Как заразить компьютер по локальной сети

Обновлено: 07.07.2024

Какой бы хороший антивирус ни стоял на компьютерах в вашей фирме, всегда находится такой вирус, который рано или поздно может прорваться сквозь защиту и нанести большой вред всей системе.
Вирусы в корпоративной сети очень опасны тем, что поражают не один ПК, а могут достаточно быстро расползтись по всем устройствам. Вирус может стереть очень важную информацию или вообще остановить работу компании.
Поэтому, если в сети обнаружено вредоносное ПО, нужно принимать экстренные меры, чтобы зловредная программа принесла минимальный урон.

Что нужно делать в первую очередь?

Попадая в компьютер, сетевой вирус начинает очень быстро распространяться. На другие устройства он проникает через открытые уязвимости ОС или через общие ресурсы. Поэтому первое, что нужно сделать, это закрыть все уязвимости, отключить вай-фай, заблокировать общие источники.

В идеале, чтобы вирус не распространился, нужно отключить заражённый компьютер от корпоративной сети. Однако здесь есть проблема. Если вирус уже начал распространяться по сети, определить, какой ПК пустил его в сеть, будет не просто. Для этого есть несколько методик.

Чтобы вирус не «убил» всю систему, нужно как можно быстрее найти его источник и обезвредить. После этого данные о вредоносной программе нужно передать производителям вашего антивируса, чтобы они могли разработать защиту. Но обо всём по порядку.

Поиск заражённого компьютера

Чем быстрее удастся найти источник (источники) заражения, тем больше компьютеров и данных получиться спасти.

Существует несколько методов поиска. Мы рассмотрим два самых простых, доступных и вместе с тем эффективных:

  • Исследование трафика компьютера;
  • Автоматический удалённый анализ.

Первым способом очень легко поймать спам-бота, сетевого или почтового червя. Второй способ несколько сложнее первого, но зато более универсальный. Для верности можно использовать оба метода сразу.

Исследование трафика

Для применения метода используют снифферы – специальные анализаторы трафика. Исследование можно проводить вручную. Но это достаточно трудоёмкий процесс. Сейчас для исследования трафика большинство фирм использует специальные системы обнаружения вторжений – IDS. Пример такой системы – Snort.

Стандартная IDS состоит из сниффера и программы, анализирующей собранную информацию. Систему устанавливают на несколько узлов сети и запускают в случае проникновения вируса. Анализ делается автоматически. После этого устройства, на которых была замечена подозрительная активность, отключаются от корпоративной сети, и на них отдельно ведётся поиск и обезвреживание вируса.

Помимо того, что IDS автоматизируют работу, у них есть ещё один плюс – анализ можно периодически проводить для профилактики. Так больше шансов вовремя обнаружить вредную программу и удалить её.

Автоматический анализ

На самом деле, здесь существует несколько способов. Чтобы объяснить принцип, мы рассмотрим использование утилиты AVZ. Она запускается из сетевой папки на сервере при помощи логин-скрипта. Для успешной работы утилиты нужно создать в сетевой папке подкаталоги LOG и Qurantine и разрешить участникам сети делать в них записи.

После этого применяются разные скрипты, которые ищут подозрительное ПО. Мы рассмотрим несколько самых полезных.

Самый простой скрипт – автоматический карантин. Выглядит он следующим образом:

Программа изучает всю систему и поступающие в неё файлы и отправляет подозрительные программы в папку «Карантин». Этот процесс можно периодически запускать на компьютерах для профилактики и, если были обнаружены подозрительные программы, проверять их.

Если автокарантин не работает, можно пойти более сложным и детальным путём. Для этого нужен скрипт, с помощью которого делается анализ всех запущенных процессов на компьютере. Процессы распределяются в два списка: все процессы и те, которые считаются опасными. Обычно имя вредоносного процесса бывает уже известно. Поэтому, если компьютер заражён, программа находит его. А остальные процессы можно изучить на предмет представления опасности. Данный скрипт выглядит следующим образом:

AddToLog(‘Количество процессов = ‘+IntToStr(GetProcessCount));

for i := 0 to GetProcessCount — 1 do begin

S1 := S1 + ‘,’ + ExtractFileName(GetProcessName(i));

if pos(‘danger.exe’, LowerCase(GetProcessName(i))) > 0 then

S := S + GetProcessName(i)+’,’;

AddLineToTxtFile(GetAVZDirectory+’\LOG\_alarm.txt’, DateTimeToStr(Now)+’ ‘+GetComputerName+’ : ‘+S);

AddLineToTxtFile(GetAVZDirectory+’\LOG\_all_process.txt’, DateTimeToStr(Now)+’ ‘+GetComputerName+’ : ‘+S1);

Имя вредоносного файла мы условно обозначили как danger.exe. Для более детального анализа этот скрипт можно усложнять, дополнять. В любом случае принцип программы остаётся тот же – поиск запущенных процессов и выделение подозрительных.

