Шкідливі програми, malware, вірус, черв’як, троянський кінь
Шкідливі програми бувають різні і Malware одна з них.
З malware може зіткнутися кожен, і в оцінці шкідливості зі списку, шкідливі програми, я їх відношу до числа не смертельні.
Розробники (хакери) цього шкідливого ПО знаходять все більш витончені методи, що дозволяють їм встановлювати свої програми на комп'ютер.
Наприклад, помилки безпеки в програмі Winamp в межах MP4-розшифровки дозволяють розробникам шкідливих програм встановлювати свої malware на ПК користувачів.
Але я поговорю про нову небезпеку і це malware - Dynamer. Фахівці McAfee Labs виявили нове сімейство malware - Dynamer.
А що це таке?
Одним словом і не скажеш, але суть в тому, що в одній папці з'явиться всі можливості твого комп'ютера. Такий режим відомий вже з часів Windows Vista.
Про існування функції GodMode відомо давно. Щоб активувати «режим бога» в Windows, потрібно здійснити всього пару простих операцій.
Необхідно створити на робочому столі нову папку з ім'ям виду GodMode ..
«GodMode» при цьому можна замінити будь-яким іншим набором символів, а ось подальшу послідовність змінювати не можна.
У створеній папці будуть відображатися всі доступні користувачеві налаштування ОС, в тому числі і ті, які не входять до меню «Панелі управління» і «Параметрів». Передбачається, що це не просто «пасхалка», а функція, яку розробники Microsoft використовують для дебаггінга.
Дослідники McAfee Labs виявили, що бекдор Dynamer використовує GodMode для атак.
Щоб закріпитися в системі, малваре створює в реєстрі Windows запис, завдяки якій шкідливий процес стартує при кожному запуску системи. Запис в реєстрі виглядає наступним чином:
Dynamer поміщається в папку com4, всередині% AppData%. Даний запис в реєстрі використовує трохи змінену версію «режиму бога», що дозволяє малварі нормально функціонувати.
Як можна помітити, шлях GodMode трохи змінений, щоб вказувати безпосередньо на RemoteApp and Desktop Connections. Заміна імені «GodMode» на «com4» обумовлена бажанням хакерів залишитися в системі назавжди.
Саме через це нюансу від Dynamer вкрай важко позбутися.
«Використовувати таке ім'я в нормальному Windows Explorer і cmd.exe заборонено. Операційна система буде ставитися до такої папки як до пристрою, що завадить користувачу видалити цю директорію через "Провідник" або командний рядок », - пояснює Крейг Шмугар (Craig Schmugar).
Фахівці McAfee Labs все ж придумали спосіб позбавлення від шкідливої папки. Для цього знадобиться виконати команду:
Пішли далі, в знаннях, шкідливі програми!
Вірус комп'ютерний прикріплюється до програми або файлу і таким чином він поширюється від одного комп'ютера до іншого.
Так само як і людський вірус, комп'ютерний може завдати як злегка подразнюючий ефект (напр: гальмування комп'ютера), так і повністю пошкодити операційну систему.
Черв'як, в деякій мірі він вважається подклассом вірусів. Черви поширюються від комп'ютера до комп'ютера, але на відміну від вірусів, вони мають можливість подорожувати без будь-якого людського дії.
Найбільша небезпека хробака, є його здатність копіювати себе на вашій системі, тим самим може посилати сотні і тисячі копій самого себе.
Що таке троянський кінь?
Троянський кінь повне насилля, як це було і з міфологічним троянським конем. Троянський кінь, на перший погляд виявиться корисною програмою, але після запуску на ПК, все виявиться зовсім навпаки.
Він діє як би обманним шляхом, з початку користувач знаходить нібито корисну програму, з надійних джерел, але після установки троян може завдати шкоди видаляючи файли і знищуючи інформацію.
Але є і трояни, що не завдають особливо великої шкоди, а просто виконує дратівливі дії, змінюючи щось на комп'ютері жертви без видалення нічого.
