Ориентир на безопасность – изучаем логику преступника
Проблема безопасности компьютеров всегда стояла очень остро. Даже при отсутствии сети Интернет хакеры находили всевозможные обходные пути распространения своих творений. Хотя масштабы атак были не столь велики, как в наше время, все же имело место такое явление, как «вирусописание». Порождение вредоносного ПО повлекло за собой создание антивирусных программ, превратив этот сектор в наиболее прибыльный в софтовом классе. В данной статье мы расскажем о борьбе с некоторыми уязвимыми местами, а также расскажем, как правильно удалять антивирусы.
Итак, начнем по порядку. Самый первый зафиксированный компьютерный вирус, который человечество увидело в 1982 году, был Elk Cloner. Его придумал 15-летний школьник из Питтсбурга. Вирус заражал дискеты, вследствие чего жертвами юного «вирусолога» стали его одноклассники и учитель информатики. Иначе говоря, эра киберпреступности была открыта пятнадцатилетним школьником. Но даже он не мог предположить, каких внушительных масштабов она достигнет через 27 лет.
Сейчас хакеры не только заражают машины пользователей, с помощью вредоносных программ они воруют конфиденциальные данные. Подделка пластиковых банковских карт, продажа паспортов считается в Сети обычным делом, и доходы от этого черного бизнеса весьма внушительны. В Интернете существует огромное множество сайтов, на которых пользователю подробно расскажут, как написать своего «червя» или создать «трояна», а также продадут все, что необходимо для отмыва заработанных денег: банковские карты – как анонимные, так и зарегистрированные на определенного человека (в список входят даже карты Сбербанка России). Заказ спама, продажа вредоносного ПО – все это лишь шелуха от семечек, костяк киберпреступников находится в так называемом «привате», то есть не на виду, и о том, что творится там, можно только догадываться. Несмотря на разнообразие мошеннических схем, все же главную роль в них играет сам вирус, так как эта программа и есть добытчик средств, а все остальное лишь подготовка и маскировка преступления. В наше время вредоносные программы разделили на несколько классов – по видам выполняемых ими действий. Мы рассмотрим основные из них, ибо врага нужно знать в лицо! Самыми распространенными представителями вредного программного обеспечения являются так называемые «трояны», которые, в отличие от вирусов, не могут самостоятельно распространяться. Данный вид вредоносного ПО обладает огромным набором функций, начиная от кражи паролей к мессенджерам и почтовым клиентам и заканчивая уделенным администрированием ПК злоумышленником. Эти программы маскируются под системные процессы и, используя библиотеки операционной системы, служат на благо создателю.
Следующий вид вредоносного ПО – это Spyware, программы, собирающие информацию с компьютера: набранный текст, список посещенных интернет-сайтов, адресная книга e-mail и т. д. После успешного сбора информации Spyware отправляет все данные своему владельцу на электронный почтовый ящик или специализированный web-сайт. В дальнейшем злоумышленник использует полученную информацию в корыстных целях.
Последний представитель самых распространенных программ-вредителей – Adware. Это приложение представляет собой рекламную площадку на машине пользователя, на которой отображается реклама, в основном сайтов для взрослых. По сути, данные приложения не несут никакого вреда, но в последнее время участилось появление новой разновидности Adware, которые блокируют определенные приложения (к примеру, Internet Explorer), требуя от пользователя посетить рекламируемый ресурс или отправить SMS для разблокировки.
Перечисленные выше приложения не являются самыми опасными, они лишь входят в рейтинг самых популярных вредоносных программ. Помимо них существует огромное число вирусов, сочетающих в себе полный набор мошеннических средств: кража паролей к банковским счетам, рассылка спама, шантаж и т. д.
«Ручная защита» от кибер-преступников Мы рассмотрели основные вредоносные приложения, а теперь поговорим о методах их распространения, ведь зная методику злоумышленника, можно снизить вероятность атаки на компьютер и применить комплекс мер по предотвращению его заражения.
Как вы помните из начала статьи, первый вирус был создан для дискет и заражал те компьютеры, в которые был вставлен этот съемный носитель информации. Спустя 27 лет практически ничего не изменилось: главным источником распространения также являются переносные источники информации, но уже не дискеты, а flash-диски. Разработчики вредоносного ПО обратили на них пристальное внимание, когда флешки стали неотъемлемым атрибутом современного человека. Ведь с их помощью очень удобно хранить и переносить информацию, да и вероятность потери данных у них ниже, чем в CD-дисках и дискетах.
Вирусологи нашли способ эксплуатации USB-носителей в своих целях. Они воспользовались такой полезной функцией, как автозапуск. Используя autorun.ini, можно запустить любую программу или документ на flash-диске незаметно от пользователя. Сейчас практически все антивирусные программы блокируют (или по крайней мере предупреждают) пользователя о наличии вредоносного файла под названием autorun.ini, который из разряда весьма полезных функций перешел в разряд опасных уязвимостей.
Для того чтобы предотвратить запуск такого рода приложения, а это возможно даже при использовании антивируса, ознакомьтесь с приведенным ниже советом. Самый простой путь к защите от автозапуска – это его отключение (мы будем рассматривать все действия в операционной системе Windows Vista).
Отключение автозапуска возможно в «Редакторе групповой политики». Для этого откроем «Выполнить» и запустим в нем gpedit.msc. В открывшемся окне выберем ветку дерева: «Конфигурация компьютера – Административные шаблоны – Компоненты Windows – Политики автозапуска – Вариант работы автозапуска по умолчанию». Сделаем двойной клик по этому параметру и выставим значение «Включен». Далее в ниже расположенном поле выбираем пункт «Не использовать команды автозапуска». В разделе «Политики автозапуска» нам также необходимо зайти в свойства параметра и «Отключить автозапуск». После перезагрузки компьютера все установки вступят в силу, и резидентные приложения не смогут запустить себя с USB-носителей (рис. 1).
После того, как вы отключите автозапуск USB-носителей, проверьте их на наличие autorun.inf. Этот файл всегда является скрытым, поэтому нужно включить отображение скрытых и защищенных файлов. В Windows Vista в любой папке нажимаем клавишу «Alt» и выбираем: «Сервис – Свойства папки – Вид – Показывать скрытые файлы и папки», а также включаем отображение расширения файлов (далее мы объясним, зачем это нужно): «Сервис – Свойства папки – Вид – Скрывать расширения зарегистрированных типов файлов». Отыскав autorun.inf, не спешите его удалять. Откройте этот файл с помощью блокнота и проанализируйте код. В нем вы сможете найти такую команду, как: OPEN=название_программы.exe, которая позволяет запускать указанный файл. Если антивирус не обнаружил данное приложение, то удалям его вручную. В некоторых случаях даже при отображении скрытых файлов, мы не увидим программу, которая указана в autorun.inf. Это связано с тем, что все образованные «вирусосоздатели» одним из атрибутов к своему творению отмечают как «системный». Поэтому для отображения такого файла в меню необходимо отключить следующий параметр: «Сервис – Свойства папки – Вид – Скрывать защищенные системные файлы». После удаления вредоносного объекта включите эту опцию снова, чтобы в дальнейшем не навредить операционной системе, случайно удалив как-либо системный файл.
Включение отображения расширения файлов нам понадобится при анализе объектов на вероятность заражения. Приведем в качестве примера две разновидности вирусов, которые, полностью маскируясь под другие типы файлов, обманывают пользователя и выполняют вредоносный код. Первым будет вирус, который создает бесчисленное количество собственных копий со значком в виде папки. Представьте себе такую ситуацию: пользователь, ничего не подозревая, захочет открыть из ниоткуда появившуюся новую папку, а в это время запускается вредоносное ПО, которое в дальнейшем будет продолжать создавать собственные копии и заражать exe-файлы. Следующий представитель – это вирус, занимающийся заражением изображений. Приложение создает exe-файл, который состоит из двух частей: непосредственно вирус и изображение. При запуске вредоносной программы происходит отсоединение файла изображения и открытие его в окне программы для просмотра изображений, тем самым не вызывая у пользователя никаких подозрений. Однако обнаружив разрешение *.exe, мы сразу поймем, что здесь дело не чисто и что стоит воспользоваться антивирусом с обновленными базами для проверки данного файла. Наряду с распространением вирусов через съемные носители информации существует метод социальной инженерии. Он заключается в психологическом воздействии на жертву путем отсылки ей специально сформулированного письма (например, содержащего информацию о выигрыше в лотерее). В тексте письма указана ссылка, по которой «победитель» может ознакомиться с правилами получения выигрыша. Перейдя по этой ссылке , пользователь заразит компьютер вирусом, который установлен на этом сайте. Но тут возникает встречный вопрос: как происходит загрузка приложения, если его открытие браузеры не поддерживают? Все очень просто. Существует такое понятие, как «эксплоит». Это специально сформулированный документ или код, использующий уязвимость в программе для запуска вредоносного кода. То есть, используя уязвимости браузеров, такие скрипты могут загружать и выполнять вирусы на компьютере жертвы. В Сети можно найти сайты, посвященные разного рода «эксплоитам». На них энтузиасты своего дела выкладывают ошибки в программах и созданные к ним документы или скрипты. Эти работы в основном запускают калькулятор, тем самым, являясь безобидными демонстрационными приложениями. Однако вирусописатели не дремлют! Используя успехи исследователей, они создают новые связки эксплоитов (наборы сриптов для различных уязвимостей), в дальнейшем атакуя компьютеры.
