Способ обезвреживания вредоносных программ, блокирующих работу пк, с использованием отдельного устройства для активации пользователем процедуры противодействия вредоносному программному обеспечению.
Одних только типов вредоносных программ известно великое множество. Но каждый тип состоит из огромного количества образцов, также отличающихся друг от друга. Для борьбы со всеми ними нужно уметь однозначно классифицировать любую вредоносную программу и легко отличить ее от других вредоносных программ.
«Лаборатория Касперского» классифицирует все виды вредоносного программного обеспечения и потенциально нежелательных объектов в соответствии с их активностью на компьютерах пользователей. Предложенная система лежит и в основе классификации многих других поставщиков антивирусных программ .
Дерево классификации вредоносных программ
Система классификации «Лаборатории Касперского» четко описывает каждый обнаруженный объект и назначает конкретное местоположение в дереве классификации, показанном ниже на диаграмме «Дерево классификации»:
- типы поведения, представляющие наименьшую опасность, показаны внижней области диаграммы;
- типы поведения с максимальной опасностью отображаются в верхней части диаграммы.
Многофункциональные вредоносные программы
Отдельные вредоносные программы часто выполняют несколько вредоносных функций и используют несколько способов распространения, без некоторых дополнительных правил классификации это могло бы привести к путанице.
Например. Существует вредоносная программа, которая занимается сбором адресов электронной почты на зараженном компьютере без ведома пользователя. При этом она распространяется как в виде вложений электронной почты, так и в виде файлов через сети P2P. Тогда программу можно классифицировать и как Email-Worm , и как P2P-Worm или Trojan-Mailfinder . Чтобы избежать такой путаницы применяется набор правил, которые позволяют однозначно классифицировать вредоносную программу по конкретному поведению, независимо от второстепенных свойств. Правила применяются только к вредоносным программам и не учитывают Adware, Riskware, Pornware и другие объекты, обнаруживаемые проактивной защитой (которые обозначаются префиксом PDM:) или эвристическим анализатором (в этом случае используется префикс HEUR:).
На диаграмме «Дерево классификации» видно, что каждому поведению назначен свой уровень опасности. Виды поведения, представляющие собой большую опасность, расположены выше тех видов, которые представляют меньшую опасность. И поскольку в нашем примере поведение Email-Worm представляет более высокий уровень опасности, чем поведение P2P-Worm или Trojan-Mailfinder, вредоносную программу из нашего примера можно классифицировать как Email-Worm.
Правило, согласно которому выбирается поведение с максимальным уровнем опасности, применяется только ктроянским программам , вирусам и червям . К вредоносным утилитам оно не применяется.
Несколько функций с одинаковым уровнем опасности
Если вредоносная программа имеет несколько функций с одинаковым уровнем опасности (таких как Trojan-Ransom, Trojan-ArcBomb, Trojan-Clicker, Trojan-DDoS, Trojan-Downloader, Trojan-Dropper, Trojan-IM, Trojan-Notifier, Trojan-Proxy, Trojan-SMS, Trojan-Spy, Trojan-Mailfinder, Trojan-GameThief, Trojan-PSW или Trojan-Banker), она классифицируется как троянская программа.
Если у вредоносной программы есть несколько функций с одинаковым уровнем опасности, таких как IM-Worm, P2P-Worm или IRC-Worm, она классифицируется как червь.
Защитите свои устройства и данные от всех видов вредоносных программ.
По материалам сайта kaspersky.ru
Речь пойдет о простейших способах нейтрализации вирусов, в частности, блокирующих рабочий стол пользователя Windows 7 (семейство вирусов Trojan.Winlock). Подобные вирусы отличаются тем, что не скрывают своего присутствия в системе, а наоборот, демонстрируют его, максимально затрудняя выполнение каких-либо действий, кроме ввода специального "кода разблокировки", для получения которого, якобы, требуется перечислить некоторую сумму злоумышленникам через отправку СМС или пополнение счета мобильного телефона через платежный терминал. Цель здесь одна - заставить пользователя платить, причем иногда довольно приличные деньги. На экран выводится окно с грозным предупреждением о блокировке компьютера за использование нелицензионного программного обеспечения или посещение нежелательных сайтов, и еще что-то в этом роде, как правило, чтобы напугать пользователя. Кроме этого, вирус не позволяет выполнить какие либо действия в рабочей среде Windows - блокирует нажатие специальных комбинаций клавиш для вызова меню кнопки "Пуск", команды "Выполнить" , диспетчера задач и т.п. Указатель мышки невозможно переместить за пределы окна вируса. Как правило, эта же картина наблюдается и при загрузке Windows в безопасном режиме. Ситуация кажется безвыходной, особенно если нет другого компьютера, возможности загрузки в другой операционной системе, или со сменного носителя (LIVE CD, ERD Commander, антивирусный сканер). Но, тем не менее, выход в подавляющем большинстве случаев есть.
Новые технологии, реализованные в Windows Vista / Windows 7 значительно затруднили внедрение и взятие системы под полный контроль вредоносными программами, а также предоставили пользователям дополнительные возможности относительно просто от них избавиться, даже не имея антивирусного программного обеспечения (ПО). Речь идет о возможности загрузки системы в безопасном режиме с поддержкой командной строки и запуска из нее программных средств контроля и восстановления. Очевидно, по привычке, из-за довольно убогой реализации этого режима в предшествующих версиях операционных систем семейства Windows, многие пользователи просто им не пользуются. А зря. В командной строке Windows 7 нет привычного рабочего стола (который может быть заблокирован вирусом), но есть возможность запустить большинство программ - редактор реестра, диспетчер задач, утилиту восстановления системы и т.п.
Удаление вируса с помощью отката системы на точку восстановления
Вирус - это обычная программа, и если даже она находится на жестком диске компьютера, но не имеет возможности автоматически стартовать при загрузке системы и регистрации пользователя, то она так же безобидна, как, например, обычный текстовый файл. Если решить проблему блокировки автоматического запуска вредоносной программы, то задачу избавления от вредоносного ПО можно считать выполненной. Основной способ автоматического запуска, используемый вирусами - это специально созданные записи в реестре, создаваемые при внедрении в систему. Если удалить эти записи - вирус можно считать обезвреженным. Самый простой способ - это выполнить восстановление системы по данным контрольной точки. Контрольная точка - это копия важных системных файлов, хранящаяся в специальном каталоге ("System Volume Information") и содержащих, кроме всего прочего, копии файлов системного реестра Windows. Выполнение отката системы на точку восстановления, дата создания которой предшествует вирусному заражению, позволяет получить состояние системного реестра без тех записей, которые сделаны внедрившимся вирусом и тем самым, исключить его автоматический старт, т.е. избавиться от заражения даже без использования антивирусного ПО. Таким способом можно просто и быстро избавиться от заражения системы большинством вирусов, в том числе и тех, что выполняют блокировку рабочего стола Windows. Естественно, вирус-блокировщик, использующий например, модификацию загрузочных секторов жесткого диска (вирус MBRLock) таким способом удален быть не может, поскольку откат системы на точку восстановления не затрагивает загрузочные записи дисков, да и загрузить Windows в безопасном режиме с поддержкой командной строки не удастся, поскольку вирус загружается еще до загрузчика Windows . Для избавления от такого заражения придется выполнять загрузку с другого носителя и восстанавливать зараженные загрузочные записи. Но подобных вирусов относительно немного и в большинстве случаев, избавиться от заразы можно откатом системы на точку восстановления.
1. В самом начале загрузки нажать кнопку F8 . На экране отобразится меню загрузчика Windows, с возможными вариантами загрузки системы
2. Выбрать вариант загрузки Windows - "Безопасный режим с поддержкой командной строки"
После завершения загрузки и регистрации пользователя вместо привычного рабочего стола Windows, будет отображаться окно командного процессора cmd.exe
3. Запустить средство "Восстановление системы", для чего в командной строке нужно набрать rstrui.exe и нажать ENTER .
Переключить режим на "Выбрать другую точку восстановления" и в следующем окне установить галочку "Показать другие точки восстановления"
После выбора точки восстановления Windows, можно посмотреть список затрагиваемых программ при откате системы:
Список затрагиваемых программ, - это список программ, которые были установлены после создания точки восстановления системы и которые могут потребовать переустановки, поскольку в реестре будут отсутствовать связанные с ними записи.
После нажатия на кнопку "Готово" начнется процесс восстановления системы. По его завершению будет выполнена перезагрузка Windows.
После перезагрузки, на экран будет выведено сообщение об успешном или неуспешном результате выполнения отката и, в случае успеха, Windows вернется к тому состоянию, которое соответствовало дате создания точки восстановления. Если блокировка рабочего стола не прекратится, можно воспользоваться более продвинутым способом, представленным ниже.
