den huvudsakliga / Installation och installation / Allt om botnets. Det mest tillförlitliga skyddet mot nätverksvirus - Installation av pålitligt antivirus

Allt om botnets. Det mest tillförlitliga skyddet mot nätverksvirus - Installation av pålitligt antivirus

Botnet eller nätverksbots är datornätverkBestår av ett stort antal datorer där skadlig programvara är i hemlighet installerad, så att inkräktare kan på distansera alla åtgärder med hjälp av de beräknade maskinens beräkningsresurser. Hundratals eller till och med tusentals smittade datorer används vanligtvis för olagliga och skadliga aktiviteter - spam-post, virus, kidnappning eller ddosattacker. Hittills anses botnäten en av de allvarligaste cybergromsna.

Hur visas botnets?

För att din dator ska kunna bli en del av en botnet måste den vara smittad med specialiserad skadlig kod, som stöder kontakt med en fjärrserver eller med en annan infekterad anordning, vilket ger instruktioner för åtgärder från inkräktare som styr denna botnet. Förutom den imponerande omfattningen av infektion är skadlig kod som används för att skapa botnets, inte mycket annorlunda än traditionell malware.

Hur man känner igen botnet?

Hitta en typisk skadlig kod för botnet kan på samma sätt som i fallet med alla andra skadliga program. Oberoende funktioner kan vara långsamma, konstiga åtgärder, felmeddelanden eller en plötslig lansering av kylfläkten under det sätt som datorn är i vänteläge. Dessa är möjliga symptom som någon fjärr använder din dator, som har blivit en del av förgrenad botnet.

Så här tar du bort en dator från botnet?

På grund av att du tar bort datorn från botnet är det nödvändigt att ta bort den skadliga programvaran genom vilken angriparna utför fjärrkontrollen över den. Mest. effektivt sätt Det är antivirusskanning av datorns system, som hjälper till att upptäcka ett skadligt program och ta bort det från datorn.

Hur man undviker malwareinfektion, karakteristisk för en botnet:

Installera högkvalitativ antiviruslösning på din dator
Uppstart automatisk uppdatering Alla tredjepartsprogram
Var extremt försiktig när du reser, hämtar program och öppna filer

Andra sätt att skydda mot risk för att bli en del av botnet:

För att säkra din dator från risken för att bli en av de "zombies" i DaptNet-armén, försök att undvika misstänkta nedladdningar. Följ inte länkarna och öppna inte filerna i filerna från bokstäverna, vars sedsa är okända för dig och vara mycket uppmärksam när du installerar programvara från tredje part på din dator. Behålla tredje part på den uppdaterade och installera allt mesta färska uppdateringar operativ system. Det viktigaste är dock användningen av modern och högkvalitativ anti-virusskydd, t.ex, antivirus avast.Vilket kommer att säkerställa tillförlitligt skydd av en dator från alla typer av skadlig kod och hjälp för att undvika infektion på din dator och slå på den i botnet.

Ett av säkerhetsbuden, som vi redan har nämnt, är känsligt för ett eventuellt försök att fånga kontrollen över datorn.

Botnets säger när datorer av vanliga användare är föremål för kontroll av C & C-servrar (kommando och kontroll), som samlar in data och som regel skickar kommandon till zombie datorer. Inte alltid är dock en sådan server nödvändig. I fallet med P2P-botnet används ett ömsesidigt förhållande mellan zombie-datorer.

De vanligaste symptomen på datorinfektion

Det första steget som vi måste göra är att se till att vår dator visar tecken som är karakteristiska för zombie maskiner.

Dessa inkluderar:

plötsligt, en oförklarlig avmattning i datorn, upprepat beteende;
Överdriven diskaktivitet och nätverksanslutning;
plötslig förändring av berömda webbplatser;
ständigt framväxande popup-fönster, oavsett vilken plats vi ser;
förstärkt aktivitetspaketaktivitet - inklusive signaler om konstiga föreningar;
meddelanden om defeded-meddelanden e-post, såväl som meddelanden från vänner som vi skickar dem spam;
problem med lanseringen av datorn, frekventa datorn hänger, felmeddelanden;
ytterligare webbläsarprogramtillägg och filer som visas och försvinner från disken;
okända program som visas i uppgiftshanteraren, liksom expansionen av den webbläsare som du inte har installerats.

