Kako skenirati veliku mrežu. Najbolji antivirusni skeneri koji ne zahtijevaju instalaciju na vašem računalu

Antivirusni skeneri su dizajnirani da skeniraju vaš računar u potrazi za zlonamernim softverom. softver, otklanjanje otkrivenih prijetnji. Aplikacija za antivirusni skener provjerava sistem nasumično i ne pruža stalnu zaštitu za računar.

Ovo pokazuje razliku između antivirusnih skenera i monitora (antivirusa). Antivirusni skener vrši jednokratno skeniranje na zahtjev, a antivirus instaliran na računaru stalno štiti računar.

Zašto su nam potrebni antivirusni programi - skeneri? Antivirusni skeneri za Windows su neophodni za skeniranje vašeg računara u slučajevima kada je u stanju mirovanja instalirane antivirusne programe ne mogu da rade svoj posao. Na primjer, bez njega je sistem počeo uvelike usporavati vidljivih razloga, počeli su se pojavljivati ​​kvarovi u radu nekih programa itd.

Moguće je da je vaš računar zaražen malverom. Stoga ima smisla provjeriti i, ako se nešto nađe, izliječiti računar i otkloniti nastale probleme.

Neki korisnici ga ne koriste antivirusne aplikacije na njihovim kompjuterima. U takvim slučajevima, trebali biste s vremena na vrijeme provjeriti sistem koristeći antivirusni skener radi prevencije.

Neki skeneri u svom radu koriste servere u oblaku sa kojima komuniciraju dok skeniraju računar. Stoga je za rad ovog tipa programa potrebna internetska veza.

Ostali antivirusni skeneri su potpuno autonomni i uključuju sve postojeće antivirusne baze podataka u trenutku preuzimanja aplikacije. Da biste izvršili novo skeniranje, trebali biste preuzeti najnoviju verziju antivirusnog skenera.

U ovom članku ćemo pogledati besplatne antivirusne skenere (nažalost, postoje i oni plaćeni programi ovog tipa) koji rade bez instalacije na računaru. Slične aplikacije imaju neke prednosti, jer postoje situacije kada, kao rezultat teške infekcije sistema, to postaje nemoguća instalacija antivirusni program na vašem računaru. Prijenosna, prijenosna verzija antivirusnog skenera omogućit će vam pokretanje programa ne samo s diska računala, već i s prenosivih medija, na primjer, s USB fleš diska.

Da biste skenirali viruse, trebali biste koristiti skener drugog proizvođača, različitog od programera antivirusnog programa instaliranog na računaru.

Ovaj priručnik predstavlja najbolje antivirusne skenere koji podržavaju ruski jezik i rade na Windows operativnom sistemu.

Dr.Web CureIt! - moćan alat za liječenje

Dr.Web CureIt! - popularni antivirusni skener za liječenje zaraženih računara od Ruska kompanija Dr.Web. Dr.Web CureIt skener detektuje različite vrste malvera i nema sukoba sa antivirusima instaliranim na računaru.

Preuzmite uslužni program za liječenje Dr.Web CureIt! sa službene web stranice Doctor Weba. Da biste ponovo skenirali računar, preuzmite najnoviju verziju programa sa najnovijim bazama podataka (ažuriranja se objavljuju često, nekoliko puta dnevno).

Kako koristiti Dr.Web CureIt uslužni program:

1. Nakon što se preuzimanje završi, pokrenite aplikaciju na svom računaru (program ima ime iz skupa znakova za suzbijanje virusa tako da ne mogu blokirati uslužni program da se pokrene na računaru).
2. Nakon pokretanja uslužnog programa
3. Kliknite na dugme „Pokreni skeniranje“ ili izaberite pojedinačne objekte za skeniranje.

Ako je zlonamjerni softver otkriven kao rezultat skeniranja sistema, dezinficirajte svoj računar na viruse.

Saznajte više o korištenju Dr.Web CureIta! pročitajte članak.

