Зловредные программы бывают разные, Malware одна из них.

С malware может столкнуться каждый, и в оценке вредности из списка, зловредные программы, я их отношу к числу не смертельные.

Разработчики (хакеры) этого зловредного ПО находят все более изощренные методы, позволяющие им устанавливать свои программы на компьютер.

Например, ошибки безопасности в программе Winamp в пределах MP4-расшифровки позволяют разработчикам зловредных программ устанавливать свои malware на ПК пользователей.

Но я поговорю о новой опасности и это malware — Dynamer. Специалисты McAfee Labs обнаружили новое семейство malware — Dynamer.

Авторы этой бяки из числа, зловредные программы, используют для атак секретную функцию «режим бога» (GodMode).

А что это такое?

Одним словом и не скажешь, но суть в том, что в одной папке появится все возможности твоего компьютера. Такой режим известен уже с времен Windows Vista.

О существовании функции GodMode известно давно. Чтобы активировать «режим бога» в Windows, нужно осуществить всего пару простых операций.

Необходимо создать на рабочем столе новую папку с именем вида GodMode.{ED7BA470-8E54-465E-825C-99712043E01C}.
«GodMode» при этом можно заменить любым другим набором символов, а вот дальнейшую последовательность изменять нельзя.

В созданной папке будут отображаться все доступные пользователю настройки ОС, в том числе и те, которые не входят в меню «Панели управления» и «Параметров». Предполагается, что это не просто «пасхалка», а функция, которую разработчики Microsoft используют для дебаггинга.

Исследователи McAfee Labs обнаружили, что бекдор Dynamer использует GodMode для атак.

Чтобы закрепиться в системе, малварь создает в реестре Windows запись, благодаря которой вредоносный процесс стартует при каждом запуске системы.

Запись в реестре выглядит следующим образом:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Runlsm = C:\Users\admin\AppData\Roaming\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}\lsm.exe

Dynamer помещается в папку com4, внутри %AppData%. Данная запись в реестре использует чуть измененную версию «режима бога», что позволяет малвари нормально функционировать.

Однако, если попытаться открыть папку:
com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B} произойдет автоматическая пере-адресации в RemoteApp and Desktop Connections.

Как можно заметить, путь GodMode немного изменен, чтобы указывать непосредственно на RemoteApp and Desktop Connections. Замена имени «GodMode» на «com4» обусловлена желанием хакеров остаться в системе навсегда.

Именно из-за этого нюанса от Dynamer крайне трудно избавиться.

«Использовать такое имя в нормальном Windows Explorer и cmd.exe запрещено. Операционная система будет относиться к такой папке как к устройству. Что помешает пользователю удалить данную директорию через “Проводник” или командную строку», — поясняет Крейг Шмугар (Craig Schmugar).

Специалисты McAfee Labs все же придумали способ избавления от вредоносной папки. Для этого понадобится выполнить команду:

> rd “\\.\%appdata%\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}” /S /Q

Пошли дальше, в знаниях, зловредные программы!

Что такое вирус?

Вирус компьютерный прикрепляется к программе или файлу и таким образом он распространяется от одного компьютера к другому.

Так же как и человеческий вирус, компьютерный может нанести как слегка раздражающий эффект (напр: торможение компьютера), так и полностью повредить операционную систему.

Так же, вирус не может распространяться без действий человека. Заражаются от вируса путем обмена зараженной программы, через флешки, диски, вложения в письмах по e-mail. Для удаления вирусов можно использовать одноразовые утилиты.

Что такое червь?

Червь, в некоторой степени он считается подклассом вирусов. Черви распространяются от компьютера к компьютеру, но в отличие от вирусов, они имеют возможность путешествовать без любого человеческого действия.

Самая большая опасность червя, является его способность копировать себя на вашей системе, тем самым может посылать сотни и тысячи копий самого себя.

Что такое троянский конь?

Троянский конь полон обмана, как это было и с мифологическим троянским конем. Троянский конь, на первый взгляд окажется полезной программой, но после запуска на ПК, все окажется совсем наоборот.

Он действует как бы обманным путем, с начала пользователь находит якобы полезную программу, из надежных источников, но после установки троян может нанести ущерб удаляя файлы и уничтожая информацию.

Но есть и трояны, не наносящие особо большого ущерба, а просто выполняет раздражающие действия, изменяя что-то на компьютере жертвы не удаляя ничего.

