Вредоносное программное обеспечение и защита от него

В разделе

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT \CurrentVersion\Winlogon

также содержится ряд строковых параметров, отвечающих за автозапуск различных приложений при входе пользователя в систему:

Userinit - определяет список программ, запускаемых процессом WinLogon в контексте пользователя при его регистрации в системе. По умолчанию это userinit.exe.

Shell - задает оболочку (список программ, формирующих пользовательский интерфейс) Windows. По умолчанию explorer.exe.

System - определяет список программ, запускаемых процессом WinLogon в контексте системы во время ее инициализации. По умолчанию lsass.exe.

VmApplet - определяет список программ или программу, запускаемую процессом WinLogon для оперативной настройки параметров виртуальной памяти. По умолчанию его значение: rundll32 shell32, Control_RunDLL «sysdm.cpl».

Для более аккуратной работы с обозначенными ключами реестра подойдет программа msconfig.exe (вкладка Автозагрузка), входящая в состав операционных систем Windows ХР, Vista, Windows 7. Найти программу можно в каталоге \WINDOWS \SYSTEM. Для информации о системе также подходит программа msinfo32.exe .

При запуске DOS-приложения в среде Windows систем происходит автоматическая обработка командного файла …\SYSTEM32\AUTOEXEC.NT, если в настройках свойств этого DOS-приложения не указан другой файл, в частности: winstart.bat или dosstart.bat .

Также необходимо обратить внимание на возможность автозагрузки программ с использованием сервиса системы «Назначенные задания». Программы, прописанные в списке заданий будут запускаться с менеджером заданий по соответствующему расписанию. Посмотреть список установленных заданий, а также добавить новое можно с помощью меню Пуск/ Программы/ Стандартные/ Служебные/ Назначенные задания - при этом откроется окно «Назначенные задания» со списком программ и расписанием их запуска. Папка, в которой содержаться назначенные задания - ...\WINDOWS\Tasks .

Для контроля автоматически запускаемых программ необходимо использовать соответствующие программы. Например, упомянутые ранее msinfo32.exe и msconfig.exe, или ПО сторонних разработчиков, например программу Starter .

Помимо вышеперечисленных способов автозапуска программ при загрузке системы или открытии сеанса пользователя, существует еще и такой вариант, как запуск исполняемого модуля одной программы при загрузке другого, вполне легитимного приложения.

Подобный подход можно наблюдать, например, при использовании утилит типа Adware. Обнаружить подобные модули вручную довольно сложно даже для опытного пользователя, поэтому полезно периодически сканировать систему не только антивирусным сканером, но программами типа «анти-Adware» (Например, Ad-aware Plus, Ad-Aware Professional, производства компании «Lavasoft» http://www.lavasoft.com/), призванными находить и удалять из системы эти модули. Такие программы обычно имеют в своих постоянно обновляемых базах данных информацию о десятках известных шпионских и рекламных модулях и даже троянах.

Еще один доступный способ загрузить программный код без ведома пользователя - с помощью подключенного плагина какой-либо программы, например, того же браузера Internet Explorer.

Файлы подключаемых модулей-плагинов Internet Explorer находятся в папке …\Program Files \Internet Explorer\Plugins, по свойствам каждого файла можно попытаться выяснить его предназначение.

Кроме того, вредоносная программа может прописать себя в системе как системный драйвер или сервис.

На этом мы завершаем краткое знакомство с методами поиска вредоносных программ на компьютере. В качестве резюме давайте вспомним следующие ключевые моменты организации защиты:

- Осуществлять ежедневную работу в сеансе пользователя с ограниченными правами, а сеансом администратора системы пользоваться только в необходимых случаях.

- Правильно сконфигурированный межсетевой экран может блокировать сетевой вирус, не дав ему возможности попасть на ваш компьютер, подключенный к сети, а также троян, желающий выйти с вашего компьютера в сеть.

- Основное правило при организации антивирусной защиты - берегитесь случайных связей, и не доверяйте никому. Любые файлы, принесенные извне, должны проверяться антивирусами. Во время работы на компьютере, особенно, если машина в сети, наличие в памяти антивирусного монитора обязательно. Периодически проверяйте сканером или инспектором все логические диски вашего компьютера. Не забывайте своевременно обновлять антивирусные базы.

4.3 Борьба со спамом

Каждый из методов борьбы со спамом, особенно сразу после появления, достаточно эффективен, однако ни один из них не является «абсолютным оружием». Поэтому воспринимать маркетинговые заявления компаний-производителей о том, что их средства способны блокировать до 99,9% спама, необходимо с осторожностью. Главное - необходимо понять, что со спамом можно бороться достаточно эффективно, но для этого необходимо применять комплексный подход, включающий меры как технического, так и организационного характера. Борьба со спамом должна быть частью политики информационной безопасности организации.

Обнаружить спам помогают следующие критерии:

- Спам-сообщение должно содержать рекламную информацию от заказчика рассылки, то есть произвольного текста в нем быть не может, смысловая нагрузка содержимого сообщения будет вполне определенной.

- Спам-сообщение должно легко читаться. Оно не может быть зашифровано, основной объем содержится в составе сообщения. Количество случайных последовательностей («мусора»), видимых пользователем, должно быть небольшим. При нарушении этих правил снижается читаемость, а следовательно, и отклик на рекламу.

Среди основных технических средств, обеспечивающих фильтрацию спама, наиболее эффективными являются специализированные спам-фильтры и различные системы контроля электронной почты.

Существуют два основных метода защиты от спама: защита от поступления спама на этапе получения почтовым сервером и «отделение спама» от остальной почты уже после получения почтовым сервером или клиентом (в зависимости от места установки фильтра) путем анализа содержимого письма.

Среди первого метода наиболее популярны такие способы как использование DNS Black List (DNSBL) или «черных списков», «серые списки» и различные таймауты при отправке почты; использование различных технических средств, таких как проверка существования пользователя на отправляющей стороне (callback), проверка «правильности» отправляющего сервера используя возможности DNS служб.

Среди методики анализа содержимого письма наиболее популярны такие методы как проверка по различным алгоритмам, таким как поиск особых ключевых слов рекламного характера или на основе теоремы Байеса. Алгоритм на основе теоремы Байеса содержит в себе элементы теории вероятности, изначально обучается пользователем на письмах которые по его мнению являются спамом и в дальнейшем выделяет по характерным признакам сообщения в которых содержится спам.

Разумеется существуют и другие способы защиты от спама, наиболее действенными, к сожалению на данный момент являются превентивные меры, такие как не доставлять свой реальный IP-адрес на сайтах, форумах и досках объявлений, используя для подобных нужд временные адреса которые в последствии можно удалить, в случае необходимости публикация e-mail на сайте вместо текста использовать графическое изображение и тому подобные меры.

Рассмотрим более подробно методы фильтрации электронной почты.

Черные списки (DNSBL). В черные списки заносятся IP-адреса, с которых производится рассылка спама. Широко используются такие списки, как списки «открытых proxy» и различные списки динамических адресов которые выделяются провайдерами для конечных пользователей. Благодаря простоте реализации использование этих black-листов производится через службу DNS.

Серые списки или Greylisting. Принцип действия серых списков основан на тактике рассылки спама. Как правило, спам рассылается в очень короткое время в большом количестве с какого-либо сервера. Работа серого списка заключается в намеренной задержке получения писем на некоторое время. При этом адрес и время пересылки заносится в базу данных серого списка. Если удалённый компьютер является настоящим почтовым сервером, то он должен сохранить письмо в очереди и повторять пересылку в течение пяти дней. Спам-боты, как правило, писем в очереди не сохраняют, поэтому спустя непродолжительное время, прекращают попытки переслать письмо. Экспериментальным путём установлено, что в среднем время рассылки спама составляет чуть больше часа. При повторной пересылке письма с этого же адреса, если с момента первой попытки прошло необходимое количество времени письмо принимается и адрес заносится в локальный белый список на достаточно длительный срок.

Эти два метода позволяют отсеивать около 90% спама еще на этапе доставки в почтовый ящик. Уже доставленную почту можно разметить средствами анализа содержимого письма. В настоящее время на рынке анти-спам систем представлены два основных типа фильтров:

- фильтры, работа которых основана на поиске в электронных письмах определенных признаков (так называемые, традиционные фильтры);

- фильтры, применяющие статистические (вероятностные) методы для обеспечения фильтрации спама.

И те, и другие осуществляют контекстную фильтрацию электронной почты, то есть по содержанию письма. Однако традиционные фильтры обладают довольно серьезными недостатками. Некачественное разделение спама и обычных писем обусловлено некоторой однобокостью традиционных фильтров. При отбраковке писем учитываются «плохие» признаки и не учитываются «хорошие», характерные для легитимной переписки.

Этих недостатков лишен метод построения анти-спам фильтров, предложенный американским программистом и предпринимателем Полом Грэмом (Paul Graham). Метод Грэма позволяет автоматически настроить фильтры согласно особенностям индивидуальной переписки, а при обработке учитывает признаки как «плохих», так и «хороших» писем. Такой метод фильтрации спама называют статистическим или вероятностным.

Статистический метод основывается на теории вероятностей и использует для фильтрации спама статистический алгоритм Байеса. Каждому встречающемуся в электронной переписке слову или тегу присваивается два значения: вероятность его наличия в спаме и вероятность его присутствия в письмах, разрешенных для прохождения. Баланс этих двух значений и определяет вероятность того, что письмо, в котором встречаются данные слова и теги, является спамом.

Как справедливо заметил Пол Грэм в своей статье A Plan for Spam, «… ахиллесова пята спамеров - их сообщения. Они могут преодолеть любой барьер, какой вы установите... Но они должны доставить свое сообщение, каким бы оно ни было». Иначе говоря, спамеры могут идти на любые уловки с IP-адресами и подгонкой текста сообщений, но, как мы отмечали ранее, смысловая нагрузка сообщения изменяться не может. Читать между строк покупатель не будет, значит спамеры должны написать в письме нечто понятное, призывающее нас к какому-то действию. Вот этот признак спам-сообщения и является основой для работы фильтров, основанных на статистических алгоритмах Байеса.

Для вычисления вероятности спама используются таблицы вероятности (принадлежности слов из письма, относящегося к категории «спам»), созданные в процессе обучения фильтра. А именно: берутся как минимум два списка слов различных категорий писем (например, «разрешенных» и «запрещенных») и передаются на обработку программе обучения. Она вычисляет частотные словари для каждой категории сообщений - сколько раз какое слово встречалось в письмах этой категории (в данном случае спама). Когда словари заполнены, вычисление вероятности принадлежности конкретного нового письма к тому или иному типу производится по формуле Байеса для каждого слова этого нового письма. Суммированием и нормализацией вероятностей слов получают вероятности для всего письма. Как правило, вероятность принадлежности электронного письма к одной из категорий на порядок выше, чем к другим. К данной категории и следует относить сообщение.

Сразу после начального «обучения» фильтра точность определения спама этим методом достигает значительной величины - 70-80% и продолжает двигаться в сторону 100% после проведения дальнейших корректировок фильтра.

Корректировка фильтра заключается в обработке случаев неправильной классификации писем - фильтру указывается, к какой категории следует впредь относить эти письма, и он добавляет слова из этих писем в соответствующие таблицы вероятностей. Обратите внимание - администратору нет необходимости вручную анализировать письмо и пополнять на основе проведенного анализа списки правил фильтрации, как это делается в традиционных фильтрах. Достаточно добавить письмо в архив писем данной категории, заново запустить процесс «обучения» фильтра и статистический «портрет» письма меняется полностью и автоматически.

Приведем основные отличия статистической технологии фильтрации от традиционной технологии фильтрации на основе признаков, присущих спаму:

- Особенность статистической технологии заключается в возможности индивидуальной автоматической настройки фильтра, что является важным преимуществом, поскольку разные люди или же компании (если фильтр устанавливается на корпоративном почтовом сервере) используют в электронной переписке разную лексику. Настройка фильтра производится по результатам статистического анализа имеющегося архива электронной почты или выборки, полученной за определенный период времени. Такой анализ дает возможность накопить достаточно информации для эффективной фильтрации электронной почты.

- И в том, и в другом случае результатом оценки является, так называемый, «вес» письма. Однако при применении метода с использованием признаков спама «вес» письма вычисляется только на основе «плохих» признаков, что приводит к «обвинительному уклону» фильтра, и, как следствие, появляются ложные срабатывания.

- В алгоритме Байеса наборы признаков определяются не субъективно, а в результате статистического анализа реальных подборок писем. Получающиеся наборы признаков оказываются весьма нетривиальными и эффективными. Например, в качестве «плохого» признака может появиться строка "0Xffffff" -- ярко красный цвет; а в качестве «хорошего» признака - Ваш номер телефона. И действительно, письмо, содержащее Ваши персональные данные, в любом случае следует прочесть.

По имеющимся оценкам, статистический метод борьбы со спамом является весьма эффективным. Так, в процессе испытания через фильтр были пропущены 8 000 писем, половина из которых являлась спамом. В результате система не смогла распознать лишь 0,5% спам-сообщений, а количество ошибочных срабатываний фильтра оказалось нулевым.

Самое важное преимущество байесовского фильтра заключается в том, что он надежно исключает ложные срабатывания. Ведь процесс принятия решения (относится письмо к спаму или нет) осуществляется в соответствии с особенностями индивидуальной переписки, а при обработке учитываются признаки как «плохих», так и «хороших» писем. Именно за счет баланса этих признаков и удается свести к минимуму количество ложных срабатываний фильтра.

Другим преимуществом теоремы Байеса является возможность ее использования для классификации любых текстов письма по любым категориям, и поэтому он имеет более широкое применение, чем тривиальная фильтрация спама.

Таким образом, в настоящее время наиболее эффективным и оптимальным для корпоративных пользователей являются системы, основанные на статистических (вероятностных) методах фильтрации спама, например программа SpamAssassin. Данный продукт позволяет на основе алгоритмов Бейеса определять наличие спама и добавлять в заголовки писем соответствующие строки, а пользователь, на основе почтовых фильтров в почтовом клиенте, может отфильтровать почту в нужные папки почтовой программы.

5. Организация системы защиты корпоративных информационных систем от вредоносного программного обеспечения

5.1 Требования к системе

Система защиты корпоративной информационной сети от вредоносного программного обеспечения, в первую очередь должна строиться по модульным признакам и по иерархическому принципу.

Модульность системы проявляется в специализации программного обеспечения по месту применения. Можно выделить следующие типы модулей защитного ПО:

- модуль защиты рабочих станций и серверов приложений;

- модуль защиты файловых серверов;

- модуль защиты почтовых серверов;

- модуль защиты интернет-шлюзов;

- модуль обновления информационных баз защитного ПО;

- модуль контроля и управления работой системы защиты.

В общем случае, защита от вредоносного ПО в корпоративной информационной системе должна строиться по иерархическому принципу:

- службы общекорпоративного уровня - 1-й уровень иерархии;

- службы подразделений или филиалов - 2-й уровень иерархии;

- службы конечных пользователей - 3-й уровень иерархии.

Службы общекорпоративного уровня должны функционировать в непрерывном режиме. Службы подразделений и службы конечных пользователей должны функционировать по заданному расписанию. На всех уровнях должны быть предусмотрены средства централизованного администрирования.

Система защиты должна предоставлять следующие виды сервисов на общекорпоративном уровне:

- получение обновления программного обеспечения и информационных баз;

- управление первичной инсталляцией и обновлением защитного программного обеспечения и его настроек;

- управление обновлением информационных баз;

- контроль за работой системы в целом (получение предупреждений об обнаружении вредоносного ПО, регулярное получение комплексных отчетов о работе системы в целом).

На уровне подразделений:

- обновление информационных баз конечных пользователей;

- инсталляция и обновление программного обеспечения конечных пользователей, управление политиками локальных групп пользователей.

На уровне конечных пользователей:

- автоматическая защита данных пользователя.

Функционально система защиты должна отвечать следующим требованиям:

- возможность управления всей системой с одного рабочего места (например, с рабочей станции администратора);

- ведение журналов работы системы в единой удобной настраиваемой форме;

- в системе защиты должна быть возможность отправки оповещений о происходящих событиях;

- возможность регулировки уровня нагрузки на информационную систему системой защиты;

- «всеядность» системы защиты по отношению к вредоносному ПО, возможность обнаружения различных типов вирусов, троянов, spyware, и т.п., в том числе и спама, кроме этого, должны быть предусмотрены механизмы обнаружения неизвестных вирусов;

- система в целом должна обладать продолжать функционировать независимо от функционирования ее отдельных узлов, и должна обладать средствами восстановления после отказа;

- система защиты должна быть масштабируема, и формироваться с учетом роста числа защищенных объектов;

- система должна формироваться с учетом возможности пополнения и обновления ее функций и состава, без нарушения функционирования вычислительной среды в целом;

- система защиты должна быть совместима с максимально-возможным количеством сетевых ресурсов и сервисов, используемых в организации, она не должна нарушать логику работы остальных используемых приложений;

- система должна функционировать в режиме функционирования объекта (рабочая станция/сервер) на котором она установлена.

5.2 Общая структура решения

Общая структура решения по защите корпоративной информационной системы от вредоносного ПО выглядит следующим образом:

На первом уровне защищают подключение к Интернет или в сеть поставщика услуг связи - это межсетевые экраны, proxy-сервера и почтовые шлюзы, поскольку по статистике именно оттуда попадает около 80% вредоносного ПО. Необходимо отметить что таким образом будет обнаружено не все поступающее в систему вредоносное ПО, так как определенная его часть может быть обнаружена только в процессе его активизации.

Применение антивирусов для межсетевых экранов и proxy-серверов на сегодняшний день сводится к осуществлению фильтрации доступа в Интернет при одновременной проверке проходящего трафика. Осуществляемая таким образом проверка сильно замедляет работу сервисов шлюза, и имеет не очень высокий уровень обнаружения, по этому, необходимость подобной фильтрации должна определяться отдельно в каждом случае.

На втором уровне, как правило, защищают файл-сервера, сервера баз данных и сервера систем коллективной работы, поскольку именно они содержат наиболее важную информацию. Антивирусное ПО не является заменой средствам резервного копирования информации, однако без него можно столкнуться с ситуацией, когда резервные копии заражены, а вредоносное ПО активизируется спустя некоторое время с момента заражения. Кроме того, совершенно не лишним будет произвести разделение корпоративной информационной сети на сегменты с различным уровнем доступа, используя средства межсетевого экранирования. Этим будет обеспечена дополнительная защита сети в случае активизации сетевых червей и троянов в одном из сегментов.

На третьем уровне обычно защищают рабочие станции, так как они тоже могут являться источниками распространения вредоносного ПО, кроме того, защита рабочей среды на рабочей станции от деструктивного воздействия вредоносного ПО позволит снизить затраты на восстановление работоспособности при сбоях системы.

Фактически, защите подлежат все компоненты информационной системы, связанные с обработкой информации, ее передачей и хранением.

Приложение 1

НАИБОЛЕЕ ИЗВЕСТНЫЕ ПРОИЗВОДИТЕЛИ СРЕДСТВ ЗАЩИТЫ ОТ ВРЕДОНОСНОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ.

1. Лаборатория Касперского (www.kaspersky.ru)

2. ООО «Доктор ВЕБ» (www.drweb.com)

3. BitDefender (www.bitdefender.com)

4. Check Point Software Technologies (www.checkpoint.com)

5. Computer Associates (www.ca.com)

6. Eset Software (антивирусное ПО Nod32) (www.eset.com)

7. F-Secure (www.f-secure.com)

8. HAURI Inc. (www.globalhauri.com)

9. McAfee (www.mcafee.com)

10. Microsoft (антивирусное ПО Microsoft OneCare) (www.microsoft.ru)

11. Panda Software (www.pandasecurity.com, www.viruslab.ru)

12. Simantec (www.simantec.com)

13. Sophos (www.sophos.com)

14. Trend Micro (www.trend-micro.ru)

ПОПУЛЯРНОЕ БЕСПЛАТНОЕ АНТИВИРУСНОЕ

ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ

1. Avira AntiVir Personal Edition Classic (http://www.free-av.com/)

2. Active Virus Shield (http://www.activevirusshield.com/)

3. AVG Anti-Virus Free Edition (http://www.grisoft.com/)

4. Avast Home Edition (http://www.avast.com/)

Размещено на Allbest.ru