Новости

Технології сучасних шкідливих програм

  1. Захист від виявлення і зняття перехоплень
  2. поведінковий протидію
  3. Використання пасток для антіруткіта
  4. Boot-рутікти
  5. Технології блокування роботи антивірусних продуктів
  6. Атаки на GUI
  7. Методики завантаження інформації з Інтернету
  8. Деструктивні шкідливі програми
  9. Троянські програми, що викрадають паролі
  10. Шкідливі програми і привілеї користувача
  11. Висновок

Олег Зайцев

Захист від виявлення і зняття перехоплень

поведінковий протидію

Використання пасток для антіруткіта

Boot-рутікти

Технології блокування роботи антивірусних продуктів

Атаки на GUI

Методики завантаження інформації з Інтернету

Деструктивні шкідливі програми

Троянські програми, що викрадають паролі

Шкідливі програми і привілеї користувача

висновок

В останні роки розробка шкідливих програм з розділу хуліганства та форми самоствердження перетворюється в одну зі сфер кримінального бізнесу, що, в свою чергу, призводить до активного розвитку різних технологій, що застосовуються розробниками вірусів. У даній статті ми розглянемо основні технології, які з'явилися або активно використовувалися під шкідливі програми, виявлених протягом 2007 року. Для оцінки поширеності технологій був проведений аналіз 9875 ITW-зразків шкідливих програм, причому відбиралося по одному зразку з числа дітей за класифікацією, всі зразки були гарантовано працездатними і їх шкідливість і класифікація були підтверджені дослідженням.

Минулий рік можна назвати роком антіруткіта, оскільки практично всі виробники антивірусних продуктів випустили свої утиліти для пошуку і нейтралізації руткітів або оснастили свої продукти підсистемами для боротьби з руткітів. Закономірною реакцією з боку розробників шкідливих програм була поява технологій, що дозволяють боротися з антіруткіта. Розглянемо найбільш цікаві з цих технологій.

Захист від виявлення і зняття перехоплень

Перші покоління руткітів не мали функціями самозахисту і застосовували «лобові» методики перехоплення функцій. Як наслідок, ці перехоплення нескладно було виявити і нейтралізувати або відновити пошкоджений руткітом машинний код. Однак багато останніх різновиди руткітів істотно просунулися в плані самозахисту, зокрема:

  • руткіти стали перевіряти наявність своїх перехоплень. Виявивши зняття перехоплювача, руткит може або відновити його, або імітувати системний збій, який призводить до краху системи і «синього екрану»;
  • для захисту від виявлення все частіше використовуються перехоплення неекспортіруемих і недокументованих функцій ядра. Як приклад можна привести руткит Rootkit.Win32.Podnuha за класифікацією «Лабораторії Касперського» - в 2007 році автором було виявлено не менше 15 унікальних різновидів даного руткита. Виявлення модифікації декількох байт глибоко в коді ядра при прийнятному рівні помилкових спрацьовувань є непростим завданням;
  • творці руткітів застосовують нові технології замість класичного перехоплення функцій. Наприклад, існує документований механізм callback-функцій для моніторингу звернень до реєстру. В сучасних руткітів дана технологія використовувалася для захисту належних руткіта ключів реєстру;
  • класикою стало застосування драйверів фільтрів і перехоплення оброблювачів IRP. Подібні технології дозволяють здійснювати маскування файлів і папок на рівні файлової системи, а не на рівні високорівневих API-функцій. Боротися з такими перехоплювачами дуже складно, оскільки, по-перше, існують легітимні драйвери-фільтри, а по-друге, будь-який збій в роботі подібних драйверів може привести до важких пошкоджень файлової системи аж до повної втрати інформації на диску;
  • багато сучасних руткіти містять вбудований антіруткит, який застосовується для розв'язання шкідливих завдань - виявлення і нейтралізації перехоплень, встановлених захисним ПЗ. Застосування даної технології, зокрема, дозволяє ефективно боротися з проактивним захистом антивірусів і брандмауерів, проте для зняття перехоплень шкідливу програму потрібно встановити свій драйвер або іншим шляхом здійснити читання / запис в пам'яті ядра, а отже, для сучасної проактивного захисту принципово важливо детектувати і припиняти подібну активність. Відзначимо, що дана функціональність виявлена ​​приблизно в 2% вивчених шкідливих програм.