Удаление вируса без отката системы на точку восстановления
Возможна ситуация, когда в системе отсутствуют, по разным причинам, данные точек восстановления, процедура восстановления завершилась с ошибкой, или откат не дал положительного результата. В таком случае, можно воспользоваться диагностической утилитой Конфигурирования системы MSCONFIG.EXE . Как и в предыдущем случае, нужно выполнить загрузку Windows в безопасном режиме с поддержкой командной строки и в окне интерпретатора командной строки cmd.exe набрать msconfig.exe и нажать ENTER
На вкладке "Общие" можно выбрать следующие режимы запуска Windows:
Обычный запуск
- обычная загрузка системы.
Диагностический запуск
- при загрузке системы будет выполнен запуск только минимально необходимых системных служб и пользовательских программ.
Выборочный запуск
- позволяет задать в ручном режиме перечень системных служб и программ пользователя, которые будут запущены в процессе загрузки.
Для устранения вируса наиболее просто воспользоваться диагностическим запуском, когда утилита сама определит набор автоматически запускающихся программ. Если в таком режиме блокировка рабочего стола вирусом прекратится, то нужно перейти к следующему этапу - определить, какая же из программ является вирусом. Для этого можно воспользоваться режимом выборочного запуска, позволяющим включать или выключать запуск отдельных программ в ручном режиме.
Вкладка "Службы" позволяет включить или выключить запуск системных служб, в настройках которых установлен тип запуска "Автоматически" . Снятая галочка перед названием службы означает, что она не будет запущена в процессе загрузки системы. В нижней части окна утилиты MSCONFIG имеется поле для установки режима "Не отображать службы Майкрософт" , при включении которого будут отображаться только службы сторонних производителей.
Замечу, что вероятность заражения системы вирусом, который инсталлирован в качестве системной службы, при стандартных настройках безопасности в среде Windows Vista / Windows 7, очень невелика, и следы вируса придется искать в списке автоматически запускающихся программ пользователей (вкладка "Автозагрузка").
Так же, как и на вкладке "Службы", можно включить или выключить автоматический запуск любой программы, присутствующей в списке, отображаемом MSCONFIG. Если вирус активизируется в системе путем автоматического запуска с использованием специальных ключей реестра или содержимого папки "Автозагрузка", то c помощью msconfig можно не только обезвредить его, но и определить путь и имя зараженного файла.
Утилита msconfig является простым и удобным средством конфигурирования автоматического запуска служб и приложений, которые запускаются стандартным образом для операционных систем семейства Windows. Однако, авторы вирусов нередко используют приемы, позволяющие запускать вредоносные программы без использования стандартных точек автозапуска. Избавиться от такого вируса с большой долей вероятности можно описанным выше способом отката системы на точку восстановления. Если же откат невозможен и использование msconfig не привело к положительному результату, можно воспользоваться прямым редактированием реестра.
В процессе борьбы с вирусом пользователю нередко приходится выполнять жесткую перезагрузку сбросом (Reset) или выключением питания. Это может привести к ситуации, когда загрузка системы начинается нормально, но не доходит до регистрации пользователя. Компьютер "висит" из-за нарушения логической структуры данных в некоторых системных файлах, возникающей при некорректном завершении работы. Для решения проблемы так же, как и в предыдущих случаях, можно загрузиться в безопасном режиме с поддержкой командной строки и выполнить команду проверки системного диска
chkdsk C: /F - выполнить проверку диска C: с исправлением обнаруженных ошибок (ключ /F)
Поскольку на момент запуска chkdsk системный диск занят системными службами и приложениями, программа chkdsk не может получить к нему монопольный доступ для выполнения тестирования. Поэтому пользователю будет выдано сообщение с предупреждением и запрос на выполнение тестирования при следующей перезагрузке системы. После ответа Y в реестр будет занесена информация, обеспечивающая запуск проверки диска при перезагрузке Windows. После выполнения проверки, эта информация удаляется и выполняется обычная перезагрузка Windows без вмешательства пользователя.
Устранение возможности запуска вируса с помощью редактора реестра.
Для запуска редактора реестра, как и в предыдущем случае, нужно выполнить загрузку Windows в безопасном режиме с поддержкой командной строки, в окне интерпретатора командной строки набрать regedit.exe и нажать ENTER Windows 7, при стандартных настройках безопасности системы, защищена от многих методов запуска вредоносных программ, применявшихся для предыдущих версий операционных систем от Майкрософт. Установка вирусами своих драйверов и служб, перенастройка службы WINLOGON с подключением собственных исполняемых модулей, исправление ключей реестра, имеющих отношение ко всем пользователям и т.п - все эти методы в среде Windows 7 либо не работают, либо требуют настолько серьезных трудозатрат, что практически не встречаются. Как правило, изменения в реестре, обеспечивающие запуск вируса, выполняются только в контексте разрешений, существующих для текущего пользователя, т.е. в разделе HKEY_CURRENT_USER
Для того, чтобы продемонстрировать простейший механизм блокировки рабочего стола с использованием подмены оболочки пользователя (shell) и невозможности использования утилиты MSCONFIG для обнаружения и удаления вируса можно провести следующий эксперимент - вместо вируса самостоятельно подправить данные реестра, чтобы вместо рабочего стола получить, например, командную строку. Привычный рабочий стол создается проводником Windows (программа Explorer.exe ) запускаемым в качестве оболочки пользователя. Это обеспечивается значениями параметра Shell в разделах реестра
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
- для всех пользователей.
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
- для текущего пользователя.
Параметр Shell представляет собой строку с именем программы, которая будет использоваться в качестве оболочки при входе пользователя в систему. Обычно в разделе для текущего пользователя (HKEY_CURRENT_USER или сокращенно - HKCU) параметр Shell отсутствует и используется значение из раздела реестра для всех пользователей (HKEY_LOCAL_MACHINE\ или в сокращенном виде - HKLM)
Так выглядит раздел реестра HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon при стандартной установке Windows 7
Если же в данный раздел добавить строковый параметр Shell принимающий значение "cmd.exe", то при следующем входе текущего пользователя в систему вместо стандартной оболочки пользователя на основе проводника будет запущена оболочка cmd.exe и вместо привычного рабочего стола Windows, будет отображаться окно командной строки.
Естественно, подобным образом может быть запущена любая вредоносная программа и пользователь получит вместо рабочего стола порнобаннер, блокировщик и прочую гадость.
Для внесения изменений в раздел для всех пользователей (HKLM. . .) требуется наличие административных привилегий, поэтому вирусные программы, как правило модифицируют параметры раздела реестра текущего пользователя (HKCU . . .)
Если, в продолжение эксперимента, запустить утилиту msconfig , то можно убедиться, что в списках автоматически запускаемых программ cmd.exe в качестве оболочки пользователя отсутствует. Откат системы, естественно, позволит вернуть исходное состояние реестра и избавиться от автоматического старта вируса, но если он по каким-либо причинам, невозможен - остается только прямое редактирование реестра. Для возврата к стандартному рабочему столу достаточно удалить параметр Shell , или изменить его значение с "cmd.exe" на "explorer.exe" и выполнить перерегистрацию пользователя (выйти из системы и снова войти) или перезагрузку. Редактирование реестра можно выполнить, запустив из командной строки редактор реестра regedit.exe или воспользоваться консольной утилитой REG.EXE . Пример командной строки для удаления параметра Shell:
REG delete "HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell
Приведенный пример с подменой оболочки пользователя, на сегодняшний день является одним из наиболее распространенных приемов, используемых вирусами в среде операционной системы Windows 7 . Довольно высокий уровень безопасности при стандартных настройках системы не позволяет вредоносным программам получать доступ к разделам реестра, которые использовались для заражения в Windows XP и более ранних версий. Даже если текущий пользователь является членом группы "Администраторы", доступ к подавляющему количеству параметров реестра, используемых для заражения, требует запуск программы от имени администратора. Именно по этой причине вредоносные программы модифицируют ключи реестра, доступ к которым разрешен текущему пользователю (раздел HKCU . . .) Второй важный фактор - сложность реализации записи файлов программ в системные каталоги. Именно по этой причине большинство вирусов в среде Windows 7 используют запуск исполняемых файлов (.exe) из каталога временных файлов (Temp) текущего пользователя. При анализе точек автоматического запуска программ в реестре, в первую очередь нужно обращать внимание на программы, находящиеся в каталоге временных файлов. Обычно это каталог C:\USERS\имя пользователя\AppData\Local\Temp . Точный путь каталога временных файлов можно посмотреть через панель управления в свойствах системы - "Переменные среды". Или в командной строке:
set temp
или
echo %temp%
Кроме того, поиск в реестре по строке соответствующей имени каталога для временных файлов или переменной %TEMP% можно использовать в качестве дополнительного средства для обнаружения вирусов. Легальные программы никогда не выполняют автоматический запуск из каталога TEMP.
Для получения полного списка возможных точек автоматического запуска удобно использовать специальную программу Autoruns из пакета SysinternalsSuite.
