Удаление вредителей из Windows (Часть 2)

Опубликовано: 13 Апреля, 2023

нажать здесь «Удаление вредителей из Windows (Часть 1)».

Осторожность:
Если вы собираетесь попробовать некоторые изменения, предложенные в статье, рекомендуется сделать резервные копии вашей системы и реестра перед попыткой внесения изменений. Резервные копии должны быть проверены на целостность, чтобы вы могли без проблем восстановить данные. Обратите внимание, что предлагаемые изменения работают для некоторых систем и должны быть протестированы на вашей уникальной конфигурации. ИТ-специалисты обнаружат, что использование технологий для ограничения использования компьютеров в конечном итоге приведет к более высокой эффективности и меньшему использованию ресурсов вредоносными и шпионскими программами.

Операционные системы должны быть защищены путем отключения стандартных служб, которые не требуются, или путем фильтрации определенных служб в брандмауэре. Системный администратор должен быть в курсе слабых мест и устанавливать исправления или обходные пути по мере их появления. Следует избегать использования незашифрованных протоколов и устанавливать эффективное программное обеспечение для защиты от вирусов, в том числе на внешних периметрах, таких как почтовые серверы. Учетные записи привилегированных пользователей и пароли по умолчанию, а также гостевые учетные записи должны быть изменены. Это можно сделать с помощью групповых политик. Пользователям должен быть разрешен системный доступ только к тому, что требуется конкретно для выполнения разрешенных задач, а обязанности должны быть разделены для снижения риска. Предупреждающее сообщение должно появиться при удаленном доступе к системе, чтобы отпугнуть хакеров и обратиться в суд. Кроме того, маршрутизаторы, коммутаторы, брандмауэры, виртуальные частные сети (VPN) и системы обнаружения вторжений (H-IDS или N-IDS) являются компонентами безопасности, которые следует оценивать и применять.

Возможные изменения в компьютере после установки

Некоторые из перечисленных ниже угроз можно уменьшить, если ИТ-специалист протестирует и ограничит установку неавторизованного программного обеспечения. Также жизненно важно тестировать все программное обеспечение, установленное на компьютерах организации. Также следует следовать управлению конфигурацией, чтобы уменьшить угрозу и свести к минимуму зависимость от специальных навыков.

  • Патчи для приложений и операционных систем
  • Обновления драйверов и переустановка
  • Пакеты обновления, это сгруппированные исправления и исправления, которые объединяются в одно большое исправление.
  • Файлы cookie, эти файлы хранят пользовательские данные, а также конфигурации и настройки веб-сайта.
  • Установленные приложения могут замедлять работу машины, если они плохо закодированы.
  • Элементы управления ActiveX Эти элементы управления могут загружать и запускать процесс на компьютере без вмешательства пользователя.
  • Записи реестра могут использоваться для запуска приложений, которые могут быть вредоносными.
  • Надстройки браузера могут быть загружены и могут зависать запущенные процессы, лишая их ресурсов
  • Дозвонщики, эти приложения пытаются набрать заранее определенные номера, и если одновременно сообщается более одного, это может привести к остановке системы.
  • Java-скрипты, эти скрипты могут запускать команды в браузере
  • Рекламное программное обеспечение это программное обеспечение связано с некоторым условно-бесплатным программным обеспечением
  • Вирусы, эти приложения реплицируют и реплицируют ресурсы sap
  • Кейлоггеры регистрируют нажатия клавиш, и в конечном итоге файлы журналов переполняются, некоторые из этих приложений зависают на компьютере, если они конфликтуют с программным обеспечением безопасности.
  • Угонщики: эти приложения перенаправляют браузеры и эмулируют популярные поисковые системы, чтобы вы нажимали на рекламируемые результаты.
  • Spybots: эти приложения шпионят за пользователями
  • Трекеры: эти приложения хранят места, которые посещает пользователь, и сообщают об этом центральному веб-сайту.
  • Трояны — это приложения, которые поставляются в комплекте с программным обеспечением-приманкой, таким как игры и другие полезные исполняемые файлы.

К настоящему времени вы должны подумать, что мне нужно выяснить, что работает на моем компьютере, если вы используете ОС типа поколения NT, вы можете нажать Ctrl + Shift + Esc, это запустит диспетчер задач. В диспетчере задач вы сможете увидеть некоторые процессы, запущенные на компьютере. Некоторые из них могут быть скрыты от глаз. В XP программист может запустить exe с ключом -b и скрыть приложение от просмотра в диспетчере задач. ИТ-специалисты могут ограничить установку этих приложений, включив групповую политику, которая позволяет только администраторам или уполномоченным доверенным специалистам устанавливать программное обеспечение организации.

Угрозы обычно исходят от нестандартного программного обеспечения, которое используется для передачи файлов из одноранговых сетей и источников обмена файлами. Некоторые организации активно приманивают exe-файлы, чтобы при их загрузке они были повреждены, чтобы вызвать красную линию ЦП. Взломанное программное обеспечение также иногда может быть хуже. Может быть неправильно пропатчен. Хотя это явление встречается редко, оно все же происходит и может вызвать проблемы у ИТ-специалистов.