Чтобы не стать жертвой таких кибер-преступников необходимо как можно чаще обновлять компьютерные программы, а также стараться не открывать программы, присланные от незнакомых лиц: архивы, PDF-файлы, документы Microsoft Office Word и др. Следует также помнить, что ссылки на сайты от имени друзей могут присылать и злоумышленники (данное явление сейчас широко распространено в социальных сетях). Поэтому лучше заранее спросить друга о том, стоит ли открывать этот сайт или нет.
Следующим методом распространения является создание «сетевого червя». Это одна из разновидностей вирусов, способных к самораспространению как в локальных сетях, так и в сети Интернет. Работают они следующим образом: запущенное вредоносное приложение проверяет наличие подключения компьютера к какой-либо сети. Если соединение установлено, программа приступает к действию. Перебирая все подключенные к сети компьютеры, приложение проверяет их каталоги на возможность записи, тем самым оставляя в разрешающих запись местах свои копии. Существуют также и другие модификации сетевых червей, которые распространяются через e-mail, используя для спам-рассылки адресную книгу жертвы.
Первый шаг на пути к борьбе с такими вредоносными программами – это запрет на запись в папках, к которым открыт общий доступ. Для этого в свойствах папки выбираем: «Доступ – Дополнительный доступ – Разрешения», где отметим только права на чтение папки и вложенных в нее файлов. И кроме того, конечно же, стоит внимательно относится к содержимому присылаемых писем (рис. 2). Не стоит забывать и о том, что вредоносное ПО может содержаться в различного рода «кряках» и программах для взлома, поэтому лучше всего пользоваться программами, скачанными с официальных сайтов производителей или купленными в компьютерных магазинах.
Самым простым, но в тоже время существенным способом повышения безопасности компьютера является создание дополнительной учетной записи с ограниченными правами. Чаще всего пользователи используют учетную запись администратора, и это их главная ошибка, так как вредоносные программы запускаются с теми правами, которые установлены в данной учетной записи, и если в ней «разрешено все», то и особых преград для распространения вирус не обнаружит.
Мертвый антивирус хуже живого трояна Рынок защиты информации в наше время считается золотой жилой. Чем сильнее прогресс двигает компьютеры в массы, тем большее количество вирусов появляется на свет. Соответственно и спрос на антивирусное программное обеспечение растет с каждым днем. Есть, конечно, на свете люди, которые по-старинке пользуется серыми ключами, но это явление временное. Как и в любой отрасли, между компаниями, занимающимися одним и тем же видом деятельности, возникает конкуренция. Однако, как это ни странно, конкуренция среди таких антивирусных программ больше напоминает «холодную войну», чем естественное веяние рынка.
Не останавливаясь подробно на конкретных антивирусных продуктах, мы поговорим о проблеме, которая возникает при их неправильном удалении, и разберем методы ее решения. Среди пользователей бытует такая поговорка: «Снес антивирус – поменял операционную систему». Как ни странно, но зачастую так оно и есть, и связано это в первую очередь с необразованностью самих пользователей.
