Антивирусная оборона для начинающих

Уважаемые читатели, данная статья может показаться вам несколько странной, однако я все же рекомендую задуматься о том, что вы прочитаете. В этой статье, как ни странно, вы не увидите описаний настроек конкретных антивирусных программ. Более того, речи об антивирусах не будет вообще!

Почему? Да потому что антивирусное ПО - это последняя линия вашей обороны в борьбе с вредоносами! Правда об этом почему-то никто не задумывается. Почему? Не знаю. Видимо у нас в головах сложилась прочная ассоциация, что с вредоносным ПО можно бороться исключительно антивирусными средствами, благо их огромное количество. Более того, на почве вирусного заражения начались откровенные спекуляции. Появилась даже так называемая индустрия фальшивых антивирусных средств.

Итак, о чем же мы будем говорить? Речь пойдет о построении единой линии обороны. О процессе антивирусной защиты. Почему процессе? Да потому что построить однозначно защищенный компьютер невозможно. Увы, так не бывает!

Итак, вы решили купить (сменить, переустановить) компьютер.  Погодите! Задумайтесь, для чего вам нужен компьютер? Что вы будете с ним делать? Странный вопрос, не правда ли? Совсем нет! От того, для какой цели вы приобретаете ваш ПК, зависит набор приобретаемого ПО, и даже выбор ОС, как, впрочем, и выбор «железа». 

Для чего сегодня покупают ПК? Странный вопрос, не правда ли? Просмотр фильмов, фотографий, прослушивание музыки, серфинг интернет, работа в социальной сети, общение с помощью Instant Messenger (ICQ, Skype, WM) и т.д. Игрушки, в конце концов. О чем я забыл упомянуть? Работа? Это на последнем месте. 

Соответственно, и отношение к ПК будет как к холодильнику. Включил – пусть работает! Правильно ли это? Безусловно! Но ведь ваш автомобиль (стиральная машинка) нуждается в профилактике? А почему вы считаете, что не нужно обслуживать ваш ПК?

Однако вернемся к вирусам

Давайте рассмотрим пути проникновения вредоносного ПО на ваш ПК.

  1. Интернет
  2. Электронная почта
  3. IM
  4. Мобильные устройства.
  5. Сменные носители.

Что объединяет все эти каналы проникновения? Правильно. Ваш ПК.

Что можно противопоставить на уровне ПК?

  1. Резервное копирование
  2. Обновление ОС и прикладного ПО

Давайте рассмотрим это чуть внимательнее

Резервное копирование

О резервном копировании в домашних условиях было написано очень много. В том числе и мной в свое время была написана статья «Резервное копирование в домашних условиях» (http://bezmaly.wordpress.com/2010/06/28/backup2/)

Много ли пользователей этим пользуется? Думаю, нет. Позволит ли это избежать ошибок? Безусловно. А в некоторых случаях это единственный способ восстановить информацию после вирусной атаки, например, зашифровавшей весь ваш жесткий диск. Скажете это миф? Нет! Реальность еще страшнее.

Обновление 

ОС 

Об обновлении операционной системы написана масса статей. И все же пользователи этого не делают. Причина банальна. Да-да, увы. Причина эта – пиратское ПО. Большинство операционных систем, установленных на ПК, особенно на домашних ПК, сегодня – пиратские. Именно это препятствует корректному обновлению ОС, и, как следствие – распространение вирусов практически ничем не сдерживается.

Обновление прикладного ПО

До недавнего времени об обновлении прикладного ПО практически никто не задумывался. А совершенно зря!

Как показала статистика, список уязвимого ПО возглавляют Apple (iTunes, Quicktime), Microsoft (Windows, Internet Explorer), Oracle (Java) Adobe (Acrobat Reader, Flash).

И если с обновлением операционных систем, впрочем, как и с продукцией Microsoft в целом, все более-менее понятно, то о продуктах сторонних компаний такого сказать нельзя. 

Здесь на помощь пользователям придет бесплатный продукт от компании Secunia – Secunia Personal Software Inspector (PCI), который вы сможете загрузить по адресу http://secunia.com/vulnerability_scanning/personal/  

С помощью данного продукта вы сможете сканировать вашу систему на наличие продуктов, требующих обновления и более того, автоматически обновить эти продукты с сайтов компаний-производителей. Удобно? Безусловно!