На картинке выше показан типичный экран диспетчера задач, и здесь отображаются процессы, запущенные на компьютере. Этот диспетчер можно использовать как способ обнаружения приложений, работающих на компьютере, которые не предназначены для запуска. Некоторые инструменты могут ограничивать процессы, запущенные на настольных компьютерах. Инструменты такого типа предотвращают запуск чужого программного обеспечения и снижают риск вторжений, внедряя это решение. ИТ-специалисты могут снизить риски и затраты на техническое обслуживание.

На приведенном выше снимке экрана показаны запущенные процессы на компьютере. Чтобы увидеть этот экран, вы можете использовать инструмент под названием поиск и уничтожение шпионских ботов. В разделе «Инструменты» вы можете щелкнуть «Запуск системы» и просмотреть некоторые приложения, которые запускаются при запуске Windows.

В Windows 98/XP можно использовать утилиту Msconfig, запускаемую из диалогового окна запуска. В других операционных системах полезной утилитой является поиск и уничтожение Spybot.

В Windows 98/ME/2000 вы также можете использовать информацию о системе, которую можно найти в аксессуарах в системных инструментах.

Обратите внимание, что некоторые приложения могут запускаться в файле autoexec.bat или файле win.ini.

Ниже приведены шаги, которые ИТ-специалисты могут предпринять, чтобы ограничить сетевое заражение и кражу информации. Приведенные ниже шаги также помогут профессионалам удалить вредоносное или шпионское ПО.

Шаг первый

Изолируйте машину, удалив ее из сети или отключив компьютер от Интернета. Это гарантирует, что машина не сможет заразить другие машины и что она не сможет заразить себя какими-либо ошибками, которые могут передаваться через Интернет.

Шаг второй

Проверьте, какие службы запускаются. Это необходимо сделать для выявления любых сервисов, которые могут показаться подозрительными. Вы также сможете идентифицировать обычные службы, которые должны запускаться, и этот процесс сделает вас более чувствительным и поможет вам намного легче идентифицировать угрозу. Наиболее изощренные злоумышленники скрывают запускающие службы или связывают вредителей с другими исполняемыми файлами, которые должны запускаться при старте операционной системы. ИТ-специалисты также могут создавать групповые политики, разрешающие запуск только определенного списка служб. Эта задача также может быть написана по сценарию или с помощью инструментов для мониторинга новых служб, которые устанавливаются и активируются на компьютерах пользователей. Следует проводить общие периодические аудиты для составления отчетов о деятельности по установке услуг.

Шаг третий

Используйте утилиту Msconfig в Windows XP, чтобы определить, какие приложения запускаются. Последние приложения больше не используют папку автозагрузки, поскольку пользователь может легко удалить ярлык из папки автозагрузки. Авторы продолжают находить новые и творческие способы запуска своих ресурсоемких приложений. Вот почему профессионалы должны обучать своих пользователей.

Шаг четвертый

Профилактика лучше, чем лечение. Обновляйте операционную систему и файлы приложений и не просматривайте недобросовестные веб-сайты и службы передачи файлов, которые потенциально могут привести к проникновению троянца в вашу систему.

Планировщик заданий

В некоторых системах есть планировщик или приложение запуска, которое позволяет запускать определенные приложения.

Windows 2000 и выше имеют общую папку автозагрузки. Эта папка может влиять на все профили и должна быть проверена для запуска приложений.

c:Documents and SettingsВсе пользователиГлавное менюПрограммыАвтозагрузка

В частности, у пользователя есть папка запуска, показанная ниже.

c:Documents and Settingsимя пользователяГлавное менюПрограммыАвтозагрузка

Windows также использует реестр для загрузки приложений, которые необходимо запустить.

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce]
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionВыполнить]
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnceEx]
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunEx]
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce]
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionВыполнить]
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnceEx]
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunEx]

Если ИТ-специалист обнаружит, что эта задача продолжает занимать значительную часть ресурсов и времени службы поддержки, может потребоваться ограничить поведение пользователей с помощью настраиваемых групповых политик, ограничивающих несанкционированное добавление или изменение реестра. Если у вас нет инструментов для автоматического удаления запускаемых приложений с вашего компьютера, вы можете использовать regedit для редактирования реестра. Убедитесь, что вы сделали резервную копию перед удалением каких-либо записей реестра.

Другие возможные записи реестра для ИТ-специалистов, на которые следует обратить внимание:

[HKEY_CLASSES_ROOTexefileshellopencommand] = ""%1" %*"
[HKEY_CLASSES_ROOTcomfileshellopencommand] = ""%1" %*"
[HKEY_CLASSES_ROOTatfileshellopencommand] = ""%1" %*"
[HKEY_CLASSES_ROOThtafileShellOpenCommand] = ""%1" %*"
[HKEY_CLASSES_ROOTpiffileshellopencommand] = ""%1" %*"
[HKEY_LOCAL_MACHINESoftwareCLASSESatfileshellopencommand] = ""%1"
%*”
[HKEY_LOCAL_MACHINESoftwareCLASSEScomfileshellopencommand] = ""%1"
%*”
[HKEY_LOCAL_MACHINESoftwareCLASSESexefileshellopencommand] = ""%1"
%*”
[HKEY_LOCAL_MACHINESoftwareCLASSEShtafileShellOpenCommand] = ""%1"
%*”
[HKEY_LOCAL_MACHINESoftwareCLASSESpiffileshellopencommand] = ""%1"
%*”













Если ключи не имеют значения «»%1» %*», как показано, и изменены на что-то вроде «»somefilename.exe %1» %*», то они автоматически вызывают указанный файл.