Kaspersky Virus Removal Tool - moćan antivirusni skener

Kaspersky Virus Alat za uklanjanje(KVRT) je proizvod ruske kompanije Kaspersky Lab za otkrivanje i uklanjanje virusa sa računara. Aplikacija se efikasno nosi sa zadacima koji su joj dodijeljeni.

Skinuti Kaspersky uslužni program Alat za uklanjanje virusa sa službene web stranice kompanije Kaspersky Lab. Za novo skeniranje preuzmite najnoviju verziju KVRT-a (aplikacija se ažurira nekoliko puta dnevno).

Proces skeniranja virusa u Kaspersky Virus Removal Tool odvija se u nekoliko koraka:

1. Pokrenite KVRT na svom računaru.
2. Prihvatite uslove ugovora o licenci.
3. U prozoru „Sve je spremno za skeniranje“ kliknite na dugme „Započni skeniranje“.

Primite izvještaj o skeniranju, dezinficirajte ili uklonite otkrivene zlonamjerne elemente sa vašeg računala.

Za detaljnije informacije o delo Kasperskog Alat za uklanjanje virusa idite na .

Emsisoft Emergency Kit - komplet za hitnu pomoć

Emsisoft Emergency Kit - hitni set uslužnih programa za liječenje zaraženih računara. Program uključuje nekoliko alata za suzbijanje zlonamjernog softvera: grafički alat Emergency Kit Scanner i alat Commandline Scanner, koji se pokreće iz komandne linije.

Preuzmite Emsisoft Emergency Kit sa službene web stranice novozelandske kompanije Emsisoft, a zatim slijedite ove korake:

1. Raspakujte program na računaru. Sa zadanim postavkama, folder “EEK” se kreira na “C:” disku.
2. Zatim će se otvoriti mapa s programom u kojoj trebate kliknuti na aplikaciju "Start Emergency Kit Scanner".
3. Prihvatite uslove ugovora o licenci, a zatim ažurirajte program.
4. Kliknite na dugme "Skeniraj".

1. Odaberite vrstu skeniranja: " Brza provera", "Provjeri prijetnje", "Brzo skeniranje".
2. Započnite skeniranje.
3. Otkrivene prijetnje će biti stavljene u karantin, ukloniti viruse s vašeg računala.

Pročitajte više o tome kako aplikacija Emsisoft Emergency Kit funkcionira.

ESET Online Scanner - onlajn skener virusa

ESET Online Scanner online skener da skenirate vaš računar i uklonite otkrivene pretnje sa vašeg računara. U svom radu, uslužni program koristi cloud tehnologije zaštititi od različite vrste prijetnje.

Prvo morate preuzeti ESET Online Scanner sa službene web stranice slovačke kompanije ESET.

Zatim slijedite ove korake:

1. Prihvatite ugovor o licenci.
2. Konfigurirajte postavke skeniranja.
3. Kliknite na dugme "Skeniraj".

Nakon što se skeniranje završi, uklonite pronađene prijetnje.

Pročitajte više o ESET Online Scanner-u na stranici.

F-Secure Online Scanner - skener u oblaku

F-Secure Online Scanner je online skener zasnovan na oblaku za provjeru vašeg računala na zlonamjerni softver. Aplikacija koristi antivirusnu bazu podataka u oblaku kada skenira vaš računar.

Preuzmite aplikaciju F-Secure Online Scanner sa službene web stranice finske kompanije F-Secure.

Provjerite pomoću F-Secure Online Scannera slijedeći korake:

1. Nakon pokretanja programa, prihvatite uslove licencnog ugovora.
2. Kliknite na dugme "Prihvati i potvrdi".
3. Provjerite i očistite sistem od zlonamjerne datoteke i aplikacije.

Više o radu F-Secure Online Scanner-a saznat ćete iz članka.

Norton Power Eraser - prepoznavanje virusnih prijetnji

Norton Power Eraser je alat za prepoznavanje prijetnji koje je teško otkriti običnim antivirusnim programom. Program koristi agresivne tehnologije skeniranja za identifikaciju zlonamjernog softvera.

Norton Power Eraser možete preuzeti sa službene web stranice američke kompanije Symantec.

