Довольно болезненная тема, как оказалась, прийдётся накатать статью… 7 подарков для вируса.
1) Административные права в системе. 2) Уязвимые елементы железа и ПО. 3) Беспомощный антивирь. 4) Одинокий антивирь. 5) Старые антивирусные базы. 6) Некорректно настроенный антивирь. 7) Глупый пользователь.
Итак, рассмотрим всё по порядку…
Административные права в системе.
Итак, Вы работаете под административной учетной записью, из которой можно без проблем получить приложение с уровнем System (в принципе, что и сделал Ваш антивирус, если он, конечно, установлен)… То же самое может сделать и вирус, при этом, данное повышение прав будет делать не само ядро, которое способен опознать и обезвредить антивирус, а небольшой, скорее всего быстро-мутирующий (т.е. изменяющий себя так, что невозможно объяснить антивирусу что именно нужно ловить), вобщем, быстро-мутирующий загрузчик выполнит вполне легальное действие возведя на уровень антивируса кусок зашифрованного кода… пара преобразований и на уровне System “большая бяка”… 99% что лечения Вы не найдёте, также высокий шанс того, что антивирусная система будет выведена из строя, либо вообще не заметит опасности, либо заметит, но вылечить не сможет. Для решения проблемы достаточно не сидеть под учеткой с максимальными правами, а создать себе левую учетку. Хотите поиграться, полазить в инете? Для этого Вам не нужны права установки системных служб, а вот для большинства схем атаки сие является главным требованием (я описал довольно старый алгоритм, так что DiE KiDZ).
Уязвимые елементы железа и ПО.
Теперь второй вариант получения высоких привилегий - это уязвимости. Причем не только в ПО, но и в железе - разработчики железа и микропрограмм тоже допускают ошибки, которыми не забывают пользоваться. Вредоносная программа, локально используя RPC-DCOM получает командную строку от имени системы из-под любой учетки. Дальнейший сценарий печален и описан выше… Обновляем софт, не держим старых версий, следим за уязвимостями ПО и железа, вовремя ставим заплатки и хотфиксы.
Беспомощный антивирь.
Да, есть много антивирусных систем, которые имеют часто обновляемые базы, внимательных “лаборантов” и т.п… но… если антивирус не способен защитить сам себя, то что говорить о системе?.. Да, он защитит её от мелкой рыбёшки, но если к Вам попадёт что-нибудь серьёзное или целевое - еще один красный параграф: Вирус, определяя установленную антивирусную систему, сносит её базы, заменяет DNS адреса его серверов обновления на несуществующий хост… Баз нет, обновления начинаются, но новых файлов антивирь не находит. Атака успешна - сушите вёсла… Кроме того, антивири, которые отключаются временами… в это время большинство защитных систем отключены… результат - параграфом выше… Решение - выбиаем антивири, которые могу за себя постоять - на данный момент лучшей в данном отношении является линейка Касперских. Да, они тормозят, да они тугодумы, но они работают, причем довольно качественно. Опять-таки, стоит учитывать условия - если машина дома без нета - такая защита Вам не нужна, если же инети варез для Вас ролдные слова - решайте - стать ботом-зомби в руках какого-нибудь хакера или сохранить чистый разум и процессорные секунды…
Одинокий антивирь.
Защита должна быть комплексной и многосторонней, причем опираться не на одно ядро, как это сделано в KIS… Поставьте отдельно антивирус с функцией файрволла и отдельно файрволл с функцией антивируса. При корректной настройке всё будет работать, в то же время антивирь и файр будут прикрывать друг-друга.
Старые антивирусные базы.
Базы антивирусов - это такие “файлики” где хранятся сигнатуры - “лица” вырусов. По ним антивирус узнает - хорошая это программа или плохая… Если честно, то не наю как объяснить доходчивее… Если эти базы не обновлять, антивирус будет распознавать новые вируса, как “незнакомые” лица и пропускать их зелёным коридором…
Некорректно настроенный антивирь.
Общий принцип не знаешь - не трогай конфиг! Довольно часто попадаются машины с отключенной проверкой exe файлов… а ответом служит: “Так он же так быстрее работает!!! “…
Глупый пользователь.
Сродни ненастроенному антивирю, только хуже. Вася скачал из интернета программу, позволяющую получить ему под коврик мыши моментально 1 000 000 долларов. Внимательно изучив инструкцию, Вася узнал, что свой правильно настроенный соседом Димой антивирус надо отключить… Думаю, дальше всем понятно… А, если не понятно, то это клиника… Да, сейчас разводы, а это был именно развод лохов, поумнее… Вам предложат участие где-нибуть и ненароком поросят ввести пароли доступа в систему под админом или что угодно еще… Запомните - шары не бывает за всё нужно платить. А чем заплатите Вы в данном случае?.. Гуглите - Trojan-Proxy или Trijan-Downloader и т.п…