Пакетные файлы

Пакетные файлы также могут запускать приложения в системе.

Другие файлы, такие как файл Win.ini, которые можно настроить, введя win.ini в диалоговом окне запуска, чтобы начать настройку. Вы можете проверить любую команду, имеющую run= thisisabad.exe и т. д.

System.ini — это еще один файл, который Windows анализирует для запуска приложений. Найдите внутри файла команду [Boot] shell=.

В некоторых файлах инициализации важно просмотреть файл для любого процесса, который может быть запущен, у которого есть load= перед процессом или EXE, который будет запущен. Обычно эти процессы и приложения были замаскированы, чтобы выглядеть как обычные процессы Windows или обычные приложения Windows, которые обычно работают в диспетчере задач или в памяти. Важно знать, как автор вредоносного кода будет скрывать свои вредоносные приложения в вашей системе, если вы хотите защитить себя или свою организацию. Если вы обнаружите подозрительное приложение, работающее в диспетчере задач, попробуйте найти его, а затем осмотритесь, чтобы увидеть, не можете ли вы найти какие-либо другие подозрительные файлы в том же каталоге. Если файлы выглядят вредоносными, и они такого рода, которые вам не нужны на вашем компьютере, рекомендуется удалить этот файл после резервного копирования вашей системы. Удаление всех следов этого файла в реестре и в механизмах запуска компьютера также является хорошей идеей.

Если вы удаляете файлы, и ваш компьютер жалуется, что ему нужен файл, потому что он использует файл по той или иной причине, по крайней мере, вы знаете, что компьютер больше не может причинить вред без жизненно важных файлов exe и Dll, которые вы удалили до появления сообщений об ошибках. стали появляться. Это самый безопасный способ, если файлы подозрительны. Пожалуйста, не забудьте сделать резервную копию перед удалением любых файлов!!!

Услуги

Некоторые авторы-злоумышленники могут разрабатывать приложения, которые работают как службы в Windows, и эти службы могут выглядеть или имитировать действительные службы Windows. Эта стратегия используется, чтобы избежать обнаружения.

Обратите внимание, что удаление приложения может работать временно, однако приложение может скопировать себя обратно на компьютер или переустановить себя. Удаление шпионского ПО может нарушить работу приложений. Некоторые инструменты для удаления шпионских программ сами по себе являются шпионскими программами.

Поддержание чистоты

  • Пакет обновлений 2 для Windows XP, а также персональные брандмауэры и антивирусные приложения несколько помогают.
  • Робот-шпион ищет и уничтожает
  • Будьте осторожны, когда вы отправляете свой адрес электронной почты
  • Усильте безопасность IE
  • Сеансовые файлы cookie для управления файлами cookie, срок действия которых истекает не так уж плохо, постоянные файлы cookie, не основанные на сеансе.
  • Элементы управления ActiveX
  • Всплывающие окна! Убей их

Файлы cookie, установленные на компьютерах пользователей, могут начать собирать пользовательские данные и создавать профиль, который периодически отправляет информацию на центральный базовый корабль. Затем материнская плата анализирует данные и формирует рекламные материалы, которые соответствуют профилю соответствующего пользователя, управление файлами cookie необходимо, и некоторые приложения могут управлять ими. ИТ-специалисты могут написать сценарии входа, которые стирают информацию о файлах cookie при входе в систему, или групповую политику, которая не разрешает файлы cookie.

Решения

  • Установите хороший антивирус и лишите пользователей возможности удалять антивирусное программное обеспечение.
  • Установите хорошее средство для удаления шпионского и рекламного ПО на компьютерах пользователей.
  • Установите или включите персональный брандмауэр пользователей, это можно принудительно настроить с помощью групповых политик в организациях.
  • Постоянно обновляйте программное обеспечение своих машин, включая программное обеспечение, связанное с аппаратным обеспечением, операционной системой и приложениями.
  • Если вы не хотите проблем с производительностью, избегайте приложений, которые подписываются на эти методы.

Резюме

В этой статье я выделил некоторые приемы и места, где некоторые злоумышленники прячут свой вредоносный код. Важно отметить и понять, где могут скрываться эти ошибки, чтобы ИТ-специалист мог защитить свою организацию от постоянно растущей угрозы. Помните, что новые методы изобретаются, чтобы перехитрить пользователей. Это означает, что ИТ-специалист должен быть в курсе и опережать авторов вредоносного кода. Битва продолжается…