Prilikom provjere slijedite ove korake:

1. Pokrenite program.
2. Kliknite na dugme "Skeniraj pretnje".

1. Uklonite otkrivene prijetnje.

Ako je potrebno, u Norton program Power Eraser može izvršiti napredna skeniranja.

Dostupan je detaljan članak o Norton Power Eraser-u.

Microsoft Safety Scanner - skener za viruse

Antivirusni proizvod američke korporacije - Microsoft Safety Skener otkriva i uklanja zlonamjerni softver u Windows operativnom sistemu. Da bi izvršio skeniranje, korisnik će morati preuzeti uslužni program, a zatim pokrenuti skener na računalu.

Prije preuzimanja, Microsoft stranica Sigurnosni skener službene web stranice, odaberite jezik i bitnu verziju (64-bitna ili 32-bitna) aplikacije. Antivirusni skener ostaje u funkciji 10 dana. Za sljedeće skeniranje morate preuzeti novu verziju uslužnog programa s najnovijim antivirusnim bazama podataka.

U Microsoft Safety Provjera skenera računara za viruse se vrši sledećim redosledom:

1. Trči Microsoft program Sigurnosni skener na vašem računaru.
2. Prihvatite uslove ugovora o licenci.
3. U sljedećem prozoru kliknite na dugme „Dalje“.
4. Odaberite vrstu skeniranja: “Brzo skeniranje”, “ Potpuna provjera", "Prilagođeno skeniranje".

1. Pokrenite skeniranje virusa.
2. Pričekajte da se prikažu rezultati skeniranja.
3. Ako se otkriju virusi ili drugi zlonamjerni softver, uklonite opasne objekte sa svog računala.

Pročitajte detaljan članak o Microsoft koristi Sigurnosni skener.

COMODO Cleaning Essentials - antivirusni alati

COMODO Cleaning Essentials je skup alata za identifikaciju i uklanjanje virusa i opasnih procesa sa vašeg računara. Aplikacija uključuje antivirusni skener koji detektuje Razne vrste virusi.

Preuzmite sa službene web stranice američke kompanije Comodo. Na stranici za preuzimanje odaberite radnu dubinu bita Windows sistemi instaliran na vašem računaru. Raspakujte arhivu sa aplikacijom na pogodno mesto.

Da izvršite provjeru, učinite sljedeće:

1. Prvo otvorite fasciklu pod nazivom “cce_scanner_version_number”, a zatim fasciklu “cce_x64” ili “cce_86, u zavisnosti od odabranog bitnosti sistema.
2. Kliknite na datoteku “CCE” (Aplikacija) da pokrenete program.
3. Prihvatite uslove ugovora o licenci.
4. Odaberite vrstu skeniranja: Smart Scan, Full Scan ili Custom Scan.

Nakon što se skeniranje završi, uklonite zlonamjerne elemente sa svog računara.

Zaključci članka

U članku se govori o najboljim antivirusnim skenerima koji ne zahtijevaju instalaciju na vašem računalu. Programi se mogu pokrenuti sa bilo koje pogodne lokacije na računaru, uključujući i sa prenosivih medija. Antivirusne skenere korisnik pokreće samostalno radi jednokratnog skeniranja računara. Aplikacije skeniraju sistem i uklanjaju viruse i malver sa računara.

Pokvarena mrežna kartica neće vam omogućiti pristup Internetu ili lokalnoj mreži ako se na njih povežete putem mrežnog adaptera. Mrežne kartice mogu biti ugrađene ili eksterne. Ako je kartica vanjska, provjerite da li je u potpunosti umetnuta u slot. Također provjerite nepropusnost veze mrežni kabl sa konektorom za adapter. Ako ove opcije ne rade ili imate ugrađeni mrežni adapter, najvjerovatnije je problem u postavkama sistema.

