Дополнительные рекомендации по борьбе с Почтовыми вирусами.

Никогда не стоит открывать прикрепленные к письмам файлы, в случае получения писем со странным или подозрительным содержимым, даже если в качестве адреса отправителя прописан адрес вашего доверенного абонента. Компьютер абонента может быть заражен почтовым вирусом. Помните: спам так же может быть источником заразы!

Сегодня вирусописатели нередко используют приемы социального инжиниринга. Например, можно получить такое письмо:

От: < *****@****.**>

Кому: ********@******.*****.**

Тема: Привет от Иришки!

Приветик! Давно не виделись! Что молчишь? А помнишь как здорово было летом…

Я решила сделать тебе подарок. Отправляю тебе Flash-ролик, который я сделала о нас с тобой, и о нашем отдыхе. Просто запусти его, и наслаждайся…

К письму прикреплен файл «Privet.exe». Файл может оказаться трояном, действительно запускающим какой-либо медиа-ролик, и одновременно заражающим вашу систему, а может оказаться банальным зараженным исполняемым файлом, который в лучшем случае выдаст вам надпись, что программа-плеер не может быть запущена из-за системной ошибки. Наслаждайтесь J …

В любом случае, к подобным письмам нужно отнестись серьезно. Если письмо не вызывает интереса – удалите его. Если прикрепленный файл может быть вам нужен для каких-либо целей – проверьте его антивирусной программой (многие популярные почтовые сервисы сейчас дают такую возможность), при отсутствии такой возможности – сохраните файл с расширением «.txt», чтобы случайно не запустить его, и исследуйте при помощи какого-либо подходящего редактора.

Дополнительные рекомендации по борьбе с сетевыми червями, троянами, рекламным и шпионским ПО.

Программы данной группы должны иметь возможность самостоятельного запуска в системе. Исходя из этого, в ОС WINDOWS необходимо контролировать папку «Автозагрузка», ключи системного реестра, отвечающие за автоматическую загрузку программ, а так же загрузку дополнительных модулей сторонних разработчиков для некоторых программ.

Путь к папке «Автозагрузка» в Windows по умолчанию выглядит так:

…\Documents and Settings\ < Имя пользователя > \ Главное меню \Программы\Автозагрузка

где, < Имя пользователя > - имя домашнего каталога пользователя

или

…\Documents and Settings\All Users\Главное меню \Программы \Автозагрузка

папка автозагрузки программ для всех пользователей.

Имея права администратора системы, вы при помощи любого файлового менеджера можете добраться до содержимого этих папок. Либо войдите через меню: Пуск/ Программы/ Автозагрузка, но в этом случае вам будет доступна только папка текущего пользователя.

Корме того, возможен такой прием, как подмена ярлыка программы в папках автозагрузки. В свойствах ярлыка, в поле «Объект» Троян может прописать путь к требуемому запускаемому файлу, заменив «хозяина», или, что еще более эффективно, к командному файлу, запускающему как пользовательскую программу, так и вредоносное ПО.

Если при входе пользователя в систему удерживать нажатой клавишу «Shift», то программы из папок «Автозагрузка» запускаться не будут.

В Windows 9х можно найти строки автозапуска в системных файлах Win.ini и System.ini. Иногда троян изменяет их, добавляя ссылки на себя в секциях «run=» или «load=». Эти файлы расположены в директории Windows.

Ключи системного реестра можно проконтролировать с помощью редактора реестра regedit, (regedt32 в Windows 2000 и более поздних) или других подобных программ. При этом необходимо помнить, что повреждение реестра ведет к потере работоспособности операционной системы.

Нас интересуют следующие ключи системного реестра:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion \Run;

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion \Run;

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion \RunServices;

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion \RunОnce;

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion \RunServicesOnce.

Ключи, в наименовании которых присутствует слово «… Once», используются только в процессе инсталляции или деинсталляции программ, и при обычном режиме работы они должны быть пусты.

В операционных системах Windows серии NT (Win NT, Win 2000, Win XP) способы автозапуска программ в целом почти идентичны системам Windows 9x, однако имеется ряд разделов в реестре, специфичных только для этих систем.

Например, ключ реестра, указывающий адрес папки автозагрузки, общей для всех пользователей:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \CurrentVersion\Explorer \User Shell Folders

параметр «Common Startup»

или, ключ реестра, указывающий адрес папки автозагрузки для текущего пользователя:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion \Explorer \User Shell Folders параметр «Startup»

В Windows серии NT могут иметь место дополнительные параметры автозапуска. В следующих разделах реестра:

HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion \Windows

HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT \CurrentVersion\Windows

могут присутствовать строковые параметры Load (программы, запуск которых в нем прописан, загружаются минимизированными) и Run, в которые при установке Windows серии NT поверх Windows 9x переносится соответствующий список программ для автозапуска из аналогичных параметров файла win.ini.

К этим параметрам реестра применимы те же правила написания, что и к соответствующим параметрам win.ini. Если же наследования этого списка из предыдущей ОС не происходит, то по умолчанию значением этих параметров является пробел.

В разделе

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT \CurrentVersion\Winlogon

также содержится ряд строковых параметров, отвечающих за автозапуск различных приложений при входе пользователя в систему:

Userinit – определяет список программ, запускаемых процессом WinLogon в контексте пользователя при его регистрации в системе. По умолчанию это userinit.exe.

Shell – задает оболочку (список программ, формирующих пользовательский интерфейс) Windows. По умолчанию explorer.exe.

System – определяет список программ, запускаемых процессом WinLogon в контексте системы во время ее инициализации. По умолчанию lsass.exe.

VmApplet – определяет список программ или программу, запускаемую процессом WinLogon для оперативной настройки параметров виртуальной памяти. По умолчанию его значение: rundll32 shell32, Control_RunDLL «sysdm.cpl».

Для более аккуратной работы с обозначенными ключами реестра подойдет программа msconfig.exe (вкладка Автозагрузка), входящая в состав операционных систем Windows ХР, Vista, Windows 7. Найти программу можно в каталоге \WINDOWS \SYSTEM. Для информации о системе также подходит программа msinfo32.exe.

При запуске DOS-приложения в среде Windows систем происходит автоматическая обработка командного файла …\SYSTEM32\AUTOEXEC.NT, если в настройках свойств этого DOS-приложения не указан другой файл, в частности: winstart.bat или dosstart.bat.

Также необходимо обратить внимание на возможность автозагрузки программ с использованием сервиса системы «Назначенные задания». Программы, прописанные в списке заданий будут запускаться с менеджером заданий по соответствующему расписанию. Посмотреть список установленных заданий, а также добавить новое можно с помощью меню Пуск/ Программы/ Стандартные/ Служебные/ Назначенные задания - при этом откроется окно «Назначенные задания» со списком программ и расписанием их запуска. Папка, в которой содержаться назначенные задания – ...\WINDOWS\Tasks.

Для контроля автоматически запускаемых программ необходимо использовать соответствующие программы. Например, упомянутые ранее msinfo32.exe и msconfig.exe, или ПО сторонних разработчиков, например программу Starter.

Помимо вышеперечисленных способов автозапуска программ при загрузке системы или открытии сеанса пользователя, существует еще и такой вариант, как запуск исполняемого модуля одной программы при загрузке другого, вполне легитимного приложения.

Подобный подход можно наблюдать, например, при использовании утилит типа Adware. Обнаружить подобные модули вручную довольно сложно даже для опытного пользователя, поэтому полезно периодически сканировать систему не только антивирусным сканером, но программами типа «анти-Adware» (Например, Ad-aware Plus, Ad-Aware Professional, производства компании «Lavasoft» https://www.lavasoft.com/), призванными находить и удалять из системы эти модули. Такие программы обычно имеют в своих постоянно обновляемых базах данных информацию о десятках известных шпионских и рекламных модулях и даже троянах.

Еще один доступный способ загрузить программный код без ведома пользователя – с помощью подключенного плагина какой-либо программы, например, того же браузера Internet Explorer.

Файлы подключаемых модулей-плагинов Internet Explorer находятся в папке …\Program Files \Internet Explorer\Plugins, по свойствам каждого файла можно попытаться выяснить его предназначение.

Кроме того, вредоносная программа может прописать себя в системе как системный драйвер или сервис.

На этом мы завершаем краткое знакомство с методами поиска вредоносных программ на компьютере. В качестве резюме давайте вспомним следующие ключевые моменты организации защиты:

- Осуществлять ежедневную работу в сеансе пользователя с ограниченными правами, а сеансом администратора системы пользоваться только в необходимых случаях.

- Правильно сконфигурированный межсетевой экран может блокировать сетевой вирус, не дав ему возможности попасть на ваш компьютер, подключенный к сети, а также троян, желающий выйти с вашего компьютера в сеть.

- Основное правило при организации антивирусной защиты – берегитесь случайных связей, и не доверяйте никому. Любые файлы, принесенные извне, должны проверяться антивирусами. Во время работы на компьютере, особенно, если машина в сети, наличие в памяти антивирусного монитора обязательно. Периодически проверяйте сканером или инспектором все логические диски вашего компьютера. Не забывайте своевременно обновлять антивирусные базы.