5. Принятие решения о вирусной безопасности и методе установки

• машина чиста, мягкая переустановка (удаляется лишь каталоги Windows и ProgramFiles).
• вирус есть, он активен, всё НАЧИСТО (с заменой MBR, BR, удалением всех исполнимых файлов, , зачастую, и с форматированием системного жёсткого диска).

Так сообщение уже на сайте не имеющем прямого отношения к IT от 24 января 2020. "Обнаружен неудаляемый Android-вирус" [1]

Несмотря на то что вирус появился в 2015 году, специалисты считают, что он до сих пор распространен среди Android-пользователей.

...

Специалисты уточнили, что от Android.Xiny.5260 невозможно избавиться даже после удаления с устройства зараженных приложений. Единственный способ, который рекомендуют эксперты компании, заключается в полной перепрошивке ОС Android из официальных источников.

Типы вирусов:

Метод поражения вирусами, содержащимися в почтовых отправлениях:

рис. А1.

Рекомендация: добавить пользователя с максимально урезанными правами (ни в коем случае не в группу администраторы и опытные пользователи) так, чтобы использовать его исключительно для работы с интернет сервисами (www, почта).

рис. А2.

Трояна не совсем вирус, так как она может не иметь собственного блока распространения.

рис.А3.

• + Черви (изначальная идеология червя, как программного кода, исполняющегося на множестве машин, но придерживающегося согласованной стратегии).

Защита от Word Macro вирусов см. Азбука стр. 355 примечание 5.9.

Очередной шедевр вирусописателей - Slingshot (= Рогатка). Состоит из части с названием Canhadr для ядра и управления памятью компьютера + GollumApp для файловой системы. Инфицирует роутеры. После этого атакует уже компьютеры. При перепрошивке роутеров, очевидно, пытается восстановиться с компьютеров. Существует с 2012 года. Отличается способностями к маскировке, то есть, предположительно, поддерживает Stealth-режим.. Эх... А Adinf бы такой вирус когда-то вычистил вмиг и разом... Жаль, что Adinf до сих пор не получил широкого распространения.

Ссылки

1. "Обнаружен неуничтожаемый компьютерный вирус" https://lenta.ru/news/2018/03/12/virus/

---

Переведено сюда из http://tula-it.ru/node/1269

Вредоносное действие вирусов

• Торможение системы
• Уменьшение свободной емкости носителей (жёстких дисков и т.д.)
• Flash перепрошивка (уничтожение) BIOS - машина не будет вообще работать.
• Сервер распространения + Сервер атаки = Спам сервер. Как следствие - рост Интернт трафика.

Примечание А1. Для большинства вирусов характерно, что только одна копия из сотни непосредственно наносит вредоносное действия сразу после инфицирования, все остальные прикладывают усилия лишь для распространения.

Примечание А2. В последнее время широкое распространение получили вирусы ("банеры", "порно-банеры"), которые выводят свой экран вместо привычного рабочего стола и требуют оплатить некую сумму, за их удаление. Признак такого вируса: при нажатии на CTRL-Alt-Del можно выбрать выполнить задачу и набрать explorer, в результате чего прогрузится привычный рабочий стол. Удаление такого вируса из автозапуска (см. рис или ВИДЕОЗАПИСЬ А2-1). В том случае, если такой вирус блокирует вывод на экран любые окна, кроме своего, то необходимо грузится с Windows XPE или 7PE диска и пользоваться редактором рееста PE (ВИДЕОЗАПИСЬ А2-2 и ВИДЕОЗАПИСЬ А2-3).

Примечание А3. Добавленное на 30 семинаре (ищи аудиозаписи от 08 января 2010) - типы файлов исполнимых (инфицируемых), данных (неинфицированных) и данных, в которые для сервисных целей добавлены функции хранения информации для исполнения.

Примечание А4. Причина, по которой на завирусованной Windows машине для сохранения документов перед удалением логического раздела диска нужно грузится с Linux USB Flash - файлы desktop.ini + *.htt, которые выполняются проводником (explorer) Windows в качестве инструкции.

• Монофаги (ищет определённый отпечаток байт вируса). См. kidokiller (ВИДЕОЗАПИСЬ)

• ---

• Полифаги (то же, что предыдущее, но в отношении множества вирусов). Первая часть базы полифага - отпечатки, вторая - как лечить, третья - отдельная, текстовое описание. Такие программы всегда отстают причины этого на примере обиженного студента (в зависимости от зловредности вируса он либо распространится, либо нет).

Вспомнить суть AIDS (переписывал часть исполнимого файла), DIR (шифровал и активно дешифровал FAT), HalfOne, Saiha Die Hard. Все успели распространится, прежде чем их стали ловить полифаги.

