Опубликован: 03.08.2011 | Уровень: для всех | Доступ: платный
Лекция 2:

Признаки заражения компьютера от malware (зловредных/вредоносных программ)

< Лекция 1 || Лекция 2: 1234 || Лекция 3 >

Признак №4 (обнаружение файлов не в тех местах, где они были раньше). Данный признак с вероятностью примерно 80% говорит о том, что на компьютере имеет место результат работы зловредной программы. Другие 20% приходятся на то, что пользователь забыл о копировании/перемещении файлов, либо компьютером пользуется кто-либо еще (например, один из домочадцев). Следует отметить тот факт, что данный признак относится именно к личным файлам (фотографии, документы, другие личные документы пользователя) и никак не может быть применим для файлов различных программ или файлов операционной системы (программа или операционная система может сделать резервную копию файлов и переместить их в другое место, операционная система может переместить неиспользуемые файлы в системную папку "temp"). Интересен и тот факт, что внезапное перемещение файлов может быть вызвано работой дефрагментирующих программ, которые зачастую входят в стандартную поставку операционной системы (или могут распространяться отдельно). Такие программы в результате дефрагментации жесткого диска могут переместить файлы с места на место. Впрочем, такие случаи довольно редки и больше имели место быть в прошлых годах. Алгоритм для определения причины перемещения файлов представлен в виде схемы на рисунке ниже:

Схема разъяснения признака №4

Рис. 2.5. Схема разъяснения признака №4

Пояснения к схеме будут следующие: при обнаружении файла в другом месте, пользователь должен задать себе несколько вопросов, а именно: не перемещал ли сам пользователь этот файл (если перемещал, тогда причина перемещения файла ясна), это файл личного пользования (если не личного, то файл, скорее всего, был перемещен операционной системой, либо программой), и была ли проведена дефрагментация жесткого диска (если была, то файл мог переместиться в другое место в результате этой дефрагментации). Если ответы пользователя соответствуют ответам в схеме, тогда имеет место быть присутствие вредоносной программы в компьютере.

Признак №5 (Жалобы от знакомых на то, что им приходят от вас различные сообщения по e-mail непонятного характера). Этот признак, также как и прошлый, с большой долей вероятности указывает на то, что на компьютере находится зловредная программа. В этом случае ваши друзья, коллеги по работе, а также все, с кем вы ведете переписку по e-mail, будут жаловаться на то, что им приходят сообщения непонятного характера. Такие сообщения именуются в простонародье спамом (спам - массовая рассылка коммерческой, политической и иной рекламы или иного вида сообщений (информации) лицам, не выражавшим желания их получать http://ru.wikipedia.org/wiki/%D0%A1%D0%BF%D0%B0%D0%BC). Впрочем, причина у таких проявлений может быть в том, что почтовая программа (если имеет место ее использование) настроена неправильно, и необходимо ее перенастроить. Алгоритм определения причины отсылки сообщений по e-mail представлен схематически на рисунке ниже:

Схема разъяснения признака №5

Рис. 2.6. Схема разъяснения признака №5

Следуя этому алгоритму, можно определить причину отсылки сообщений по e-mail другим пользователям. В этом случае необходимо задаться следующими вопросами: правильно ли настроена почтовая программа (если неправильно, то необходимо настроить ее правильно), не отсылал ли сам пользователь сообщения (если отсылал, то причина отсылки ясна). Если ответы соответствуют тем ответам, которые представлены на схеме, то имеет место работа зловредной программы на компьютере.

Признак №6 (неожиданные сообщения от администрации онлайн-сервисов о том, что ваш аккаунт на сервисе заблокирован). Причина данного признака может заключаться в том, что зловредная программа предоставила личные данные пользователя (логин/пароль) злоумышленнику, и тот в свою очередь воспользовался этими данными в личных целях (использование аккаунта онлайн-сервиса). Администрация сервиса, видя подобные изменения в поведении пользователя сервиса (неожиданные изменения, например, рассылка рекламных сообщений на форуме), блокирует аккаунт сервиса и сообщает об этом пользователю по электронной почте. В результате пользователь видит, что его аккаунт заблокирован, но не понимает причины блокировки. Стоит отметить, что зачастую сами пользователи онлайн- сервисов вынуждают администрацию блокировать аккаунты своими некорректными действиями. Чтобы не было таких происшествий, пользователь должен изучить правила пользования онлайн-сервисом и соблюдать их. В общих случаях, при блокировке аккаунта к онлайн-сервису необходимо воспользоваться алгоритмом, представленным ниже на рисунке в виде схемы:

Схема действий при блокировке аккаунта

Рис. 2.7. Схема действий при блокировке аккаунта

Исходя из этой схемы, можно увидеть, что если пользователь обнаружит, что его аккаунт к онлайн-сервису заблокирован, то ему необходимо вначале определить, не нарушал ли он сам правил онлайн-сервиса. Если не нарушал, то необходимо написать письмо администрации сервиса с просьбой указать причину блокировки. В результате ответа администрации можно будет выяснить, присутствует ли зловредная программа на компьютере пользователя, либо в блокировке виноват сам пользователь.