Простейшие способы удаления блокировщиков семейства MBRLock
Вредоносные программы могут получить контроль над компьютером не только при заражении операционной системы, но и при модификации записей загрузочных секторов диска, с которого выполняется загрузка. Вирус выполняет подмену данных загрузочного сектора активного раздела своим программным кодом так, чтобы вместо Windows выполнялась загрузка простой программы, которая бы выводила на экран сообщение вымогателя, требующее денег для жуликов. Поскольку вирус получает управление еще до загрузки системы, обойти его можно только одним способом - загрузиться с другого носителя (CD/DVD, внешнего диска, и т.п.) в любой операционной системе, где имеется возможность восстановления программного кода загрузочных секторов. Самый простой способ - воспользоваться Live CD / Live USB, как правило, бесплатно предоставляемыми пользователям большинством антивирусных компаний (Dr Web Live CD, Kaspersky Rescue Disk, Avast! Rescue Disk и т.п.) Кроме восстановления загрузочных секторов, данные продукты могут выполнить еще и проверку файловой системы на наличие вредоносных программ с удалением или лечением зараженных файлов. Если нет возможности использовать данный способ, то можно обойтись и простой загрузкой любой версии Windows PE (установочный диск, диск аварийного восстановления ERD Commander), позволяющей восстановить нормальную загрузку системы. Обычно достаточно даже простой возможности получить доступ к командной строке и выполнить команду:
bootsect /nt60 /mbr буква системного диска:
bootsect /nt60 /mbr E:> - восстановить загрузочные секторы диска E: Здесь должна быть буква того диска, который используется в качестве устройства загрузки поврежденной вирусом системы.
Или для Windows, предшествующих Windows Vista
bootsect /nt52 /mbr буква системного диска:
Утилита bootsect.exe может находиться не только в системных каталогах, но и на любом съемном носителе, может выполняться в среде любой операционной системы семейства Windows и позволяет восстановить программный код загрузочных секторов, не затрагивая таблицу разделов и файловую систему. Ключ /mbr, как правило, не нужен, поскольку восстанавливает программный код главной загрузочной записи MBR, которую вирусы не модифицируют (возможно - пока не модифицируют).
Вирусы-шифровальщики и новые проблемы спасения пользовательских данных.
Кроме блокировки компьютера, вирусы вымогатели ипользуют шифрование пользовательских файлов, потеря которых может иметь серьезные последствия, и для восстановления которых жертва готова заплатить. Подобные вирусы-шифровальщики, как правило, используют серьезные технологии шифрования данных, делающие невозможным восстановление информации без ключей шифрования, которые злоумышленники предлагают купить за довольно крупные суммы. Правда, гарантий никаких. И здесь у пострадавшего есть несколько вариантов - забыть о своих данных навсегда, заплатить вымогателям без гарантии восстановления или обратиться к профессионалам, занимающимся восстановлением. Можно восстановить данные самостоятельно, если у вас достаточно знаний и навыков, либо потеря данныж не столь значима при неудаче. Полное восстановление всего и вся не получится, но при некотором везении, значительную часть информации можно вернуть. Некоторые примеры:
Восстановление данных из теневых копий томов - о теневом копировании и возможности восстановления файлов из теневых копий томов.
Recuva - использоваие бесплатной программы Recuva от Piriform для восстановления удаленных файлов, и файлов из теневых копий томов.
С появлением вирусов шифровальщиков нового поколения, проблема сохранности пользовательских данных стала значительно острее. Вирусы не только выполняют шифрование документов, архивов, фото, видео и прочих файлов, но и делают все возможное, чтобы не допустить хотя бы частичное восстановление данных пострадавшим от заражения пользователем. Так, например, вирусы-шифровальщики выполняют попытку удаления теневых копий томов с помощью команды vssadmin , что при отключенном контроле учетных записей (UAC), происходит незаметно и гарантированно приводит к невозможности восстановления предыдущих копий файлов или использования программного обеспечения, позволяющего извлекать данные из теневых копий (Recuva, стандартные средства Windows и т.п.). С учетом применения алгоритмов стойкого шифрования, восстановление зашифрованных данных, даже частичное, становится очень непростой задачей, посильной разве что для профессионалам в данной области. На сегодняшний день, существует пожалуй единственный способ обезопасить себя от полной потери данных - это использовать автоматическое резервное копирование с хранением копий в недоступном для вирусов месте или использовать программное обеспечения типа "машина времени", позволяющее создавать мгновенные копии файловой системы (снимки) и выполнять откат на их содержимое в любой момент времени. Такое программное обеспечение не использует стандартную файловую систему, имеет свой собственный загрузчик и средства управления, работающие автономно, без необходимости загрузки Windows, что не позволяет вредоносным программам полностью взять под контроль средства восстановления файловой системы. Кроме того, это ПО практически не влияет на быстродействие Windows. Примером такого ПО могут быть некоторые коммерческие продукты компании Horizon DataSys и бесплатные Comodo Time Machine и Rollback RX Home
Comodo Time Machine - отдельная статья о Comodo Time Machine и ссылки для скачивания бесплатной версии.
Rollback Rx Home - отдельная статья о Rollback Rx Home Edition компании Horizon DataSys и ссылки для скачивания бесплатной версии.
Проблему защиты от вирусов необходимо рассматривать в общем контексте проблемы защиты информации от несанкционированного доступа и технологической и эксплуатационной безопасности ПО в целом. Основной принцип, который должен быть положен в основу разработки технологии защиты от вирусов, состоит в создании многоуровневой распределенной системы защиты, включающей:
регламентацию проведения работ на ПЭВМ;
применение программных средств защиты;
использование специальных аппаратных средств защиты.
При этом количество уровней защиты зависит от ценности информации, которая обрабатывается на ПЭВМ.
Для защиты от компьютерных вирусов в настоящее время используются следующие методы.
Архивирование. Заключается в копировании системных областей магнитных дисков и ежедневном ведении архивов измененных файлов. Архивирование является одним из основных методов защиты от вирусов. Остальные методы защиты дополняют его, но не могут заменить полностью.
Входной контроль. Проверка всех поступающих программ детекторами, а также проверка длин и контрольных сумм вновь поступающих программ на соответствие значениям, указанным в документации. Большинство известных файловых и бутовых вирусов можно выявить на этапе входного контроля. Для этой цели используетсябатарея детекторов (несколько последовательно запускаемых программ). Набор детекторов достаточно широк, и постоянно пополняется по мере появления новых вирусов. Однако при этом могут быть обнаружены не все вирусы, а только распознаваемые детектором. Следующим элементом входного контроля является контекстный поиск в файлах слов и сообщений, которые могут принадлежать вирусу (например,Virus,COMMAND.COM,Killи т.д.). Подозрительным является отсутствие в последних 2-3 килобайтах файла текстовых строк - это может быть признаком вируса, который шифрует свое тело.
Рассмотренный контроль может быть выполнен с помощью специальной программы, которая работает с базой данных «подозрительных» слов и сообщений, и формирует список файлов для дальнейшего анализа. После проведенного анализа новые программы рекомендуется несколько дней эксплуатировать в карантинном режиме. При этом целесообразно использовать ускорение календаря, т.е. изменять текущую дату при повторных запусках программы. Это позволяет обнаружить вирусы, срабатывающие в определенные дни недели (пятница, 13 число месяца, воскресенье и т.д.).
Профилактика. Для профилактики заражения необходимо организовать раздельное хранение (на разных магнитных носителях) вновь поступающих и ранее эксплуатировавшихся программ, минимизация периодов доступности дискет для записи, разделение общих магнитных носителей между конкретными пользователями.
Ревизия. Анализ вновь полученных программ специальными средствами (детекторами), контроль целостности перед считыванием информации, а также периодический контроль состояния системных файлов.
Карантин. Каждая новая программа проверяется на известные типы вирусов в течение определенного промежутка времени. Для этих целей целесообразно выделить специальную ПЭВМ, на которой не проводятся другие работы. В случае невозможности выделения ПЭВМ для карантина программного обеспечения, для этой цели используется машина, отключенная от локальной сети и не содержащая особо ценной информации.
Сегментация . Предполагает разбиение магнитного диска на ряд логических томов (разделов), часть из которых имеет статус READ_ONLY (только чтение). В данных разделах хранятся выполняемые программы и системные файлы. Базы данных должны храниться в других секторах, отдельно от выполняемых программ. Важным профилактическим средством в борьбе с файловыми вирусами является исключение значительной части загрузочных модулей из сферы их досягаемости. Этот метод называется сегментацией и основан на разделении магнитного диска (винчестера) с помощью специального драйвера, обеспечивающего присвоение отдельным логическим томам атрибута READ_ONLY (только чтение), а также поддерживающего схемы парольного доступа. При этом в защищенные от записи разделы диска помещаются исполняемые программы и системные утилиты, а также системы управления базами данных и трансляторы, т.е. компоненты ПО, наиболее подверженные опасности заражения. В качестве такого драйвера целесообразно использовать программы типаADVANCEDDISKMANAGER(программа для форматирования и подготовки жесткого диска), которая не только позволяет разбить диск на разделы, но и организовать доступ к ним с помощью паролей. Количество используемых логических томов и их размеры зависят от решаемых задач и объема винчестера. Рекомендуется использовать 3 - 4 логических тома, причем на системном диске, с которого выполняется загрузка, следует оставить минимальное количество файлов (системные файлы, командный процессор, а также программы - ловушки).