De ovan beskrivna symptomen indikerar en ökad risk, men det betyder inte att vår dator är smittad.

Anledningen till vissa beteenden kan vara dålig systemoptimering. Det kan också vara effekten av skadliga infektioner, som dock inte har någon koppling till omvandlingen av vår dator i zombiebilen.

Den första försvarslinjen - Antivirus

Transformationen av datorn i zombies är förknippad med infektionen i det skadliga programmet. Därför bläddrar du först genom datorn med antivirus. Den måste uppdateras, och skanningen ska täcka hela datorn, och inte bara systemfiler och användarprofil.

Skanna datorn Att använda antivirussystemet är hälften av framgången. En del av skadliga program som är ansvariga för att vrida datorn till zombies kan döljas med rootkits.

Att identifiera detta programvaraDu måste kontrollera din dator med alternativet "Skanna till Rucchitis".

Andra skyddslinje - brandvägg

Brandvägg används inte bara för att skydda mot intrång. Det kan användas för att blockera internettrafik efter eget gottfinnande.

Först och främst, när vi tror att vår dator är zombied, men antiviruset fann ingenting, är det värt att betala lite tid att analysera sitt beteende. Skyddsnivån i brandväggen ska installeras maximalt, såväl som Aktivera Interaktivt lägeSå att eventuella sammansatta försök har identifierats.

Då letar vi efter aktivitet som inte är relaterad till huruvida det fungerar systemansökan eller programvara som vi själva installerade. Ibland kan infektion också distribueras till systemfiler, och identifieringssystemet kommer att vara mycket komplext, så det är värt att konsultera med specialister i händelse av tvivel.

Nätverksaktivitet Det styrs också och spelas in i stockar som då kan väljas lugnt. När vi utesluter felaktigt arbetsprocesser kommer komforten för användningen av datorn att återvända till det ursprungliga tillståndet.

Ladda på datorn - du kanske inte märker detta

Moderna datorer är mycket effektiva, därför finns det risk för att du inte ens märker en överdriven belastning på datorn. Därför är det nödvändigt att begränsa vår dator med följande verktyg:

Systemuppgiftshanterare - i senaste versionerna Windows Det låter dig styra kör applikationerOch ger också data om användningen av datorresurser.

Efter att ha lanserat sändaren kan vi:

visa alla aktiva processer och identifiera orsakar deras programvara;

kontrollera belastningen på internetanslutning genom någon applikation;

visa lista över tjänster, särskilt aktivt arbete, som inte är relaterade till operativsystemet eller programvaran;

kontrollera användningen av resurser, i synnerhet processorn, minne.

Mer detaljerad information om användningen av resurser, inklusive den exakta specifikationen av aktiva nätverksanslutningar, visas i Övervaka windows-resurser . Den kan öppnas genom att klicka på "Open Resource Monitor" på fliken "Hastighet" i Aktivitetshanteraren.

Också värt att uppmärksamma följande program:

Sysinternals svit. - Detta är ett populärt paket med applikationsövervakningssystem kan ersätta systemverktyg och tack vare bekvämt gränssnitt Och dechiffrera den nödvändiga informationen blir mycket enklare. I det här paketet hittar du:
- TCPView - Visar en lista över alla aktiva anslutningar tillsammans med adresserna till måldatorerna, låter dig identifiera sin ägare (Whois Tool);
- Process Explorer. - Den utökade versionen av listan Task Dispatcher Processes, grupper enligt ansökningar, vilket gör det möjligt att utvärdera ömsesidigt beroende mellan programvara.
- Procmon - kontrollerar all aktivitet hårddisk, Registret och programvaran, låter dig behålla loggar för efterföljande analys.

