| StopInfection! |
|
|
|
На сайте в доступной форме изложены методы защиты от компьютерных вирусов, даны ценные рекомендации по обнаружению и уничтожению кибер-заразы… |
||||||
| Всё о кейлогах |
|
 На главную 
|
||||
Методы противодействия программам-шпионам.Для обнаружения и удаления мониторинговых программных продуктов, которые могут быть установлены без ведома пользователя ПК, в настоящее время используются программы, которые с помощью сигнатурного анализа обеспечивают более или менее эффективную защиту только против известных программ-шпионов. Для эффективной работы программ этого типа необходимо получить образец программы-шпиона, выделить из нее сигнатуру и включить ее в свою базу. При обновлении сигнатурной базы пользователи персонального компьютера получают возможность бороться сданным вариантом программы-шпиона. По такому принципу работают многие известные фирмы - производители антивирусного программного обеспечения. Но есть и другая группа программ-шпионов, которая наиболее опасна для любых автоматизированных систем - это неизвестные программы-шпионы. Они подразделяются на пять типов. 1. Программы-шпионы, разрабатываемые под эгидой правительственных организаций (пример — продукт Magic Lantern, проект под названием Cyber Knight, США). 2. Программы-шпионы, которые могут создаваться разработчиками различных операционных систем и включаться ими в состав ядра операционной системы. 3. Программы-шпионы, которые созданы в ограниченном количестве (часто только в одной или нескольких копиях) для решения конкретной задачи, связанной с похищением критической информации с компьютера пользователя (например программы, применяемые хакерами-профессионалами). Такие программы могут представлять собой немного видоизмененные открытые исходные коды программ-шпионов, взятые из Интернета и скомпилированные самим хакером, что позволяет изменить сигнатуру программы-шпиона. 4. Коммерческие, особенно, корпоративные программные продукты, которые очень редко вносятся в сигнатурные базы, а если и вносятся, то только по политическим мотивам (пример - программные продукты таких известных фирм, как WinWhat-Where Corporation, SpectorSoft Corporation, ExploreAnywhere Software LLC, Omniquad, Ltd). 5. Программы-шпионы, представляющие собой keylogging-модули, входящие в состав программ-вирусов. До внесения сигнатурных данных в вирусную базу данные модули являются неизвестными. Пример - всемирно известные вирусы, натворившие много бед в последние годы, имеющие в своем составе модуль перехвата нажатий клавиатуры и отправки полученной информации в сеть Интернет, например: • W32.Dumaru.Y@mm - http:// security response.symantec.com/ avcenter/venc/data/w32.dumaru. y@mm.html; • W32.Yaha.AB@mm - http:// security response.symantec.com/ avcenter/venc/data/w32.yaha. ab@mm.html; • W32.Bugbear.B@mm - http:// security response.symantec.com/ avcenter/venc/data/w32. bugbear. b@mm.html; • W32.HLLW.Fizzer@mm - http:// securi tyresponse.symantec.com/ avcenter/venc/data/w32.hllw. fizzer@mm.html; • W32.Badtrans.B@mm - http:// security response.symantec.com/ avcenter/venc/data/W32.Badtrans. B@mm.html. Информация о программах-шпионах первого и третьего типа, как правило (если не происходит утечки информации), нигде не публикуется, и, соответственно, их код не может быть внесен в сигнатурные базы, поэтому их не могут обнаружить никакие программные продукты, использующие сигнатурный анализ. Информация о программах-шпионах второго типа нигде не публикуется, данный код работает на уровне ядра операционной системы и, соответственно, они не могут обнаруживаться никакими приложениями. Информация о программах-шпионах четвертого типа вносится в сигнатурные базы очень редко, так как это противоречит законодательству многих стран мира. Но даже если это и происходит, то деактивировать, а тем более удалить их зачастую невозможно без разрушения операционной системы. Эти программы не имеют своих процессов, а прячутся в виде потоков в системные процессы. Они имеют режимы контроля целостности и самовосстановления после сбоев, могут работать только с памятью компьютера и не работать с жестким диском. Информация о программах-шпионах пятого типа вносится в сигна-турные базы через несколько часов или дней после начала соответствующей вирусной атаки. А за это время конфиденциальная информация пользователя персонального компьютера уже может быть украдена и отослана в Интернет на заранее подготовленный вирусописателем адрес. Что же может противопоставить пользователь персонального компьютера программам-шпионам? Решение данной проблемы возможно только в использовании комплекса программных продуктов. Программный продукт №1 - тот, который использует эвристические механизмы защиты, созданные специалистами, имеющими больший опыт борьбы с программами-шпионами. Его защита непрерывна, при этом он не использует никакие сигнатурные базы. Программный продукт №2 - антивирусный программный продукт, использующий постоянно обновляемые сигнатурные базы. Программный продукт №3 - персональный firewall, контролирующий выход в Интернет с персонального компьютера на основании установок самого пользователя. Такая последовательность выбрана неспроста. Антивирусный программный продукт успевает отреагировать на проникновение вируса с keylogging-модулем, когда уже осуществлен перехват информации, т.к. вирусная база еще не успела пополниться новой информацией, а соответственно, и обновиться на компьютере пользователя. Персональный firewall задает много вопросов, на которые даже очень хорошо подготовленный пользователь может ответить некорректно, тем самым неправильно его сконфигурировав. Например, некоторые коммерческие мониторинговые программы используют процессы программных продуктов, которым заведомо разрешен выход в Интернет (браузеры, почтовые клиенты). А это приводит к тому, что та информация, которая уже была украдена при полном бездействии антивирусной программы, спокойно будет передана в Сеть на заранее подготовленный хакером (или кем-то иным) интернет-адрес. И только программный продукт первого типа работает молча, не задавая ненужных вопросов пользователю, и осуществляет свою работу непрерывно в фоновом режиме. Антивирусных программных продуктов, использующих постоянно обновляемые сигнатурные базы, в мире создано великое множество (AVP, Dr.Web, Panda Antivirus, Norton Antivirus и многие другие). Персональных межсетевых экранов создано еще больше (Norton Internet Security, BlackICE Defender, GuardianPro Firewall, Tiny Personal Firewall и прочие). А защитные программы первого типа представлены на сегодняшний день всего лишь одним продуктом, не имеющим аналогов в мире. Он называется Priva-cyKeyboard™. PrivacyKeyboard™ блокирует работу программ-шпионов без использования сигнатурных баз. Это стало возможным благодаря тому, что были найдены решения и разработаны алгоритмы, которые позволили отличить работу программы-шпиона от любого иного приложения, которое установлено в системе. PrivacyKeyboard™ имеет в своем составе модули, обеспечивающие: • защиту от перехвата нажатий клавиш клавиатуры; • защиту от перехвата текста из окон; • защиту от снятия изображения рабочего стола; • защиту от снятия изображения активных окон. Предыдущая Следующая |
||||||
| Surviving school | ||||||
|
Всё о бэкдорах |
||||||
| AV Web Sites | ||||||
|
|
||||||
| Different | ||||||
|
|
||||||
 |
Copyright © 2005 StopInfection! All rights reserved. Design and support by Boyscout Agent boyscout@hotmail.ru |