Ako internet prestane da radi. Na traci zadataka provjerite status veze. Ako je na ikoni pristupa Internetu crveni krst, onda nema veze. Pokušajte da ga uključite. Da biste to učinili, kliknite na ikonu Interneta i odaberite "Centar za mrežu i dijeljenje" zajednički pristup" Kliknite na crveni krst na dijagramu mrežna veza. Ovo će pokrenuti dijagnostički program koji će otkloniti probleme i omogućiti mrežni adapter ako je onemogućen. Kvar drajvera. Ako su upravljački programi mrežne kartice neispravno instalirani ili su oštećeni, trebali biste ih ponovo instalirati ili napraviti rollback do poslednjeg radnog stanja. Da biste to učinili, kliknite na Start, kliknite desni ključ mišem na “Computer” i odaberite “Properties” sa liste komandi. Iz menija na lijevoj strani otvorite Upravitelj uređaja. U odjeljku Mrežni adapteri vaš uređaj može biti označen uzvičnik, što znači da je u kvaru. Dvaput kliknite na adapter, izaberite karticu Driver i kliknite na dugme Vrati nazad.

Ako vraćanje ne uspije, pokušajte ažurirati vozači. Da biste to učinili, na kartici "Upravljački program" iznad gumba "Vrati se nazad", kliknite na "Ažuriraj". Odaberite Automatska pretraga. Ako vaš računar ima upravljačke programe koji rade, Windows će ih pronaći i instalirati. Ako ih nema, morat ćete ih sami preuzeti. Ponovno instaliranje drajvera. Za ugrađene mrežne adaptere, samo umetnite disk koji dolazi s vašim matična ploča, i navedite putanju ažuriranja do fascikle drajvera. Na kartici "Upravljački program" kliknite na "Ažuriraj" - "Traži i instaliraj ručno" - Put do Drivers folder na CD-u. Da biste olakšali pretraživanje, potvrdite izbor u polju za potvrdu "Uključujući podmape". Kliknite na Next. Sistem će pronaći i instalirati radne datoteke. Ako je vaša kartica eksterna i nema diska sa drajverima, morat ćete ih sami potražiti. Ovo će zahtijevati naziv mrežnog adaptera. Možete ga pronaći u Upravitelju uređaja ili čitanjem naljepnice na samoj kartici. Na računaru sa pristupom Internetu idite na ovu stranicu i unesite naziv svoje mrežne kartice u polje za pretragu. Pratite navedeni link. Odaberite upravljački program za svoju verziju Windows-a i kliknite na Preuzmi. Otvorite preuzetu datoteku i pokrenite setup.exe na računaru sa greškom mrežna kartica. Odaberite “Fix” iz menija programa. Drugi mogući problem je vaša mrežna kartica. onemogućeno i nije vidljiv u upravitelju uređaja. Ne paničite. Ako je ranije radio ispravno, možete ga ponovo uključiti. Da biste to učinili, u upravitelju uređaja kliknite desnim tasterom miša na “Mrežni adapteri” i odaberite “Ažuriraj konfiguraciju hardvera”. Plug and Play bi trebao odmah pronaći vaš uređaj i pokušati ga povezati.

Uvjerite se da je problem u mrežnoj kartici. Ako dijagnostika opisana u točki 1 nije otkrila probleme s adapterom, možda je problem s provajderom ili tehnički kvar na liniji. Redovno ažurirajte svoje drajvere i zaštitite svoju vožnju matična ploča– ovo će vam pomoći da brzo riješite probleme s vašom mrežnom karticom. Eksterne kartice može se provjeriti na drugim računarima kako bi se utvrdio uzrok problema.

Besplatni antivirusni skener ESET Online Scanner dizajniran je da skenira vaš računar na viruse na mreži. Antivirusni program Izvodi jednokratno skeniranje virusa kako bi potražio i neutralizirao zlonamjerni i potencijalno neželjeni softver.

ESET Online Scanner - šta je ovo program? ESET Online Scanner – onlajn skener za viruse za skeniranje vašeg računara na viruse i neutralisanje otkrivenih pretnji. Da bi aplikacija radila potrebna vam je stalna konekcija na Internet, jer se računar provjerava pomoću antivirusne baze podataka, koji se nalazi u “oblaku”, na udaljeni server ESET.

Aplikacija nije namijenjena za trajna zaštita računar od zlonamjernog softvera. ESET Online Scanner je jednokratno skeniranje vašeg računara. Kada koristite ESET Online Scanner, nema sukoba sa antivirusom instaliranim na vašem računaru.