В отличие от вирусов и червей, трояны не размножаются путем заражения других файлов и они не самовоспроизводятся.

Методы борьбы с вредоносным ПО.

Вредоносное программное обеспечение, как уже говорилось выше, может нанести огромный ущерб вашему компьютеру, а может и натворить что-либо, что может просто раздражать пользователя.

Это может быть например просто ярлыки на флешке, а может быть и удаление каких-либо файлов с компьютера и тут придется воспользоваться восстановлением информации.

Что бы защититься от всего этого, нужно установить хороший антивирус, обновлять его периодически.

Но есть и другие лазейки для выполнения вредного умысла и попытки прибегнуть к списку под названием, зловредные программы.

Хочу обратить внимание, да, на порт вашего компьютера!

И так, у вас имеется на страже Брандмауэр. Он способен защитить персональный компьютер и сеть от незваных гостей.

Если вы не хотите устанавливать брандмауэр, но все же хотите защитить свой компьютер, то у вас есть возможность вручную закрыть тот или иной порт или блокировать определенные протоколы.

Некоторые порты и протоколы могут быть использованы для атаки на вашу систему.

Например, кто-нибудь может управлять вашим компьютером с помощью службы Telnet, если порт, через который она обычно работает (порт 23), оставлен открытым.

Во многом известный троян Back Orifice, дающий отморозкам неограниченную власть над вашей системой, использует различные порты, и порты с номерами 31337 и 31338.

Даю список портов, используемых различными троянами: port

Чтобы защитить свой компьютер, вам стоит закрыть все порты, кроме тех, которые нужны для работы, например порт 80 должен быть открыт, если вы хотите просматривать web-страницы.

Полный список стандартных портов : Service Name and Transport Protocol Port Number Registry
(http://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xhtml)

Как закрыть порты?

Чтобы вручную закрыть порты и блокировать протоколы, щелкните правой кнопкой мыши на папке Сетевое окружение (My Network Places) и выберите пункт Свойства (Properties). Откроется папка Сетевые подключения (Network Connections).

Затем щелкните правой кнопкой мыши на соединении, для которого вы хотите закрыть порты, и снова выберите Свойства. Выделите в списке строчку Протокол Интернета (TCP/IP) (Internet protocol (TCP/IP) и щелкните на кнопке Свойства (Properties).

На вкладке Общие (General) щелкните на кнопке Дополнительно (Advanced). В появившемся диалоговом окне Дополнительные параметры TCP/IP (Advanced TCP/IP Settings) перейдите на вкладку Параметры(Options), выделите строчку Фильтрация TCP/IP (TCP/IP Filtering).

Щелкните на кнопке Свойства(Properties). Появится диалоговое окно Фильтрация TCP/IP (TCP/IP filtering). Чтобы заблокировать порты TCP, UDP и протоколы IP, для каждого из них выберите пункт Только (Permit only).

Таким образом вы успешно закроете все порты TCP, UDP и заблокируете протоколы IP.

Однако закрыть все порты — это не выход.

Нужно указать системе, через какие порты можно передавать данные. Запомните, что если вы хотите просматривать web-страницы, необходимо открыть порт 80!

Чтобы открыть определенные порты или разрешить использование некоторых протоколов, щелкните на кнопке Добавить (Add).

Укажите порты и протоколы, которые вы хотите открыть, а затем нажмите ОК. Теперь будут использоваться только порты и протоколы из составленного вами списка.

Обратите внимание, что сетевые службы и приложения используют сотни различных портов TCP и UDP. Если вы разрешите только работу с web-сайтами (порт 80), то вы не сможете использовать другие ресурсы Интернета, такие как FTP, электронная почта (e-mail), совместный доступ к файлам, потоковый звук и видео и т. д.

Поэтому данный способ подходит только тогда, когда вы хотите свести к минимуму число сетевых служб и приложений, работающих на вашем компьютере.

Получение списка имеющихся в системе портов.

Существует как минимум два способа:

1. Список доступных портов можно узнать, проанализировав ключ реестра
HKEY_LOCAL_MACHINE/HARDWARE/DEVICEMAP/SERIALCOMM

2. Можно поочередно попробовать открыть порты COM1 .. COM9, таким образом удасться
установить все доступные порты (т.е. порты, не открытые другими приложениями).

Удачи, Друзья !