5. Принятие решения о вирусной безопасности и методе установки
Писалось изначально на основе Windows, но в современном мире касается и OS Linux.
- машина чиста, мягкая переустановка (удаляется лишь каталоги
Windows и ProgramFiles).
- вирус есть, он активен, всё НАЧИСТО (с заменой MBR, BR, удалением
всех исполнимых файлов, , зачастую, и с форматированием системного
жёсткого диска).
ВНИМАНИЕ! Длительное время считалось, что OS на базе Linux является
некой панацеей от вирусов. Однако сейчас появились сообщения о вирусах,
которые опасны для Android (OS по сути сделанная на основе Linux)
настолько, что избавиться от них можно только полностью переустановив
операционную систему НАЧИСТО:
Так сообщение уже на сайте не имеющем прямого отношения к IT от 24 января 2020. "Обнаружен неудаляемый Android-вирус" [1]
Несмотря на то что вирус появился в 2015 году, специалисты считают, что он до сих пор распространен среди Android-пользователей.
...
Специалисты
уточнили, что от Android.Xiny.5260 невозможно избавиться даже после
удаления с устройства зараженных приложений. Единственный способ,
который рекомендуют эксперты компании, заключается в полной
перепрошивке ОС Android из официальных источников.
Вклинилось. "Бочка в кубе денег"
(суть вирусов-шифровальщиков и
массового уничтожения фалов на разделах HDD вирусом Фантом - Phantom)
см. здесь.
---
Вклинилось: "Вирусы, трояны, черви + Социальный хакер. Краткое
описание" см. здесь.
---
Вклинилось: "Вирусы, трояны и шпионское ПО против систем 'Банк-Клиент'"
(в том числе про понятие "Bad Cluster"), см. здесь.
---
Вклинилось: "Ржу нимагу! Защита государственной тайны. Безопасноть и
воры" см. здесь.
---
Вклинилось (просто для памяти, с чего начинается вход в создание
вируса, как программы, которая воспроизводит сама себя): "Generator Death -
"Смертельный" генератор Windows команд. Вирусы"
Типы вирусов:
Метод поражения вирусами, содержащимися в почтовых отправлениях:
рис. А1.
Рекомендация: добавить пользователя с максимально урезанными правами
(ни в коем случае не в группу администраторы и опытные пользователи)
так, чтобы использовать его исключительно для работы с интернет
сервисами (www, почта).
рис. А2.
Трояна не совсем вирус, так
как она может не иметь собственного
блока распространения.
рис.А3.
- + Черви (изначальная
идеология червя, как программного кода,
исполняющегося на множестве машин, но придерживающегося согласованной
стратегии).
Защита от Word Macro
вирусов см. Азбука стр. 355 примечание 5.9.
+ Дополнение: вирусы, поражающие
одновременно и компьютеры в локальной
сети и роутеры
Очередной шедевр вирусописателей - Slingshot (= Рогатка). Состоит из
части с названием Canhadr для ядра и управления памятью компьютера +
GollumApp для файловой системы. Инфицирует роутеры. После этого атакует
уже компьютеры. При перепрошивке роутеров, очевидно, пытается
восстановиться с компьютеров. Существует с 2012 года. Отличается
способностями к маскировке, то есть, предположительно, поддерживает
Stealth-режим.. Эх... А Adinf бы такой вирус когда-то вычистил вмиг и
разом... Жаль, что Adinf до сих пор не получил широкого распространения.
Ссылки
1. "Обнаружен неуничтожаемый компьютерный вирус"
https://lenta.ru/news/2018/03/12/virus/
---
Переведено сюда из http://tula-it.ru/node/1269
Вредоносное действие вирусов
- Торможение системы
- Уменьшение свободной емкости носителей (жёстких дисков и т.д.)
- Flash перепрошивка (уничтожение) BIOS - машина не будет вообще
работать.
- Сервер распространения + Сервер атаки = Спам сервер. Как
следствие - рост Интернт трафика.
Примечание А1. Для большинства вирусов характерно, что только одна
копия из сотни непосредственно наносит вредоносное действия сразу после
инфицирования, все остальные прикладывают усилия лишь для
распространения.
Примечание А2. В последнее время широкое распространение получили
вирусы ("банеры", "порно-банеры"), которые выводят свой экран вместо
привычного рабочего стола и требуют оплатить некую сумму, за их
удаление. Признак такого вируса: при нажатии на CTRL-Alt-Del можно
выбрать выполнить задачу и набрать explorer, в результате чего
прогрузится привычный рабочий стол. Удаление такого вируса из
автозапуска (см. рис или ВИДЕОЗАПИСЬ А2-1).
