Чтобы увидеть важную рекламу отключи блокировку рекламы! Продолжение статьи ниже:
Зловредные программы бывают разные, Malware одна из них.
С malware может столкнуться каждый, и в оценке вредности из списка, зловредные программы, я их отношу к числу не смертельные.
Разработчики (хакеры) этого зловредного ПО находят все более изощренные методы, позволяющие им устанавливать свои программы на компьютер.
Например, ошибки безопасности в программе Winamp в пределах MP4-расшифровки позволяют разработчикам зловредных программ устанавливать свои malware на ПК пользователей.
Но я поговорю о новой опасности и это malware — Dynamer. Специалисты McAfee Labs обнаружили новое семейство malware — Dynamer.
Авторы этой бяки из числа, зловредные программы, используют для атак секретную функцию «режим бога» (GodMode).
А что это такое?
Одним словом и не скажешь, но суть в том, что в одной папке появится все возможности твоего компьютера. Такой режим известен уже с времен Windows Vista.
О существовании функции GodMode известно давно. Чтобы активировать «режим бога» в Windows, нужно осуществить всего пару простых операций.
Необходимо создать на рабочем столе новую папку с именем вида GodMode.{ED7BA470-8E54-465E-825C-99712043E01C}.
«GodMode» при этом можно заменить любым другим набором символов, а вот дальнейшую последовательность изменять нельзя.
В созданной папке будут отображаться все доступные пользователю настройки ОС, в том числе и те, которые не входят в меню «Панели управления» и «Параметров». Предполагается, что это не просто «пасхалка», а функция, которую разработчики Microsoft используют для дебаггинга.
Исследователи McAfee Labs обнаружили, что бекдор Dynamer использует GodMode для атак.
Чтобы закрепиться в системе, малварь создает в реестре Windows запись, благодаря которой вредоносный процесс стартует при каждом запуске системы.
Запись в реестре выглядит следующим образом:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Runlsm = C:\Users\admin\AppData\Roaming\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}\lsm.exe
Dynamer помещается в папку com4, внутри %AppData%. Данная запись в реестре использует чуть измененную версию «режима бога», что позволяет малвари нормально функционировать.
Однако, если попытаться открыть папку:
com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B} произойдет автоматическая пере-адресации в RemoteApp and Desktop Connections.
Как можно заметить, путь GodMode немного изменен, чтобы указывать непосредственно на RemoteApp and Desktop Connections. Замена имени «GodMode» на «com4» обусловлена желанием хакеров остаться в системе навсегда.
Именно из-за этого нюанса от Dynamer крайне трудно избавиться.
«Использовать такое имя в нормальном Windows Explorer и cmd.exe запрещено. Операционная система будет относиться к такой папке как к устройству. Что помешает пользователю удалить данную директорию через “Проводник” или командную строку», — поясняет Крейг Шмугар (Craig Schmugar).
Специалисты McAfee Labs все же придумали способ избавления от вредоносной папки. Для этого понадобится выполнить команду:
> rd “\\.\%appdata%\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}” /S /Q
Пошли дальше, в знаниях, зловредные программы!
Что такое вирус?
Вирус компьютерный прикрепляется к программе или файлу и таким образом он распространяется от одного компьютера к другому.
Так же как и человеческий вирус, компьютерный может нанести как слегка раздражающий эффект (напр: торможение компьютера), так и полностью повредить операционную систему.
Так же, вирус не может распространяться без действий человека. Заражаются от вируса путем обмена зараженной программы, через флешки, диски, вложения в письмах по e-mail. Для удаления вирусов можно использовать одноразовые утилиты.
Что такое червь?
Червь, в некоторой степени он считается подклассом вирусов. Черви распространяются от компьютера к компьютеру, но в отличие от вирусов, они имеют возможность путешествовать без любого человеческого действия.
Самая большая опасность червя, является его способность копировать себя на вашей системе, тем самым может посылать сотни и тысячи копий самого себя.
Что такое троянский конь?
Троянский конь полон обмана, как это было и с мифологическим троянским конем. Троянский конь, на первый взгляд окажется полезной программой, но после запуска на ПК, все окажется совсем наоборот.
Он действует как бы обманным путем, с начала пользователь находит якобы полезную программу, из надежных источников, но после установки троян может нанести ущерб удаляя файлы и уничтожая информацию.