Удаление вируса

Стандартный скрипт для удаления выглядит так:

Программа удаляет заданный файл или несколько файлов (команд DeleteFile может быть сколько угодно), а после чистит реестр.

Однако очень часто вирусы защищаются от удаления. Тогда скрипт можно усложнить до вида:

Этот скрипт достаточно эффективен. Чтобы противостоять ему, вирус должен быть очень сильным. А такие попадаются крайне редко.

Ловушки для вирусов

Чтобы вообще не дать вирусу проникнуть в систему, можно установить ловушку. Для этого можно использовать старый компьютер. Устанавливаем на него ОС без пакетов обновлений, подключаем к корпоративной сети и ставим сниффер. Очень удобно ставить снифферы с автоматическими оповещениями. Если на таком компьютере будет обнаружена активность, значит, вирус проник в систему. Так можно вовремя засечь его и удалить, не позволив нанести вред.

Банки отлично знают, что ДБО – настоящее золотое дно для кибермошенников. Ситуация осложняется тем, что как бы банк ни закручивал гайки информационной безопасности, огромной «дырой» в защите останется компьютер клиента, нередко зараженный целым «букетом» вредоносных программ (зловредов). Как такие программы проникают на компьютер и как можно это пресечь, разбирался портал Банки.ру.

Какова бы ни была функциональность вредоносной программы (будь то троянец-банкер, кейлоггер или простой датамайнер), для заражения ей необходимо загрузиться на компьютер жертвы. В современных операционных системах это сделать без дозволения пользователя не так-то легко, и злоумышленники идут на множество ухищрений.

Оговоримся сразу, что во всех случаях может помочь установленный комплексный антивирус класса Internet Security или пакет защитного программного обеспечения, включающий спам-фильтр, почтовый, файловый и веб-антивирус, а также брандмауэр. Но все это может и не помочь: иные мошенники превосходно разбираются в технологиях информационной безопасности, а их вредоносные продукты зачастую опережают защитные решения на несколько недель или даже месяцев. И если на вашем пути встретилась такая суперсовременная угроза, вы можете остаться с ней один на один.

Сценарий первый: любовь по переписке. Вирус ILOVEYOU, заразивший около 3 млн компьютеров в 2000 году, действовал предельно просто – рассылал свои копии по почте, признаваясь получателю в любви. Жертва, заинтересовавшись, кто именно испытывает к ней такие чувства, открывала приложенный файл, названный LOVE-LETTER-FOR-YOU.TXT.vbs, и заражала свой компьютер.

Прошло 15 лет, а этот способ до сих пор отлично работает и является основным в целевых атаках на серьезные организации, тщательно выстраивающие свой периметр безопасности. Письмо может выглядеть крайне достоверно и даже содержать какую-либо личную информацию о получателе. Но чаще всего это что-то невнятное, обещающее, к примеру, чьи-то интимные фотографии. При этом отправитель может быть вам известен – в частности, если письмо прислал зловред с компьютера вашего знакомого.

К такому письму обязательно прилагается файл, обычно упакованный в запароленный архив для защиты от антивирусов. Файл может быть исполняемым, в этом случае его запуск почти всегда приводит к заражению системы. Или же это может быть документ, или даже картинка. В двух последних случаях заражение произойдет, если в той программе, в которой вы откроете файл (например, Microsoft Word в случае файла DOCX), имеются известные злоумышленникам уязвимости, позволяющие запустить на компьютере какой-либо код.

Что делать? Главное – не открывать вложение к письму, если вы его не ждете. Чаще всего вам просто не нужны вложения, рассылаемые незнакомыми людьми, а достоверность письма от знакомого можно подтвердить по другим каналам связи.

Если же вам по роду деятельности необходимо иметь дело с файлами, присланными от незнакомцев, то вы – в группе риска, и серьезная антивирусная защита вам просто необходима. Кроме того, стоит позаботиться о том, чтобы ваше программное обеспечение было наименее уязвимо, для чего нужно его своевременно обновлять. Если, к примеру, для просмотра картинок в формате JPG вы используете популярный просмотрщик, который установили три года назад, можете быть уверены, что злоумышленники досконально изучили его код и научились использовать его уязвимости для заражения через JPG-файлы.