Наиболее часто с такой проблемой сталкиваются пользователи продуктов известной линейки антивирусов от Лаборатории Касперского. Главная причина тому – встроенная защита от удаления антивируса, которая становится причиной возниконовения ошибок в ОС после удаления программы. После простой деинсталляции антивируса через встроенную в Windows программу «Установка и удаление» на компьютере остается огромное количество записей в реестре и файлов, что в дальнейшем приводит к накоплению ошибок и серьезным сбоям в работе компьютера. Поэтому к удалению «каспера» (как, впрочем, и других антивирусов) необходимо заранее подготовится. Для этого скачиваем с официального сайта компании специализированную утилиту для деинсталляции антивирусов Лаборатории Касперского, которая называется Kaspersky Anti-Virus Remover. После этого запускаем программу на компьютере и ждем, пока она не определит версию установленного антивируса. Если процесс детектирования прошел успешно, вводим контрольные символы с картинки и нажимаем кнопку «Remove». После окончания работы деинсталлятора необходимо перезагрузить компьютер (рис. 3).
Если программа не смогла определить версию антивируса, необходимо «поколдовать» с командной строкой. Для этого заходим в командную строку от имени администратора (правая клавиша мыши на ярлыке программы «Запуск от имени администратора»). В появившемся окне вводим следующую команду: путь_к_файлу\kavremover9.exe префикс_продукта, причем префикс продукта для каждой версии индивидуален: kav6, kav7, kav2009, kav2009x64, kis6, kis7, kis2009, kis2009x64, kav6fs, kav6wks. К примеру, для Kaspersky Internet Security 6 необходимо ввести команду «путь_к_файлу\kavremover9.exe kis6» и нажать клавишу «Enter». После произведенных действий антивирус Лаборатории Касперского будет удален корректно (рис. 4).
Dr.Web Для того чтобы приступить к ручной читке реестра, необходимо удалить сам антивирус, а также службу обновлений. Эти действия можно произвести через опцию «Установка и удаление программ». После этого запускаем редактор реестра («Выполнить» – regedit) и проверяем на наличие следующих ключей: HKLM\SYSTEM\CurrentControlSet\Services\drwagntd, HKLM\SYSTEM\CurrentControlSet\Services\drwupgrade. Если они остались, необходимо ихудалить. Также если в «HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run» присутствует ключ DrWebAgetnUI, нужно ликвидировать и его. Затем мы должны деинсталлировать SpIDer Mail с помощью программы «Выполнить». Для этого набираем команду «spiderml.exe-remove» и нажимаем кнопку «ОК», после чего программа удалит продукт полностью. А если SpIDer Mail уже был деинсталлирован, на экране появится сообщение с ошибкой, в котором будет сказано, что программа не может удалить объект по причине его отсутствия.
Теперь убедимся в том, что службы и драйверы SpIDer Guard были удалены корректно, для этого набираем в «Выполнить» следующую команду: spidernt.exe –remove. Даже если деинсталляция прошла успешно, не нужно терять бдительности – необходимо обязательно проверить ветки реестра, относящиеся к данной службе: HKLM\SYSTEM\CurrentControlSet\Services\drwebnet, HKLM\SYSTEM\CurrentControlSet\Services\SPIDER, HKLM\SYSTEM\CurrentControlSet\Services\spidernt. Если они присутствуют, их нужно удалить. Помимо этого необходимо проверить ветку «HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run» на наличие в ней ключа «SpIDerNT» и, если он там имеется, произвести удаление. Раздел «HKLM\SOFTWARE\IDAVLab» необходимо очистить полностью.
Далее проверяем все ключи Dr.Web, относящиеся к установке и удалению программ: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Dr.Web, HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\DRWEB, HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{BBE2F69C-4338-11D7-8F0C-00A0244F4E2D}. Если они присутствуют в реестре, то, как и в предыдущих случаях , мы их удаляем. Следующим этапом будет полная очистка компьютера от ярлыков антивируса, которые располагаются на «рабочем столе» и в окне «Пуск – Программы», а также в меню быстрого запуска. После основной очистки приступаем к удалению мелочей. Первая наша цель – убрать из контекстного меню файла пункт «Проверить Dr.Web». Для успешного достижения этой цели необходимо разрегестрировать библиотеку drwsxtn.dll, выполнив команду: regsvr32 «C:\Program Files (x86)\DrWeb\drwsxtn.dll» /u.