Пояснить, что многие антивирусы запущенные из Windows-режима оказываются не способны удалить вирусы, если те стартовали раньше антивирусов. Поэтому для Win9x приходится вручную перезагружаться в режим Command prompt only, переходить в каталог антивируса, dir'ом находить все файлы *.exe, один из них тот же антивирус для DOS-режима. В WinNT аналогично, только заходить нужно в безопасном режиме с поддержкой коммандной строки (тогда не стартуют многие службы).

• ---

• Фильтры (кстати они используются и для контроля за текстами E-mail, WWW). Они как правило пользуются базой полифага. Тоже слабы против новых вирусов, к тому же тормозят систему, приводят к зависаниям. Неэффективны в отношении вирусов, обходящих обращения к операционной системе, и тем более обходящих даже ображения к BIOS, а обращающихся непосредственно к документированным и недокументированным функциям железки. Что может фильтр? Увидев нестандартное действие попробовать завесить всю систему (ниже приведен рисунок обхода вирусом фильтра).
  Фильтров не должно быть более одного. Так если поставить два антивируса (и у каждого запустить фильтр), машина скорее всего работать не будет.
• Эвристический анализатор. Он "понимает" суть производимых программным кодом действий и по признакам, характерным для вирусов отлавливает их. И выдаёт сообщения вида: "такой-то файл содержит алгоритм полиморфизма" (он позволяет одно и то же содержимое шифровать, за счёт чего две копии одного и того же вируса не имеют ни одного одинакового отпечатка), "такой-то файл в обход директив операционной системы ссылается на сектор жёсткого диска, помеченный в FAT-таблице как BAD- повреждённый и непригодный для записи в него" и т.д.

Всё вышесказанное обычно поставляется в виде одного программного пакета. Так эвристический анализатор добавляет разумности сканеру и фильтру. Одна и та же антивирусная база полифага используется и для целей работы фильтра:

• Dr Web;
• Dr.Web
  • Внутри виртуальной машины НЕ УДАЛОСЬ запустить установщик DrWebLiveUsb.exe, попробовали то же сделать в Linux - неудачно (нужно было скачивать deb-пакет под Linux) (не удачная ВИДЕОЗАПИСЬ)
  • Установка в Windows - LiveUSB.
• Rising Antivirus;
• Symantec Antivirus.
• Avast, обычно бесплатна программная реализация без брэндмауэра и с прочими ограничениями
  
• описание NOD32 (не готов присоединиться ко всем дифирамбам, но антивирус не плох).

Вывод. Фильтр в любом случае будет затормаживать работу системы, а то, что он использует как эвристический анализ, так и огромную базу с отпечатками вирусов приводит к сильному затормаживанию работы.

---

• Ревизоры дисков - Advanced Disk Info Scope (ADINF) + Cure Module (лечащий модуль).
  Описание (с восхищением от успехов) Adinf32, сделанное мной, см. здесь.
  Создают таблицы с описанием всех файлов, которые могут поражаться вирусами. В описание входят имя и место хранения файла, размер файла и контрольная сумма файла. Вирусу проблематично изменить файл, при этом сохранить его длину и контрольную сумму и при этом сохранить работоспообность файла.
  • Stealth вирусы (вирус выкусывает своё тело из файла перед отдачей его антивирусу для сканирования и инфицирует файл заново сразу по окончании процесса сканирования).
  • полиморфизм
  • 
• Вакцины. Суть *.com и *.exe файлов точки входа и выходов.

Пример антивирусной вакцины против Word Macro вируса thus.

• Антивирусные платы.
• Рис. 1. Предпосылка. Попытка вируса обойти сервис операционной системы и даже сервис BIOS и непосредственно производить обращения к контроллеру жёсткого диска:
  Вывод. Антивирусный фильтр окажется не способен противостоять такому вирусу, и лишь тормозит работу системы и добропорядочных программ.
• Рис.2. Физическое встраивание в цепочку антивирусной платы:

  

• "Не пущать".
  1)  Например, машина грузится с сети, (пояснить про создание dump'а памяти, (см. \\zoo\sys_adm.new\sys_adm.v06\03_win\A001.cvf)), когда у машины вообще нет HDD, а образ оперативной памяти грузится прямо с сервера сети, посредством BIOS'а на сетевой плате. Загрузка намного быстрее, инфицирование может быть произведено только текущего сеанса работы с компьютером.
  
  
  
  2) Слабейшие реализации этого же метода - PowerQuest ImageDrive или SymantecGhost. Все документы, всё прочее уникальное хранится на файловом сервере, оператор архива использует MS Backup, который ориентируясь на атрибут Arhive сохраняет на ленту стримера всё изменившееся с момента последнего сохранения. Любая пользовательская машина.
  Рис.3. Идеология работы с образами логических дисков:
  
  3) Используется специальная утилита (сам не пробовал, но мне рекомендовали Norton GoBack), которая отслеживает все изменения в программах, в реестре (используется в компьютерных клубах). При каждом старте системы она восстанавливает предыдущее состояние.