Учебники

Компьютерная безопасность — вредоносные программы

В предыдущей главе мы рассматривали антивирусы, которые помогли нам защитить наши системы, но в этой главе мы рассмотрим вредоносные программы, способы их обнаружения вручную, их формы, расширения файлов, признаки зараженного компьютера и т. Д. важно лечиться, потому что уровень заражения предприятий и персональных компьютеров в настоящее время слишком высок.

Это программы самовоспроизведения, которые воспроизводят свои собственные коды, присоединяя себя к другим исполняемым кодам. Они работают без разрешения или ведома пользователей компьютера. Вирусы или вредоносные программы, как в реальной жизни, на компьютерах заражают другие здоровые файлы.

Тем не менее, мы должны помнить, что вирусы заражают внешние машины только с помощью пользователя компьютера. Это может произойти, щелкнув файл, который прилагается к электронной почте от неизвестного лица, подключив USB без сканирования, и по этой причине открыв небезопасные URL-адреса. Мы, как системные администраторы, должны удалить права доступа пользователей на этих компьютерах. Мы подразделяем вредоносные программы на три типа —

  • Трояны и руткиты
  • Вирусы
  • черви

Характеристики вируса

Ниже приведено несколько характеристик любого вируса, который заражает наши компьютеры.

  • Они находятся в памяти компьютера и активируются, когда запускается подключенная программа.

    Например: они обычно присоединяются к explorer.exe в ОС Windows, потому что это процесс, который выполняется постоянно, поэтому вы должны быть осторожны, когда этот процесс начинает использовать слишком много ресурсов вашего компьютера.

  • Они изменяют себя после фазы заражения, например исходные коды, расширения, новые файлы и т. Д., Поэтому антивирусам сложнее их обнаружить.

  • Они всегда пытаются спрятаться в операционных системах следующими способами —

    • Зашифровывает себя в загадочные символы, и они расшифровывают себя, когда они копируют или выполняют.

      Например — Вы можете увидеть это на следующем изображении для лучшего понимания, как на моем компьютере я нашел этот файл.

Они находятся в памяти компьютера и активируются, когда запускается подключенная программа.

Например: они обычно присоединяются к explorer.exe в ОС Windows, потому что это процесс, который выполняется постоянно, поэтому вы должны быть осторожны, когда этот процесс начинает использовать слишком много ресурсов вашего компьютера.

Они изменяют себя после фазы заражения, например исходные коды, расширения, новые файлы и т. Д., Поэтому антивирусам сложнее их обнаружить.

Они всегда пытаются спрятаться в операционных системах следующими способами —

Зашифровывает себя в загадочные символы, и они расшифровывают себя, когда они копируют или выполняют.

Например — Вы можете увидеть это на следующем изображении для лучшего понимания, как на моем компьютере я нашел этот файл.

Вирусная атака

Найдя этот файл, я открыл его в текстовом редакторе, и, как мне показалось, текст не был понятен, как показано на следующем снимке экрана.

Скриншот

После обнаружения этого я попробовал это на декодере base64, и я обнаружил, что это был файл Virus.

Вирусный файл

Этот вирус может вызвать следующие на вашем компьютере —

  • Он может удалять важные данные с вашего компьютера, чтобы освободить место для своих процессов.

  • Это может избежать обнаружения путем перенаправления данных с диска.

  • Он может выполнять задачи, инициируя событие с самим собой. Например, это происходит, когда на зараженном компьютере всплывающие таблицы и т. Д. Автоматически отображаются на экране.

  • Они распространены в Windows и Mac OS, потому что эти операционные системы не имеют нескольких файловых разрешений и более распространены.

Он может удалять важные данные с вашего компьютера, чтобы освободить место для своих процессов.

Это может избежать обнаружения путем перенаправления данных с диска.

Он может выполнять задачи, инициируя событие с самим собой. Например, это происходит, когда на зараженном компьютере всплывающие таблицы и т. Д. Автоматически отображаются на экране.

Они распространены в Windows и Mac OS, потому что эти операционные системы не имеют нескольких файловых разрешений и более распространены.

Рабочий процесс вредоносных программ и как их очистить

Вредоносные программы присоединяются к программам и передают другим программам, используя некоторые события, им нужны эти события, потому что они не могут —

  • Начни с себя
  • Передача себя с помощью неисполняемых файлов
  • Заражать другие сети или компьютер

Исходя из вышеизложенных выводов, мы должны знать, что когда некоторые необычные процессы или сервисы запускаются сами собой, мы должны дополнительно исследовать их связь с возможным вирусом. Процесс расследования выглядит следующим образом —

Чтобы исследовать эти процессы, начните с использования следующих инструментов —

  • fport.exe
  • pslist.exe
  • Handle.exe
  • netstat.exe

Listdll.exe показывает все используемые dll-файлы , а netstat.exe с его переменными показывает все процессы, которые выполняются с соответствующими портами.

В следующем примере показано, как я сопоставил процесс антивируса Касперского, который я использовал вместе с командой netstat-ano, чтобы увидеть номера процессов и диспетчер задач, чтобы увидеть, какому процессу принадлежит этот номер.

Рабочий процесс вредоносных программ

Затем мы должны искать любые измененные, замененные или удаленные файлы, и общие библиотеки также должны быть проверены. Они обычно заражают исполняемые программные файлы с расширением, например .EXE, .DRV, .SYS, .COM, .BIN . Вредоносные программы изменяют расширение подлинных файлов, например: File.TXT на File.TXT.VBS.

Если вы являетесь системным администратором веб-сервера, вам следует знать о другой форме вредоносного ПО, которое называется веб-оболочкой . Обычно он имеет расширение .php, но со странными именами файлов и в зашифрованном виде. Вы должны удалить их в случае, если вы обнаружите их.

После этого мы должны обновить антивирусную программу и снова выполнить сканирование компьютера.

Обнаружение компьютерной ошибки от вирусной инфекции

В этом разделе мы рассмотрим, как обнаружить ошибку компьютера или ОС от вируса, потому что иногда люди и системные администраторы смешивают симптомы.

Следующие события, скорее всего, не вызваны вредоносным ПО —

  • Ошибка во время загрузки системы на этапе BIOS, например, отображение батареи аккумулятора в BIOS, отображение ошибки таймера.
  • Аппаратные ошибки, такие как звуковой сигнал RAM, HDD и т. Д.
  • Если документ не запускается обычно, как поврежденный файл, но другие файлы могут быть открыты соответственно.
  • Клавиатура или мышь не отвечают на ваши команды, вы должны проверить плагины.
  • Монитор включается и выключается слишком часто, например, мигает или вибрирует, это аппаратная ошибка.

С другой стороны, если у вас есть следующие признаки в вашей системе, вы должны проверить на наличие вредоносных программ.

  • Ваш компьютер показывает всплывающие окна или таблицы ошибок.

  • Часто зависает.

  • Он замедляется при запуске программы или процесса.

  • Третьи стороны жалуются, что они получают приглашение в социальных сетях или по электронной почте от вас.

  • Изменения расширений файлов появляются или файлы добавляются в вашу систему без вашего согласия.

  • Internet Explorer слишком часто зависает, даже если ваша скорость интернета очень хорошая.

  • К вашему жесткому диску обращаются большую часть времени, как вы можете видеть по светодиодному индикатору на корпусе вашего компьютера.

  • Файлы ОС либо повреждены, либо отсутствуют.

  • Если ваш компьютер использует слишком большую полосу пропускания или сетевые ресурсы, это случай компьютерного червя.

  • Место на жестком диске постоянно занято, даже если вы не предпринимаете никаких действий, например, устанавливаете новую программу.

  • Размеры файлов и программ изменяются по сравнению с исходной версией.

Ваш компьютер показывает всплывающие окна или таблицы ошибок.

Часто зависает.

Он замедляется при запуске программы или процесса.

Третьи стороны жалуются, что они получают приглашение в социальных сетях или по электронной почте от вас.

Изменения расширений файлов появляются или файлы добавляются в вашу систему без вашего согласия.

Internet Explorer слишком часто зависает, даже если ваша скорость интернета очень хорошая.

К вашему жесткому диску обращаются большую часть времени, как вы можете видеть по светодиодному индикатору на корпусе вашего компьютера.

Файлы ОС либо повреждены, либо отсутствуют.

Если ваш компьютер использует слишком большую полосу пропускания или сетевые ресурсы, это случай компьютерного червя.

Место на жестком диске постоянно занято, даже если вы не предпринимаете никаких действий, например, устанавливаете новую программу.

Размеры файлов и программ изменяются по сравнению с исходной версией.

Некоторые практические рекомендации по предотвращению вирусов

  • Не открывайте вложения электронной почты от неизвестных людей или от известных людей, которые содержат подозрительный текст.
  • Не принимайте приглашения от неизвестных в социальных сетях.
  • Не открывайте URL-адреса, отправленные неизвестными или известными людьми в любой странной форме.

Вирусная информация

Если вы нашли вирус, но вы хотите дополнительно изучить его функции. Я бы порекомендовал вам взглянуть на эти вирусные базы, которые обычно предлагаются поставщиками антивирусов.

База данных вирусов Касперского — ( http://www.kaspersky.com/viruswatchlite?hour_offset=-1 )

F-Secure — ( https://www.f-secure.com/en/web/labs_global/threat-description )

Symantec — Вирусная энциклопедия — ( https://www.symantec.com/security_response/landing/azlisting.jsp )