И последнее, что будет касаться работы в Microsoft Windows.

Работа с минимальными правами

Об этом тоже говорилось неоднократно. Однако, тем не менее, пользователи все равно предпочитают работать с правами локального администратора.

Пора давно понять, что вирус может все то, что может пользователь, с правами которого он запущен. Вывод? Меньше прав у пользователя – меньше прав у вируса.

Эксперты фирмы BeyondTrust, специализирующейся на безопасности, проверили справедливость этой концепции. Для этого они изучили все уязвимости,  обнаруженные в прошлом году в различных версиях Windows, пакете Office и браузере Internet Explorer. Их оказалось более 200. В результате, в среднем около 60% всех брешей были устранены благодаря использованию ограниченной учетной записи. Когда речь идет о критических уязвимостях, которые могут нанести системе серьезный вред, это значение составляет уже 90% для Windows 7 и 81% для всех продуктов компании Microsoft в целом. Кроме того, по сведениям BeyondTrust, в случае с пакетом Office и Internet  Explorer данные методы ликвидируют все без исключения опасности. По-моему, стоит прислушаться к этим цифрам, не так ли?

Internet

Для минимизации ущерба с помощью данного канала стоит задуматься о выборе интернет-браузера.  Выбор, в первую очередь, будет зависеть от того, какие цели вы преследуете.

Сегодня пользователи Интернет находятся в двух шагах от заражения

По заявлению Websense большинство пользователей интернет сегодня находится всего в двух шагах от заражения вредоносным ПО.

Путь к вредоносному ПО часто начинается на весьма востребованных сайтах, так источником заражения сегодня являются:

  • Более 70 процентов основных сайтов новостей и СМИ 
  • Более 70 процентов основных форумов 
  • Более 50 процентов сайтов социальных сетей.

Websense исследовал распространенность вебсайтов, содержащих ссылки на вредоносное ПО. Эти сайты не распространяют непосредственно вредоносное ПО, однако в то время как вы находитесь на таком доверенном сайте, вы находитесь на расстоянии одного клика от зараженного сайта. Многие из основных сайтов Интернета приведут вас к злонамеренному содержанию через обширную сеть сайтов-партнеров. Поразительный способ, которым пользуются сайты с высоким уровнем риска заражения:

  • 62 процента сайтов, посвященных играм, содержат ссылки на сайты с нежелательным ПО
  • 23 процента блогов содержат ссылки на сайты с нежелательным ПО
  • 21 процент сайтов бесплатного программного обеспечения содержат ссылки на сайты с нежелательным ПО 

Сайты социальных сетей:

  • Приблизительно 40 процентов каждого обновления статуса на Facebook являются ссылками
  • 10 процентов этих ссылок являются или злонамеренными или спамовыми.

“Независимо от того, насколько вы осторожны, сегодняшний интернет-пользователь находится в двух коротких шагах от злонамеренного содержания и заражения компьютера или сети”, – говорит Чарльз Ренерт, директор, Центра исследования безопасности Websense.

Советую задуматься. Одной из основных и, вероятно, наиболее широко распространенных угроз в сети интернет является социальная инженерия, а конкретнее – фишинг.

 Что такое фишинг? 

Об этом уже было сказано немало (например, см. статью «Фишинг, вишинг, фарминг...», «Мир ПК», №12/06, с. 82). Напомню, что фишинг (рhishing) — вид интернет-мошенничества, заключающийся в рассылке электронных сообщений с целью кражи конфиденциальной информации (как правило, финансового характера). Фишинг-сообщения составляются таким образом, чтобы максимально походить на информационные письма от банковских структур или компаний с известными брендами. Письма содержат ссылку на заведомо ложный веб-ресурс, специально подготовленный злоумышленниками и являющийся копией сайта организации, от имени которой отправлено письмо. На данном фальшивом сайте пользователю предлагается ввести, например, номер своей кредитной карты и другую конфиденциальную информацию. 

Статистика фишинговых атак

Согласно отчета APWG1(Anti-Phishing Work Group) во второй половине 2009 года:   

  • Совершено 126 697 фишинговых атак, что вдвое превышает результаты первого полугодия 2009 года (55 698 атак). Под фишинговой атакой имеется ввиду использование фишингового сайта известной торговой марки. 
  • Атакующие использовали 28 775 уникальных доменных имен. За первую половину 2009 года использовано 30 131 уникальных доменных имен. 
  • Кроме того, использован в атаках 2 031 уникальный IP-адрес . Это меньше чем 3 563 в первой половине 2008 года. 

По данным антивирусных компаний, каждый день появляется от 15000 до 50000 новых зловредных программы (или около миллиона каждый месяц) – тут исследователи ссылаются на Касперского. 

По данным Trend Micro, 53% вредного ПО устанавливается через интернет-загрузку, 12% – из почты, 7% — эксплойты IFrame.

Могут ли помочь  в борьбе с фишингом браузеры? Безусловно, не только могут, но и просто должны. Давайте рассмотрим, как они с этим справляются.

Как защититься от фишинга? 

Для защиты от фишинга возможно применение следующих мер: 

  1. Внимательность самого пользователя. Мера, в принципе, правильная, однако маловероятно, что все пользователи вдруг станут внимательными. 
  2. Фишинговые фильтры в специализированном антивирусном программном обеспечении. 
  3. Фишинговые фильтры в браузерах. 

В январе 2010 года лаборатория NSS Labs провела тестирование браузеров на защищенность от атак с использованием социальной инженерии (https://www.nsslabs.com/reports/browser-security-comparative-analysis-socially-engineered-malware  ). 

При этом были получены следующие результаты: 

  • Windows Internet Explorer 10 блокировал 99.1 % угроз  
  • Safari Apple 4 блокировал 24.3 % угроз. 
  • Mozilla Firefox  блокировал 4.2 % угроз.  
  • Google Chrome  блокировал 70.4 % угроз.  

Таким образом, можно сделать вывод, что несмотря на то, что в браузерах сегодня уже появились технологии защиты от фишинга и вредоносного ПО, это не может быть единственной линией обороны от подобных атак. А, следовательно, пользователи и их ПК будут нуждаться в специализированном ПО для защиты от фишинга, которым является антивирусное ПО.

Электронная почта

Об угрозах распространения вредоносного ПО с помощью электронной почты говорят давно и много. Тем не менее, считаю необходимым снова напомнить пользователям некоторые советы:

  1. Внимательнее относитесь к письмам, особенно содержащим незапрошенные вложения
  2. Ни в коем случае не открывайте вложения в виде исполнимых файлов

IM-месенджеры

По отношению к IM-мессенджерам можно практически дать те же советы, что и к электронной почте

Мобильные устройства

Мобильные устройства могут служить великолепным каналом переноса вредоносного ПО ввиду того, что имеют гораздо больше возможностей для заражения. Да и кто из нас всерьез относится к тому что вредоносный код может быть передан, например, с помощью фотоаппарата, выступающего в роли обычного USB-носителя.

Потому здесь будут действовать все те же правила, что и на обычных съемных устройствах.

Съемные носители

По отношению к съемным носителям следует усвоить несколько правил. Автоматический запуск программ со съемных носителей должен быть запрещен.

Согласно сообщению чешского производителя антивирусного ПО Avast, одно из каждых восьми атак malware происходит через устройство USB, при этом часто используется  функция Windows AutoRun .

Компания сообщила что за последнюю неделю октября зарегистрировано 700 000 нападений, на которых установле Avast, из них 13.5 % атак осуществлено через устройства USB, такие как USBflash.

Зараженные устройства USB могут включать портативные игровые устройства, цифровые камеры, мобильные телефоны или MP3-плейеры. 

Avast убеждает пользователей не загружать PC, в которые уже подключены USB-устройства, потому что вредоносное ПО может быть загружено до некоторых антивирусных программ. Что можно рекомендовать дополнительно? Отключить функцию AutoRun на внешних устройствах. Данное решение (для USB) уже внедрено в Windows 7 по умолчанию, а в Windows XP достигается правкой реестра. Да. При этом мы получаем меньше удобств. Но скажите мне, неужели эти удобства не стоят того, чтобы повысить уровень безопасности? Как по мне – да! А как думаете вы?

Подробнее об отключении автозапуска: http://support.microsoft.com/kb/967715  

Заключение  

Надеюсь, данные советы помогут вам в создании антивирусной обороны вашего ПК. В данной статье специально не рассматривались вопросы настройки антивирусных программ, так как, по моему мнению, это последняя линия антивирусной обороны, и вопросы настройки специализированного ПО (антивирусы, файерволы) необходимо рассматривать отдельно.

Версия для печатиВерсия для печати

Рубрики: 

  • 1
  • 2
  • 3
  • 4
  • 5
Всего голосов: 0
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!

Комментарии

Страницы

Аватар пользователя Dmitry

По автозапуску дисков - действ., очень удобно пользоваться Центром решений Fix It (см. ссылку - раздел "Включение и отключение всех функций автозапуска в Windows 7 и других операционных системах"), "скопом" для Windows XP/Vista/7.

Аватар пользователя VladB

dmitry,как вы считаете, стоит ли разместить на ресурсе мою довольно старую, но на мой взгляд, все же хорошую статью по автозагрузке в Windows XP?

Аватар пользователя Dmitry

стоит ли разместить на ресурсе мою довольно старую, но на мой взгляд, все же хорошую статью по автозагрузке в Windows XP

Я бы почитал), т.к. пользуюсь и "хрюшей" и 7кой (о 7ке там тоже можно упомянуть, имхо).

Аватар пользователя VladB

А там особо нет различий. Хорошо, отдам в потрфель редакции, так как статья большая. Я на ее основе делал лбораторки для своих студентов когда-то :)

 

Аватар пользователя Al

Поправка.

"В январе 2010" - В Октябре 2012. В 2010 ещё не было IE 10.

"Отключить функцию AutoRun на внешних устройствах" - Справедливо только Win XP Pro и выше. Как раз домашние пользователи, по крайней мере штатно, это отключить не могут.

 

 

Аватар пользователя VladB

Спасибо, действительно опечатка.

Отключить можно. Microsoft выпускала для этого обновление

Аватар пользователя DA

to vladb

как вы считаете, стоит ли разместить на ресурсе мою довольно старую, но на мой взгляд, все же хорошую статью по автозагрузке в Windows XP?

Вам нужно занятся огородом, перестать публиковать старые материалы по хрюшам и антивирусным оборонам для начинающих

Аватар пользователя Al

Облазил кучу материалов. Может сейчас что-то изменилось, но версии Home не отключали автозапуск. Там и gpedit отсутствует.

Аватар пользователя VladB

Сейчас уточню. Там можно было отключить, использовав обновление. Я, безусловно, могу ошибаться, но по-моему, так. Попробую уточнить у Microsoft

Аватар пользователя VladB

Порывшись в закромах блога :) Нашел свою же статью. 

И снова вирусы на USB-носителях

8 Сентябрь 2010
 
Уж сколько говорилось о вирусах на USB-носителях. Но, как оказалось, говорилось мало…

Лаборатория PandaLabs выяснила, что в 2010 году 25% всех новых вирусов было разработано специально для распространения через USB-устройства. Вредоносное ПО подобного типа способно автоматически копировать себя на любое устройство для хранения информации: мобильный телефон, съёмные жесткие диски, DVD-диски, карты памяти, MP3/4-плееры и так далее.

Собранные данные подтверждают, что подобный способ распространения угроз очень эффективен. В рамках Второго Международного исследования уровня IT-безопасности компаний среднего и малого бизнеса, проведенного лабораторией PandaLabs, были проанализированы данные о 10 470 компаниях из 20 стран мира. Выяснилось, что 48% компаний малого и среднего бизнеса (до 1000 рабочих станций) были заражены тем или иным видом вредоносного ПО в течение последнего года. В 27% случаев подтвердилось, что причиной инфицирования стало USB-устройство, подключенное к компьютеру.

А ведь чего проще – отключить автозапуск либо с помощью групповой политики либо через реестр. И хотя сведения о таком способе отключения приводились и ранее, все же рискну напомнить еще раз.

Отключение автозапуска в Windows XP

На самом деле здесь возможны два варианта. Отключение с помощью групповой политики (для Windows XP Pro) и отключение с помощью правки реестра (Windows XP Home). Рассмотрим их оба.

Отключение путем правки реестра

Так как в Windows XP Home Edition отсутствует оснастка управления групповыми политиками, то для отключения автозапуска воспользуемся правкой реестра:

  1. Пуск -> выполнить -> regedit
  2. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies
  3. Создать новый раздел
  4. Переименовать созданный раздел в Explorer
  5. В этом разделе создать ключ NoDriveTypeAutoRun типа DWORD
  6. Допустимые значения ключа:

6.1.                           0?1 — отключить автозапуск на приводах неизвестных типов

6.2.                           0?4 — отключить автозапуск сьемных устройств

6.3.                           0?8 — отключить автозапуск НЕсьемных устройств

6.4.                           0?10 — отключить автозапуск сетевых дисков

6.5.                           0?20 — отключить автозапуск CD-приводов

6.6.                           0?40 — отключить автозапуск RAM-дисков

6.7.                           0?80 — отключить автозапуск на приводах неизвестных типов

6.8. 0xFF — отключить автозапуск вообще всех дисков.