Фильтрация. Заключается в использовании программ - сторожей, для обнаружения попыток выполнить несанкционированные действия.
Вакцинация. Специальная обработка файлов и дисков, имитирующая сочетание условий, которые используются некоторым типом вируса для определения, заражена уже программа или нет.
Автоконтроль целостности. Заключается в использовании специальных алгоритмов, позволяющих после запуска программы определить, были ли внесены изменения в ее файл.
Терапия. Предполагает дезактивацию конкретного вируса в зараженных программах специальными программами (фагами). Программы-фаги «выкусывают» вирус из зараженной программы и пытаются восстановить ее код в исходное состояние (состояние до момента заражения). В общем случае технологическая схема защиты может состоять из следующих этапов:
входной контроль новых программ;
сегментация информации на магнитном диске;
защита операционной системы от заражения;
систематический контроль целостности информации.
Необходимо отметить, что не следует стремиться обеспечить глобальную защиту всех файлов, имеющихся на диске. Это существенно затрудняет работу, снижает производительность системы и, в конечном счете, ухудшает защиту из-за частой работы в открытом режиме. Анализ показывает, что только 20-30% файлов должно быть защищено от записи.
При защите операционной системы от вирусов необходимо правильное размещение ее и ряда утилит, которое может гарантировать, что после начальной загрузки операционная система еще не заражена резидентным файловым вирусом. Это обеспечивается при размещении командного процессора на защищенном от записи диске, с которого после начальной загрузки выполняется копирование на виртуальный (электронный) диск. В этом случае при вирусной атаке будет заражен дубль командного процессора на виртуальном диске. При повторной загрузке информация на виртуальном диске уничтожается, поэтому распространение вируса через командный процессор становится невозможным.
Кроме того, для защиты операционной системы может применяться нестандартный командный процессор (например, командный процессор 4DOS, разработанный фирмой J.P.Software), который более устойчив к заражению. Размещение рабочей копии командного процессора на виртуальном диске позволяет использовать его в качестве программы-ловушки. Для этого может использоваться специальная программа, которая периодически контролирует целостность командного процессора, и информирует о ее нарушении. Это позволяет организовать раннее обнаружение факта вирусной атаки.
В качестве альтернативы MS DOS было разработано несколько операционных систем, которые являются более устойчивыми к заражению. Из них следует отметить DR DOS и Hi DOS. Любая из этих систем более «вирусоустойчива», чем MS DOS. При этом, чем сложнее и опаснее вирус, тем меньше вероятность, что он будет работать на альтернативной операционной системе.
Анализ рассмотренных методов и средств защиты показывает, что эффективная защита может быть обеспечена при комплексном использовании различных средств в рамках единой операционной среды. Для этого необходимо разработать интегрированный программный комплекс, поддерживающий рассмотренную технологию защиты. В состав программного комплекса должны входить следующие компоненты.
Семейство (батарея) детекторов . Детекторы, включенные в семейство, должны запускаться из операционной среды комплекса. При этом должна быть обеспечена возможность подключения к семейству новых детекторов, а также указание параметров их запуска из диалоговой среды. С помощью данной компоненты может быть организована проверка ПО на этапе входного контроля.
Программа-ловушка вирусов . Данная программа порождается в процессе функционирования комплекса, т.е. не хранится на диске, поэтому оригинал не может быть заражен. В процессе тестирования ПЭВМ программа - ловушка неоднократно выполняется, изменяя при этом текущую дату и время (организует ускоренный календарь). Наряду с этим программа-ловушка при каждом запуске контролирует свою целостность (размер, контрольную сумму, дату и время создания). В случае обнаружения заражения программный комплекс переходит в режим анализа зараженной программы - ловушки и пытается определить тип вируса.
Программа для вакцинации . Предназначена для изменения среды функционирования вирусов таким образом, чтобы они теряли способность к размножению. Известно, что ряд вирусов помечает зараженные файлы для предотвращения повторного заражения. Используя это свойство возможно создание программы, которая обрабатывала бы файлы таким образом, чтобы вирус считал, что они уже заражены.
База данных о вирусах и их характеристиках. Предполагается, что в базе данных будет храниться информация о существующих вирусах, их особенностях и сигнатурах, а также рекомендуемая стратегия лечения. Информация из БД может использоваться при анализе зараженной программы-ловушки, а также на этапе входного контроля ПО. Кроме того, на основе информации, хранящейся в БД, можно выработать рекомендации по использованию наиболее эффективных детекторов и фагов для лечения от конкретного типа вируса.
Резидентные средства защиты. Эти средства могут резидентно разместиться в памяти и постоянно контролировать целостность системных файлов и командного процессора. Проверка может выполняться по прерываниям от таймера или при выполнении операций чтения и записи в файл.
Общая характеристика средств нейтрализации компьютерных вирусов
Наиболее распространенным средством нейтрализации компьютерных вирусов являются антивирусные программы (антивирусы). Антивирусы, исходя из реализованного в них подхода к выявлению и нейтрализации вирусов, принято делить на следующие группы (рис. 8.2):
Детекторы;
Вакцины;
Прививки;
Ревизоры;
Мониторы.
| Детекторы | Антивирусы | Мониторы | |
| Фаги | Ревизоры | ||
| Вакцины | Прививки | ||
Рис. 8.2 Классификация антивирусов
Детекторы обеспечивают выявление вирусов посредством просмотра исполняемых файлов и поиска так называемых сигнатур - устойчивых последовательностей байтов, имеющихся в телах известных вирусов. Наличие сигнатуры в каком-либо файле свидетельствует о его заражении соответствующим вирусом. Антивирус, обеспечивающий возможность поиска различных сигнатур, называют полидетектором.
Фаги выполняют функции, свойственные детекторам, но, кроме того, «излечивают» инфицированные программы посредством «выкусывания» вирусов из их тел. По аналогии с полидетекторами фаги, ориентированные на нейтрализацию различных вирусов, именуют полифагами.
В отличие от детекторов и фагов вакцины по своему принципу действия подобны вирусам. Вакцина имплантируется в защищаемую программу и запоминает ряд количественных и структурных характеристик последней. Если вакцинированная программа не была к моменту вакцинации инфицированной, то при первом же после заражения запуске произойдет следующее. Активизация вирусоносителя приведет к получению управления вирусом, который, выполнив свои целевые функции, передаст управление вакцинированной программе. В последней, в свою очередь, сначала управление получит вакцина, которая выполнит проверку соответствия запомненных ею характеристик аналогичным характеристикам, полученным в текущий момент. Если указанные наборы характеристик не совпадают, то делается вывод об изменении текста вакцинированной программы вирусом. Характеристиками, используемыми вакцинами, могут быть длина программы, ее контрольная сумма и т. д.
Принцип действия прививок основан на учете того обстоятельства, что любой вирус, как правило, помечает инфицируемые программы каким-либо признаком, с тем чтобы не выполнять их повторное заражение. В ином случае имело бы место многократное инфицирование, сопровождаемое существенным и поэтому легко обнаруживаемым увеличением объема зараженных программ. Прививка, не внося никаких других изменений в текст защищаемой программы, помечает ее тем же признаком, что и вирус, который таким образом после активизации и проверки наличия указанного признака считает ее инфицированной и «оставляет в покое».
Ревизоры обеспечивают слежение за состоянием файловой системы, используя для этого подход, аналогичный реализованному в вакцинах. Программа-ревизор в процессе своего функционирования выполняет применительно к каждому исполняемому файлу сравнение erg текущих характеристик с аналогичными характеристиками, полученными в ходе предшествующего просмотра файлов. Если при этом обнаруживается, что, согласно имеющейся системной информации, файл с момента предшествующего просмотра не обновлялся пользователем, а сравниваемые наборы характеристик не совпадают, то файл считается инфицированным. Характеристики исполняемых файлов, получаемые в ходе очередного просмотра, запоминаются в отдельном файле (файлах), в связи с чем увеличение длин исполняемых файлов, имеющее место при вакцинации, в данном случае не происходит. Другое отличие ревизоров от вакцин состоит в том, что каждый просмотр исполняемых файлов ревизором требует его повторного запуска.
Владельцы патента RU 2527738:
Изобретение относится к области антивирусной защиты. Техническим результатом является обеспечение возможности разблокировки компьютера без потери данных и перезагрузки компьютера, повышение эффективности работы антивирусных систем и соответственно повышение безопасности вычислительных систем. Способ обезвреживания вредоносных программ, блокирующих работу компьютера, предполагает использование отдельного устройства активации антивируса, предназначенного для активации пользователем процедуры противодействия вредоносному программному обеспечению и содержащего разъемы для подключения к управляющей шине, контроллер, и блок активации. Запуск процедуры разблокировки и лечения компьютера производят в ответ на полученный сигнал активации от устройства активации антивируса. Причем, упомянутая процедура разблокировки и лечения включает: исследование состояния графической подсистемы ОС, поиск всех созданных окон и рабочих столов, видимых пользователю; анализ всех процессов и потоков, выполнявшихся на компьютере на момент заражения; построение на основании собранных данных привязки каждого упомянутого окна и рабочего стола к конкретному процессу и/или иерархии процессов; анализ полученных данных о процессах и выявление в каждом из них загруженных модулей, участвующих в выполнении процесса; поиск автоматически выполняемых в процессе запуска ОС программ; формирование списка объектов, признанных вредоносными; и изолирование вредоносного объекта, удаление из конфигурационных файлов ОС ссылки на него, и удаление вредоносного процесса, порожденного объектом. 5 з.п. ф-лы, 3 ил.
Область техники
Изобретение относится к области антивирусной защиты, а более конкретно, к способу обезвреживания определенных типов вредоносного программного обеспечения (ПО).
Уровень техники
Существующие на данный момент системы защиты от вредоносного программного обеспечения позволяют определять его двумя способами:
По характерным данным, предварительно получаемым из содержимого вредоносных файлов (сигнатурам, паттернам, контрольным суммам и т.д.);
По поведению вредоносных программ (эвристические и поведенческие анализаторы).
Данные методы являются классическими и хорошо работают на известных разновидностях вредоносного программного обеспечения. К сожалению, эти методы часто бессильны против нового, только что появившегося вредоносного ПО. Первая причина этого заключается в том, что их характерных данных (сигнатур, контрольных сумм) еще нет в вирусной базе данных антивируса. Вторая - эвристические и поведенческие анализаторы не обнаруживают угрозу, поскольку при разработке вредоносной программы злоумышленники намеренно изменяли ее поведение так, чтобы она не вызывала подозрений у поведенческого анализатора антивируса. При этом зачастую такие еще неизвестные антивирусам вредоносные программы в процессе работы проявляют себя, обнаруживая свое присутствие перед пользователем, работающим на зараженном компьютере в данный момент. Примером такого поведения могут служить программы-вымогатели, блокирующие работу компьютера и требующие от пользователя с помощью, например, сообщений на экране выполнения их преступных требований (как правило, связанных с выплатой денежных средств тем или иным способом). Таким образом, заражение компьютера вредоносной программой очевидно для пользователя (от него вредоносная программа требует определенных действий), компьютер заблокирован, не позволяя нормально работать пользователю или даже запустить процедуры противодействия вредоносной программе. При этом антивирусная система не обнаруживает и не лечит заражение, поскольку не определяет новую угрозу ни по характерным признакам, ни по поведению.
Сущность изобретения
Суть настоящего изобретения заключается в запуске процедуры обезвреживания активного заражения непосредственно пользователем компьютера, обнаружившим это заражение, путем взаимодействия с работающим на зараженной системе антивирусным комплексом (АК) посредством внешнего устройства активации, подключаемого к этому компьютеру. При этом данная процедура анализирует текущее состояние (на момент активного заражения) внутренних данных операционной системы и выбирает конкретный метод противодействия «активному» вредоносному ПО. Под термином «активное вредоносное ПО» здесь и далее определяется вредоносное программное обеспечение, которое запущено на инфицированном компьютере, и выполняется на нем в данный конкретный момент времени, проявляя свое присутствие тем или иным образом.
Таким образом, использование предлагаемого способа позволяет решить описанную проблему известных антивирусных систем, при которой антивирусная система не обнаруживает и не лечит заражение, поскольку не определяет новую угрозу ни по характерным признакам, ни по поведению. Достигается это тем, что пользователю дают возможность сообщить антивирусной программе о факте заражения на заблокированном компьютере и активировать заранее процедуры поиска и обезвреживания вредоносных программ, применимые только на этапе активного заражения. При этом способ обладает следующими отличительными особенностями:
Использование отдельного периферийного устройства позволяет активировать процедуру обезвреживания в случаях, когда вредоносная программа отключила или ограничила использование традиционных средств ввода информации в компьютер, такие как клавиатура и мышь (это, например, стандартное поведение программ-вымогателей);
Процедура обезвреживания вредоносной программы и последующей разблокировки выполняется без перезагрузки компьютера и следующей из этого потери текущих несохраненных пользовательских данных;
Способ позволяет находить и удалить или отключить запуск вредоносного программного обеспечения, ранее не присутствующего в вирусной базе данных антивируса, благодаря определению самого факта заражения лично пользователем, выполнившим активацию процедуры обезвреживания, и дальнейшего автоматического анализа текущего состояния операционной системы на момент заражения;
Способ позволяет обнаруживать вредоносное ПО, не определяемое поведенческими анализаторами по его поведению, поскольку в качестве одного из основных критериев оценки вредоносности той или иной программы использует не только ее формальное поведение, но и факт поступления сигнала от пользователя (посредством применения устройства активации) и его характеристики (временные и ситуационные).
Способ позволяет упростить взаимодействие АК с пользователем, которому для активации процедуры лечения компьютера требуется лишь вставить устройство и нажать на нем кнопку, не выполняя при этом действий, требующих от него высокой квалификации в области компьютерной безопасности.
Техническим результатом предлагаемого изобретения является обеспечение возможности разблокировки компьютера без потери данных и перезагрузки компьютера, повышение эффективности работы антивирусных систем и соответственно повышение безопасности вычислительных систем.
Согласно настоящему изобретению реализован способ обезвреживания вредоносных программ, блокирующих работу компьютера, с использованием отдельного устройства активации антивируса, предназначенного для активации пользователем процедуры противодействия вредоносному программному обеспечению и содержащего разъемы для подключения к управляющей шине, контроллер, обеспечивающий программно-аппаратную логику работы устройства и осуществляющий коммуникацию по шине, и блок активации. Упомянутый способ содержит:
1. подключение к компьютеру устройства активации антивируса;
2. передачу сигнала активации с блока активации;
3. Активацию процедуры разблокировки и лечения компьютера при помощи устройства активации. При этом упомянутая процедура разблокировки и лечения включает: исследование состояния графической подсистемы ОС, поиск всех созданных окон и рабочих столов, видимых пользователю; анализ всех процессов и потоков, выполнявшихся на ПК на момент заражения; построение на основании собранных данных привязки каждого упомянутого окна и рабочего стола к конкретному процессу и/или иерархии процессов; анализ полученных данных о процессах и выявление в каждом из них загруженных модулей, участвующих в выполнении процесса; поиск автоматически выполняемых в процессе запуска ОС программ; формирование списка объектов, признанных вредоносными; и изолирование вредоносного объекта, удаление из конфигурационных файлов ОС ссылки на него, и удаление вредоносного процесса, порожденного объектом.
Краткое описание чертежей
На фиг.1 представлен схематичный пример реализации концепции устройства активации антивируса.
На фиг.2 представлены основные этапы обезвреживания вредоносной программы на примере программы-вымогателя.
На фиг.3 представлено схематичное изображение алгоритма работы процедуры разблокировки и лечения ПК.
Подробное описание изобретения
Для решения вышеозначенных и родственных задач некоторые иллюстративные аспекты описаны здесь в связи с нижеследующим описанием и прилагаемыми чертежами. Однако эти аспекты представляют лишь некоторые возможные подходы к применению раскрытых здесь принципов и призваны охватывать все подобные аспекты и их эквиваленты. Другие преимущества и признаки следуют из нижеследующего подробного описания, приведенного совместно с чертежами.
В нижеследующем описании, в целях объяснения, многочисленные конкретные детали приведены для обеспечения полного понимания изобретения. Однако очевидно, что новые варианты осуществления можно осуществлять на практике без этих конкретных деталей. В других случаях, общеизвестные процедуры, структуры и устройства показаны в виде блок-схемы для облегчения их описания.
Описание устройства активации
Устройство активации антивируса (Фиг.1), служащее для активации процедуры обезвреживания, может подключаться к компьютеру через стандартные коммуникационные шины, используемые в ПК, такие как USB, COM, LPT, (s)ATA, FireWire и прочие. При этом данное устройство имеет разъемы 1 для подключения к конкретной управляющей шине, контроллер 2, обеспечивающий программно-аппаратную логику работы устройства и осуществляющий коммуникацию по шине, и блок активации 3, который может быть выполнен в виде кнопки, сенсора, переключателя. Следует учитывать, что в данном тексте приведен лишь один из схематичных вариантов реализации такого устройства, и техническая реализация может существенно отличаться.
1. Пользователь, работая на ПК (21), вводя в него данные и создавая новые документы (26), подвергается заражению (22) программой-вымогателем, требующей у него оплаты некой суммы или выполнение каких-либо других действий для продолжения работы. При этом вредоносная программа отключает или ограничивает работу клавиатуры и мыши, не позволяя тем самым удалить вредоносную программу какими-либо ранее установленными на ПК средствами, продолжить работу и даже сохранить свои введенные данные.
2. Пользователь подключает (23) к ПК устройство (10) активации антивируса. После подключения через стандартный разъем коммуникационной шины происходит следующее:
a. устройство 10 опознается аппаратными средствами компьютера (контроллером шины, низкоуровневой системой вывода-ввода) и текущей загруженной и работающей операционной системой 28, выполняемой процессором ПК в адресном пространстве памяти ПК;
b. текущая работающая операционная система 28, исполняемая аппаратными средствами ПК, посылает соответствующий сигнал на загрузку программы управления этим устройством 10 (драйвера этого устройства).
с. программа управления (драйвер) настраивает устройство 10 для работы в текущей операционной системе 28, делая, в том числе, доступными для использования его аппаратные ресурсы.
3. Пользователь нажимает кнопку (активирует переключатель) на теле устройства 10. Это действие активирует запуск процедуры разблокировки и лечения компьютера, выполняемой на процессоре ПК и в его адресном пространстве, используя следующую последовательность событий:
а. контроллер устройства 10 получает сигнал от переключателя (кнопки), и формирует последовательность команд на коммуникационной шине;
b. команды принимаются аппаратными средствами ПК, к шине которого подключено устройство 10 (в обработке участвуют контроллер шины, система вывода-ввода), и передаются на обработку текущей выполняющейся на процессоре ПК с использованием его оперативной памяти операционной системе 28;
c. операционная система 28, получив данные для обработки, передает их соответствующему драйверу устройства 10, ранее загруженному на этапе 2.b.
d. драйвер устройства получает данные об активации переключателя от операционной системы 28 и оповещает об этом антивирусную программу, работающую на данном компьютере в текущей операционной системе 28.
е. антивирусная программа получает сигнал активации и запускает процедуру разблокировки и лечения компьютера 24. При этом такая активация с помощью стороннего устройства позволяет произвести активацию без применения стандартных средств ввода, которые заблокированы вредоносной программой.
После лечения и разблокировки компьютера пользователь информируется о завершении процедуры, и после этого может извлечь устройство 10. При этом он получает возможность дальнейшей работы 25 без потери своих данных 29, никак не пострадав от программы-вымогателя.
Процедура разблокировки и лечения компьютера, запускаемая антивирусной программой, производит действия для восстановления полноценной работы пользователя на данном ПК, выполняя при этом следующее:
a. подсистема отслеживания всех существующих окон графического пользовательского интерфейса 31 на момент активации процедуры лечения в операционной системе исследует состояние графической подсистемы операционной системы 32, находит все созданные окна и рабочие столы 33, видимые пользователю, а также процедуры обработки ввода-вывода окон, перехватывающие 34 текущий ввод-вывод пользователя 35, включая их скрытые экземпляры. Среди этих окон находятся как окна обыкновенных программ, так и окна вредоносной программы 36. Информация объединяется в списки 37, которые передаются для дальнейшей обработки.
b. подсистема мониторинга 38 диспетчера процессов ОС 39, выполняющихся на процессоре и оперативной памяти текущего ПК, встроенная в антивирусную программу, производит анализ всех процессов и потоков, выполнявшихся на компьютере на момент заражения, строя модель зависимости процессов друг от друга. Одним из таких процессов является и процесс вредоносной программы 310. На основании собранных данных строится привязка каждого окна, полученного на предыдущем этапе к конкретному процессу и/или иерархии процессов 311.
c. система анализа загруженных модулей 312 анализирует полученные данные о процессах и выявляет в каждом из них загруженные в его адресное пространство 313 модули, участвующие в выполнении процесса. Для каждого модуля с использованием диспетчера файловой системы 314 определяется файл, хранящий его содержимое. Среди этих модулей выявляется и исполняемый модуль вредоносной программы 315. Собранные данные о модулях сохраняются в списки модулей с привязкой к соответствующим им процессам и файлам 316.
d. процедура анализа автоматически запускаемых при старте операционной системы объектов 317, являющаяся частью антивирусного комплекса, осуществляет поиск автоматически выполняемых в процессе запуска операционной системы программ 318. При этом выявляется и ссылка на вредоносную программу 319 при ее наличии, и составляются списки с описанием типа ссылки и ее расположения в конфигурационных файлах ОС 320.
e. процедура анализа собранной информации 321, используя данные, собранные на этапе а, Ь, с, d, выполняет анализ текущей ситуации на основе встроенного алгоритма, создает списки кандидатов в подозрительные и вредоносные объекты. Эти списки передаются системе оценки вредоносности 322, которая на основании содержимого подозрительных объектов и дополнительной базы данных доверенных объектов 323 формирует окончательные списки объектов, признанных вредоносными. При этом могут использоваться дополнительные данные для лечения, хранящиеся в файлах данных, как на установленном компьютере, так и на внешнем активационном устройстве.
f. окончательные списки вредоносных объектов передаются подсистеме изоляции и удаления объектов 325, изолирующей сам объект, и удаляющей из конфигурационных файлов операционной системы ссылки на него, а также удаляет сам вредоносный процесс, порожденный объектом.
Пользователь, активировавший процесс разблокировки и лечения, информируется о завершении процедуры, и после этого может извлечь активационное устройство. При этом он получает возможность дальнейшей работы без потери своих данных, никак не пострадав от программы-вымогателя.
Особенностью процедуры лечения является способность выявления неизвестного ранее вредоносного программного обеспечения, поскольку используется комплексная информация о состоянии системы непосредственно в момент активации вредоносной программы. При этом пользователь выполняет важную функцию информирования (выполняя в данном случае роль эксперта) об активном заражении, т.е. служит триггером запуска процедуры в данной внештатной ситуации. После того, как получен сигнал от пользователя о заражении, данная система анализа позволяет выявить виновника без его предварительного изучения и занесения в вирусную базу данных.
Используемые в этой заявке термины "компонент" и "модуль" относятся к компьютерной сущности, которая представляет собой либо оборудование, либо комбинацию оборудования и программного обеспечения, либо программное обеспечение, либо выполняемое программное обеспечение. Например, модуль может представлять собой, но без ограничения, процесс, выполняющийся на процессоре, процессор, привод жесткого диска, множественные приводы (оптического и/или магнитного носителя), объект, выполнимый модуль, поток выполнения, программу и/или компьютер. В порядке иллюстрации модулем может быть как приложение, выполняющееся на сервере, так и сам сервер. Один или несколько модулей могут размещаться с процессе и/или потоке выполнения, и модуль может размещаться на одном компьютере и/или распределяться между двумя или несколькими компьютерами.
Хотя вышеприведенное описание относится, в целом, к компьютерным инструкциям, которые могут выполняться на одном или нескольких компьютерах, специалистам в данной области техники очевидно, что новый вариант осуществления также можно реализовать совместно с другими программными модулями и/или как комбинацию оборудования и программного обеспечения.
В общем случае, программные модули включают в себя процедуры, программы, объекты, компоненты, структуры данных и т.д., которые выполняют определенные задачи или реализуют определенные абстрактные типы данных. Кроме того, специалистам в данной области техники очевидно, что способы, отвечающие изобретению, можно осуществлять на практике посредством других конфигураций компьютерной системы, в том числе однопроцессорных или многопроцессорных компьютерных систем, миникомпьютеров, универсальных компьютеров, а также персональных компьютеров, карманных вычислительных устройств, микропроцессорных или программируемых потребительских электронных приборов и пр., каждый их которых может в ходе работы подключаться к одному или нескольким соответствующим устройствам.
Компьютер обычно включает в себя различные компьютерно-считываемые среды. Компьютерно-считываемые среды могут представлять собой любые имеющиеся среды, к которым компьютер может осуществлять доступ, и включают в себя энергозависимые и энергонезависимые среды, сменные и стационарные среды. В порядке примера, но не ограничения, компьютерно-считываемые среды могут содержать компьютерные носители данных и среды передачи данных. Компьютерные носители данных включают в себя энергозависимые и энергонезависимые, сменные и стационарные носители, реализованные с помощью любого метода или технологии для хранения информации, например компьютерно-считываемых команд, структур данных, программных модулей или других данных. Компьютерные носители данных включает в себя, но без ограничения, ОЗУ, ПЗУ, ЭСППЗУ, флэш-память или другую технологию памяти, CD-ROM, цифровые универсальные диски (DVD) или другие оптические диски, магнитные кассеты, магнитную ленту, накопитель на магнитных дисках или другие магнитные запоминающие устройства или любой другой носитель, который можно использовать для хранения полезной информации, и к которому компьютер может осуществлять доступ.
Иллюстративная вычислительная система для реализации различных аспектов включает в себя компьютер, причем компьютер включает в себя процессор, системную память и системную шину. Системная шина обеспечивает интерфейс для системных компонентов, в том числе, но без ограничения, системной памяти к процессору. Процессор может представлять собой любой из различных коммерчески доступных процессоров. В качестве процессора также можно применять двойные микропроцессоры и "другие многопроцессорные архитектуры.