Признак №7 (прекращение работы антивирусной защиты или полное ее исчезновение). Причина данного признака заключается в том, что зловредные программы могут обходить защиту антивирусных программ (если у антивирусных программ неактуальные базы вирусов), или даже прекращать их работу, либо удалять их с компьютера. Те зловредные программы, которые могут делать подобные действия, считаются особо опасными для пользователя. Зачастую имеет место быть ситуация, когда зловредная программа является новой, и лаборатории антивирусных программ не смогли столкнуться с ней. В этом случае зловредная программа может нанести существенный вред большому количеству пользователей, прежде чем антивирус сможет распознать зловредную программу. Также существовали случаи, когда зловредные программы просто удаляли антивирус с компьютера пользователя и не давали установить новую антивирусную программу или иное средство защиты персональных данных. Это стало возможно потому, что антивирусные программы не защищены от стороннего вмешательства со стороны пользователя, либо программного обеспечения (хотя ведущие антивирусные лаборатории уже стали оснащать свои продукты дополнительной защитой от стороннего вмешательства). В некоторых случаях зловредную программу может подпустить к антивирусной программе сам пользователь. При этом зловредную программу маскируют под обычную программу, которая по каким-либо причинам предлагает отключить на время защиту антивирусной программы. Если пользователь действительно отключит защиту, он может считать, что его компьютер будет обязательно заражен зловредной программой, и даже установка новой антивирусной защиты может не исправить ситуацию. Бывают случаи, когда зловредная программа удаляет антивирусную защиту и пытается сама замаскироваться под нее с помощью муляжа (в этом случае можно рассчитывать только на сообразительность пользователя и его умение отличить муляж антивирусной защиты от подлинной антивирусной защиты). Если пользователь заметил неточности работы в своей антивирусной программе или в антивирусной защите в целом, то ему необходимо воспользоваться алгоритмом, представленным на рисунке ниже в виде схемы:

Схема разъяснения признака №7

Рис. 2.8. Схема разъяснения признака №7

При этом, если пользователь обнаружил, что антивирусная защита некорректно работает, либо вообще удалена, то он должен, прежде всего, проверить, не останавливал ли он сам работу антивирусной защиты, либо, вообще, не удалял ли ее. Если подобных действий не было со стороны пользователя, то, скорее всего, на компьютере имеет место быть работа зловредной программы.

Признак №8 (различные проблемы с установленным программным обеспечением). Данный признак включает в себя различные странные проявления в работе уже установленных программ на компьютере пользователя. Это могут быть различные неожиданные ошибки в работе программного обеспечения, либо ситуации, когда программное обеспечение запрашивает доступ к тем файлам и данным, к которым оно не должно иметь доступа. Это случается потому, что зловредная программа захватывает контроль над обычной программой и пытается всячески осуществить работу обычной программы под свои нужды. Примером такого проявления могут считаться вирусы, которые распространяются через различные документы (MS Word, Adobe Acrobat и другие), и после открытия таких документов вирус будет пытаться получить доступ к другим программам на компьютере, через, казалось бы, безопасные приложения. В таком примере зловредная программа (конкретно в примере вирус) модифицирует работу стандартных офисных программ под свои нужды. Это делается в надежде на то, что пользователь разрешит стандартному программному обеспечению выполнять те действия, в которых оно нуждается (это логичная схема, ведь программное обеспечение, уже установленное на компьютере и работающее, в меньшей степени вызовет недоумение пользователя, чем только что установленное программное обеспечение, которое будет пытаться произвести неожиданные действия). Впрочем, встречаются случаи, когда программное обеспечение недостаточно хорошо написано программистами, и в этом случае причина неожиданного поведения является, прежде всего, некорректная работа создателей самого программного обеспечения. В таких случаях обычно на веб-сайте производителя описываются возможные неполадки в работе программного обеспечения с предоставлением "заплаток" (обновлений) для исправления проблемы. Для того, чтобы определить, по какой причине программное обеспечение начало совершать неожиданные действия, необходимо воспользоваться следующей схемой, представленной на рисунке ниже:

Схема разъяснения признака №8

Рис. 2.9. Схема разъяснения признака №8

Следуя этой схеме, если пользователь заметил различные проблемы с установленным программным обеспечением, он должен сделать следующее: Просмотреть веб-сайт производителя программного обеспечения в поиске описания проблемы. Если описания проблемы и ее решения не было обнаружено на сайте производителя, то пользователь должен вспомнить, не ставил ли он перекрестные программы (т.е. программы, похожие по действию и работе на уже установленное программное обеспечение, например, два текстовых редактора), так как такие программы могут вызвать сбои в уже установленном программном обеспечении. Если же пользователь не ставил перекрестные программы, то, скорее всего, на компьютере имеет место быть работа зловредной программы, и необходимо принять меры по ее устранению.

< Лекция 1 || Лекция 2: 1234 || Лекция 3 >
Екатерина Дюбко
Екатерина Дюбко

Как сделать так, чтобы данные о прохождении курса "Основы информационной безопасности при работе на компьютере" появлялись в зачетке. Нужен список полных оценок за каждый тест. 

Александр Мишин
Александр Мишин
Юлия Мартюшева
Юлия Мартюшева
Россия, Сыктывкар, Сыктывкарский государственный университет, 2011
Светлана Майорникова
Светлана Майорникова
Россия