В том случае, если такой вирус блокирует вывод на экран любые окна,
кроме своего, то необходимо грузится с Windows XPE или 7PE диска и
пользоваться редактором рееста PE (ВИДЕОЗАПИСЬ А2-2 и
ВИДЕОЗАПИСЬ А2-3).
Примечание А3. Добавленное на 30 семинаре (ищи аудиозаписи от 08
января 2010) - типы файлов исполнимых
(инфицируемых), данных (неинфицированных) и данных, в которые для
сервисных целей добавлены функции хранения информации для исполнения.
Примечание А4. Причина, по которой на завирусованной Windows машине
для сохранения документов перед удалением логического раздела диска
нужно грузится с Linux USB Flash - файлы desktop.ini + *.htt, которые
выполняются проводником (explorer) Windows в качестве инструкции.
- Монофаги (ищет определённый отпечаток байт вируса). См.
kidokiller (ВИДЕОЗАПИСЬ)
-
- Полифаги (то же, что предыдущее, но в отношении множества
вирусов). Первая часть базы полифага - отпечатки, вторая - как
лечить, третья - отдельная, текстовое описание. Такие программы всегда
отстают причины этого на примере обиженного студента (в зависимости от
зловредности вируса он либо распространится, либо нет).
Вспомнить суть AIDS (переписывал часть исполнимого файла), DIR
(шифровал и активно дешифровал FAT), HalfOne, Saiha Die Hard. Все
успели распространится, прежде чем их стали ловить полифаги.
Пояснить, что многие антивирусы запущенные из Windows-режима
оказываются не способны удалить вирусы, если те стартовали раньше
антивирусов. Поэтому для Win9x приходится вручную перезагружаться в
режим Command prompt only, переходить в каталог антивируса, dir'ом
находить все файлы *.exe, один из них тот же антивирус для DOS-режима.
В WinNT аналогично, только заходить нужно в безопасном режиме с
поддержкой коммандной строки (тогда не стартуют многие службы).
-
- Фильтры (кстати они используются и для контроля за текстами
E-mail, WWW). Они как правило пользуются базой полифага. Тоже слабы
против новых вирусов, к тому же тормозят систему, приводят к
зависаниям. Неэффективны в отношении вирусов, обходящих обращения к
операционной системе, и тем более обходящих даже ображения к BIOS, а
обращающихся непосредственно к документированным и недокументированным
функциям железки. Что может фильтр? Увидев нестандартное действие
попробовать завесить всю систему (ниже приведен рисунок обхода вирусом
фильтра).
Фильтров не должно быть более одного. Так если поставить два антивируса
(и у каждого запустить фильтр), машина скорее всего работать не будет.
- Эвристический анализатор. Он "понимает" суть производимых
программным кодом действий и по признакам, характерным для вирусов
отлавливает их. И выдаёт сообщения вида: "такой-то файл содержит
алгоритм полиморфизма" (он позволяет одно и то же содержимое шифровать,
за счёт чего две копии одного и того же вируса не имеют ни одного
одинакового отпечатка), "такой-то файл в обход директив операционной
системы ссылается на сектор жёсткого диска, помеченный в FAT-таблице
как BAD- повреждённый и непригодный для записи в него" и т.д.
Всё вышесказанное обычно поставляется в виде одного программного
пакета. Так эвристический анализатор добавляет разумности сканеру и
фильтру. Одна и та же антивирусная база полифага используется и для
целей работы фильтра:
- Dr Web;
- Dr.Web
- Внутри виртуальной машины НЕ УДАЛОСЬ запустить установщик
DrWebLiveUsb.exe, попробовали то же сделать в Linux - неудачно (нужно
было скачивать deb-пакет под Linux) (не удачная ВИДЕОЗАПИСЬ)
- Установка в Windows - LiveUSB.
- Rising Antivirus;
- Symantec Antivirus.
- Avast, обычно бесплатна программная
реализация без брэндмауэра и с прочими ограничениями
- описание NOD32 (не готов присоединиться
ко всем дифирамбам, но антивирус не плох).
Вывод. Фильтр в любом случае будет затормаживать работу системы, а
то, что он использует как эвристический анализ, так и огромную базу с
отпечатками вирусов приводит к сильному затормаживанию работы.
- Ревизоры дисков - Advanced Disk Info Scope (ADINF) + Cure Module
(лечащий модуль).