Системная шина может представлять собой любую из нескольких типов шинных структур, и может дополнительно подключаться к шине памяти (с помощью контроллера памяти или без него), периферийной шине и локальной шине с использованием любых разнообразных коммерчески доступных шинных архитектур. Системная память включает в себя постоянную память (ПЗУ) и оперативную память (ОЗУ). Базовая система ввода/вывода (BIOS) хранится в энергонезависимой памяти, например ПЗУ, ЭППЗУ, ЭСППЗУ, причем BIOS содержит основные процедуры, которые помогают переносить информацию между элементами компьютера, например, при запуске. ОЗУ также может включать в себя высокоскоростное ОЗУ, например, статическое ОЗУ для кэширования данных.
Компьютер дополнительно включает в себя внутренний привод жесткого диска (HDD) (например EIDE, SATA), причем внутренний привод жесткого диска также можно приспособить для внешнего использования в подходящем корпусе (не показан), привод магнитного флоппи-диска (FDD) (например для чтения с или записи на сменную дискету) и привод оптического диска (например читающий диск CD-ROM или для чтения с или записи на другие оптические носители высокой емкости, например DVD). Привод жесткого диска, привод магнитного диска и привод оптического диска могут быть подключены к системной шине посредством интерфейса привода жесткого диска, интерфейса привода магнитного диска и интерфейса оптического привода соответственно. Интерфейс для реализаций внешнего привода включает в себя, по меньшей мере, одну или обе из технологий универсальной последовательной шины (USB) и интерфейса IEЕЕ 1394.
Приводы и соответствующие компьютерные носители данных обеспечивают энергонезависимое хранилище данных, структур данных, компьютерных инструкций и т.д. Для компьютера приводы и носители обеспечивают хранение любых данных в подходящем цифровом формате. Хотя вышеприведенное описание компьютерно-считываемых носителей относится к HDD, сменной магнитной дискете и сменным оптическим носителям, например CD или DVD, специалистам в данной области техники очевидно, что другие типы носителей, которые считываются компьютером, например zip-диски, магнитные кассеты, карты флэш-памяти, картриджи, и т.п., также можно использовать в иллюстративной операционной среде, и, кроме того, что любые такие носители могут содержать компьютерные инструкции для осуществления новых способов раскрытой архитектуры.
На приводах и ОЗУ может храниться ряд программных модулей, в том числе операционная система, один или несколько прикладные программы, другие программные модули и программные данные. Полностью или частично операционная система, приложения, модули и/или данные также могут кэшироваться в ОЗУ. Также очевидно, что раскрытую архитектуру также можно реализовать с различными коммерчески доступными операционными системами или комбинациями операционных систем.
Пользователь может вводить команды и информацию в компьютер через одно или несколько проводных/беспроводных устройств ввода, например клавиатуру и указательное устройство, например мышь. Устройства ввода/вывода могут включать в себя микрофон/громкоговорители и другое устройство, например ИК пульт управления, джойстик, игровая панель, перо, сенсорный экран и пр. Эти и другие устройства ввода нередко подключены к процессору через интерфейс устройств ввода, который подключен к системной шине, но могут подключаться посредством других интерфейсов, например параллельного порта, последовательного порта ШЕЕ 1394, игрового порта, порта USB, ИК интерфейса и т.д.
Монитор или устройство отображения другого типа также подключен к системной шине через интерфейс, например видео-адаптер. Помимо монитора, компьютер обычно включает в себя другие периферийные устройства вывода, например громкоговорители, принтеры и т.д.
Выше были описаны примеры раскрытой архитектуры. Конечно, невозможно описать все мыслимые комбинации компонентов или способов, но специалисту в данной области техники очевидно, что возможны многие дополнительные комбинации и перестановки. Соответственно, новая архитектура призвана охватывать все такие изменения, модификации и вариации, которые отвечают сущности и объему формулы изобретения. Кроме того, в той степени, в которой термин "включает в себя" используется в подробном описании или в формуле изобретения, такой термин призван быть включительным аналогично термину "содержащий", поскольку "содержащий" интерпретируется при использовании в качестве переходного слова в формуле изобретения.
1. Способ обезвреживания вредоносных программ, блокирующих работу компьютера, с использованием отдельного устройства активации антивируса, предназначенного для активации пользователем процедуры противодействия вредоносному программному обеспечению и содержащего разъемы для подключения к управляющей шине, контроллер, обеспечивающий программно-аппаратную логику работы устройства и осуществляющий коммуникацию по шине, и блок активации, причем способ содержит этапы на которых:
подключают к компьютеру устройство активации антивируса;
передают сигнал активации с блока активации; и
активируют запуск процедуры разблокировки и лечения компьютера;
причем упомянутая процедура разблокировки и лечения включает:
исследование состояния графической подсистемы ОС, поиск всех созданных окон и рабочих столов, видимых пользователю;
анализ всех процессов и потоков, выполнявшихся на компьютере на момент заражения;
построение на основании собранных данных привязки каждого упомянутого окна и рабочего стола к конкретному процессу и/или иерархии процессов;
анализ полученных данных о процессах и выявление в каждом из них загруженных модулей, участвующих в выполнении процесса;
поиск автоматически выполняемых в процессе запуска ОС программ;
формирование списка объектов, признанных вредоносными;
изолирование вредоносного объекта, удаление из конфигурационных файлов ОС ссылки на него, и удаление вредоносного процесса, порожденного объектом.
2. Способ по п.1, отличающийся тем, что устройство активации антивируса подключают к компьютеру через стандартные коммуникационные шины, используемые в персональных компьютерах (ПК), такие как USB, COM, LPT, (s)ATA, Fire Wire.
3. Способ по п.1, отличающийся тем, что блок активации выполнен в виде кнопки, сенсора, или переключателя.
4. Способ по п.1, отличающийся тем, что дополнительно содержит этапы, на которых:
опознают устройство активации антивируса аппаратными средствами компьютера и текущей загруженной и работающей ОС;
посылают соответствующий сигнал на загрузку программы управления устройством активации антивируса.
5. Способ по п.1, отличающийся тем, что данные об активации блока активации получает драйвер устройства активации антивируса, причем драйвер устройства активации антивируса оповещает об упомянутой активации антивирусную программу, работающую на компьютере в текущей ОС.
6. Способ по п.1, отличающийся тем, что упомянутое формирование списка объектов, признанных вредоносными, производят на основании содержимого подозрительных объектов и дополнительной базы данных доверенных объектов.
Похожие патенты:
Способ разрушения интегральных схем памяти носителей информации, предназначенный для предотвращения утечки информации, составляющей коммерческую тайну, при попытках несанкционированного изъятия носителей с записанной на них информацией.
Изобретение относится к технике связи и может быть использовано в морской подвижной службе для обеспечения надежного автоматического приема информации по безопасности мореплавания в коротковолновом диапазоне на борту морских судов, которые находятся в любых районах мирового океана.
Изобретение относится к вычислительной технике. Технический результат заключается в предотвращении возможности использования субъектами-нарушителями защищенной информационной системы параметров ролей.
Изобретение относится к вычислительной технике, а именно к средствам защиты идентификационных данных пользователя при доступе к веб-сайту третьего лица. Технический результат заключается в обеспечении управлением услугой многофакторной аутентификации веб-сайтов и третьего лица.
Изобретение относится к средствам управления загрузкой программного обеспечения. Технический результат заключается в повышении безопасности перед загрузкой программного обеспечения.
Изобретение относится к способу защиты данных безопасности, передаваемых передатчиком в приемник, заключающемуся в периодической передаче в приемник, поочередно с упомянутыми данными безопасности, нейтральных данных, предназначенных для недопущения фильтрации данных безопасности.
Изобретение относится к вычислительной технике, а именно к средствам защищенной связи в сети. Технический результат заключается в повышении безопасности передачи данных за счет разделения ключей на сегменты для предварительного распределительного материала создания ключа согласно переменному распределению. Способ относится к защищенной передаче информации из первого узла (N1) во второй узел (N2) сети, причем первый узел содержит материал создания ключа (KM(ID1)) первого узла, второй узел содержит материал создания ключа (KM(ID2)) второго узла, при этом каждый из материала создания ключа первого узла и материала создания ключа второго узла содержит множество совместно используемых частей прародителя ключей, сформированных сегментами совместно используемой части прародителя ключей. Сеть связи, содержащая по меньшей мере два устройства связи, реализует вышеуказанный способ. 3 н. и 10 з.п. ф-лы, 5 ил.
Изобретение относится к области систем и способов выявления факта присутствия в операционной системе вредоносных программ, которые препятствуют работе пользователя с операционной системой. Техническим результатом является выявление присутствия вредоносных программ, препятствующих взаимодействию пользователя с интерфейсом операционной системы. Для выявления фактов присутствия в операционной системе упомянутых вредоносных программ: (а) выявляют наступление события, характеризуемого нарушением во взаимодействии пользователя с интерфейсом операционной системы; (б) сравнивают текущее состояние операционной системы с шаблонами состояний, характеризующими работу операционной системы с вредоносной программой, препятствующей взаимодействию пользователя с интерфейсом операционной системы; и (в) при выявлении упомянутого события, характеризуемого нарушением во взаимодействии пользователя с интерфейсом операционной системы, и совпадении текущего состояния операционной системы с упомянутыми шаблонами состояний, характеризующими работу операционной системы с упомянутой вредоносной программой, выявляют факт присутствия этой вредоносной программы в операционной системе. 2 н. и 9 з.п. ф-лы, 6 ил.