Сценарий второй: заражаемся сами. Доверчивый пользователь сам найдет, загрузит и установит себе вредоносную программу, надо лишь его обмануть. Методику в общих чертах продемонстрировали лиса Алиса с котом Базилио в известном отечественном фильме, не менее эффективно это работает и в Интернете.

Внешне легитимная полезная программа, которую вы скачаете с незнакомого вам сайта-файлопомойки, может на деле оказаться зловредом или содержать встроенного зловреда. Допустим, вам понадобилась какая-либо программа (архиватор, конвертер форматов, мессенджер), вы вбиваете ее название в поисковую систему, кликаете на одну из первых строчек поисковой выдачи, загружаете и устанавливаете программу – все, ваш компьютер заражен.

Технология такая: страница с вредоносными файлами «раскручивается» с помощью набора приемов черной поисковой оптимизации (Black SEO). Арсенал Black SEO весьма обширен – страница может наполняться тысячами ключевых слов, повышающими ее релевантность с точки зрения поисковой системы, ссылки на страницу раскидываются по популярным форумам, нередко используются ботнеты – тысячи ботов задают определенные поисковые запросы и выбирают в выдаче вредоносный сайт. В результате его рейтинг повышается.

В качестве приманки мошенники используют популярные бесплатные или условно-бесплатные программы (например, WinRAR), или жертвам предлагаются взломанные версии платных программ. Перед таким искушением многие устоять не могут.

Что делать? Старайтесь не скачивать программы из незнакомых мест. В Интернете есть немало площадок обмена файлами, администрация которых следит за их наполнением и проверяет все программы (туда же можно отнести и некоторые торрент-трекеры). Но надежнее всего будет найти сайт разработчиков программы и загрузить ее оттуда. Конечно, если она платная, ее придется купить, заодно и авторов полезного приложения поддержите. В противном случае риск весьма высок.

Сценарий третий: соглашаемся, не глядя. Если вы любитель посещать страницы сомнительного содержания, к примеру, уже упомянутые файлопомойки, порносайты или онлайн-казино, владельцы сайта могут вас атаковать с помощью всплывающих окон.

Содержание окна может быть разным, но обязательно требует от вас установки какой-либо программы. Например, для корректной работы онлайн-казино вдруг потребуется обновить ваш Adobe Flash Player, порносайт откажется показывать «горячее» видео без установки специального проигрывателя, а файлопомойка вдруг заявит, что на вашем компьютере обнаружены тонны вирусов и предложит загрузить бесплатный антивирус. Если вы выразите свое согласие нажатием соответствующей кнопки окна, ваш браузер загрузит файл, и вам еще повезет, если это будет относительно безобидное приложение, показывающее вам рекламу к месту и не к месту.

Что делать? Ничему не верить, ни на что не соглашаться. Ничего хорошего вам на таких сайтах все равно не предложат.

Сценарий четвертый: зашел, увидел, заразился. Самый опасный зверь в океане Интернета – эксплойт-кит (exploit-kit, набор эксплойтов). Очень дорогостоящая, но крайне эффективная штука. Тысячи профессионалов с темной стороны информационной безопасности непрерывно анализируют код браузеров, дополнений для браузеров и прочего популярного софта для Интернета. Ищут они уязвимости – программные ошибки, позволяющие вынудить приложение сделать на компьютере нечто опасное, например, запустить вредоносный код, который в свою очередь загрузит и установит троянца.

Для обнаруженных уязвимостей специалисты пишут эксплойты – программы, позволяющие этими уязвимостями воспользоваться через Интернет. Эксплойты закупаются у авторов и собираются в эксплойт-киты, за использование которых профессиональные мошенники платят десятки тысяч долларов. Если вы зашли на сайт с установленным эксплойт-китом, и в вашем программном обеспечении найдется уязвимость, эксплойт для которой имеется в этом наборе, ваш компьютер окажется заражен. Вы об этом даже не узнаете, пока не будет слишком поздно.

Повстречать эксплойт-кит можно даже на солидном и популярном сайте – злоумышленники тратят немало сил и средств, чтобы взломать ресурсы с высокой посещаемостью. Если администраторы сайта окажутся нерасторопны, компьютеры тысяч посетителей могут заразиться чем-то неприятным.

Подвергнуться атаке эксплойтом можно и на невзломанном сайте – к примеру, если злоумышленникам удается пропихнуть свой баннер в популярную баннерную сеть. Это иногда случается, и тогда достаточно открыть страницу с таким баннером, чтобы получить зловред на свой компьютер. Бывает, для распространения вредоносных баннеров злоумышленники создают целые баннерные сети, оплачивающие размещение по высоким ставкам. Не слишком щепетильные владельцы сайтов подключаются к таким сетям и подставляют своих посетителей под удар.