Но есть и трояны, не наносящие особо большого ущерба, а просто выполняет раздражающие действия, изменяя что-то на компьютере жертвы не удаляя ничего.
В отличие от вирусов и червей, трояны не размножаются путем заражения других файлов и они не самовоспроизводятся.
Методы борьбы с вредоносным ПО.
Вредоносное программное обеспечение, как уже говорилось выше, может нанести огромный ущерб вашему компьютеру, а может и натворить что-либо, что может просто раздражать пользователя.
Это может быть например просто ярлыки на флешке, а может быть и удаление каких-либо файлов с компьютера и тут придется воспользоваться восстановлением информации.
Что бы защититься от всего этого, нужно установить хороший антивирус, обновлять его периодически.
Но есть и другие лазейки для выполнения вредного умысла и попытки прибегнуть к списку под названием, зловредные программы.
Хочу обратить внимание, да, на порт вашего компьютера!
И так, у вас имеется на страже Брандмауэр. Он способен защитить персональный компьютер и сеть от незваных гостей.
Если вы не хотите устанавливать брандмауэр, но все же хотите защитить свой компьютер, то у вас есть возможность вручную закрыть тот или иной порт или блокировать определенные протоколы.
Некоторые порты и протоколы могут быть использованы для атаки на вашу систему.
Например, кто-нибудь может управлять вашим компьютером с помощью службы Telnet, если порт, через который она обычно работает (порт 23), оставлен открытым.
Во многом известный троян Back Orifice, дающий отморозкам неограниченную власть над вашей системой, использует различные порты, и порты с номерами 31337 и 31338.
Даю список портов, используемых различными троянами: port
Чтобы защитить свой компьютер, вам стоит закрыть все порты, кроме тех, которые нужны для работы, например порт 80 должен быть открыт, если вы хотите просматривать web-страницы.
Полный список стандартных портов : Service Name and Transport Protocol Port Number Registry
(http://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xhtml)
Как закрыть порты?
Чтобы вручную закрыть порты и блокировать протоколы, щелкните правой кнопкой мыши на папке Сетевое окружение (My Network Places) и выберите пункт Свойства (Properties). Откроется папка Сетевые подключения (Network Connections).
Затем щелкните правой кнопкой мыши на соединении, для которого вы хотите закрыть порты, и снова выберите Свойства. Выделите в списке строчку Протокол Интернета (TCP/IP) (Internet protocol (TCP/IP) и щелкните на кнопке Свойства (Properties).
На вкладке Общие (General) щелкните на кнопке Дополнительно (Advanced). В появившемся диалоговом окне Дополнительные параметры TCP/IP (Advanced TCP/IP Settings) перейдите на вкладку Параметры(Options), выделите строчку Фильтрация TCP/IP (TCP/IP Filtering).
Щелкните на кнопке Свойства(Properties). Появится диалоговое окно Фильтрация TCP/IP (TCP/IP filtering). Чтобы заблокировать порты TCP, UDP и протоколы IP, для каждого из них выберите пункт Только (Permit only).
Таким образом вы успешно закроете все порты TCP, UDP и заблокируете протоколы IP.
Однако закрыть все порты — это не выход.
Нужно указать системе, через какие порты можно передавать данные. Запомните, что если вы хотите просматривать web-страницы, необходимо открыть порт 80!
Чтобы открыть определенные порты или разрешить использование некоторых протоколов, щелкните на кнопке Добавить (Add).
Укажите порты и протоколы, которые вы хотите открыть, а затем нажмите ОК. Теперь будут использоваться только порты и протоколы из составленного вами списка.
Обратите внимание, что сетевые службы и приложения используют сотни различных портов TCP и UDP. Если вы разрешите только работу с web-сайтами (порт 80), то вы не сможете использовать другие ресурсы Интернета, такие как FTP, электронная почта (e-mail), совместный доступ к файлам, потоковый звук и видео и т. д.
Поэтому данный способ подходит только тогда, когда вы хотите свести к минимуму число сетевых служб и приложений, работающих на вашем компьютере.
Получение списка имеющихся в системе портов.
Существует как минимум два способа:
1. Список доступных портов можно узнать, проанализировав ключ реестра
HKEY_LOCAL_MACHINE/HARDWARE/DEVICEMAP/SERIALCOMM
2. Можно поочередно попробовать открыть порты COM1 .. COM9, таким образом удасться
установить все доступные порты (т.е. порты, не открытые другими приложениями).
Удачи, Друзья !