Опубликован: 03.08.2011 | Уровень: для всех | Доступ: платный
Лекция 2:

Признаки заражения компьютера от malware (зловредных/вредоносных программ)

< Лекция 1 || Лекция 2: 1234 || Лекция 3 >
Аннотация: В лекции приведены основные признаки заражения от вредоносных/зловредных программ, показаны различные методы заражения, а также способы выявления того, что компьютер заражен.

Цель лекции: ознакомить читателя с основными признаками заражения от malware, научить различать подлинные признаки от ложных.

И хотя зловредных программ в данное время существует великое множество, основные принципы заражения и признаки заражения компьютера от них не меняются. Принципы и признаки в случае заражения являются постоянным параметром, который не изменяется, так как структура компьютера по сути остается прежней, хотя такие параметры как мощность, скорость работы, количество хранимых данных несомненно увеличиваются со временем. В этом случае можно выделить ряд признаков, которые характерны для зараженных компьютеров:

  1. Резко снизившаяся скорость работы компьютера
  2. Непонятные и ранее не встречавшиеся ошибки в работе операционной системы
  3. Потребление большего количества Интернет-трафика
  4. Обнаружение файлов не в тех местах, где они были раньше
  5. Жалобы от знакомых на то, что им приходят от вас различные сообщения по e-mail непонятного характера
  6. Неожиданные сообщения от администрации онлайн-сервисов о том, что ваш аккаунт на сервисе заблокирован
  7. Прекращение работы антивирусной защиты или полное ее исчезновение
  8. Различные проблемы с установленным программным обеспечением
  9. Появление в автозагрузке операционной системы непонятных программ
  10. Не создаются папки/документы/ярлыки
  11. Странная работа клавиатуры, либо мыши
  12. Появление неожиданных папок и файлов
  13. Резкие сбои в работе USB-флеш-накопителя
  14. Самопроизвольное изменение прав пользователей
  15. Появление BSOD на компьютере
  16. Необъяснимые загрузки в безопасном режиме

Рассмотрим вышеперечисленные признаки подробнее:

Признак №1(резко снизившаяся скорость работы компьютера). Данный признак появляется потому, что многие зловредные программы пишутся в сжатые сроки, и зачастую у злоумышленника нет времени проверить правильность работы зловредной программы. В результате на зараженном компьютере резко снижается скорость работы (в просторечье появляются "глюки", компьютер "глючит", "тормозит"), во многом из-за того, что зловредная программа может использовать чересчур большое количество памяти для обеспечения ее работы, либо создавать ошибки в своих вычислениях, которые приводят к снижению общей скорости работы. Впрочем, такой признак необязательно присущ только зловредным программам. Зачастую, если обычная программа написана с ошибками, она тоже может вызывать снижение скорости работы. В таком случае необходимо просто удалить программу, либо дождаться официального обновления от разработчиков данной программы, которое должно исправить ошибку в программе (впрочем, такое бывает далеко не во всех случаях).

Чаще всего снижение скорости работы можно увидеть визуально (трудно работать с компьютером), но иногда сложно понять, что именно снижает скорость работы компьютера. В этом случае следует помнить, что любая программа в операционной системе имеет свой процесс, который она создает в ней. По процессу можно идентифицировать само программное средство. В операционных системах семейства Windows можно просмотреть все запущенные процессы через специальный менеджер процессов, именуемый диспетчером задач. Обычно он запускается по нажатию клавиш Ctrl+Alt+Del.Выглядит следующим образом (на рисунке представлен диспетчер задач ОС Windows 7):

Диспетчер задач

Рис. 2.1. Диспетчер задач

Как видно из рисунка, можно увидеть, сколько всего запущенно процессов в операционной системе, их описание и размер памяти, который они занимают в операционной системе. По размеру памяти можно определить, какой именно процесс снижает скорость работы системы. Процесс можно завершить нажатием правой кнопки мыши по имени процесса (колонка "Имя образа") и выбором пункта меню "завершить процесс" (также в меню есть вкладка "завершить дерево процессов", но зловредные программы обычно не создают древовидную структуру процессов).

Следует помнить, что современные зловредные программы могут быть неубиваемы таким методом завершения процесса. В таком случае завершенный процесс в диспетчере задач через короткое время появится снова. Если процесс появился снова, то это либо процесс операционной системы (который запускается циклически самой операционной системой), либо, скорее всего, это процесс зловредной программы. При этом обычно процесс операционной системы сопровождается соответствующей графой в колонке "Описание", а зловредный процесс не имеет какого-либо понятного описания.

Признак №2(непонятные и ранее не встречавшиеся ошибки в работе операционной системы). Данный признак обычно легко замечаем, и основная причина этого принципа примерно такая же, как и причина предыдущего признака, а именно: зловредные программы обычно пишутся быстро, и времени на их тестирование просто не хватает, поэтому зловредная программа часто вызывает конфликты в работе операционной системы. Как следствие появляются различные непонятные ошибки, которые "выскакивают" в виде окон с описанием ошибки в процессе обычной работы пользователя за операционной системой. Такие окна могут информировать пользователя о том, что какой-либо фрагмент памяти не может быть прочитан ("Память не может быть read"), либо то, что в работе какой-либо системной подпрограммы возникла ошибка (например, ошибка компонента Windows).Также могут быть косвенные ошибки в виде неожиданного исчезновения стандартных визуальных элементов Windows (например, исчезновение боковых слайдбаров в системах начиная с системы Windows Vista).Зачастую, обычный пользователь не сможет понять причину таких неожиданных ошибок. Тем более необходимо учитывать и тот факт, что такие ошибки могут вызываться сторонними программами (например, при установке неисправных драйверов, либо системных программ). В этом случае основным признаком присутствия зловредной программы в операционной системе может быть то, что ошибки появились именно внезапно, а не после установки каких-либо программ, либо драйверов. В этом случае алгоритм действий пользователя по выявлению таких признаков должен быть примерно следующим:

Схема признака №2

Рис. 2.2. Схема признака №2

Если следовать указаниям этого нехитрого алгоритма, то можно быстро понять, чем именно обусловлена ошибка. Также бывают случаи, когда после удаления последних установленных программ ошибки не исчезают. Это может говорить о том, что программа стандартными средствами была удалена не полностью, и необходимо воспользоваться дополнительными деинсталляторами (которые так же предоставляются в виде отдельных программ). В отдельных случаях может потребоваться даже переустановка операционной системы. В том случае, когда пользователь уверен, что ошибки в работе операционной системы вызваны именно результатом работы зловредной программы, необходимо принять меры по обнаружению и уничтожению зловредной программы.

Признак №3 (потребление большего количества Интернет-трафика). Данный признак является основным признаком заражения компьютера вредоносными программами. Причина этого признака следующая: Зловредная программа должна обмениваться данными со злоумышленником. Зачастую, зловредная программа будет присылать злоумышленнику персональные данные с зараженного компьютера. Схематически это выглядит следующим образом:

Схема обмена данными

Рис. 2.3. Схема обмена данными

Как видно из рисунка, компьютер злоумышленника постоянно запрашивает данные с зараженного компьютера, а зараженный компьютер в свою очередь передает данные на компьютер злоумышленника. При этом обмен данными должен происходить практически постоянно, и из-за этого потребляется большое количество Интернет-трафика (в этом случае под трафиком понимается единица измерения данных, которая измеряется в стандартных единицах измерения информации (биты, байты, килобайты, мегабайты и т.д.)). Выявить этот признак можно по падению качества сети Интернет (обычно кратковременное падение с восстановлением качества). При этом пользователь зараженного компьютера обычно замечает то, что скорость Интернета резко ухудшилась на короткий промежуток времени, если же посмотреть на статистику передачи данных по сети Интернет в этом случае, то можно увидеть, что данные передаются в значительном объеме при отсутствии каких-либо действий со стороны пользователя. Такие признаки очень характерны именно для зараженного компьютера, хотя и не всегда могут быть характерны именно для него. Бывают случаи, когда установленная программа, сама, без ведома пользователя, скачивает себе обновления из сети Интернет. Бывает и так, что программа может обмениваться с сервером большим количеством данных, если эта программа зависит от сети Интернет. Примером такого обмена могут являться некоторые антивирусные программы, которые обмениваются с главным сервером информацией о действиях к тому или иному файлу (чтобы выявить, заражен ли этот файл или нет). Иногда имеет место и случай, когда сама операционная система скачивает свои обновления из Интернета, без ведома пользователя. Чтобы наиболее вероятно определять причину высокого потребления Интернет-трафика, необходимо пользоваться следующим алгоритмом, представленным в виде схемы:

Схема разъяснения признака №3

увеличить изображение
Рис. 2.4. Схема разъяснения признака №3

Из схемы можно увидеть, как именно определить наличие вредоносной программы в случае появления перебоев в работе сети Интернет. В этом случае необходимо вначале посмотреть статистику передачи данных (в разных операционных системах она представляется по-разному), либо просто глянуть на модем (например, интенсивность передачи данных в модемах D-link можно увидеть, взглянув на лампочку "Status".При этом, чем чаще мигает лампочка, тем больше интенсивность передачи данных.). Если было выяснено, что данные передаются в большом объеме, то следует первоначально выключить все программы, которые могут потреблять большое количество Интернет-трафика (за исключением антивирусных программ). Далее, если все программы выключены, но количество передаваемых данных не уменьшилось, то необходимо проверить, не загружает ли операционная система каких-либо обновлений. Если загружает, то необходимо их выключить. Если операционная система не загружает каких-либо обновлений, либо процесс обновлений был приостановлен, но по-прежнему количество передаваемых данных велико, то имеет место быть работа вредоносной программы на вашем компьютере.

< Лекция 1 || Лекция 2: 1234 || Лекция 3 >
Александр Мишин
Александр Мишин
Яна Емельянович
Яна Емельянович

Здравсвуйте, прошла курс Основы информационной безопасности при работе на компьютере».  Почему в зачетке не появляются оценки, а стоят даты выполнения задания? 

Роман Ижванов
Роман Ижванов
Россия, Университет природы, общества и человека «Дубна»
Анастасия Шмакова
Анастасия Шмакова
Россия, Тольятти, ПВГУС, 2013