Признаком атаки через баннер (так называемого малвертайзинга) является неожиданное открытие всплывающего окна не над, а под основным окном браузера (pop-under). Появление такого окна можно не заметить. Именно из-за таких атак в большинстве современных браузеров открытие всплывающих окон по умолчанию блокируется.

Что делать? Держите свое программное обеспечение в состоянии свежести. Обнаружение уязвимостей и написание для них эксплойтов требуют немало времени. И для самых новых версий приложений эксплойты могут просто отсутствовать на рынке. Правда, останутся еще эксплойты для уязвимостей, о которых производителям программного обеспечения ничего неизвестно. С такого рода атаками неплохо справляются веб-антивирусы, входящие в комплект всех мало-мальски серьезных антивирусных пакетов.

Сценарий пятый: гость из сети. Достаточно редкий в силу своей трудоемкости способ – удаленная атака через сеть. В операционных системах есть сервисы, «слушающие» сеть и ожидающие подключения снаружи – к примеру, для удаленного управления компьютером. Кроме того, у вас могут быть установлены сторонние программы с подобными функциями. И если в них есть известные хакеру уязвимости, он может проникнуть на компьютер и выполнить какие-либо действия от имени пользователя, в том числе загрузить и установить вредоносные программы.

В современных операционных системах такого рода «дыры» изначально закрыты, но если вы полезли в настройки безопасности, не разбираясь в них, или до сих пор пользуетесь, к примеру, плохо настроенной Windows XP, то можете быть атакованы. Хакер скачает ваши файлы, почитает вашу переписку, украдет ваши пароли и на прощание оставит какого-нибудь троянца.

Такие атаки плохо автоматизируются, и злоумышленник вынужден тратить много времени для заражения каждого компьютера. Поэтому занимаются этим лишь любители или, наоборот, хорошо оснащенные профессионалы, обладающие эксплойтами для таких атак. Но их целями обычно являются серьезные организации, а не домашние компьютеры пользователей портала Банки.ру.

Что делать? Регулярно обновлять операционную систему, вдумчиво настраивать параметры безопасности и пользоваться брандмауэром – отдельным либо в составе антивирусного пакета класса Internet Security. Во многих случаях от таких атак спасает простой домашний маршрутизатор – правда, и его еще надо правильно настроить.

Вирус в локальной сети

Модератор: mike 1

Вирус в локальной сети

Здравствуйте! Такая есть проблема. Сеть из 40 компов. Стоит Windows xp везде стоит антивирус Eset endpoint security v. 5 На одном компе несколько расшаренных папок. Время от времени по очередно проникает вирус. Антивирус его удаляет но он откуда-то приходит опять. Делал так. Поотключал все компъютеры от сети и проверил Dr.Web CureIT на нескольких машинах понаходил ,поудалял. Проблема нерешилась. Вирус как заходил так и заходит. Каждый раз он выглядит так : itcewd.exe; tkvrzr.exe; freeqlr.exe; fpqtbw.exe; igihax.exe; stpvks.exe; havqqx.exe; tzezcs.exe Сейчас пробую его вычислить утилитой Process Monitor но пока результата нет. Как найти зараженную машину на которой он находится?

Вирус в локальной сети

Рекомендовал-бы подумать об обновлении ОС если железо конечно потянет. Если не потянет то можно попробовать отобрать у пользователей админские права и настроить учетку на минимум того, что необходимо для пользователей. При этом админскую учетку лучше всего запаролить или отключить и включать только по необходимости при администрировании компьютера.

Вирус в локальной сети

Здравствуйте,Дмитрий! Пока обновить железо и Windows нет возможности. На всех машинах открыта учетная запись гостя. Отключить не могу . Пользователи не смогут работать с базами данных. Большинство работают под админом. Пока перевести на ограниченные права не получиться. Основные программы ,базы данных работают только под админ правами. Так было настроено изначально. Основная часть машин работают без доступа к интернету локально. Что можете посоветовать для защиты и обнаружения вируса. Может есть программы следящие за расшаренными папками. Начал знакомство с Process Monitor пока ничего.

Вирус в локальной сети

user259 , запустите на компьютерах которые подключены к интернету утилиту которая мониторит какие процессы работают с сетью. Я лично использую Process Hacker (в этой теме подробнее), так вот в этой программе можно отследить процесс которые и к каким ресурсам он подключается.

Например вирус должен распространять себя в локалку, соответственно он будет обращаться к локальным ресурсам. Попробуйте его увидеть. А заодно посмотрите к каким внешним ресурсам он обращается и добавьте их в брандмауэр или в hosts чтобы заблокировать, возможно это помешает дальнейшей переустановке вируса в системе.

Но конечно есть шанс что вирус у кого-то на флешке и он его каждый раз запускает не с компа которые подключен к интернету, тогда попробуйте проверить флешки всех сотрудников каким-нибудь kaspersky virus remuval tool или подобными утилитами. Если выявите такую флешку то попросите человека проверить ПК дома чтобы удалить источник вируса.

Проблема эпидемии сетевых червей актуальна для любой локальной сети. Рано или поздно может возникнуть ситуация, когда в ЛВС проникает сетевой или почтовый червь, который не детектируется применяемым антивирусом. Сетевой вирус распространяется по ЛВС через не закрытые на момент заражения уязвимости операционной системы или через доступные для записи общие ресурсы. Почтовый вирус, как следует из названия, распространяется по электронной почте при условии, что он не блокируется клиентским антивирусом и антивирусом на почтовом сервере. Кроме того, эпидемия в ЛВС может быть организована изнутри в результате деятельности инсайдера. В данной статье мы рассмотрим практические методики оперативного анализа компьютеров ЛВС с применением различных средств, в частности с помощью авторской утилиты AVZ.

Постановка задачи

В случае обнаружения эпидемии или некой нештатной активности в сети администратор должен оперативно решить минимум три задачи:

  • обнаружить зараженные ПК в сети;
  • найти образцы вредоносной программы для отправки в антивирусную лабораторию и выработки стратегии противодействия;
  • принять меры для блокирования распространения вируса в ЛВС и его уничтожения на зараженных компьютерах.

В случае деятельности инсайдера основные шаги анализа идентичны и чаще всего сводятся к необходимости обнаружения установленного инсайдером постороннего ПО на компьютерах ЛВС. В качестве примера такого ПО можно назвать утилиты удаленного администрирования, клавиатурные шпионы и различные троянские закладки.

Рассмотрим более подробно решение каждой из поставленных задач.

Поиск зараженных ПК

Для поиска зараженных ПК в сети можно применять как минимум три методики:

  • автоматический удаленный анализ ПК — получение информации о запущенных процессах, загруженных библиотеках и драйверах, поиск характерных закономерностей — например процессов или файлов с заданными именами;
  • исследование трафика ПК с помощью сниффера — данный метод очень эффективен для отлова спам-ботов, почтовых и сетевых червей, однако основная сложность в применении сниффера связана с тем, что современная ЛВС строится на базе коммутаторов и, как следствие, администратор не может осуществлять мониторинг трафика всей сети. Проблема решается двумя путями: запуском сниффера на маршрутизаторе (что позволяет осуществлять мониторинг обмена данными ПК с Интернетом) и применением мониторинговых функций коммутаторов (многие современные коммутаторы позволяют назначить порт мониторинга, на который дублируется трафик одного или нескольких портов коммутатора, указанных администратором);
  • исследование нагрузки на сеть — в данном случае очень удобно применять интеллектуальные коммутаторы, которые позволяют не только оценивать нагрузку, но и удаленно отключать указанные администратором порты. Данная операция существенно упрощается при наличии у администратора карты сети, на которой имеются данные о том, какие ПК подключены к соответствующим портам коммутатора и где они расположены;
  • применение ловушек (honeypot) — в локальной сети настоятельно рекомендуется создать несколько ловушек, которые позволят администратору своевременно обнаружить эпидемию.

Автоматический анализ ПК в сети

Автоматический анализ ПК можно свести к трем основным этапам:

  • проведение полного исследования ПК — запущенные процессы, загруженные библиотеки и драйверы, автозапуск;
  • проведение оперативного обследования — например поиск характерных процессов или файлов;
  • карантин объектов по определенным критериям.

Все перечисленные задачи можно решить при помощи авторской утилиты AVZ, которая рассчитана на запуск из сетевой папки на сервере и поддерживает скриптовый язык для автоматического обследования ПК. Для запуска AVZ на компьютерах пользователей необходимо:

  1. Поместить AVZ в открытую для чтения сетевую папку на сервере.
  2. Создать в этой папке подкаталоги LOG и Qurantine и разрешить пользователям запись в них.
  3. Запустить AVZ на компьютерах ЛВС при помощи утилиты rexec или логон-скрипта.