De gemensamma styrkorna hos privata företag och statliga organisationer - nästa, mer avancerade och sofistikerade kommer att förändras. Som i naturen - bland datavirus och annan skadlig programvara, är det starkaste alltid vinner.

Kaspersky Lab analyserade aktiviteterna hos en av de mest intressanta botnets som för närvarande fungerar för närvarande - så kallade. Alureon, byggd på grundval av TDL-4 Rootkit (om vilken på Habbé nyligen skrev i sin blogg ESET). Och att se här, det finns faktiskt något på det - trots allt, var arkitekturen i botnet och underliggande tekniken omedelbart präglat av olika Internetpublikationer som "icke-destruktiva". 4,5 miljoner infekterade maskiner ger också en ledtråd för användningen av den använda arkitekturen.

Egentligen var TDL-4 ursprungligen utformat för att undvika förstörelse eller borttagning - lagens krafter, antivirusprogram eller konkurrerande botnets. Vid installation tar TDL-4 bäraren från datorn, allt annat är skadlig programvara, så att användaren av maskinen inte märker bilens konstiga beteende och försökte inte återställa sin normala drift. Målet är klart som en vit dag - Rukkit försöker förbli osynlig, eftersom det i de flesta situationer är användaren, och inte ett program, Notes ändras i datorns arbete (skarpa "utsläpp" av datapaket, vilket reducerar prestanda, etc.).

För att mimikret ska vara den mest effektiva, smittar rootkit (eller snarare - bukett) huvuddelen bootrekord Hårddisk (MBR) ansvarig för att ladda operativsystemet. Det innebär att Rootkit-koden laddas före operativsystemet, för att inte tala om antivirus, vilket gör det att hitta och ta bort en ännu mer nontrivial uppgift. TDL-4 krypterar också kraftverket med SSL för att undvika att detektera andra program, både användbara och skadliga.

Den mest anmärkningsvärda egenskapen hos Alureon "A är användningen av ett decentraliserat P2P-nätverkskad (används, till exempel emule) för ett meddelande mellan noder. Med hjälp, skapar det sitt eget nätverk av smittade maskiner, så att de kan byta trafik Utan att ansluta centrala servrar, såväl som hittar nya datorer. För att expandera nätverket.

Detta görs bara för att öka nätverkets stabilitet. När allt kommer omkring var alla tidigare attacker på Botnets engagerade med hjälp av de offentliga organisationerna som stänger av kommando- och kontrollcentraler från jobbet, som hände i situationen med rustock, med använda Microsoft.som bestämde platsen för de centrala noderna. Som regel är sådana servrar vanligtvis inte så många - flera dussin, men det är genom dem att spam är kontrollerad, DDOs attacker etc. Och de är också den största sårbarheten hos någon botnet.

Alureon står ut mot bakgrund av konkurrenter, för det första, eftersom den använder cirka 60 sådana centra, och för det andra är det absolut inte nödvändigt för deras oskadliga existens - DaptNet-ägaren kan styra hela nätverket även om de infekterade maskinerna inte kan "nå ut "Till servrar, som det är byggt enligt principen om peer-to-peer. Kryptering gör att du kan dölja dem, och användningen av ett decentraliserat nätverk är att ändra platsen för den centrala noden.

Naturligtvis brukade de rootkites användas för att bygga en P2P-nätverksbotnetter, men i mycket sällsynta och exceptionella situationer liknade deras storlek på vad Alureon bröt. Detta ger det inte bara flexibiliteten i kommunikation inom nätverket, utan också hög resistens mot förstörelse. Därför får tekniker som tillämpas mot andra botnät inte ha effekt mot denna individ.

Skadlig programvara gäller i sig främst genom fildelning och pornografiska platser. Ett annat sätt att infektera datorer hittades genom att skapa en DHCP-server som tvingar datorerna att använda en skadlig DNS-server som leder nätverksanvändare på sidor som innehåller rootkit. En annan anmärkningsvärd egenskap hos TDL-4-koden (känd som TDS) är "Förgiftning" av resultaten av att utfärda sökmotorer genom att skapa ytterligare proxyservrar som laddar ner programmet till datorn.