поведінковий протидію

Дана технологія найбільш універсальна і небезпечна. Заснована вона на тому, що в процесі своєї роботи антіруткіта проявляють певну поведінку, не властиве іншим програмам. Типовий приклад: аналіз ядра, який зводиться до читання вмісту файлу ntoskrnl.exe на диску. Файл ntoskrnl.exe є ядром операційної системи, завантажується в ході завантаження системи і надалі сама операційна система до файлу не звертається. Антіруткіта вивчають даний файл для пошуку еталонної таблиці KiST з метою виявлення перехоплень функцій, а також для порівняння машинного коду ядра в пам'яті для виявлення модифікацій машинного коду. Отже, руткит може взяти на контроль звернення до даного файлу і потім виконати одну з наступних можливих операцій:

  • блокувати доступ до файлу - це призведе до того, що антіруткит не зможе здійснити контроль ядра в пам'яті, а значить, не зможе виявити і нейтралізувати перехоплення шкідливий програми;
  • видавати замість файлу ntoskrnl.exe якийсь інший файл операційної системи - це також порушить нормальне функціонування антіруткіта;
  • відслідковувати, яка програма намагається виконати звернення до даного файлу і завершити його роботу. Або, як варіант, викликати збій в роботі виявленого антіруткіта, наприклад виконуючи зрив стека або пошкоджуючи його машинний код в пам'яті.

Поскльку звичайні додатки до файлу ntoskrnl.exe не звертаються, а операційна система завантажує ядро ​​на стадії завантаження системи і надалі до нього не звертається, отже, функціонування ОС і прикладних програм при виконанні цих операцій порушено не буде.

Небезпека даного методу протидії полягає в тому, що він орієнтований не на конкретний продукт, а на цілу лінійку продуктів, що виконують характерні завдання. Блокування доступу до ядра є найбільш показовим, але не єдиним прикладом - аналіз антіруткіта дозволяє виявити масу характерних поведінкових особливостей, специфічних тільки для антіруткіта.

Використання пасток для антіруткіта

Дана методика протидії ідеологічно схожа на попередню, оскільки теж є універсальним засобом боротьби з антіруткіта. Методика полягає в тому, що руткит маскує деякий процес (причому не обов'язково це процес самого руткита - може застосовуватися будь-який системний процес) і здійснює моніторинг операцій з ним. Для операційної системи і програм типу диспетчера задач даний процес невидимий, а значить, для нього не можуть бути виконані такі операції, як відкриття процесу, читання пам'яті процесу або його зупинка. Отже, на роботу операційної системи і прикладних задач така методика ніякого впливу не матиме.

А ось для антіруткіта, навпаки, первинним завданням є пошук маскуються процесів і спроба їх ідентифікації або зупинки. Тому в разі виявлення звернення до замаскованого процесу руткит може застосовувати активні заходи проти виконує дану операцію додатки, наприклад завершити його роботу або емулювати збій.

Boot-рутікти

Принцип дії рутікта, що розміщається в BOOT- або MBR-секторі, відомий дуже давно. Років 15 тому існувало безліч вірусів, які заражали завантажувальні сектори дисків, що дозволяло шкідливому коду завантажитися до операційної системи і антивірусів, а отже, давало певну перевагу перед ними. Подібні віруси перехоплювали ряд переривань, що дозволяло їм успішно маскуватися. В даний час ми спостерігаємо відродження даної технології, тільки на сучасному рівні. Ідеологія сучасних Boot-руткітів була опублікована в 2005 році в звіті компанії eEye, причому до докладного опису алгоритму побудови подібного руткита додавалися вихідні тексти чинного зразка під назвою eEye BootRoot. Принцип роботи даного руткита полягає в наступних кроках:

  • є інсталятор руткита, який зберігає вихідний MBR, а потім заражає його, поміщаючи туди код руткита. Оскільки розміри сектора не дозволяють розмістити весь код руткита в MBR, туди зазвичай поміщається завантажувач, в функції якого входять завантаження і запуск основного коду, що розміщується, як правило, в невикористовуваних секторах на початку диска;
  • отримавши управління, код руткита стикається з наступною проблемою: він завантажився, але операційна система не запущена і тому взяти її під контроль руткит не може. Виходом з положення є перехоплення переривання INT 13h, що відповідає за операції з жорстким диском, зокрема за читання і запис його секторів. Перехопивши даний вектор, руткит завантажує вихідний MBR і віддає управління знаходиться в ньому коду. Це призводить до завантаження операційної системи, однак перехоплювач руткита аналізує завантажену з диска інформацію і за допомогою сигнатурного пошуку знаходить потрібні йому фрагменти ядра. Після виявлення необхідних фрагментів руткит модифікує машинний код, що дозволяє йому вносити будь-які правки в компоненти ядра.

Як і у випадку з MSDOS, подібна технологія дозволяє руткіта завантажитися до операційної системи, а змінений їм код ядра отримує управління до завантаження антивірусних продуктів. На відміну від концептуального алгоритму eEye BootRoot, реальні ITW-зразки після завантаження здійснюють маскування змінених руткітом даних, що істотно ускладнює їх виявлення та лікування. На закінчення наведемо деяку статистику по руткит-технологій (рис. 1).

1)

Мал. 1. Статистика по базовим руткит-технологій

Як видно з діаграми, близько 7% вивчених зразків встановлюють власні драйвери і використовують ті чи інші руткит-технології KernelMode. Близько 30% модифікують пам'ять системних процесів і здійснюють маніпуляції з контекстом потоку цих процесів. Це дуже популярна методика, вживана для різних цілей, зокрема для маскування. Дана методика активно використовується з огляду на те, що, досліджуючи комп'ютер, складно виявити троянський потік і зафіксувати факт підміни машинного коду легітимного процесу машинним кодом шкідливої ​​програми.

Технології блокування роботи антивірусних продуктів

Блокування антивірусних продуктів є однією з технологій, активно розвиваються протягом останніх кількох років. Згодом дані технології прогресують, і на зміну примітивним методам пошуку та примусового завершення процесів по іменах приходять нові, вельми небезпечні технології. Розглянемо деякі з тих, що були виявлені в ITW-зразках 2007 року.

В першу чергу це класичні методики. Як вже зазначалося, вони засновані на найпростіших алгоритмах: отримавши управління, шкідлива програма перераховує запущені процеси і зіставляє їх імена з деякою базою даних, нерідко значного розміру. Виявивши збіг, шкідлива програма намагається завершити процес. Іншим варіантом є пошук процесів за характерними заголовкам вікон. Більш досконалі різновиди виробляють аналогічну маніпуляцію зі службами і драйверами захисного ПЗ, пошук також йде по іменах. Методика протидії подібним шкідливим програмам є в більшості антивірусів і досить добре відпрацьована: є самозахист, що не дозволяє завершувати процеси і пошкоджувати файли і ключі реєстру, що належать антивірусів. Для антивірусних утиліт типу AVZ захист будується простіше: досить перейменувати виконуваний файл і для використовуваних в процесі роботи драйверів генерувати випадкові імена (рис. 2).

Мал. 2. Статистика поширеності методик боротьби
зі службами антивірусів

На діаграмі перший стовпець позначає видалення служб (або драйверів) антивірусного ПО, другий - управління службою антивірусного ПО (як правило, відключення), третій - перевірку наявності служб антивірусного ПО і їх статусу. Четвертий стовпець відповідає створенню служби, ім'я якої збігається з ім'ям служби поширеного антивірусного ПО (тобто служба антивіруса підміняється троянської службою). Для порівняння на діаграмі п'ятий стовпець відповідає видаленню системних служб, а шостий - управління системною службою. Аналіз показує, що в якості цих системних служб в переважній більшості випадків фігурують служби вcтроенного брандмауера. Що стосується боротьби з процесами, то картина має такий вигляд, як на рис. 3.

Мал. 3. Статистика поширеності методик боротьби з процесами

Наведені цифри вельми цікаві: виходить, що буквально кожна друга троянська програма в тому чи іншому вигляді цікавиться запущеними в системі процесами, а одна з десяти завершує процеси антивірусів або системні процеси.

На закінчення слід зазначити ще один класичний метод протидії антивірусів - блокування оновлення. Відомо кілька методик, найбільш простий і популярною з яких є правка файлу HOST, в який вводиться запис, що блокує доступ до сайтів виробників антивірусних продуктів. Аналіз показує, що близько 3% досліджених шкідливих програм модифікують даний файл.

Другий тип технологій - це руткит-метод, аналогічний класичній методиці. Відрізняється він тим, що боротьба з антивірусом йде вже з KernelMode, а отже, руткит може блокувати не просто запуск певних процесів або завантаження певних драйверів, а й доступ до будь-яких файлів, наприклад відкриття антивірусних баз або створення протоколів. Захиститися від даного методу складніше, однак перейменування файлів як і раніше дозволяє обійти перевірки шкідливої ​​програми.

До третього типу належить руткит-метод з сигнатурним сканером. Цей найнебезпечніший і універсальний метод набув широкого поширення в кінці 2007 року. Він відрізняється від попереднього тим, що руткит блокує доступ до файлів на підставі деякої сигнатури файлу. Це дуже небезпечна технологія, оскільки від неї неможливо захиститися простими методиками на зразок перейменування файлів. Більш того, при використанні в якості сигнатури, скажімо, копірайтів файлу можна однією сигнатурою заблокувати роботу всіх продуктів певної фірми. Інша небезпека полягає в тому, що зазвичай бази даних антивірусів і брандмауерів мають характерні заголовки і сигнатури - отже, дуже легко заблокувати оновлення баз і їх завантаження.

Ще небезпечніше гібридна технологія, яка є поєднанням вищеописаних методик. Зокрема, поєднання блокування по іменах і сигнатурам нескладно реалізувати в рамках одного руткит-драйвера, що значно підвищить його ефективність. Крім того, вивчення ITW-зразків показує, що крім блокування доступу до файлу руткит може знищити його або пошкодити, що ще більше ускладнює боротьбу з ним. На закінчення можна розглянути статистику по ще одній класичною технологією - атаці на антивірусні продукти шляхом пошкодження їх ключів реєстру (рис. 4).

Мал. 4. Боротьба з антивірусами через реєстр

Як неважко помітити, близько 1% вивчених зразків пошкоджували або видаляли ключі популярних антивірусів. Набагато популярніше атака на штатний брандмауер - з ним бореться близько 6% вивчених зразків, причому методик боротьби дві: відключення брандмауера і внесення троянської програми в список довірених.

Атаки на GUI

Під атакою на GUI в даному випадку розуміється будь-яка взаємодія шкідливої ​​програми з інтерфейсом операційної системи, прикладних програм або спеціалізованого ПЗ для захисту комп'ютера. Розробники шкідливих програм, як правило, переслідують декілька основних цілей:

боротьба з антивірусами - методика заснована на тому, що антивіруси і брандмауери нерідко задають користувачу питання про те, чи дозволити або заборонити ту чи іншу активність працюючих додатків або що робити з виявленої шкідливою програмою. Це так званий режим навчання, який застосовується в основному в брандмауерах і проактивного захисту. Крім того, багато антивіруси за замовчуванням запитують у користувача, як вчинити зі знайденим шкідливим ПЗ. Відповідно шкідлива програма може виявити подібне вікно із запитом з яких-небудь ознаками (координати, заголовок вікна, ім'я класу вікна) і імітувати дії користувача (рис. 5).

Мал. 5. «Антивірус Касперського» - вікно запиту
дій для знайдених сканером вірусів

Складність для шкідливої ​​програми полягає в тому, що у кожного антивіруса або брандмауера свої, специфічні тільки для нього вікна, які можуть радикально відрізнятися в різних версіях продукту. Тому, як правило, шкідливі програми можуть боротися з двома-трьома найбільш популярними продуктами;

  • Взаємодія з GUI платіжніх систем - найбільш пошірені програми, Які взаємодіють з WebMoney, Їм в класіфікації ЛК відповідають сімейства Trojan-PSW.Win32.WebMoner и Trojan-Spy.Win32.Webmoner;
  • Викрадення паролів та іншої цінної информации, что вводитися користувачем - нерідко для ціх цілей в троянської програми є кейлоггер, Який запісує натіснення клавіш за умови, что у фокусі Введення находится Певна вікно;
  • виявлення факту використання антивірусів, отладчиков або засобів моніторингу - подібні прийоми застосовуються і в легітимних додатках: нерідко автори легітимних програм використовують захист від злому, що блокує роботу додатка в разі виявлення вікон утиліт типу RegMon і FileMon.

Якщо говорити про поширеність технологій, то найбільш популярна атака на GUI антивірусів - подібна функціональність зареєстрована в 17% досліджених зразків, причому різних типів і сімейств. Робота з вікнами платіжних систем поширена набагато менше (менше 1%) і проявляється тільки в категорії троянських програм, що спеціалізуються на платіжних системах. Детектування отладчиков і засобів моніторингу теж не має широкого поширення - приблизно в 1% досліджених зразків. Крім того, в ряді троянських програм виявлені процедури сканування вікон запущених програм (рис. 6).

6)

Мал. 6. Поширеність методик атак на GUI у шкідливих програмах

Методики завантаження інформації з Інтернету

Троянські програми категорії Trojan-Downloader є одними з найпоширеніших. Багато з них не предствавляют безпосередньої загрози для системи - небезпечний не сам завантажувач, а завантажуються і запускаються їм шкідливі програми. Для обходу проактивного захисту і евристичних аналізаторів антивірусів розробники троянських завантажувачів впроваджують нові технології, зокрема завантаження з KernelMode, застосування служби фонового передавання даних (служба BITS). На діаграмі показана поширеність різних методик завантаження файлів щодо загальної кількості шкідливих програм у вибірці (рис. 7).

7)

Мал. 7. Статистика поширеності методів взаємодії
з Інтернетом

Як видно з діаграми, класичні методи завантаження файлів або передачі даних в Інтернет як і раніше лідирують і складають трохи більше 20%. BIT застосовують приблизно 2,5%, що в два рази більше, ніж в попередньому році. Для повноти картини на діаграмі показаний відсоток троянських програм, що прослуховують порти TCP / UDP, - їх кількість наближається до 4%. Дані цифри самі по собі цікаві: виходить, що, як мінімум, кожна п'ята з досліджених троянських програм активно обмінюється з Інтернетом.

Деструктивні шкідливі програми

Деструктивні шкідливі програми дуже небезпечні для системи, оскільки можуть порушити її працездатність і пошкодити дані користувачів. Протягом минулого року було відзначено кілька епідемій деструктивних програм, найбільш відомими з яких є Virus.VBS.Agent.c і Email-Worm.VBS.Agent.j, виявлені влітку 2007 року і, судячи за особливостями реалізації, створені одним автором. Дані віруси були написані на Basic (початковий текст був зашифрований для утруднення аналізу) і поширювалися поштою у вигляді посилання на шкідливий об'єкт, використовуючи список контактів MailRu Agent. Деструктив полягав у тому, що дані шкідливі програми сканували диск ураженого ПК і записували поверх всіх знайдених документів, малюнків і медіафайлів заготовки, що йдуть в комплекті з вірусом (в них значилася фраза «Д і структивно реклама»). Від вірусів цієї категорії постраждало безліч користувачів, причому багато хто з них в результаті позбулися своїх документів і фотографій. У загальному випадку деструктивні дії можна розділити на три категорії:

  • знищення і пошкодження системних об'єктів - це або робиться з деструктивних міркувань, або є формою маскування троянської програми за рахунок підміни системних компонентів або їх зараження по вірусному принципом. Найпростіший деструктив з відомих - знищення всіх файлів в корені системного диска, що призводить до неможливості завантаження операційної системи;
  • знищення документів, малюнків, медіафайлів;
  • повне знищення всієї інформації на диску зазвичай шляхом прямого доступу до диска і записи в сектори диска сміттєвої інформації. Подібні програми зустрічаються рідко, але, тим не менш, за рік було виявлено кілька подібних ITW-зразків;
  • спотворення і блокування важливих функцій операційної системи для утруднення лікування та детектування шкідливої ​​програми або з метою вимагання. В останньому випадку шкідлива програма блокує і пошкоджує максимум можливих налаштувань і потім вимагає викуп за відновлення працездатності системи.

Якщо розглядати статистику, то виходить картина, показана на рис. 8.

8

Мал. 8. Статистика поширеності деструктивних методик

Приблизно 1% від загального числа досліджених шкідливих програм дуже активно використовували створення політик безпеки, зокрема це сімейство Trojan.Win32.Krotten і його аналоги. Близько 2% зразків підміняли або знищували критичні системні компоненти, в сумі близько 5% блокували запуск редактора реєстру або диспетчера задач. Прямий доступ до диска застосовувався в основному на читання (проте в вибірці зустрілися зразки, які здійснюють запис на диск), проте сам факт отримання подібного доступу насторожує.

Троянські програми, що викрадають паролі

Подібні програми не є новинкою і відомі вже багато років. Тому основну увагу приділимо статистикою різних методик (рис. 9).

9)

Мал. 9. Статистика методик викрадення паролів

У сумі з досліджених зразків як мінімум 15% викрадали паролі (тобто кожен 10-й ITW-зразок). Важливо відзначити, що, як правило, в універсальних троянські програми поєднуються всі три методи - класичним прикладом є Pinch і його аналоги. Однак цікавою тенденцією розвитку шкідливих програм в 2007 році стало викрадення не тільки класичних паролів (пошта, Інтернет, ICQ, FTP і т.п.), але і підвищений інтерес розробників вірусів до онлайнових ігор. На перший погляд цей відсоток позбавлений сенсу: яка вигода може бути від подібної інформації? Автором було проведено невелике дослідження, яке показало, що для захоплених учасників онлайнових ігор всілякі магічні атрибути (нематеріальні, природно) представляють реальну цінність, так само як і їх аккаунт в грі. Отже, виникає, як мінімум, два потенційних шляху наживи:

  • за допомогою троянської програми зловмисник може отримати параметри аккаунта гравця, заблокувати його шляхом зміни паролів, а потім або за деякий викуп повернути його власнику, або перепродати комусь із інших гравців. В даному випадку ситуація аналогічна тій, що склалася щодо красивих і коротких номерів ICQ, які активно викрадаються і потім перепродуються;
  • отримавши параметри облікового запису гравця, можна просто захопити належне йому віртуальне майно. Зловмисник може потім використовувати його сам (якщо він теж гравець) або перепродати за цілком реальні гроші.

З огляду на поширеність онлайнових ігор і кількість гравців, формується цілком реальний ринок збуту, що, в свою чергу, і пояснює появу спеціалізованих троянських програм для викрадення паролів до онлайнових ігор.

Шкідливі програми і привілеї користувача

Отже, ми розглянули статистику використання всіляких технологій. Однак виникає резонне питання - як захиститися від цих технологій. Крім застосування класичної захисту - антивірусів і брандмауерів - існує ще один дуже ефективний шлях захисту: використання привілеїв облікового запису користувача. За замовчуванням в Windows XP користувач має привілеями адміністратора, а отже, шкідлива програма в разі запуску на комп'ютері також буде володіти привілеями адміністратора, що дозволить їй без жодного обмеження вирішувати свої завдання.

Особливість бази аналізатора, що застосовується автором, полягає в тому, що в результатах аналізу шкідливих програм можна виділити операції, для яких потрібні привілеї адміністратора, і сформулювати по ним статистику (рис. 10).

Мал. 10. Використання операцій, що вимагають привілеїв адміністратора

Категорії «Управління службами і драйверами» відповідають всі операції, для яких потрібні привілеї адміністратора (реєстрація служби або драйвера, видалення, завантаження і вивантаження драйверів). Категорія «Маніпуляції з процесами» включає зупинку системних процесів і процесів антивірусного ПО, а також впровадження троянського коду в пам'ять системних процесів або маніпуляції з контекстом їх потоків. Модифікація системних ключів реєстру передбачає створення або зміну ключів HKLM і HKCR, недоступних на запис звичайному користувачеві. Подібні операції застосовуються троянськими програмами для укритті форм автозапуску, модифікації системних налаштувань (зокрема, реєстрації своїх драйверів і класів) і боротьби з антивірусним ПЗ. Категорія «Робота з системними файлами» передбачає модифікацію системних об'єктів або створення власних файлів в папці Windows і її підкаталогах. Як легко бачити з діаграми, 60% всіх вивчених шкідливих програм намагаються щось записати в системну папку. Близько 20% вивчених шкідливих програм в явному вигляді запитують системні привілеї, такі як привілеї на завантаження драйверів або перезавантаження системи. Як видно з діаграми, кожен вид привілейованих операцій виконує як мінімум по 15-20% вивчених зразків. Аналіз картини в цілому показаний на рис. 11.