Princip korištenja skenera je sljedeći: pokrenite uslužni program, jednokratna provjera i neutralizirajte prijetnje, uklonite uslužni program sa vašeg računala za sljedeće skeniranje morat ćete preuzeti najnoviju verziju antivirusni uslužni program.

Basic ESET funkcije Online skener:

• Efikasno otkrivanje svih vrsta prijetnji
• Odstranjivanje malware
• Testiranje bez instalacije na računaru
• Skenirajte cijeli računar ili skenirajte određeno područje

Besplatni program ESET Online Scanner radi na ruskom. ESET Online Scanner se može preuzeti sa službene web stranice proizvođača, poznati programer antivirusni softver, slovačka kompanija ESET Software.

ESET Online Scanner ne zahteva instalaciju na vašem računaru, a aplikacija radi na 32-bitnim i 64-bitnim verzijama operativnog sistema Windows. Samo pokrenite preuzetu datoteku, nakon provjere ovaj fajl se može izbrisati.

Odmah nakon pokretanja Eset Online Scanner, u prozoru „Uslovi korišćenja“ morate prihvatiti uslove ugovora o licenci, kliknite na dugme „Prihvatam“.

Postavke ESET Online Scannera

U prozoru "Postavke skeniranja računara" morate odabrati jednu od opcija za skeniranje vašeg računara:

• Omogućite otkrivanje potencijalno neželjenih aplikacija
• Onemogućite otkrivanje potencijalno neželjenih aplikacija

Ako omogućite otkrivanje potencijalno neželjenih aplikacija, sa stanovišta ESET Online Scannera, program će pronaći takve aplikacije prilikom skeniranja. Ako odaberete ovu opciju, izvršit će se detaljnije skeniranje vašeg računara.

Imajte na umu da potencijalno neželjene aplikacije nisu zlonamerni. Ovo su možda programi koji su vam potrebni. Prema antivirusnom uslužnom programu, potencijalno neželjene aplikacije mogu predstavljati potencijalnu prijetnju vašem računalu.

Ako je otkrivanje potencijalno opasnih aplikacija onemogućeno, ESET Online Scanner će otkriti zlonamjerni softver samo kada skenira vaš računar.

Da biste konfigurisali radne parametre programa, kliknite na "Napredno".

Ovdje možete omogućiti ili onemogućiti odvojena podešavanja postavke aplikacije, odaberite objekte za skeniranje, sami konfigurirajte proxy server. Podrazumevano odabrano optimalne postavke. Na primjer, bolje je prvo se upoznati s otkrivenim prijetnjama kako biste sami donijeli odluku, nego automatski čistiti prijetnje oslanjajući se na mišljenje programa.

U postavci “Trenutni objekti skeniranja” od vas se traži da odaberete objekte za skeniranje antivirusni uslužni program. Kliknite na dugme “Promijeni…” da odaberete objekte skeniranja.

U prozoru Select Scan Targets, možete odabrati potrebna opcija za skeniranje:

• Izmjenjivi medij - provjerite prijenosni medij spojen na računar
• Lokalni diskovi - provjeravanje lokalnih diskova
• Mrežni diskovi - provjerite mrežne pogone
• Nije odabrano

Podrazumevano, kao cilj skeniranja u ESET program Online skener uključuje skeniranje sljedećih objekata: RAM, boot sektor, svi lokalni diskovi povezani na računar.

Ovdje možete odabrati samo neke diskove ili određene mape ili datoteke za skeniranje. Da biste to učinili, poništite nepotrebne potvrdne okvire pored objekata skeniranja. Zatim odaberite datoteke i mape koje se nalaze na određenom disku. Nakon primjene promjena, kliknite na dugme “OK”.

Ako je antivirusni program instaliran na računaru koji se skenira, Eset Online Scanner će ga otkriti. Poruka o tome će se pojaviti u prozoru postavki skeniranja. Kliknite na vezu "Prikaži listu" za potpune informacije.

U ovom slučaju, ESET Online Scanner je otkrio antivirusni softver na mom računaru: Kaspersky Internet Security.

Nakon odabira postavki, kliknite na dugme “Skeniraj” da započnete skeniranje vašeg računara na viruse.

Skeniranje virusa pomoću ESET Online Scanner-a

Prvo, dolazi do inicijalizacije, kada se učitavaju baza virusnih potpisa i druge potrebne komponente. Zatim će započeti proces skeniranja vašeg računala na viruse, što će potrajati. Skeniranje na viruse možete zaustaviti u bilo kojem trenutku klikom na dugme “Stop”.

U prozoru programa vidjet ćete ponudu za preuzimanje plaćenog ESET antivirus NOD32 Smart Security. Ako ova ponuda nije relevantna, zanemarite je.

Nakon što je skeniranje završeno, ako su na računaru otkrivene prijetnje, otvorit će se prozor u kojem ćete vidjeti pronađeni zlonamjerni softver.

Ako je potrebno, možete kopirati informacije o prijetnjama u međuspremnik ili ih sačuvati na svom računaru u tekstualnoj datoteci u formatu “TXT”.

U mom slučaju, ESET Online Scanner je otkriven Trojanci u arhivi pohranjenoj na Goole Drive. Ispostavilo se da su to fajlovi WordPress tema koje sam jednom isprobao na testnoj stranici. Svojevremeno sam sačuvao fasciklu sajta u Goole Drive, tako da se ovi fajlovi i dalje čuvaju u skladištu u oblaku. U OneDrive cloud skladištu, antivirusni skener je otkrio prijetnju u nekom keygenu koji je bio na kursu obuke. Inače, Kaspersky Anti-Virus i drugi antivirusni skeneri smatraju da su ove datoteke bezbedne, pa je moguće da se radi o lažnom alarmu.

Ovisno o rezultatima skeniranja, možda nećete ništa poduzeti, tada će sve pronađene datoteke biti sačuvane na vašem računalu, odaberite sve ili samo neke datoteke da biste obrisali datoteke sa vašeg računala. Fajlovi će biti stavljeni u karantin ili izbrisani sa vašeg računara.

Ako odaberete “Ne čisti”, otvorit će se prozor s informacijama o rezultatima skeniranja. U ovom prozoru možete odabrati opciju „Izbriši podatke aplikacije prilikom zatvaranja“ da biste izbrisali podatke o virusima.

Označite kvadratiće pored otkrivenih objekata, a zatim kliknite na dugme „Obriši izabrano“ (ako su odabrani samo neki objekti) ili dugme „Obriši sve“ (ako su svi objekti izabrani).

Sljedeći prozor će prikazati informacije o rezultatima prethodna radnja korisnik sa otkrivenim fajlovima. U “Upravljanje karantenom” možete odabrati da uklonite otkrivene virusne prijetnje:

• Izbriši podatke aplikacije prilikom zatvaranja - datoteke će biti izbrisane kada se antivirusni program zatvori
• Uklonite fajlove iz karantina - fajlovi će biti izbrisani iz karantene

Karantena (izolovano, zaštićeno područje na vašem računaru) sadrži datoteke koje je otkrio ESET Online Scanner. Prvo odaberite datoteke, zatim kliknite na dugme “Nazad”, a zatim odaberite akciju: brisanje prilikom zatvaranja programa ili brisanje datoteka iz karantina.

Ako korisnik ne odabere opciju za brisanje datoteke, datoteka će ostati u karantinu.

Ako je potrebno, datoteka u karantinu se može vratiti na vaš računar. Da biste to učinili, odaberite datoteku u karantinu, a zatim kliknite na „Vrati“.

Nakon što se skeniranje završi, izađite iz programa, a zatim izbrišite datoteku skenera virusa sa svog računara. Da biste pokrenuli novo skeniranje, preuzmite novu verziju programa ESET Online Scanner na svoj računar.

Zaključak

ESET Online Scanner je besplatni antivirusni skener na mreži za otkrivanje i uklanjanje zlonamjernog softvera s vašeg računala. Program radi bez instalacije na računaru, skener skenira ceo računar ili zasebno područje, možete proveriti u aplikaciji zaseban fajl ili folder.