Dessutom, klassiska tjänster som skräppost och genomförandet av DDOS-attacker, erbjuder operatörerna av denna botnet en exklusiv möjlighet att använda någon dator på nätverket som en proxyserver, anonymerande internettrafik. För endast $ 100 per månad kommer du även att ge ett speciellt plugin till Firefox för att göra det lättare att använda ett sådant anonymt proxysystem.

Förstörelsen av en sådan botnet kommer att bli en svår uppgift - dess forskare pratar redan om speciellt utformade förfrågningar till servrar för att få statistik om antalet infekterade datorer - Kaspersky-specialister har hittat flera databaser i Moldavien, Litauen och USA som innehåller proxyservrar baserat på vilka botnetfunktioner.

Också i kommentarerna till jobbet sägs det i företagsnätverk (Använda HTTP \\ https proxy) infekterade maskiner kan hittas med hjälp av DNS-serverns loggar - en signal kan fungera som en DNS-fråga från maskinen till proxyservern (vanligtvis DNS-förfrågningar kommer från proxyserver).

Hej igen.
Temat för dagens artikel. Typer av datavirus, principer för deras arbete, sätt att infektion med datavirus.

Vad är i allmänhet så datavirus.

Datavirus är ett speciellt skriftligt program eller montering av algoritmer som skrivs för att: Jold, skörda någon antingen en dator, få tillgång till din dator, för att avlyssna lösenord eller utpressar pengar. Virus kan självkopiera och infektera skadliga kod dina program och filer, såväl som boot sektorer.

Typer av skadliga program.

Dela skadliga program kan vara två huvudtyper.
Virus och maskar.

Virus - Distribueras via skadlig filsom du kan ladda ner på internet, eller kan vara på en piratkopierad disk, eller ofta passera dem på Skype under ledning av användbara program (jag märkte att skolbarn ofta stötte på, de överförs påstådda lägen för att spela eller fuskar och kan faktiskt vara ett virus som kan skada).
Viruset bidrar till ett av programmen, eller maskeras av ett separat program på den plats där användarna vanligtvis inte går in (mappar med operativsystemet, dolda systemmappar).
Viruset kan inte starta sig medan du själv inte kör det infekterade programmet.
Mask Det finns redan många filer med din dator, till exempel alla EXE-filer, systemfiler, startsektorer och så vidare.
Ormar tränger oftast i systemet redan med hjälp av dina OS-sårbarheter, din webbläsare, ett specifikt program.
De kan tränga igenom chattrum, kommunikationsprogram som Skype, ICQ kan sprida via e-post.
De kan också vara på webbplatser, och använda sårbarheten i din webbläsare för att tränga in i ditt system.
Maskar kan sprida sig lokalt nätverkOm en av datorerna i nätverket kommer att smittas med den kan spridas till andra datorer som infekterar alla filer på deras väg.
Ormar försöker skriva under de mest populära programmen. Till exempel, nu den mest populära webbläsaren "Chrome", så kommer scammers att försöka skriva under det och göra skadlig kod på platser under den. Eftersom det ofta är mer intressant att infektera tusentals användare som använder ett populärt program än hundra med ett impopulärt program. Även om Chrome och ständigt förbättrar skyddet.
Bästa försvaret Från nätverksmaskdet här uppdaterar dina program och ditt operativsystem. Många försummelse uppdateringar om vad de ofta ångrar.
För några år sedan märkte jag nästa mask.

Men han fick tydligt inte via internet, men mest sannolikt genom en piratskiva. Kärnan i hans arbete var sådant - han skapade en kopia av varje mapp i en dator eller på en flash-enhet. Men i själva verket skapade han en liknande mapp en EXE-fil. När du klickar på en sådan EXE-fil sprids den ännu starkare genom systemet. Och det var bara att bli av med honom, du kommer till en vän med en flash-enhet, kasta musik från honom och återvända med en flash-enhet som är smittad med en sådan mask och igen var jag tvungen att dra tillbaka den. Huruvida det här viruset orsakade några skador på det system jag inte vet, men snart stoppade det här viruset min existens.