В завершении удалим корневой каталог программы, который в Windows Vista по умолчанию находится здесь: C:\Program Files (x86)\DrWeb. А также, помимо главного каталога, удалим файлы: spider.cpl и drwebnet.sys, которые располагаются в «%windir%\system32» и «%windir%\system32\drivers» соответственно. На этом деинсталляция антивируса закончена, если в ходе удаления корневого каталога возникли некоторые проблемы – перезагрузите компьютер и попробуйте снова удалить их.
Norton AntiVirus Для этой программы, также как и для «каспера», создана специальная утилита – Norton Removal tool, которая позволяет деинсталлировать практически все продукты компании. Ее можно скачать на сайте разработчика. После запуска приложения от вас потребуется лишь выбрать нужную программу для деинсталляции и нажать на кнопку «Next» – программа сама выполнит полную очистку компьютера от антивируса.
NOD32 Как и в случае с Dr.Web, NOD32 придется удалять вручную. Первое, что надо сделать, это удалить корневые каталоги программы, которые располагаются по следующим путям: «C:\Program Files (x86)\ESET» и «C:\Users\All Users\Application Data\ESET». После этого зайдем в редактор реестра и удалим следующие ключи: HKEY_LOCAL_MACHINE\SOFTWARE\ESET – удаляем ветку целиком; HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\eamon; HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\easdrv; HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EhttpSrv; HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ekrn; HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\epfw; HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Epfwndis; HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\epfwtdi. Перезагружаем компьютер и не беспокоимся о том, что могут возникнуть сбои в работе.
Outpost Мы рассмотрим удаление на примере Outpost Security Suite, так как для каждого отдельного продукта предусмотрена своя система деинсталляции. Для начала запустим компьютер в безопасном режиме и удалим программу с помощью «Выполнить», введя в строку: «C:\Program Files\Agnitum\Outpost Security Suite\install.exe» /u. Произведя начальное удаление, приступим к разрегистрации компонентов. Запустим команду regsvr32 /u: «C:\Program Files\Agnitum\Outpost Security Suite\op_shell.dll». Затем по такому же принципу выполним и остальные команды: regsvr32 /u: «C:\Program Files\Agnitum\Outpost Security Suite\op_data.dll», regsvr32 /u: «C:\Program Files\Agnitum\Outpost Security Suite\op_log.dll», regsvr32 /u: «C:\Program Files\Agnitum\Outpost Security Suite\Plugins\BrowserBar\ie_bar.dll» и перейдем к чистке реестра. Найдем ключ «HKLM\SOFTWARE\Agnitum\Outpost Security Suite» со значением OutpostFeedBack и удалим его. Аналогичные действия произведем и над двумя другими ветками реестра: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Agnitum Outpost Security Suite_is1. После чистки реестра, нам останется только удалить некоторые компоненты антивируса. Начнем с драйвера Sandbox, который деинсталлируется с помощью команды rundll32 setupapi,InstallHinfSection DefaultUninstall 132 C:\Program Files\Agnitum\Outpost Security Suite\Kernel\sandbox.inf. За ним последует удаление фильтра LSP: rundll32 «C:\Program Files\Agnitum\Outpost Security Suite\lspfilt.dll»,uninstall. Для 64-битных версий команда будет следующего вида: rundll32 «C:\Program Files\Agnitum\Outpost Security Suite\lspfilt64.dll»,uninstall. В завершение произведем удаление всех ярлыков и файлов Outpost Security Suite, которые находятся в меню «Пуск – Программы» и на «рабочем столе». Помимо них требуется удалить основные каталоги «C:\Program Files\Agnitum\Outpost Security Suite» и «C:\Program Files\Common Files\Agnitum Shared». Завершив деинсталляцию программы, перезагружаем компьютер для сохранения всех параметров.
На этом наша борьба с ветвистыми «корнями антивирусов» будет закончена. И можно сделать вывод: некорректно удаленный антивирус может стать жестоким борцом против вашей операционной системы и в конечном итоге вывести ее из строя, поэтому следуйте вышеперечисленным рекомендациям – безопасность превыше всего!
Вывод В наше время безопасность информации чрезвычайно важна и для крупной компании, и для обычного пользователя. А потому знание методов защиты компьютера от злоумышленников и работа с антивирусными приложениями – залог успеха. В данном материале мы рассказали об основных методах заражения компьютеров, которые используют хакеры, а также на практике разобрали ручную защиту от такого рода приложений.
