Опубликован: 03.08.2011 | Уровень: для всех | Доступ: платный
Лекция 2:

Признаки заражения компьютера от malware (зловредных/вредоносных программ)

< Лекция 1 || Лекция 2: 1234 || Лекция 3 >

Признак №9 (появление в автозагрузке операционной системы непонятных программ). Прежде всего, определимся с термином автозагрузка – специальное место операционной системы, куда помещается программное обеспечение, которое должно быть загружено сразу же при старте операционной системы. При этом зачастую сам пользователь решает, какое именно программное обеспечение должно присутствовать в автозагрузке, но бывает и так, что некоторое программное обеспечение прописывается в автозагрузку само (как правило, это антивирусная защита, автоматические обновления различного дополнительного программного обеспечения, либо системного). Автозагрузка - единственное место в операционной системе, благодаря которому можно автоматизировать запуск нужного программного обеспечения. Но бывают и такие случаи, когда зловредная программа намеренно прописывается в автозагрузку операционной системы, с целью загружаться абсолютно всегда вместе с операционной системой. Причем, никаких визуальных признаков пользователь может не обнаружить (зловредная программа может не подавать никаких внешних признаков своего присутствия), но его персональные данные будут под угрозой. С этой целью необходимо знать, что автозагрузку в различных операционных системах можно просмотреть различными способами (если речь идет о операционной системе семейства Windows , то это можно сделать, выполнив команду msconfig, и найти в открывшемся окне поле автозагрузка). Но обычного просмотра, зачастую, может быть мало, так как трудно определить, нужно ли то или иное программное обеспечение в автозагрузке системы. Обычно для удобства пользователя в настройке автозагрузки есть пояснения к каждой конкретной программе, которые позволяют понять ее необходимость нахождения в автозагрузке. Но следует помнить, что зловредная программа может маскироваться под какую-нибудь обычную программу. Поэтому, если пользователь не уверен в необходимости той или иной программы в автозагрузке, скорее всего, будет лучшим решением ее отключить. При появлении непонятных программ в автозагрузке необходимо воспользоваться следующей схемой, представленной на рисунке ниже:

Схема разьяснения признака №9

Рис. 2.10. Схема разьяснения признака №9

Следуя этому алгоритму, пользователь при обнаружении непонятной программы в автозагрузке должен вспомнить, не устанавливал ли он сам эту программу и не помещал ли ее в автозагрузку. Если нет, то необходимо оценить важность этой программы в автозагрузке операционной системы. Если пользователь не видит явных причин для того, чтобы программа находилась в автозагрузке, необходимо удалить ее оттуда, так как, скорее всего, эта программа - зловредная.

Признак №10 (не создаются папки/документы/ярлыки). Причина данного признака часто является тем, что, как и в некоторых признаках, описанных раннее, имеет место быть случай, что зловредное программное обеспечение пишется быстро, и не всегда есть время на его тестирование. Как результат появляются конфликты в операционной системе со стороны контекстного меню, вызываемого щелчком по правой кнопке мыши (это применимо для операционных систем семейства Windows), а именно невозможность создавать папки, документы или ярлыки к программному обеспечению. Обычно банальная перезагрузка операционной системе может решить эту неполадку, но лишь на короткий промежуток времени, и вскоре невозможность создания документов/папок/ярлыков будет снова серьезно досаждать пользователю компьютера. В этом случае необходимо воспользоваться схемой, представленной на рисунке ниже:

Схема разъяснения признака №10

Рис. 2.11. Схема разъяснения признака №10

Описывая эту схему более подробно, можно сказать, что пользователь при обнаружении неполадок в создании папок/документов/ярлыков должен проделать следующие действия: проверить обновления для операционной системы (так как бывают случаи, когда подобные ошибки появляются из-за недоработки прошлой версии обновлений под операционную систему), попытаться исправить ошибку своими силами (этот пункт подразумевает следующие действия: попробовать создать папку из командной строки, набрав команду md "новая папка". Если папка создастся, то необходимо попробовать команду sfc/scannow, при этом, если используется операционная система Windows, начиная с Windows Vista, перечисленные действия необходимо делать с правами администратора). Если же все перечисленные действия не помогли справиться с проблемой, то необходимо проверить компьютер на предмет наличия зловредных программ.

