Опубликован: 15.03.2007 | Уровень: для всех | Доступ: платный
Лекция 4:

Признаки присутствия на компьютере вредоносных программ

Косвенные проявления

В отличие от явных проявлений, косвенные проявления отнюдь не всегда являются преднамеренными и нередко вызваны ошибками, допущенными автором вредоносной программы.

Блокирование антивируса

Обычно вредоносная программа проникает на защищенный антивирусом компьютер либо если антивирус был отключен, либо если это сравнительно новая вредоносная программа, для которой не было записи в антивирусной базе. Понятно, что в скором времени антивирус будет включен, либо вирус будет внесен в антивирусную базу, и антивирус сможет его обнаружить и обезвредить. Чтобы воспрепятствовать этому, многие вредоносные программы небезуспешно пытаются выгрузить антивирус из памяти или даже удалить файлы антивируса с дисков компьютера.

Поэтому внезапное завершение работы антивируса вполне может являться поводом для беспокойства.

Блокирование антивирусных сайтов

Поскольку выгрузка или удаление антивируса все же достаточно заметны, некоторые вредоносные программы идут другим путем и нейтрализуют только возможность обновления антивирусных средств. Если антивирусная база не будет обновляться, антивирус не сможет обнаруживать новые вирусы и станет неэффективным.

При этом вредоносные программы не блокируют доступ в Интернет целиком - это было бы слишком заметно, а только доступ к сайтам и серверам обновлений наиболее известных компаний - производителей антивирусов. В среднем, пользователи не часто заходят на сайты антивирусных компаний, а сообщения антивируса о невозможности обновиться могут списывать на проблемы у провайдера или на самих серверах обновления. Таким образом вирус может длительное время оставаться незамеченным.

Сбои в системе или в работе других программ

Очень часто причиной сбоев в работе программ пользователи считают присутствие на компьютере вирусов. И хотя большинство подобных случаев на поверку оказывается ложной тревогой, вирусы действительно иногда могут быть причиной сбоев.

Кроме уже рассмотренного примера с червем Sasser, можно еще упомянуть червь MyDoom, вызывавший похожее сообщение об ошибке, но не в службе LSASS, а в службе DCOM/RPC. Другой пример, троянская программа Backdoor.NTHack, результатом присутствия которой на компьютере может быть сообщение об ошибке, возникающее при загрузке компьютера:

STOP 0x0000001e KMODE_EXCEPTION_NOT_HANDLED in win32k.sys

или

STOP 0xC000021A {Fatal System Error} 
  The Windows Logon Process terminated unexpectedly.
Почтовые уведомления

Если компьютер заражен и рассылает инфицированные почтовые сообщения, они могут быть обнаружены на одном из серверов в Интернете и антивирус на сервере может отправить уведомление отправителю зараженного сообщения. Следовательно, косвенным признаком присутствия вируса может быть получение почтового сообщения о том, что с почтового адреса пользователя компьютера был отправлен вирус.

Впрочем, в последнее время многие вирусы подменяют адрес отправителя и получение описанного уведомления не обязательно означает, что компьютер заражен. Из-за того, что формальный адрес отправителя, указанный в почтовом сообщении, может не иметь никакого отношения к зараженному компьютеру, антивирусные программы часто вообще не отсылают уведомлений отправителям зараженных сообщений.

Скрытые проявления

В отсутствие явных или косвенных проявлений о присутствии вируса можно судить, например, по необычной сетевой активности, когда ни одно сетевое приложение не запущено, а значок сетевого соединения сигнализирует об обмене данными. Другими признаками могут служить незнакомые процессы в памяти или файлы на диске.

Однако в настоящее время на компьютерах обычно установлено так много различных программ, что большинство файлов и процессов неизвестны обычному пользователю. В то же время поиск скрытых проявлений это уже фактически поиск тех самых подозрительных файлов, которые нужно отправить на анализ в антивирусную компанию.

Евгений Виноградов
Евгений Виноградов

Прошел экстерном экзамен по курсу перепордготовки "Информационная безопасность". Хочу получить диплом, но не вижу где оплатить? Ну и соответственно , как с получением бумажного документа?

Илья Сидоркин
Илья Сидоркин

Добрый день! Подскажите пожалуйста как и когда получить диплом, после сдичи и оплаты?????