Значения могут комбинироваться суммированием их числовых значений.

Значения по умолчанию:

0?95 — Windows 2000 и 2003 (отключен автозапуск сьемных, сетевых и неизвестных дисков)

0?91 — Windows XP (отключен автозапуск сетевых и неизвестных дисков)

Внимание: в XP Home по умолчанию этот ключ отсутствует (как и сам раздел Explorer). Для остальных версий создавать не надо, он уже есть, просто исправьте его.

Все изменения будут приняты после перезагрузки

Отключение с использованием групповой политики

Пуск – Выполнить – gpedit.msc — Конфигурация компьютера – Административные шаблоны – Система – отключить автозапуск

Для того чтобы применить групповые политики Пуск – Выполнить – gpupdate /force

Если же на вашем ПК установлена операционная система Windows 7 или Vista, то в этом случае будут небольшие отличия.

По умолчанию автозапуск с USB-устройств отключен.

Если вы используете редакции Home, то вам по прежнему нужно будет править реестр. В случае использования более старших версий вы сможете воспользоваться групповыми политиками

Параметры автозапуска в групповой политике

Пуск – в строке поиска наберите gpedit.msc и загрузите редактор групповой политики.

Конфигурация компьютера – Административные шаблоны – Компоненты Windows – Политики автозапуска.

Отключить автозапуск

Отключает возможность автозапуска.

При включенном автоматическом запуске система приступает к чтению данных сразу же после обнаружения носителя в устройстве. В результате автоматически запускаются файлы установки программ или воспроизведение музыки для звуковых носителей.

До версии Windows XP SP2 автозапуск был по умолчанию отключен для съемных носителей, таких как дискеты (но не компакт-диски), и для сетевых устройств. Начиная с Windows XP с SP2 автозапуск включен и для съемных устройств, в том числе ZIP-дисководов и некоторых USB-накопителей.

Если этот параметр включен, то можно отключить автозапуск либо только для компакт-дисков и других съемных носителей, либо для всех устройств.

Этот параметр отключает автозапуск для дополнительных типов устройств. Параметр нельзя использовать для включения автозапуска на устройствах, на которых автозапуск отключен по умолчанию.

Не устанавливать флажок «Всегда выполнять выбранное действие»

Если данная политика включена, то флажок «Всегда выполнять выбранное действие» в диалоговом окне автозапуска не будет установлен по умолчанию при отображении данного окна.

Вариант работы автозапуска по умолчанию

Установка варианта работы по умолчанию для команд автозапуска.

Команды автозапуска, как правило, хранятся в файлах autorun.inf. Они обычно запускают программы установки или выполняют другие действия.

В версиях, предшествующих Windows Vista, при вставке носителя с командами автозапуска система автоматически исполняла программу без участия пользователя.

Начиная с Windows Vista по умолчанию выдается запрос пользователю на исполнение команд автозапуска. Команды автозапуска представлены в диалоговом окне автозапуска как обработчики.

Если разрешить данную политику, администратор сможет изменить поведение Windows Vista по умолчанию для автозапуска на:

  1. Полное отключение команд автозапуска
  2. Возврат к поведению, соответствующему версиям Windows, предшествующим Windows Vista, т.е. к автоматическому исполнению команд автозапуска.

Если отключить или не задавать этот параметр политики, система будет запрашивать разрешение пользователя на исполнение команд автозапуска.

Отдельно хотелось бы обратиться к пользователям антивируса от Лаборатории Касперского. В версиях продукта 2010 и выше есть опция, которая позволяет проверять USB-устройства каждый раз при включении. Не забудьте сделать ее опцией по умолчанию. Лучше подождать пару минут, чем потом лечиться.

Удачи вам в этом нелегком деле!

Литература

При подготовке статьи использовались материалы :

  1. www.securitylab.ru
  2. Forum.ixbt.com

Страницы