На відміну від вірусів і черв'яків, трояни не розмножуються шляхом зараження інших файлів і вони не самовідтворюються.
Методи боротьби з шкідливим ПЗ.
Шкідливе програмне забезпечення, як уже говорилося вище, може завдати величезної шкоди вашому комп'ютеру, а може і накоїти що-небудь, що може просто дратувати користувача.
Це може бути наприклад просто ярлики на флешці, а може бути і видалення будь-яких файлів з комп'ютера і тут доведеться скористатися відновленням інформації.
Але є й інші лазівки для виконання шкідливого наміру і попіткі вдатися до списку під назвою, шкідливі програми.
На що хочу звернути увагу, так, на порт вашого комп'ютера!
І так, у вас є на сторожі Брандмауер. Він здатний захистити персональний комп'ютер і мережу від непроханих гостей.
Якщо ви не хочете встановлювати брандмауер, але все ж хочете захистити свій комп'ютер, то у вас є можливість вручну закрити той чи інший порт або блокувати певні протоколи.
Деякі порти і протоколи можуть бути використані для атаки на вашу систему.
Наприклад, хтось може керувати вашим комп'ютером за допомогою служби Telnet, якщо порт, через який вона зазвичай працює (порт 23), залишений відкритим.
Багато в чому відомий троян Back Orifice, що дає відморозків необмежену владу над вашою системою, використовує різні порти, і порти з номерами 31337 і 31338.
Даю список портів, використовуваних різними троянами: port
Щоб захистити свій комп'ютер, вам варто закрити всі порти, крім тих, які потрібні для роботи, наприклад порт 80 повинен бути відкритий, якщо ви хочете переглядати web-сторінки.
Щоб вручну закрити порти і блокувати протоколи, клацніть правою кнопкою миші на папці Мережеве оточення (My Network Places) і виберіть пункт Властивості (Properties). Відкриється папка із мережею (Network Connections).
Потім правою кнопкою миші на з'єднанні, для якого ви хочете закрити порти, і знову виберіть Властивості. Виділіть в списку рядок Протокол Інтернету (TCP / IP) (Internet protocol (TCP / IP) і клацніть на кнопці Властивості (Properties).
На вкладці Загальні (General) клацніть на кнопці Додатково (Advanced). У діалоговому вікні Додаткові параметри TCP / IP (Advanced TCP / IP Settings) перейдіть на вкладку Параметри (Options), виділіть рядок Фільтрація TCP / IP (TCP / IP Filtering).
Клацніть на кнопці Властивості (Properties). З'явиться діалогове вікно Фільтрація TCP / IP (TCP / IP filtering). Щоб заблокувати порти TCP, UDP і протоколи IP, для кожного з них виберіть пункт Тільки (Permit only).
Таким чином ви успішно закриєте всі порти TCP, UDP і заблокуєте протоколи IP.
Однак закрити всі порти - це не вихід.
Потрібно вказати системі, через які порти можна передавати дані. Запам'ятайте, що якщо ви хочете переглядати web-сторінки, необхідно відкрити порт 80!
Щоб відкрити певні порти або дозволити використання деяких протоколів, клацніть на кнопці Додати (Add).
Вкажіть порти і протоколи, які ви хочете відкрити, а потім натисніть ОК. Тепер будуть використовуватися тільки порти і протоколи зі складеного вами списку.
Тому даний спосіб підходить тільки тоді, коли ви хочете звести до мінімуму число мережевих служб і додатків, що працюють на вашому комп'ютері.
Отримання списку наявних в системі портів
Існує як мінімум два способи:
1. Список доступних портів можна дізнатися, проаналізувавши ключ реєстру
HKEY_LOCAL_MACHINE / HARDWARE / DEVICEMAP / SERIALCOMM
2. Можна по черзі спробувати відкрити порти COM1. COM9, таким чином вдасться
встановити всі доступні порти (тобто порти, які не відкриті іншими додатками).