De viktigaste sorterna av virus.

Faktum är att det finns många arter och sorter av datorhot. Och det är helt enkelt omöjligt att överväga allt. Därför anser vi de vanligaste och mest obehagliga.
Virus är:
— Fil - är i en infekterad fil, aktiverad när användaren innehåller det här programmet, kan inte aktiveras.
— Känga - Kan laddas på ladda ner Windows En gång i Autoload, när du sätter in en flash-enhet eller liknande.
- Makrovirus - Det här är olika skript som kan vara på plats, kan skicka dem till dig via post eller i Word och Excel-dokument, utför vissa funktioner som läggs på datorn. Använd sårbarheter i dina program.

Typer av virus.
-Ranprogram
- Spies
- Extortionists
- Vandaler
- rukkty
- botnet
- Cailers.
Det här är de viktigaste typerna av hot som du kan träffas. Men i själva verket finns det mycket mer.
Vissa virus kan till och med kombineras och innehålla flera arter av dessa hot i sig.
- Trojanprogram. Namnet kommer från den trojanska hästen. Det tränger in i datorn under skytten av ofarliga program, så kan du öppna åtkomst till din dator eller skicka dina lösenord till ägaren.
Nyligen är sådana trojaner vanliga som kallas stylers (stealer). De kan stjäla sparade lösenord i din webbläsare, i postspelkunder. Omedelbart efter start, kopierar du dina lösenord och skickar dina lösenord på e-post eller för att vara värd för en angripare. Han återstår att samla in dina data, då är de antingen sålda eller använda för egna ändamål.
- Spyware (Spyware) Spåra användaråtgärder. Vilka webbplatser som är närvarande eller vad användaren gör på datorn är.
- Extortionists. Dessa inkluderar Vinlakers (WinLocker). Programmet är helt eller helt blockerar åtkomst till datorn och kräver pengar för upplåsning, att sätta på ett exempel på konto eller så vidare. I inget fall om du träffar det ska det inte skicka pengar. Datorn låser inte upp dig, och du förlorar pengar. Du har en direkt väg till Drwebs hemsida, där du kan hitta hur du låser upp många Vilorlinkers, genom att ange en viss kod eller utföra vissa åtgärder. Vissa villydrar kan hålla sig till exempel varannan dag.
- Vandaler Kan blockera tillgång till antivirusplatser och tillgång till antivirus och många andra program.
- rukkty (Rootkit) - Hybridvirus. Kan innehålla olika virus. De kan komma åt din dator, och personen har fullt tillgång till din dator, och de kan slå samman på din OS-kärna. Kom från världen UNIX-system. Du kan maskera olika virus, samla in datordata och alla datorprocesser.
- botnet En tillräckligt obehaglig sak. Batnets är stora nätverk från zombies förorenade datorer som kan användas för DDOS-webbplatser och andra cyberattacker med hjälp av smittade datorer. Denna art är mycket vanlig och det är svårt att upptäcka det, även antivirusföretag kanske inte vet under lång tid om deras existens. Många människor kan smittas med dem och inte ens misstänker det. Inte undantag du kan till och med vara.
— Cailers. (Keylogger) - tangentbord spioner. Avlägsna allt du anger från tangentbordet (webbplatser, lösenord) och skickar dem till ägaren.

Sätt att infektion med datavirus.

De viktigaste sätten att infektion.
- Operativsystemets sårbarhet.

— Sårbarhet i webbläsaren

- Kvalitet Antivirus Lame

- Användarens dumhet

- Utbytbara medier.
OS sårbarhet - Oavsett hur svårt de försöker döda skydd för OS över tiden finns det säkerhetshål. De flesta virus är skrivna under Windows eftersom det här är det mest populära operativsystemet. Det bästa skyddet uppdaterar ständigt ditt operativsystem och försöker använda en nyare version.
Webbläsare - Det händer på bekostnad av webbläsare sårbarheter, särskilt om de är gamla igen. Det behandlas också med frekventa uppdateringar. Det kan finnas problem om du svänger plugins för en webbläsare med tredje parts resurser.
Antivirus — gratis antivirus som har en mindre funktionalitet i kontrast till betald. Även om betald inte ger 100 resultat i försvar och torkning. Men det är önskvärt att ha åtminstone gratis antivirus. Jag skrev redan om gratis antivirus i den här artikeln.
Dumhet av användaren - Klicka på banners, gå igenom misstänkta länkar från bokstäver och så vidare, installera programvara från misstänkta platser.
Utbytbara bärare - Virus kan installeras automatiskt med smittade och speciellt förberedda flash-enheter och andra utbytbara medier. Inte så länge sedan, världen hörde Badusb sårbarhet.

https://avi1.ru/ - Köp mycket billig kampanj på sociala nätverk du kan på den här webbplatsen. Du kommer också att få riktigt gynnsamma erbjudanden för köp av resurser till dina sidor.

Typer av infekterade föremål.

Filer - Inficera dina program, system och vanliga filer.
Boot sektorer - Bosatt virus. Incable som det är klart från namnet på datorns startsektorer, ange din kod i en datorstart och börja när du startar operativ system. Ibland är vi välmästare att det är svårt att ta bort från uppstarten.
Makrocomands — Dokument ord., Excel och liknande. Jag använder makron och sårbarhet microsoft Office gör din skadliga kod i ditt operativsystem.

Tecken på infektion med datavirus.

Inte ett faktum att när några av dessa funktioner uppträder, innebär närvaron av ett virus i systemet. Men om de rekommenderas att kontrollera din dator med antivirus eller kontakta en specialist.
En av de vanliga tecknen - detta är en stark datoröverbelastning. När din dator långsamt fungerar, även om du inte har något som det verkar, kan program som kan värma datorn. Men om du har ett antivirus, märker antiviruserna själva ladda datorn mycket bra. Och i avsaknad av sådan programvara som kan skickas, så finns det fler virus här. I allmänhet rekommenderar jag dig att minska för att starta antalet körprogram i Autorun.

det kan också vara en av tecken på infektion.
Men inte alla virus kan värma systemet starkt, några nästan svårt att märka förändringar.
Systemfel. Förarna slutar fungera, vissa program börjar arbeta inte korrekt eller ofta flyga med ett misstag, men tidigare är det Ford att detta inte noterades. Eller börja starta om programmen ofta. Naturligtvis händer det på grund av antiviruser, till exempel, antiviruset borttagna felaktigt genom att räkna systemfilen skadad, eller raderade en riktigt infekterad fil men den var förknippad med systemfiler Program och borttagning medförde sådana fel.

Reklam i webbläsare Eller till och med på skrivbordet börjar man visa banners.
Framväxten av icke-standardiserade ljud När du arbetar med en dator (squeak, klick, nej med detta och liknande).
Öppnas av sig själv CD / DVD-enhetEller bara börjar läsa disken även om det inte finns någon disk där.
Lång integration eller inaktivera dator.
Hijet dina lösenord. Om du märker att ditt namn skickas olika spamMed din brevlåda eller sidor socialt nätverkSom sannolikheten för att viruset trängs in i din dator och överlämnas till ägarens lösenord om du märkte det här, rekommenderar jag att du kontrollerar antiviruset i obligatoriskt (även om det inte är ett faktum att det är så att angriparen mottog ditt lösenord).
Frekvent åtkomst till hårddisken. Varje dator har en indikator som blinkar när olika program använder eller vid kopiering, ladda ner, flytta filer. Till exempel aktiverade du helt enkelt en dator, men inga program används, men indikatorn börjar blinka påstådda program. Dessa är redan virus på hårddisknivån.

Det har faktiskt granskat datavirus som du kan träffas på Internet. Men i själva verket är de många gånger mer, och det är inte möjligt att helt försvara, om du inte använder internet, köp inte skivor och inkluderar inte datorn alls.