Лекція 2 що робити, якщо ваш комп’ютер заражений

Що робити, якщо ваш комп'ютер заражений?

Непрофесіоналові складно виявити присутність вірусів на комп'ютері, оскільки вони вміло маскуються серед звичайних файлів. У цьому розділі ми постараємося найбільш докладно описати ознаки зараження комп'ютера, а також способи відновлення даних після вірусної атаки і заходи щодо запобігання їх ураження шкідливими програмами.

Є ряд ознак, що свідчать про зараження комп'ютера:

• 
  висновок на екран непередбачених повідомлень або зображень;
  
• 
  подача непередбачених звукових сигналів;
  
• 
  несподіване відкриття і закриття лотка CD-ROM-пристрої;
  
• 
  довільний, без вашої участі, запуск на комп'ютері будь-яких програм;
  
• 
  при наявності на вашому комп'ютері брандмауера, поява попереджень про спробу будь-якої з програм вашого комп'ютера вийти в інтернет, хоча ви це ніяк не ініціювали.
  

Якщо ви помічаєте, що з комп'ютером відбувається подібне то, з великим ступенем ймовірності, можна припустити, що ваш комп'ютер вражений вірусом.

Є також непрямі ознаки зараження вашого комп'ютера:

• 
  часті зависання і збої в роботі комп'ютера;
  
• 
  повільна робота комп'ютера при запуску програм;
  
• 
  неможливість завантаження операційної системи;
  
• 
  зникнення файлів і каталогів або перекручування їхнього вмісту;
  
• 
  часте звертання до жорсткого диска (часто блимає лампочка на системному блоці);
  
• 
  інтернет-браузер «зависає» або поводиться несподіваним чином (наприклад, вікно програми неможливо закрити).
  

У 90% випадків наявність непрямих симптомів викликано збоєм в апаратному або програмному забезпеченні. Незважаючи на те, що подібні симптоми з малою вірогідністю свідчать про зараження, при їх появі рекомендується провести повну перевірку вашого комп'ютера встановленої на ньому антивірусною програмою. У разі відсутності такої, ми пропонуємо завантажити і встановити пробну версію Антивірусу Касперського Personal, яка буде повністю працездатна два тижні з моменту установки.

Що робити при наявності ознак зараження

Три умови існування шкідливих програм

Комп'ютерні віруси, черв'яки, троянські програми існують для десятків операційних систем і додатків. У той же час існує величезна кількість інших операційних систем і додатків, для яких шкідливі програми поки не виявлені. Що є причиною існування шкідливих програм в одних системах і відсутності їх в інших?

Причиною появи подібних програм в конкретній операційній системі або додатку є одночасне виконання таких умов:

• 
  популярність, широке поширення даної системи;
  
• 
  наявність різноманітної і досить повної документації по системі;
  
• 
  незахищеність системи або існування відомих вразливостей в системі безпеки.
  

Кожне перераховане умова є необхідною, а виконання всіх трьох умов одночасно є достатнім для появи різноманітних шкідливих програм.

Умова популярності системи необхідно для того, щоб вона потрапила на очі хоча б одному комп'ютерному хулігану або хакеру. Якщо система існує в одиничних екземплярах, то ймовірність її коректного використання близька до нуля. Якщо ж виробник системи домігся її масового поширення, то очевидно, що рано чи пізно хакери і вирусописатели спробують використовувати її в своїх інтересах.

Напрошується природний висновок: чим популярніше операційна система або додаток, тим частіше вона буде жертвою вірусної атаки. Практика це підтверджує - розподіл кількості шкідливого програмного забезпечення для Windows і Linux практично збігається з частками ринку, які займають ці операційні системи.

Під захищеністю системи розуміються архітектурні рішення, які не дозволяють новому (невідомому) додатком отримати повний або достатньо широкий доступ до файлів на диску (включно з іншими програмами) і потенційно небезпечним сервісів системи. Подібне обмеження фактично блокує будь-яку вірусну активність, але при цьому, природно, накладає суттєві обмеження на можливості звичайних програм.

Прикладів широко відомих захищених операційних систем і додатків, на жаль, немає. Частково задовольняє вимогу захищеності Java-машина, яка запускає Java-додаток в режимі «пісочниці». І дійсно, «справжніх» вірусів і троянських програм у вигляді Java-додатків не було достатньо довгий час (за винятком тестових вірусів, які були практично непрацездатні). Шкідливі програми у вигляді Java-додатків з'явилися лише тоді, коли були виявлені способи обходу вбудованої в Java-машину системи безпеки.

У програмах, що відносяться до класу троянських, на сьогоднішній день можна виділити наступні основні тенденції:

Використання заражених машин для розсилки через них спаму або організації DDoS-атак.

Окремого розгляду вимагають такі класи програм, як Trojan-Dropper і Trojan-Downloader.