Описание (с восхищением от успехов) Adinf32, сделанное мной, см. здесь.
Создают таблицы с описанием всех файлов, которые могут поражаться
вирусами. В описание входят имя и место хранения файла, размер файла и контрольная сумма файла. Вирусу
проблематично изменить файл, при этом сохранить его длину и контрольную
сумму и при этом сохранить работоспообность файла.
- Stealth вирусы (вирус выкусывает своё тело из файла перед
отдачей его антивирусу для сканирования и инфицирует файл заново сразу
по окончании процесса сканирования).
- полиморфизм
- Вакцины. Суть *.com и *.exe файлов точки входа и выходов.
Пример антивирусной вакцины против
Word Macro вируса thus.
- Антивирусные платы.
- Рис. 1. Предпосылка. Попытка вируса обойти сервис
операционной системы и даже сервис BIOS и непосредственно производить
обращения к контроллеру жёсткого диска:
Вывод. Антивирусный фильтр окажется не способен противостоять такому
вирусу, и лишь тормозит работу системы и добропорядочных программ.
- Рис.2. Физическое встраивание в цепочку антивирусной
платы:
- "Не пущать".
1) Например, машина грузится с сети,
(пояснить про создание dump'а памяти, (см.
\\zoo\sys_adm.new\sys_adm.v06\03_win\A001.cvf)), когда у машины вообще
нет HDD, а образ оперативной памяти грузится прямо с сервера сети,
посредством BIOS'а на сетевой плате. Загрузка намного быстрее,
инфицирование может быть произведено только текущего сеанса работы с
компьютером.
2) Слабейшие реализации этого же метода - PowerQuest ImageDrive или
SymantecGhost. Все документы, всё прочее уникальное хранится на
файловом сервере, оператор архива использует MS Backup, который
ориентируясь на атрибут Arhive сохраняет на ленту стримера всё
изменившееся с момента последнего сохранения. Любая пользовательская
машина.
Рис.3. Идеология работы с образами логических дисков:
3) Используется специальная утилита (сам не пробовал, но мне
рекомендовали Norton GoBack), которая отслеживает все изменения в
программах, в реестре (используется в компьютерных клубах). При каждом
старте системы она восстанавливает предыдущее состояние.
Примечание 1. Двойное резервирование хранения документов
(домашняя машина - CD, CD - рабочая машина). Раз в месяц обязательное
сохранение на CDROM. Раз в полгода "перелив" родной Windows с
Ghost-образа.
Примечание 2. Проблемы FireWall при использовании на одном
сервере с File-сервером. + Брандмауэр
Windows 7
(не имеет прямого отношения к антивирусам, он лишь превращает
изначально дружественный сетевой интерфейс машины в намного более
замкнутый, необщительный).
Примечание 3. Если грохнул вирус, то начинать лечение нужно
с чтения технической документации к полифагу.
Вопрос. Почему так сформулировано примечание?
Ответ. Из-за вирусов, выполняющих шифрование
данных на жёстком диске и их динамическое дешифрование, пока эти вирусы
активны. См. вирус DIR.
Сложный вопрос. При первом прочтении с ним достаточно бегло
ознакомиться
Вопрос: какие области очищает команда format?
- Рис.4. Ответ на вопрос с указанием того, где может находиться
опасное содержимое:
- Рис.5. Полный овтет на вопрос о необходимой команде format в
случае завирусованного жёсткого диска:
Дополнение: блокировка антивируса, на который забыт пароль:
- 1-й способ: Windows запускает все программы, находящиеся в
ветке реестра
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run".
Соответственно оттуда нужно просто удалить ключ реестра (Пуск->
Выполнить-> regedit->).
- 2-й способ см. рис. msconfig.
- 3-й способ. Панель управления-> Администрирование->
Службы. Попытаться отключить все, касающиеся данного антивируса.
- 4-й способ. Выявление запускаемых файлов и их удаление из
режима безопасной загрузки (когда появляется надпись Starting Windows
нужно активно понажимать клавишу F8).
Актуальная проблема - вирус "пошутил" - переименовав нецензурными
терминами некторые папки профиля пользователя.
- WinXP. Переименование папок "Мои документы", "Рабочий стол" и
прочих папок профиля пользователя. (см. рис.1 и рис.2)
- Win7. Фокус с переименованием не получился. К чему привязаны
папки понятно (рис.1), но в
адресной строке они называются по-русски (рис.2). Кто поймёт, откуда вязлось
русское "Мои документы" подскажите. А фактически, ссылаются туда, куда
ведёт реестр (рис.3).