Изобретение относится к устройствам управления цифровым контентом. Технический результат заключается в повышении безопасности доступа к цифровому контенту. Способ содержит этапы, на которых отправляют посредством первого устройства зашифрованный ключ контента второму устройству; отправляют посредством второго устройства третьему устройству данные лицензии, описывающие права на использование упомянутого цифрового контента упомянутым третьим устройством в ответ на запрос от упомянутого третьего устройства на использование упомянутого цифрового контента, при этом упомянутые данные лицензии включают в себя упомянутый зашифрованный ключ контента; и принимают посредством упомянутого третьего устройства от упомянутого первого устройства данные для дешифрования упомянутого зашифрованного ключа контента. 4 н. и 11 з.п. ф-лы, 6 ил.
Изобретение относится к области сетевой безопасности, в частности к способу и системе согласования многоадресного ключа, подходящим для системы группового вызова с технологией широкополосного доступа SCDMA (синхронный множественный доступ с кодовым разделением). Технический результат заключается в повышении безопасности услуг группового вызова, предоставляемых посредством многоадресной передачи. Технический результат достигается за счет того, что терминал пользователя (UT) согласует одноадресный ключ с базовой станцией (BS), получает ключ шифрования информации и ключ проверки целостности согласно одноадресному ключу и регистрирует на BS идентификатор служебной группы, к которой принадлежит UT; BS уведомляет UT о многоадресном ключе служебной группы, которую UT должен применить, создает пакет уведомления о многоадресном ключе и отправляет его UT; после приема пакета уведомления о многоадресном ключе, отправленном посредством BS, UT получает многоадресный ключ служебной группы, которую UT должен применить, путем дешифровки списка применений ключа служебной группы, создает пакет подтверждения многоадресного ключа и отправляет его BS; BS подтверждает, что многоадресный ключ служебной группы UT создан успешно согласно пакету подтверждения многоадресного ключа, отправленного посредством UT. 2 н. и 6 з.п. ф-лы, 1 ил.
Изобретение относится к области защиты от компьютерных угроз, а именно к средствам анализа событий запуска файлов для определения рейтинга их безопасности. Технический результат настоящего изобретения заключается в снижении времени антивирусной проверки. Назначают рейтинг безопасности, по меньшей мере, одному файлу. Регистрируют инициированный пользователем запуск, по меньшей мере, одного файла. Производят мониторинг событий в операционной системе, в том числе и событий запуска файлов. Сравнивают информацию, по меньшей мере, об одном запущенном в операционной системе файле с информацией, по меньшей мере, об одном файле, запуск которого зарегистрирован. Уменьшают рейтинг безопасности файла, если информация о регистрации его запуска отсутствует, либо увеличивают рейтинг безопасности файла, если информация о регистрации его запуска присутствует. Исключают из антивирусной проверки файлы, рейтинг безопасности которых превышает заданное пороговое значение. 2 н. и 19 з.п. ф-лы, 5 ил.
Изобретение относится к защищенному и конфиденциальному хранению и обработке резервных копий. Технический результат заключается в повышении безопасности хранения данных. В способе принимают, посредством по меньшей мере одного вычислительного устройства в первой области управления от по меньшей мере одного вычислительного устройства во второй области управления, шифрованные данные, сформированные путем шифрования данных полной резервной копии для заданного набора данных по меньшей мере одного вычислительного устройства во второй области управления согласно по меньшей мере одному алгоритму поискового шифрования на основе информации криптографических ключей, принимают, посредством по меньшей мере одного вычислительного устройства в первой области управления от по меньшей мере одного вычислительного устройства во второй области управления, шифрованные метаданные, сформированные путем анализа данных полной резервной копии и шифрования выхода анализа на основании информации криптографических ключей, принимают данные секрета, позволяющие осуществлять видимый доступ к шифрованным данным, заданным по меньшей мере одним криптографическим секретом данных секрета, и поддерживают данные синтетической полной резервной копии для заданного набора данных на основании шифрованных данных, шифрованных метаданных и данных секрета. 3 н. и 12 з.п. ф-лы, 42 ил.
Изобретение относится к вычислительной технике. Технический результат заключается в повышении эффективности оценки вредоносности кода, исполняемого в адресном пространстве доверенного процесса. Способ оценки вредоносности кода, исполняемого в адресном пространстве доверенного процесса, в котором задают признаки ненадежных процессов, критические функции и критерии вредоносности исполняемого кода; сохраняют заданные признаки ненадежных процессов, критические функции и критерии вредоносности исполняемого кода; определяют среди запущенных в операционной системе процессов ненадежный процесс по наличию заданных признаков; перехватывают вызов критической функции, осуществляемый от имени ненадежного процесса; идентифицируют исполняемый код, инициировавший вызов критической функции, путем анализа стека вызовов; признают исполняемый код вредоносным на основе анализа заданных критериев. 2 н. и 12 з.п. ф-лы, 7 ил.
Изобретение относится к системам связи и более конкретно к устройствам связи и к приложениям для подобных устройств, позволяющим назначение служб обеспечения живучести упомянутому устройству после регистрации в службе. Технический результат заключается в обеспечении непрерывности сеанса и услуги в случае сетевого отказа или отказа в предоставлении услуги за счет динамического назначения служб обеспечения живучести устройствам связи на основании текущего местоположения устройства и окружения сети передачи данных. Технический результат достигается за счет сервера центрального управления сеансом, который аутентифицирует первое устройство связи посредством оценки информации об учетной записи и назначает первый сервер обеспечения живучести первому устройству связи на основании информации о текущем местоположении, предоставленной в начальном сообщении. 3 н. и 16 з.п. ф-лы, 4 ил.
Изобретение относится к антивирусной системе. Технический результат заключается в предотвращении неавторизированного обновления антивирусной программы. Устройство хранения содержит операционный раздел, в котором хранится подлежащий сканированию файл, программа интерфейса пользователя, предназначенная только для чтения, и скрытый раздел, в котором хранится вирусный код. Процессор функционально связан с устройством отображения, причем программа интерфейса пользователя, предназначенная только для чтения, при исполнении процессором вызывает обеспечение упомянутым процессором представления интерфейса пользователя на упомянутом устройстве отображения, прием запроса доступа через упомянутый интерфейс пользователя и формирование в ответ на запрос доступа запроса подтверждения пароля для подтверждения пароля обновления программы/кода, используемого для управления обновлением антивирусной программы и вирусного кода. Антивирусное устройство осуществляет вирусное сканирование подлежащего сканированию файла в упомянутом операционном разделе на основе упомянутого вирусного кода в упомянутом скрытом разделе и включает в себя антивирусный процессор. 8 з.п. ф-лы, 4 ил.
Изобретение относится к средствам управления приложением устройств формирования изображения. Технический результат заключаются в возможности использования приложения устройства формирования изображения при изменении конфигурации устройства. Служба управления устройствами принимает запрос на получение информации о приложении для приложения, которое должно применяться, из устройства формирования изображения, генерирует и передает информацию о приложении, соответствующую устройству формирования изображения, когда информация о конфигурации устройства для устройства формирования изображения удовлетворяет условию применимости приложения, содержащемуся в информации приложения основного набора, и присутствует лицензия для использования, чтобы применять приложение в устройстве формирования изображения. 4 н. и 4 з.п. ф-лы, 25 ил.
Изобретение относится к области антивирусной защиты. Техническим результатом является обеспечение возможности разблокировки компьютера без потери данных и перезагрузки компьютера, повышение эффективности работы антивирусных систем и соответственно повышение безопасности вычислительных систем. Способ обезвреживания вредоносных программ, блокирующих работу компьютера, предполагает использование отдельного устройства активации антивируса, предназначенного для активации пользователем процедуры противодействия вредоносному программному обеспечению и содержащего разъемы для подключения к управляющей шине, контроллер, и блок активации. Запуск процедуры разблокировки и лечения компьютера производят в ответ на полученный сигнал активации от устройства активации антивируса. Причем, упомянутая процедура разблокировки и лечения включает: исследование состояния графической подсистемы ОС, поиск всех созданных окон и рабочих столов, видимых пользователю; анализ всех процессов и потоков, выполнявшихся на компьютере на момент заражения; построение на основании собранных данных привязки каждого упомянутого окна и рабочего стола к конкретному процессу иили иерархии процессов; анализ полученных данных о процессах и выявление в каждом из них загруженных модулей, участвующих в выполнении процесса; поиск автоматически выполняемых в процессе запуска ОС программ; формирование списка объектов, признанных вредоносными; и изолирование вредоносного объекта, удаление из конфигурационных файлов ОС ссылки на него, и удаление вредоносного процесса, порожденного объектом. 5 з.п. ф-лы, 3 ил.
Поиск
Мы можем оповещать вас о новых статьях,