Кінцеві цілі у них абсолютно ідентичні - установка на комп'ютер іншого шкідливої ​​програми, яка може бути як хробаком, так і «троянцем». Відрізняється лише принцип їх дії. «Дроппер» можуть містити в собі вже відому шкідливу програму або навпаки - встановлювати нову її версію. Також «Дроппер» можуть встановлювати не одну, а відразу декілька шкідливих програм, що принципово відрізняються по поведінці і навіть написаних різними людьми.

Фактично «Дроппер» є своєрідними архівами, всередину яких може бути вміщено все що завгодно. Дуже часто вони застосовуються для установки в систему вже відомих «троянців», оскільки написати «дроппер» набагато простіше, ніж переписувати «троянця», намагаючись зробити його недетектіруемим для антивіруса. Досить значну частину «Дроппер» складають їх реалізації на скрипт-мовах VBS і JS, що пояснюється порівняльною простотою програмування на них і універсальністю подібних програм.

«Даунлоадер», або «завантажувачі», активно використовуються вірусопісателямі як з причин, описаних вище для «Дроппер» (прихована установка вже відомих троянців), так і через їх меншого в порівнянні з «Дроппер» розміру, а також завдяки можливості оновлювати встановлюються троянські програми. Тут також виділяється група програм на скрипт-мовах, причому, як правило, використовують різні уразливості в Internet Explorer.

Що стосується класичних файлових вірусів, що царювали в 90-х роках минулого століття, то в даний час вони практично зникли, поступившись своїм місцем мережевим черв'якам. Зараз можна нарахувати з десяток файлових вірусів, які продовжують залишатися активними і навіть іноді відчувають сплески активності. Ці сплески пов'язані з недавно виявилася у таких вірусів побічної здатність заражати виконувані файли поштових черв'яків. Таким шляхом вони пересилають себе разом з інфікованими хробаками електронними листами, в якості своєрідних прилипав. Дуже часто трапляються екземпляри поштових черв'яків Mydoom, NetSky або Bagle, заражені такими файловими вірусами, як Funlove, Xorala, Parite або Spaces.

В цілому небезпека появи нового файлового вірусу, здатного викликати глобальну епідемію, зараз практично дорівнює нулю. Навіть поява першого вірусу, що працює на Win64-платформі (Win64.Rugrat.a), не зможе змінити цю ситуацію в найближчому майбутньому.

Нові середовища і можливості

Якщо спробувати оцінити проявляються нові можливості шкідливих програм, то не можна не відзначити дуже ймовірне збільшення числа програм, написаних на мові програмування .NET. Перші концептуальні віруси і черв'яки на цій мові з'явилися досить давно, і з кожним днем ​​популярність цієї платформи все збільшується, що, в кінцевому підсумку, неминуче приверне увагу вірусописьменників.

Linux-платформи, ймовірно, як і раніше будуть залишатися полем дії програм класу rootkit, а також найпростіших файлових вірусів. Однак основна загроза для них буде виходити не від вірусів, а від виявляються вразливостей в програмних продуктах для даної платформи, що в принципі також може дати вірусописьменниками допомогу в досягненні їх мети - тотального контролю за все великим числом машин в інтернеті.

Описи шкідливих програм

До шкідливого програмного забезпечення відносяться мережеві черв'яки, класичні файлові віруси, троянські програми, хакерські утиліти та інші програми, що завдають явний шкоду комп'ютеру, на якому вони запускаються на виконання, або іншим комп'ютерам в мережі.

• 
  проникнення на віддалені комп'ютери;
  
• 
  запуску своєї копії на віддаленому комп'ютері;
  
• 
  подальшого поширення на інші комп'ютери в мережі.
  

Деякі черв'яки (так звані «безфайлові» або «пакетні» черв'яки) поширюються в вигляді мережевих пакетів, проникають безпосередньо в пам'ять комп'ютера і активізують свій код.

Деякі черв'яки володіють також властивостями інших різновидів шкідливого програмного забезпечення. Наприклад, деякі черв'яки містять троянські функції або здатні заражати виконувані файли на локальному диску, т. Е. Мають властивість троянської програми і / або комп'ютерного вірусу.

Класичні комп'ютерні віруси

• 
  подальшого запуску свого коду при яких-небудь діях користувача;
  
• 
  подальшого впровадження в інші ресурси комп'ютера.
  

На відміну від черв'яків, віруси не використовують мережевих сервісів для проникнення на інші комп'ютери. Копія вірусу потрапляє на віддалені комп'ютери тільки в тому випадку, якщо заражений об'єкт з яких-небудь не залежних від функціонала вірусу причин виявляється активізованим на іншому комп'ютері, наприклад:

• 
  при зараженні доступних дисків вірус проник у файли, розташовані на мережевому ресурсі;
  
• 
  вірус скопіював себе на знімний носій або заразив файли на ньому;
  
• 
  користувач відіслав електронний лист із зараженим вкладенням.
  

Деякі віруси містять в собі властивості інших різновидів шкідливого програмного забезпечення, наприклад бекдор-процедуру або троянську компоненту знищення інформації на диску.