Мал. 11. Оцінка можливості функціонування
шкідливих програм
під обмеженою обліковим записом

Як випливає з наведеної діаграми, 94% всіх вивчених зразків не можуть повноцінно працювати під користувальницької обліковим записом або втрачають свою функціональність і деструктивні функції і тільки близько 6% можуть функціонувати з правами користувача. З небезпечних програм в ці 6% потрапляють деякі троянські програми, що крадуть паролі (вони збирають дані і відправляють їх, не намагаючись вкоренитися в системі), троянські завантажувачі і дестуктивною шкідливі програми (у користувача є доступ до своїх документів і медіафайлів, а отже, деструктивна програма може знищити або пошкодити їх, володіючи тільки правами користувача). В іншому картина дуже показова: що працює під обліковим записом з мінімальними привілеями користувач практично повністю захищений від шкідливих програм. Зокрема, йому не страшні руткіти (яким потрібна запис в пам'ять інших процесів і установка драйверів), шкідлива програма практично не може завдати шкоди операційній системі за рахунок видалення та модифікації системних файлів або ключів реєстру. А якщо у працюючого під обмеженою обліковим записом користувача є антивірус, брандмауер і проактивний захист, то його захист можна вважати близькою до 100%. Зокрема, висока захищеність нової операційної Системи проектування Windows Vista від шкідливих програм якраз пояснюється реалізованої в ній політикою призначення привілеїв: за замовчуванням привілеї користувача мінімальні і для виконання вимагають прав адміністратора операцій необхідно підтвердження запиту підсистеми UAC.

Висновок

У даній статті розглянуті деякі технології, що застосовуються в сучасних шкідливі програми. Слід враховувати, що наведені в статті статистичні дані сформовані автоматичним аналізатором, який фіксує ту чи іншу форму шкідливої ​​активності тільки в разі, коли на 100% гарантована правильність класифікації даної активності (як наслідок - зафіксована активність чітко відповідає відомим шаблонами шкідливого поведінки).

Наведена статистика насторожує: приблизно кожна п'ята з троянських програм має функції роботи з Інтернетом і засобами активної протидії антивірусів. З точки зору основної шкідливої ​​функціональності можна відзначити криміналізацію галузі розробки вірусів: останнім часом рідко зустрічаються віруси, написані «просто так», - в основному трапляються спам-боти, інші ботнети, руткіти для активної маскування і протидії, шкідливі програми для викрадення паролів і іншої важливої ​​інформації.

Користувачам і адміністраторам мереж рекомендується також звернути увагу на підсумкову діаграму - вона наочно демонструє, що більшість сучасних шкідливих програм не можуть повноцінно функціонувати під обмеженою обліковим записом з мінімальними привілеями. Отже, необхідно по можливості відмовитися від роботи (особливо в Інтернеті) з-під обліковим записом адміністратора. Останнє, на жаль, не завжди можливо, оскільки зараз багато прикладні програми не можуть нормально функціонувати під обмеженою обліковим записом. У такій ситуації рекомендується створити обмежену обліковий запис для роботи в Інтернеті та з електронною поштою.

Крім того, потрібно мати на увазі, що за статистикою приблизно 2% з досліджених зразків намагалися використовувати флеш-накопичувачі в якості засобу транспорту. Отже, адміністраторам мережі рекомендується впровадити ряд заходів, спрямованих на контроль над застосуванням флеш-накопичувачів і їх аналогів на комп'ютерах в мережі, а користувачам - дотримуватися особливої ​​обережності при роботі з флеш-дисками. Практика показує, що непогані результати дає заборона автозапуску через політики безпеки для носіїв усіх типів, крім CD-ROM.

КомпьютерПресс 3'2008


На перший погляд цей відсоток позбавлений сенсу: яка вигода може бути від подібної інформації?

Уважаемые партнеры, если Вас заинтересовала наша продукция, мы готовы с Вами сотрудничать. Вам необходимо заполнить эту форму и отправить нам. Наши менеджеры в оперативном режиме обработают Вашу заявку, свяжутся с Вами и ответят на все интересующее Вас вопросы.

Или позвоните нам по телефонам: (048) 823-25-64

Организация (обязательно) *

Адрес доставки

Объем

Как с вами связаться:

Имя

Телефон (обязательно) *

Мобильный телефон

Ваш E-Mail

Дополнительная информация:

Все права защищены © 2013 Производственная компания El.Od
Промышленное производство рыбной продукции