Опубликован: 03.08.2011 | Уровень: для всех | Доступ: платный
Лекция 2:

Признаки заражения компьютера от malware (зловредных/вредоносных программ)

< Лекция 1 || Лекция 2: 1234 || Лекция 3 >

Признак №13 (резкие сбои в работе USB-флеш-накопителя). Подобный признак проявляется в резком снижении работы USB-флэш-накопителя (далее просто флэш-накопитель). Пользователь обнаруживает, что его флэш-накопитель стал медленнее обмениваться информацией с компьютером, а также то, что на флэш-накопителе стали появляться сторонние файлы или папки. Резкое снижение скорости обмена информации с компьютером может быть обусловлено тем, что зловредная программа использует флэш-накопитель в своих целях, и вместе с этим снижается общая скорость работы флэш-накопителя. Существует целый класс зловредных программ, которые осуществляют свою деятельность исключительно через флэш-накопители (раньше такие зловредные программы осуществляли свою деятельность через дискеты). Это способствует их быстрому распространению между компьютерами различных пользователей. Впрочем, резкие сбои в работе флэш-накопителя могут возникнуть и потому, что флэш-накопитель уже устарел и нуждается в замене. Алгоритм выявления причины признака резкого сбоя в работе флэш-накопителя представлен в виде схемы на рисунке ниже:

Схема разьяснения признака №13

Рис. 2.14. Схема разьяснения признака №13

Следуя схеме, можно определить причины сбоя работы флэш-накопителя. Прежде всего, пользователь должен проверить, не установлены ли автономные программы на флэш-накопителе (существует особый класс программ, которые работают непосредственно с флэш-накопителя), а также, не устарел ли сам флэш-накопитель (срок службы более 2-3 лет). Если ответы на эти вопросы соответствуют ответам на схеме, то, скорее всего, имеет место работа зловредной программы на компьютере через флэш-накопитель.

Признак №14 (самопроизвольное изменение прав пользователей). Данный признак также говорит о том, что на компьютере пользователя происходят непонятные вещи, которые могут быть связаны как с работой зловредной программы, так и без нее. Причиной, когда пользователь обнаружил изменение своих прав (например, он был администратором, а стал обычным пользователем с соответствующими правами) не по вине работы зловредной программы, может быть в том, что другой высокопривилегированный пользователь системы (другой пользователь с правами администратора) намеренно понизил права пользователя. Также некоторые вполне безобидные программы могут резко изменить права пользователя (например, антивирусная программа может понизить права пользователя с целью временного обеспечения безопасности). Для того, чтобы выяснить причину самопроизвольного изменения прав пользователей на компьютере, необходимо воспользоваться следующей схемой, представленной на рисунке ниже:

Схема разъяснения признака №14

Рис. 2.15. Схема разъяснения признака №14

Следуя этой схеме, можно определить причину самопроизвольного изменения прав пользователей. Прежде всего, необходимо ответить на следующие вопросы: изменял ли пользователь свои права сам (если изменял, то причина ясна), мог ли другой администратор изменить права пользователя (если мог, и изменил, то причина ясна), могла ли безобидная программа изменить права пользователя (если могла, то причина ясна). Если ответы на данные вопросы соответствуют ответам на схеме, то, скорее всего, имеет место работа зловредной программы на компьютере.

Признак №15 (Появление множественных BSOD на компьютере) Признак является достаточно красноречивым сам по себе. BSOD или "синий экран смерти" является результатом появления системной ошибки на компьютере пользователя. Синий экран представлен обычно синим фоном с описанием ошибки. В разных версиях Windows выделяют разные типы BSOD. Обычно он появляется тогда, когда в коде ядра или драйвера, выполняющегося в специальном режиме, возникает неустранимая ошибка. В этом случае операционная система, чтобы избежать краха, вынуждена остановить свою работу и сделать перезагрузку операционной системы. При этом пользователь операционной системы увидит этот самый синий экран смерти, после которого будет перезагрузка компьютера. Сам синий экран не говорит о наличии вируса, но он может это подразумевать, так как ошибка может быть вызвана зловредной программой, которую необходимо устранить. Чтобы определить причину синего экрана, пользователю необходимо задокументировать надписи на синем экране и обратиться в службу поддержки операционной системы. При этом в службе поддержки операционной системы дадут расшифровку кода, и тогда можно будет узнать, что именно послужило причиной возникновения синего экрана. Также, если в операционной система включена функция сохранения фрагментов памяти в отдельный файл, то этот файл также необходимо отправить в службу поддержки. Такой ход позволит наиболее эффективно определить причину появления синего экрана. Также интересны некоторые факты: Операционные системы семейства NT, начиная с Windows 2000, могут быть настроены таким образом, чтобы дать пользователю возможность вручную спровоцировать "синий экран смерти". Чтобы включить эту опцию, необходимо изменить определенные настройки в системном реестре. После этого по двойному нажатию клавиши SCROLL LOCK при удерживании правой клавиши CTRL система выдаст синий экран. Эта опция полезна, например, для получения дампа памяти компьютера в заданный момент или для экстренной остановки компьютера аналогично кнопке Reset. Иногда она используется при разрешении настоящих проблем работы операционной системы. Сам же синий экран можно поменять в цветности, задав соответствующие параметры в реестре. А в операционных системах типа UNIX существует аналогичное понятие синего экрана – kernel panic (паника ядра).

Признак №16 (необъяснимые загрузки в безопасном режиме). При этом признаке операционная система (имеется в виду система Windows) будет пытаться войти в безопасный режим при каждой своей загрузке. Причем это будет делаться независимо от того, нормально ли отключал пользователь систему Windows или нет. В этом случае система будет пытаться загрузить себя в специальный режим работы, при котором она будет пытаться загрузить минимум подпрограмм и сервисов. При этом сама работа операционной системы останется нетронутой. Пользователь же увидит соответствующее сообщение о том, что его операционная система была загружена в безопасном режиме. Это должно насторожить пользователя, особенно если он загружал какие-либо подозрительные файлы на свой компьютер.

Вышеперечисленные признаки являются далеко не всеми признаками, которые могут говорить о том, что на компьютере пользователя имеет место быть работа зловредной программы. Бывают случаи комбинированных признаков из вышеупомянутых признаков. Также история зловредных программ насчитывает множественные ухищрения, которые могут поставить пользователя в тупик при попытке обнаружения присутствия зловредных программ на компьютере. Стоит заметить, что некоторые признаки в данной лекции были намеренно упущены, так как уже считаются безнадежно устаревшими (например, признак внезапного отключения портов является уже устаревшим, так как был распространен около 10 лет назад, а в настоящее время зафиксированных случаев заражения подобными зловредными программами не было зарегистрировано).

< Лекция 1 || Лекция 2: 1234 || Лекция 3 >
Александр Мишин
Александр Мишин
Яна Емельянович
Яна Емельянович

Здравсвуйте, прошла курс Основы информационной безопасности при работе на компьютере».  Почему в зачетке не появляются оценки, а стоят даты выполнения задания? 

Роман Ижванов
Роман Ижванов
Россия, Университет природы, общества и человека «Дубна»
Анастасия Шмакова
Анастасия Шмакова
Россия, Тольятти, ПВГУС, 2013