Запуск AVZ на шаге 3 должен производиться при таких параметрах:

\\my_server\AVZ\avz.exe Priority=-1 nw=Y nq=Y HiddenMode=2 Script=\\my_server\AVZ\my_script.txt

В данном случае параметр Priority=-1 понижает приоритет процесса AVZ, параметры nw=Y и nq=Y переключают карантин в режим «сетевой запуск» (в этом случае в папке карантина для каждого компьютера создается подкаталог, имя которого совпадает с сетевым именем ПК), HiddenMode=2 предписывает запретить пользователю доступ к GUI и управлению AVZ, и, наконец, самый важный параметр Script задает полное имя скрипта с командами, которые AVZ выполнит на компьютере пользователя. Скриптовый язык AVZ достаточно прост для использования и ориентирован исключительно на решение задач обследования компьютера и его лечения. Для упрощения процесса написания скриптов можно использовать специализированный редактор скриптов, который содержит оперативную подсказку, мастер создания типовых скриптов и средства проверки корректности написанного скрипта без его запуска (рис. 1).

Рис. 1. Редактор скриптов AVZ

Рассмотрим три типовых скрипта, которые могут пригодиться в ходе борьбы с эпидемией. Во-первых, нам потребуется скрипт для исследования ПК. Задача скрипта — произвести исследование системы и создать протокол с результатами в заданной сетевой папке. Скрипт имеет следующий вид:

// Включение сторожевого таймера на 10 минут

// Запуск сканирования и анализа

//Завершение работы AVZ

В ходе выполнения данного скрипта в папке LOG (предполагается, что она создана в каталоге AVZ на сервере и доступна пользователям для записи) будут создаваться HTML-файлы с результатами исследования компьютеров сети, причем для обеспечения уникальности в имя протокола включается имя исследуемого компьютера. В начале скрипта располагается команда включения сторожевого таймера, который принудительно завершит процеcc AVZ через 10 минут в случае, если в ходе выполнения скрипта возникнут сбои.

Протокол AVZ удобен для изучения вручную, однако для автоматизированного анализа он мало пригоден. Кроме того, администратору часто известно имя файла вредоносной программы и требуется только проверить наличие или отсутствие данного файла, а при наличии — поместить в карантин для анализа. В этом случае можно применить скрипт следующего вида:

// Включение сторожевого таймера на 10 минут

// Поиск вредоносной программы по имени

QuarantineFile(‘%WinDir%\smss.exe’, ‘Подозрение на LdPinch.gen’);

QuarantineFile(‘%WinDir%\csrss.exe’, ‘Подозрение на LdPinch.gen’);

//Завершение работы AVZ

В этом скрипте задействуется функция QuarantineFile, которая совершает попытку карантина указанных файлов. Администратору остается только проанализировать содержимое карантина (папка Quarantine\сетевое_имя_ПК\дата_каратина\) на наличие помещенных в карантин файлов. Следует учесть, что функция QuarantineFile автоматически блокирует помещение в карантин файлов, опознанных по базе безопасных AVZ или по базе ЭЦП Microsoft. Для практического применения данный скрипт можно усовершенствовать — организовать загрузку имен файлов из внешнего текстового файла, проверять найденные файлы по базам AVZ и формировать текстовый протокол с результатами работы:

// Поиск файла с указанным именем

function CheckByName(Fname : string) : boolean;

if Result then begin

case CheckFile(FName) of

-1 : S := ‘, доступ к файлу блокируется’;

1 : S := ‘, опознан как Malware (‘+GetLastCheckTxt+’)’;

2 : S := ‘, подозревается файловым сканером (‘+GetLastCheckTxt+’)’;

3 : exit; // Безопасные файлы игнорируем

AddToLog(‘Файл ‘+NormalFileName(FName)+’ имеет подозрительное имя’+S);

//Добавление указанного файла в карантин

SuspNames : TStringList; // Список имен подозрительных файлов

// Проверка файлов по обновляемой базе данных

if FileExists(GetAVZDirectory + ‘files.db’) then begin

AddToLog(‘База имен загружена - количество записей = ‘+inttostr(SuspNames.Count));

for i := 0 to SuspNames.Count - 1 do

AddToLog(‘Ошибка загрузки списка имен файлов’);

Для работы данного скрипта необходимо создать в папке AVZ доступные пользователям для записи каталоги Quarantine и LOG, а также текстовый файл files.db — каждая строка данного файла будет содержать имя подозрительного файла. Имена файлов могут включать макросы, наиболее полезные из которых — %WinDir% (путь к папке Windows) и %SystemRoot% (путь к папке System32). Другим направлением анализа может стать автоматическое исследование списка процессов, запущенных на компьютерах пользователей. Информация о запущенных процессах есть в протоколе исследования системы, но для автоматического анализа удобнее применять следующий фрагмент скрипта:

// Обновление списка процессов

AddToLog(‘Количество процессов = ‘+IntToStr(GetProcessCount));

// Цикл анализа полученного списка

for i := 0 to GetProcessCount - 1 do begin

S1 := S1 + ‘,’ + ExtractFileName(GetProcessName(i));

// Поиск процесса по имени

if pos(‘trojan.exe’, LowerCase(GetProcessName(i))) > 0 then

S := S + GetProcessName(i)+’,’;

AddLineToTxtFile(GetAVZDirectory+’\LOG\_alarm.txt’, DateTimeToStr(Now)+’ ‘+GetComputerName+’ : ‘+S);

AddLineToTxtFile(GetAVZDirectory+’\LOG\_all_process.txt’, DateTimeToStr(Now)+’ ‘+GetComputerName+’ : ‘+S1);

Исследование процессов в данном скрипте выполнено в виде отдельной процедуры ScanProcess, поэтому ее несложно поместить в собственный скрипт. Процедура ScanProcess строит два списка процессов: полный список процессов (для последующего анализа) и список процессов, которые, с точки зрения администратора, считаются опасными. В данном случае для демонстрации в качестве опасного рассматривается процесс с именем ‘trojan.exe’. Информация об опасных процессах добавляется в текстовый файл _alarm.txt, данные обо всех процессах — в файл _all_process.txt. Легко заметить, что можно усложнить скрипт, добавив в него, к примеру, проверку файлов процессов по базе безопасных файлов или проверку имен исполняемых файлов процессов по внешней базе. Подобная процедура применяется в скриптах AVZ, используемых в «Смоленскэнерго»: администратор периодически изучает собранную информацию и модифицирует скрипт, добавляя в него имя процессов запрещенных по политике безопасности программ, например ICQ и MailRu.Agent, что позволяет оперативно проверить наличие запрещенного ПО на изучаемых ПК. Другое применение списка процессов — поиск ПК, на которых отсутствует обязательный процесс, например антивирус.

В завершение рассмотрим последний из полезных скриптов анализа — скрипт автоматического карантина всех файлов, которые не опознаются по базе безопасных AVZ и по базе ЭЦП Microsoft:

Автоматический карантин изучает запущенные процессы и загруженные библиотеки, службы и драйверы, около 45 способов автозапуска, модули расширения браузера и проводника, обработчики SPI/LSP, задания планировщика, обработчики системы печати и т.п. Особенностью карантина является то, что файлы в него добавляются с контролем повторов, поэтому функцию автокарантина можно вызывать многократно.

Достоинство автоматического карантина заключается в том, что с его помощью администратор может оперативно собрать потенциально подозрительные файлы со всех компьютеров сети для их изучения. Простейшей (но весьма эффективной на практике) формой изучения файлов может быть проверка полученного карантина несколькими популярными антивирусами в режиме максимальной эвристики. Следует отметить, что одновременный запуск автокарантина на нескольких сотнях компьютеров может создать высокую нагрузку на сеть и на файловый сервер.

Исследование трафика

Исследование трафика можно проводить тремя способами:

Система обнаружения вторжений является оптимальным средством, так как позволяет создавать наборы правил для обнаружения аномалии в сетевой активности. Второе ее преимущество состоит в следующем: большинство современных IDS позволяют размещать агенты мониторинга трафика на нескольких узлах сети — агенты собирают информацию и передают ее. В случае же применения сниффера очень удобно пользоваться консольным UNIX-сниффером tcpdump. Например, для мониторинга активности по порту 25 (протокол SMTP) достаточно запустить сниффер с командной строкой вида:

tcpdump -i em0 -l tcp port 25 > smtp_log.txt

В данном случае ведется захват пакетов через интерфейс em0; информация о захваченных пакетах будет сохраняться в файле smtp_log.txt. Протокол сравнительно просто анализировать вручную, в данном примере анализ активности по порту 25 позволяет вычислить ПК с активными спам-ботами.

Применение Honeypot

В качестве ловушки (Honeypot) можно использовать устаревший компьютер, производительность которого не позволяет применять его для решения производственных задач. Например, в сети автора в качестве ловушки успешно применяется Pentium Pro c 64 Мбайт оперативной памяти. На этот ПК следует установить наиболее распространенную в ЛВС операционную систему и выбрать одну из стратегий:

  • Установить операционную систему без пакетов обновлений — она будет индикатором появления в сети активного сетевого червя, эксплуатирующего любую из известных уязвимостей для данной операционной системы;
  • установить операционную систему с обновлениями, которые установлены на других ПК сети — Honeypot будет аналогом любой из рабочих станций.

Каждая из стратегий имеет как свои плюсы, так и минусы; автор в основном применяет вариант без обновлений. После создания Honeypot следует создать образ диска для быстрого восстановления системы после ее повреждения вредоносными программами. В качестве альтернативы образу диска можно использовать системы отката изменений типа ShadowUser и его аналогов. Построив Honeypot, следует учесть, что ряд сетевых червей ищут заражаемые компьютеры путем сканирования диапазона IP, отсчитываемого от IP-адреса зараженного ПК (распространенные типовые стратегии — X.X.X.*, X.X.X+1.*, X.X.X-1.*), — следовательно, в идеале Honeypot должен быть в каждой из подсетей. В качестве дополнительных элементов подготовки следует обязательно открыть доступ к нескольким папкам на Honeypot-системе, причем в данные папки следует положить несколько файлов-образцов различного формата, минимальный набор — EXE, JPG, MP3.

Естественно, что, создав Honeypot, администратор должен отслеживать его работу и реагировать на любые аномалии, обнаруженные на данном компьютере. В качестве средств регистрации изменений можно применять ревизоры, для регистрации сетевой активности можно использовать сниффер. Важным моментом является то, что у большинства снифферов предусмотрена возможность настройки отправки оповещения администратору в случае обнаружения заданной сетевой активности. Например, в сниффере CommView правило предполагает указание «формулы», описывающей сетевой пакет, или задание количественных критериев (отправка более заданного количества пакетов или байт в секунду, отправка пакетов на неопознанные IP- или MAC-адреса) — рис. 2.

Рис. 2. Создание и настройка предупреждения о сетевой активности

Рис. 3. Письмо-оповещение, высылаемое
в случае обнаружения пакетов, соответствующих заданным критериям

При организации ловушки неплохо разместить на ней несколько применяемых в сети уязвимых сетевых служб или установить их эмулятор. Простейшим (и бесплатным) является авторская утилита APS, работающая без инсталляции. Принцип работы APS сводится к прослушиванию множества описанных в ее базе портов TCP и UDP и выдаче в момент подключения заранее заданного или случайно генерируемого отклика (рис. 4).

Рис. 4. Главное окно утилиты APS

Дистанционное удаление вредоносных программ

В идеальном случае после обнаружения образцов вредоносных программ администратор отправляет их в антивирусную лабораторию, где они оперативно изучаются аналитиками и в базы антивируса вносятся соответствующие сигнатуры. Эти сигнатуры через автоматическое обновление попадают на ПК пользователей, и антивирус производит автоматическое удаление вредоносных программ без вмешательства администратора. Однако эта цепочка не всегда работает как положено, в частности возможны следующие причины сбоя:

  • по ряду независимых от администратора сети причин образы могут не дойти до антивирусной лаборатории;
  • недостаточная оперативность антивирусной лаборатории — в идеале на изучение образцов и их внесение в базы уходит не более 1-2 часов, то есть в пределах рабочего дня можно получить обновленные сигнатурные базы. Однако не все антивирусные лаборатории работают столь оперативно, и обновления можно ждать несколько дней (в редких случаях — даже недель);
  • высокая работоспособность антивируса — ряд вредоносных программ после активации уничтожают антивирусы или всячески нарушают их работу. Классические примеры — внесение в файл hosts записей, блокирующих нормальную работу системы автообновления антивируса, удаление процессов, службы и драйверов антивирусов, повреждение их настроек и т.п.

Следовательно, в перечисленных ситуациях придется бороться с вредоносными программами вручную. В большинстве случаев это несложно, так как по результатам исследования компьютеров известны зараженные ПК, а также полные имена файлов вредоносных программ. Остается только произвести их дистанционное удаление. Если вредоносная программа не защищается от удаления, то уничтожить ее можно скриптом AVZ следующего вида:

// Эвристическая чистка системы

Данный скрипт удаляет один заданный файл (или несколько файлов, так как команд DeleteFile в скрипте может быть неограниченное количество) и затем производит автоматическую чистку реестра. В более сложном случае вредоносная программа может защищаться от удаления (например, пересоздавая свои файлы и ключи реестра) или маскироваться по руткит-технологии. В этом случае скрипт усложняется и будет иметь следующий вид:

Читайте также: