Зловредные программы, malware, вирус, червь, троянский конь

Зловредные программы.

Ка вы, однако в курсе, бывают разные и Malware одна из них. С malware может столкнуться каждый, и в оценке вредности из списка, зловредные программы.

Возможное место для вашей рекламе! Приветствуется серьезный рекламодатель! Пишите на e-mail договоримся...

Я их отношу к числу не смертельные. Разработчики (хакеры) этого зловредного ПО находят все более изощренные методы.  Позволяющие им устанавливать свои программы на компьютер.

Например, ошибки безопасности.

В программе Winamp в пределах MP4-расшифровки позволяют разработчикам зловредных программ устанавливать свои malware на ПК пользователей.

Но я поговорю о опасности и это malware — Dynamer. Специалисты McAfee Labs обнаружили  семейство malware — Dynamer.

Авторы этой бяки из числа, зловредные программы, используют для атак секретную функцию «режим бога» (GodMode).

А что это такое?

Одним словом и не скажешь, но суть в том, что в одной папке появится все возможности твоего компьютера. Такой режим известен уже с времен Windows Vista.

О существовании функции GodMode известно давно. Чтобы активировать «режим бога» в Windows, нужно осуществить всего пару простых операций.

Необходимо создать на рабочем столе новую папку с именем вида.

GodMode.{ED7BA470-8E54-465E-825C-99712043E01C}

«GodMode» при этом можно заменить любым другим набором символов, а вот дальнейшую последовательность изменять нельзя.

В созданной папке будут отображаться все доступные пользователю настройки ОС.  В том числе и те, которые не входят в меню «Панели управления» и «Параметров».

Предполагается, что это не просто «пасхалка», а функция, которую разработчики Microsoft используют для дебаггинга.

Исследователи McAfee Labs обнаружили.

Бекдор Dynamer использует GodMode для атак. Чтобы закрепиться в системе, малварь создает в реестре Windows запись.  Благодаря которой вредоносный процесс стартует при каждом запуске системы.

Запись в реестре выглядит следующим образом:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Runlsm = C:\Users\admin\AppData\Roaming\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}\lsm.exe

Dynamer помещается в папку com4, внутри %AppData%. Данная запись в реестре использует чуть измененную версию «режима бога». А это позволяет малвари нормально функционировать.

Однако, если попытаться открыть папку:

com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B} произойдет автоматическая пере-адресации в RemoteApp and Desktop Connections.

Как можно заметить, путь GodMode немного изменен, чтобы указывать непосредственно на RemoteApp and Desktop Connections. Замена имени «GodMode» на «com4» обусловлена желанием хакеров остаться в системе навсегда.

Именно из-за этого нюанса от Dynamer крайне трудно избавиться.

Использовать такое имя в нормальном Windows Explorer и cmd.exe запрещено. Операционная система будет относиться к такой папке как к устройству.  А это помешает пользователю удалить данную директорию.  Через “Проводник” или командную строку.

Специалисты McAfee Labs все же придумали способ избавления от вредоносной папки. Для этого понадобится выполнить команду:

> rd “\\.\%appdata%\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}” /S /Q

Пошли дальше, в знаниях зловредные программы!

Что такое вирус?

Вирус компьютерный прикрепляется к программе или файлу и таким образом он распространяется от одного компьютера к другому.

Так же как и человеческий вирус, компьютерный может нанести как слегка раздражающий эффект (напр: торможение компьютера), так и полностью повредить операционную систему.

Зловредные программы

Так же, вирус не может распространяться без действий человека. Заражаются от вируса путем обмена зараженной программы, через флешки, диски, вложения в письмах по e-mail. Для удаления вирусов можно использовать одноразовые утилиты.

Что такое червь?

Червь, в некоторой степени он считается подклассом вирусов. Черви распространяются от компьютера к компьютеру.  Но в отличие от вирусов, они имеют возможность путешествовать без любого человеческого действия.

Самая большая опасность червя, является его способность копировать себя на вашей системе. Тем самым может посылать сотни и тысячи копий самого себя.

Что такое троянский конь?

Троянский конь полон обмана, как это было и с мифологическим троянским конем. Троянский конь, на первый взгляд окажется полезной программой.  Но после запуска на ПК, все окажется совсем наоборот.

Он действует как бы обманным путем, с начала пользователь находит якобы полезную программу, из надежных источников, но после установки троян может нанести ущерб удаляя файлы и уничтожая информацию.

Но есть и трояны, не наносящие особо большого ущерба, а просто выполняет раздражающие действия, изменяя что-то на компьютере жертвы не удаляя ничего.

В отличие от вирусов и червей, трояны не размножаются путем заражения других файлов и они не само воспроизводятся.

Методы борьбы с вредоносным ПО.

Вредоносное программное обеспечение, как уже говорилось выше, может нанести огромный ущерб вашему компьютеру.  А может и натворить что-либо, что может просто раздражать пользователя.

Это может быть например просто ярлыки на флешке, а может быть и удаление каких-либо файлов с компьютера и тут придется воспользоваться восстановлением информации.

Что бы защититься от всего этого, нужно установить хороший антивирус, обновлять его периодически.

Но есть и другие лазейки для выполнения вредного умысла и попитки прибегнуть к списку под названием, зловредные программы.

На что хочу обратить внимание, да на порт вашего компьютера!

И так, у вас имеется на страже Брандмауэр. Он способен защитить персональный компьютер и сеть от незваных гостей.

Если вы не хотите устанавливать брандмауэр, но все же хотите защитить свой компьютер, то у вас есть возможность вручную закрыть тот или иной порт или блокировать определенные протоколы.

Некоторые порты и протоколы могут быть использованы для атаки на вашу систему.

Например, кто-нибудь может управлять вашим компьютером с помощью службы Telnet, если порт, через который она обычно работает (порт 23), оставлен открытым.

Во многом известный троян Back Orifice, дающий отморозкам неограниченную власть над вашей системой, использует различные порты, и порты с номерами 31337 и 31338.

Даю список портов, используемых различными троянами.

Чтобы защитить свой компьютер, вам стоит закрыть все порты, кроме тех, которые нужны для работы, например порт 80 должен быть открыт, если вы хотите просматривать web-страницы.

Полный список стандартных портов : Service Name and Transport Protocol Port Number Registry
(http://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xhtml)

Как закрыть порты?

Чтобы вручную закрыть порты и блокировать протоколы, щелкните правой кнопкой мыши на папке Сетевое окружение (My Network Places) и выберите пункт Свойства (Properties). Откроется папка Сетевые подключения (Network Connections).

Затем щелкните правой кнопкой мыши на соединении, для которого вы хотите закрыть порты, и снова выберите Свойства. Выделите в списке строчку Протокол Интернета (TCP/IP) (Internet protocol (TCP/IP) и щелкните на кнопке Свойства (Properties).

На вкладке Общие (General) щелкните на кнопке Дополнительно (Advanced). В появившемся диалоговом окне Дополнительные параметры TCP/IP (Advanced TCP/IP Settings) перейдите на вкладку Параметры(Options), выделите строчку Фильтрация TCP/IP (TCP/IP Filtering).

Щелкните на кнопке Свойства(Properties). Появится диалоговое окно Фильтрация TCP/IP (TCP/IP filtering). Чтобы заблокировать порты TCP, UDP и протоколы IP, для каждого из них выберите пункт Только (Permit only).

Таким образом вы успешно закроете все порты TCP, UDP и заблокируете протоколы IP.

Однако закрыть все порты — это не выход.

Нужно указать системе, через какие порты можно передавать данные. Запомните, что если вы хотите просматривать web-страницы, необходимо открыть порт 80!

Чтобы открыть определенные порты или разрешить использование некоторых протоколов, щелкните на кнопке Добавить (Add).

Укажите порты и протоколы, которые вы хотите открыть, а затем нажмите ОК. Теперь будут использоваться только порты и протоколы из составленного вами списка.

Обратите внимание, что сетевые службы и приложения используют сотни различных портов TCP и UDP. Если вы разрешите только работу с web-сайтами (порт 80), то вы не сможете использовать другие ресурсы Интернета, такие как FTP, электронная почта (e-mail), совместный доступ к файлам, потоковый звук и видео и т. д.

Поэтому данный способ подходит только тогда, когда вы хотите свести к минимуму число сетевых служб и приложений, работающих на вашем компьютере.

Получение списка имеющихся в системе портов.

Существует как минимум два способа:

1. Список доступных портов можно узнать, проанализировав ключ реестра
HKEY_LOCAL_MACHINE/HARDWARE/DEVICEMAP/SERIALCOMM

2. Можно поочередно попробовать открыть порты COM1 .. COM9, таким образом удасться
установить все доступные порты (т.е. порты, не открытые другими приложениями).

Удачи, Друзья!

 

laimisk

Если вам интересно на моем сайте… я рад ! Думаю что моя аудитория преимущественно люди взрослые, умные, технически подкованные и главное у них есть цель- достигнуть успеха ! А я постараюсь вам помочь. Извиняюсь за стилистику в моих статьях, наверное, заметили налет иностранного акцента! laimisk (кликуха по нету)

3 мысли о “Зловредные программы, malware, вирус, червь, троянский конь

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *