить данные. Обратите внимание, что предлагаемые изменения работают для некоторых систем и должны быть протестированы на вашей уникальной конфигурации.


Начните с политики


Важно, чтобы политика добавляла несколько уровней, которые необходимо использовать для обеспечения адекватной безопасности организации. Эти уровни, основанные на концепции защиты путем мониторинга, гарантируют, что если какой-либо из уровней будет скомпрометирован, то дополнительных уровней безопасности будет достаточно, чтобы предотвратить кражу ресурсов и информации вредоносными/шпионскими программами. Крайне важно, чтобы использовалась модель безопасности «сверху вниз», чтобы гарантировать, что ключевые компьютеры идентифицируются и оцениваются по заслугам. Это также помогает ИТ-специалисту выявлять компьютеры и пользователей, которые могут представлять организационный риск. Важность защиты этих активов и ресурсов становится важной, потому что это повышает эффективность. Если используется модель доверия соединения, эта методология добавляет многочисленные уровни защиты.


Защищайте точки входа, профилактика лучше, чем лечение.



  • Не используйте серверы для просмотра или загрузки. ИТ-специалисты не должны разрешать просмотр в Интернете или загрузку с любого серверного компьютера.
  • Убедитесь, что дисководы (дискеты, флэш-диски, USB-накопители и т. д.) не являются неразборчивыми и не перемещаются и не подключаются к другим компьютерам, которые могут заразить диски.
  • Пиратское программное обеспечение (Warez и т. д.) Пиратское программное обеспечение может быть заражено, поскольку оно получено из ненадежного источника. Он также может содержать трояны и другое программное обеспечение, такое как агенты, которые потенциально могут превратить компьютер в зараженную машину-зомби.
  • Одноранговые (P2P) соединения. (Приложения для обмена файлами и сети для обмена файлами) Это программное обеспечение позволяет пользователю загружать программное обеспечение и другие файлы из неизвестных источников. Ничто не мешает злоумышленнику взять популярное программное обеспечение и отредактировать его так, чтобы оно написало сценарий и установило на компьютер агента, который загружает журнал нажатий клавиш на сервер в Интернете.
  • Программное обеспечение для обмена сообщениями (новая незамеченная угроза, программное обеспечение для обмена сообщениями может передавать файлы) Некоторое программное обеспечение, используемое для обмена мгновенными сообщениями, также может передавать файлы, эти файлы можно загружать, и поскольку пользователи мессенджера пользуются доверием, передача файлов часто принимается. Загруженные файлы необходимо проверить на наличие вирусов и троянов.
  • Сети (нужно ли говорить больше?) Сети — это набор компьютеров, соединенных друг с другом какой-то тканью. Именно через эту среду перемещаются некоторые вирусы и вредители.
  • Вложения электронной почты (один двойной щелчок от следующего червя) Вложения электронной почты, если их не сканировать, могут представлять угрозу.
  • Интернет-браузер (Нажмите или не щелкните, и он загрузится) Интернет-браузеры отображают файлы, которые находятся на расстоянии тысяч километров по всему миру, браузеры имеют возможность загружать файлы и выполнять их. Ежедневно загружаются миллионы файлов, некоторые из них являются вредоносными.
  • Убедитесь, что у вас установлен блокировщик всплывающих окон или уровень безопасности вашего Internet Explorer достаточно высок, чтобы заблокировать любую форму кода, установленную на вашем компьютере, которая потенциально может быть вредоносной.
  • Убедитесь, что у вас есть персональный брандмауэр или что вы находитесь за корпоративным брандмауэром как минимум. Брандмауэры не только защищают вас от внешних угроз, но также помогают снизить риск исходящей отправки ваших документов с использованием нетрадиционных типов программного обеспечения.
  • Персональные брандмауэры также блокируют пользователей в локальной сети, которые потенциально могут привести к потере данных или поставить под угрозу доступность.

Вирусы или вредоносное ПО


Финансирование разработки иногда можно получить от крупных рекламных организаций, если рекламные баннеры или код другого шпионского программного обеспечения включены в приложение, объединены и распространены от имени рекламных организаций. Кстати, в лицензионном соглашении (которое многие не читают) указано, что некоторая информация будет передаваться на компьютер и с него. Некоторые люди соглашаются на шпионаж в некоторых случаях, когда они нажимают «Я согласен».


Вирусы — это приложения, предназначенные для репликации с одной машины на другую. Некоторые из них написаны для того, чтобы раздражать пользователей компьютеров, а другие написаны со злым умыслом. В наше время нам повезло, что выпущенные черви вызвали небольшую потерю данных по сравнению с тем, что потенциально могло бы произойти. По мере того, как мировые экономики становятся взаимосвязанными, организации становятся зависимыми от Интернета. Однако Интернет — это среда, которую вирусы используют для распространения; все больше вирусов становятся независимыми от среды и структуры, которые они используют для распространения. Беспроводные и сотовые сети в настоящее время нацелены на то, чтобы все больше и больше устройств соединялись таким образом. По мере развития технологий развиваются приложения и вредоносные программы. Вредоносные программы — это приложения, которые жертвуют производительностью системы для собственного использования, и приложение использует ресурсы зараженного компьютера, что потенциально может нанести ущерб системе пользователя, вызывая проблемы с установленными приложениями.


Эти приложения, как правило, являются резидентными (постоянно работают в загруженной памяти и используют вычислительную мощность и другие ресурсы, такие как полоса пропускания и ОЗУ). Эти ресурсы стоят денег, и, по сути, эти приложения дороги. Каждое приложение, которое загружается на компьютер, использует часть процессора, если приложения были написаны неправильно, это может привести к зависанию компьютера, даже вызывая утечку процессора или памяти. Такое поведение может привести к значительному замедлению работы компьютера и некоторых установленных на нем приложений. Хорошим примером этого является то, что Internet Explorer долго загружается. Это может быть вызвано шпионским ПО или приложениями, которые подключаются к Internet Explorer. Мне еще предстоит столкнуться с продуктивным коммерческим продуктом, который используется для повышения производительности и оказывает такое влияние на Internet Explorer. Чем больше таких приложений загружается, тем медленнее работает компьютер, поскольку большинство приложений написано таким образом, что они используют другие приложения и поведение, происходящее на компьютере. Если компьютер не часто перезагружается, через некоторое время вы можете заметить, что компьютер начинает работать медленнее, и это может быть вызвано программным повышением статуса компьютера до суперузла. Суперузел распространяет и имеет списки программного обеспечения. Были даже случаи, когда одни вирусы заражали другие вирусы, вызывая чрезмерное количество дисковых операций ввода-вывода, поскольку репликация зацикливалась.


Мощность браузера


ИТ-специалисты часто пропускают эту точку входа, поскольку она кажется наименее вероятной. Однако эта область - повод для беспокойства. При использовании ActiveX и Java существует несколько команд, которые нельзя запустить на компьютере с помощью браузера. Когда эти приложения загружаются, они потенциально могут инициировать команды, которые редактируют файлы запуска, чтобы форматировать диски или стирать основные загрузочные записи. Представьте себе ущерб, который может быть нанесен простым посещением URL-адреса. Этот старый, но непредсказуемый метод даст антивирусным компаниям новую угрозу, которую может оказаться сложно контролировать. Приложение браузера можно написать так, чтобы оно не загружалось на компьютер, а выполнялось и существовало в виртуальном мире и выполнялось только тогда, когда браузер был взломан или перенаправлен.


Как и у большинства вредителей, паразитический подход более выгоден, и стирание или уничтожение машины не в интересах автора, поскольку шпионская организация может извлечь больше пользы из собранной информации. Все усилия предпринимаются организацией по одной причине, по которой они хотят зафиксировать вашу информацию или ваши привычки. Некоторые паразиты в мире животных убивают или мешают хозяину. Эти паразиты в компьютерном мире эквивалентны вредоносным программам или троянским программам. Сначала они кажутся полезными, но как только они укореняются, вызывают разрушения и угрожают производительности машины.


Уже много лет в проблемах, возникающих в Windows, обвиняют операционную систему или веб-браузер. Даже если установлен хороший антивирусный пакет, он все равно может не блокировать угрозу вредоносного или шпионского ПО, поскольку программное обеспечение не предназначено для такого использования. В июле 2004 г. было выпущено более 900 вирусов и вредоносных приложений. Технология программирования «укажи и щелкни» упрощает кодирование вируса или вредоносной программы, а на некоторых веб-сайтах даже есть образцы кода, которые злоумышленник может загрузить, изменить и адаптировать для своего конкретного использования.


В некоторых приложениях есть части кода, которые следят за пользователем и даже сообщают координаты мыши, поэтому, когда реклама отображается во всплывающем окне, она отображается в области, которую мышь чаще всего посещает. Достижения в области технологий позволили «шпионским» компаниям продавать товары от выбранных ими поставщиков после выполнения поиска в предпочтительной поисковой системе. Некоторые шпионы даже имитируют окраску поисковой системы, чтобы отображаемая страница, представленная шпионами, выглядела похожей на поисковую систему. Эти угонщики браузера не только потребляют пропускную способность, но также потребляют системные ресурсы и в некотором роде расстраивают пользователей, которые не знают о таких угрозах.


Если система работает правильно после того, как она была установлена, а затем через некоторое время замедляется, неисправный модуль будет тем, который был установлен после того, как машина была правильно установлена и работала эффективно. Что-то было добавлено к машине, что замедляет работу компьютера, и это что-то, скорее всего, является плохо написанным приложением, которое потребляет пропускную способность и ресурсы.


Возможные изменения в компьютере после установки


ИТ-специалисты могут использовать автоматизированные инструменты, чтобы обеспечить выполнение перечисленных ниже задач на сотнях машин.



  • SUS/WUS для обеспечения актуальности исправлений для приложений и операционных систем.
  • Обновление Windows для обеспечения обновлений и переустановки драйверов.
  • SUS/WUS для обеспечения установки пакетов обновления, это кластерные исправления и исправления, которые объединяются в одно большое исправление.
  • Групповые политики для отключения файлов cookie IE, в этих файлах хранятся пользовательские данные, а также конфигурации и настройки веб-сайтов.
  • Групповые политики для предотвращения установки приложений, поскольку некоторые из них могут привести к замедлению работы компьютера, если они плохо написаны. Должна быть установлена только стандартная одобренная программа.
  • Групповые политики для связывания элементов управления ActiveX. Эти элементы управления могут загружать и запускать процессы на компьютере без вмешательства пользователя.


Выше приведен пример блокировщика всплывающих окон, который устанавливается вместе с пакетом обновлений 2 для Windows XP. Этот блокировщик всплывающих окон не позволяет большинству вредоносных кодов запускать вторичное окно, которое может вызывать другие вредоносные действия или раздражающие всплывающие окна. ИТ-специалисты могут научить своих пользователей использовать эту функцию для снижения риска, объяснив это тем, что всплывающие окна потенциально могут запустить атаку.



Выше приведен пример персонального брандмауэра, который можно установить. Эта конкретная часть программного обеспечения устанавливается с пакетом обновления 2 для Windows XP и особенно полезна для предотвращения связи нестандартных приложений с Интернетом или другими компьютерами. Придется добавить приложение в список исключений, чтобы обойти защиту. Как видите, вы можете указать «не разрешать исключения», и это, в свою очередь, добавляет дополнительный уровень безопасности. Использование групповых политик, принудительно включающих персональные брандмауэры, повысит безопасность не только в локальной сети, но и для каждого подключенного интерфейса. Если пользователей обучают ИТ-специалисты, это может оказаться полезным, поскольку эта технология помогает как пользователю, так и ИТ-специалисту управлять рисками вторжения.



Установка групповых политик таким образом, чтобы пользователь не мог записывать данные в реестр, снизит риск того, что пользователь или вредоносное/шпионское ПО не смогут записывать данные в реестр. Записи реестра могут использоваться для запуска вредоносных приложений, которые можно найти либо в runonce, либо в ключе запуска. Чтобы найти другие ключи, нажмите «Изменить» и выполните поиск «Выполнить» или «Выполнить один раз».


Во второй статье этой серии я расскажу о других местах, где злоумышленники прячут ссылки для запуска приложений.


Резюме


В этой статье я рассмотрел некоторые методы, которые злоумышленники могут использовать для получения доступа к вашим системам или которые злоумышленники могут использовать для использования ресурсов вашей системы. ИТ-специалисты должны сохранять бдительность в отношении этих невидимых угроз. В конце концов, все зависит от того, кто контролирует ресурсы, и злоумышленник нацелится на вашу машину или машины, потому что у вас есть информация или физическое оборудование и пропускная способность в качестве ресурса. У всех злоумышленников есть мотив, и этот мотив несколько затуманен используемыми методами и игнорируется как просто вредитель. Не признавая угрозы, часто недооценивают этот вопрос и не уделяют должного внимания. В следующей статье «Удаление вредителей из Windows (часть 2)» я расскажу о некоторых других методах, используемых злоумышленниками, и о некоторых других местах, которые злоумышленники используют для сокрытия своей полезной нагрузки.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023