Признак №11 (странная работа клавиатуры, либо мыши). Данный признак можно считать скорее устаревшим, так как при проявлении зловредных программ через подобный признак сразу же вступит в действие антивирусная защита. Причиной подобного признака является специальный класс зловредных программ, называющихся кейлогерами, (кейлогер от английского key log) – специальная зловредная программа, которая занимается тем, что записывает нажатия кнопок клавиатуры в отдельный файл. В некоторых случаях кейлогер записывает также координаты перемещения мыши. Кейлогер опасен тем, что он может записать все пароли пользователя, так как пользователь будет набирать их на клавиатуре. В прошлом подобные зловредные программы были огромной угрозой для пользователя, а побочным их эффектом являлось то, что пользователь замечал странности в работе клавиатуры, либо мыши. Такие странности могли проявляться в виде кратковременного отказа работы некоторых кнопок клавиатуры, либо самопроизвольного перемещения курсора мыши. И хотя, как было указано выше, подобные зловредные программы можно считать устаревшими, время от времени появляются современные модификации подобных программ, которые некоторое время не обнаруживаются антивирусной защитой. Если пользователь обнаружил странности в работе клавиатуры, либо мыши, необходимо воспользоваться следующим алгоритмом, представленным на рисунке ниже:

Схема разъяснения признака №11

Рис. 2.12. Схема разъяснения признака №11

Следуя данной схеме, можно определить причину странной работы клавиатуры/мыши на компьютере. Вначале необходимо проверить, правильно ли настроены клавиатуры и мышь на компьютере. Если правильно, то необходимо вспомнить, не устанавливались ли какие-либо программы, влияющие на работу клавиатуры, либо мыши (например, программы, повышающие отклик мыши). Если таких программ не устанавливалось, то, скорее всего, имеет место быть работа зловредной программы на компьютере.

Признак №12 (появление неожиданных папок и файлов). А вот этот признак является причиной достаточно современного класса зловредных программ. Причиной этого признака является то, что для своей работы зловредным программам иногда необходимо создавать временные файлы и папки, которые может увидеть пользователь. Обычно такие временные файлы и папки делаются скрытыми от пользователя (иногда еще и маскируются под системные файлы или папки). Существует целый класс зловредных программ, который намеренно занимается тем, что скрывает обычные папки от глаз пользователя (не удаляя их) и заменяет их своими папками-ярлыками с теми же названиями, что были у обычных папок. Пользователь при нажатии на такую папку-ярлык активирует вложение в папке, которое обычно является еще одной зловредной программой. При этом пользователь не может узнать того, что он активировал еще одну зловредную программу, ведь папка по которой он нажимал, на первый взгляд была его созданной папкой. Обычно такие папки-ярлыки выглядят как обычные ярлыки к папкам, но пользователь должен вспомнить, не создавал ли он сам подобные ярлыки. Также существуют зловредные программы, которые могут делать дубликат нужного пользователю файла с расширением exe (исполняемые файлы) и маскироваться под него. Если пользователь запустит такой лже-файл, то он активирует зловредную программу. Для того чтобы определить причину появления неожиданных файлов и/или папок, необходимо воспользоваться схемой, представленной на рисунке ниже:

Схема разъяснения признака №12

Рис. 2.13. Схема разъяснения признака №12

Из представленного рисунка можно понять, как именно распознать причину появления различных файлов или папок. При этом необходимо ответить на следующие вопросы: не создавал ли пользователь эти объекты сам (если создавал, то причина внезапного их появления ясна), а также, не могли ли быть созданы эти объекты сторонней безвредной программой для своих нужд. Если ответы на эти вопросы соответствуют ответам, которые показаны на схеме, то, скорее всего, имеет место работа зловредной программы на компьютере.

< Лекция 1 || Лекция 2: 1234 || Лекция 3 >
Александр Мишин
Александр Мишин
Яна Емельянович
Яна Емельянович

Здравсвуйте, прошла курс Основы информационной безопасности при работе на компьютере».  Почему в зачетке не появляются оценки, а стоят даты выполнения задания? 

Роман Ижванов
Роман Ижванов
Россия, Университет природы, общества и человека «Дубна»
Анастасия Шмакова
Анастасия Шмакова
Россия, Тольятти, ПВГУС, 2013