Problem epidemije mrežnih crva relevantan je za svaku lokalnu mrežu. Prije ili kasnije, može doći do situacije kada mrežni ili e-mail crv prodre u LAN i antivirus koji se koristi ne otkrije ga. Mrežni virusširi preko LAN-a preko ranjivosti operativnog sistema koje nisu bile zatvorene u vrijeme infekcije ili putem zajedničkih resursa dostupnih za pisanje. Virus e-pošte, kao što ime govori, širi se putem e-pošte, pod uslovom da ga ne blokiraju klijentski antivirus i antivirus na mail server. Osim toga, epidemija na LAN-u može se organizirati iznutra kao rezultat aktivnosti insajdera. U ovom članku ćemo razmotriti praktične metode za operativnu analizu LAN računara korištenjem različitih sredstava, posebno korištenjem autorskih AVZ uslužni programi.

Formulacija problema

Ako se otkrije epidemija ili neka nenormalna aktivnost na mreži, administrator mora brzo riješiti najmanje tri zadatka:

• otkriti zaražene računare na mreži;
• pronaći uzorke zlonamjernog softvera za slanje u antivirusnu laboratoriju i razviti strategiju za suprotstavljanje;
• poduzeti mjere za blokiranje širenja virusa na LAN-u i njegovo uništavanje na zaraženim računarima.

U slučaju insajderske aktivnosti, glavni koraci analize su identični i najčešće se svode na potrebu otkrivanja softvera treće strane koji je insajder instalirao na LAN računarima. Primjeri takvog softvera uključuju uslužne programe za udaljenu administraciju, keyloggere i razne trojanske oznake.

Razmotrimo detaljnije rješenje svakog od zadataka.

Potražite zaražene računare

Za traženje zaraženih računara na mreži možete koristiti najmanje tri metode:

• automatska analiza udaljenog računara - dobijanje informacija o pokrenutim procesima, učitanim bibliotekama i drajverima, traženje karakterističnih obrazaca - na primer, procesi ili datoteke sa data imena;
• Analiza PC saobraćaja pomoću njuškala - ovu metodu vrlo efikasan za hvatanje spam robota, emaila i mrežnih crva, međutim, glavna poteškoća u korištenju njuškala je zbog činjenice da je moderna LAN mreža izgrađena na bazi prekidača i, kao rezultat, administrator ne može pratiti promet cijelu mrežu. Problem se može riješiti na dva načina: pokretanjem sniffera na ruteru (koji vam omogućava da pratite razmjenu podataka između PC-a i Interneta) i korištenjem funkcija nadzora prekidača (mnogi moderni prekidači vam omogućavaju da dodijelite port za nadzor koji je dupliran saobraćaj jednog ili više portova komutatora koje je odredio administrator);
• proučavanje mrežnog opterećenja - u ovom slučaju je vrlo zgodno koristiti pametne prekidače, koji vam omogućuju ne samo procjenu opterećenja, već i daljinsko onemogućavanje portova koje je odredio administrator. Ova operacija značajno je pojednostavljeno ako administrator ima mapu mreže, koja sadrži informacije o tome koji su računari povezani na odgovarajuće portove komutatora i gde se nalaze;
• korištenje honeypota - preporučljivo je napraviti nekoliko honeypota na lokalnoj mreži koji će omogućiti administratoru da blagovremeno otkrije epidemiju.

Automatska analiza računara na mreži

Automatska PC analiza može se svesti na tri glavne faze:

• obavljanje kompletnog kompjuterskog pregleda - pokrenuti procesi, učitane biblioteke i drajveri, autorun;
• provođenje operativnih istraživanja - na primjer, traženje karakterističnih procesa ili datoteka;
• karantena objekata prema određenim kriterijumima.

Svi gore navedeni problemi mogu se riješiti korištenjem autorskog uslužnog programa AVZ, koji je dizajniran za pokretanje iz mrežne mape na serveru i podržava skriptni jezik za automatsku inspekciju računara. Da biste pokrenuli AVZ na korisničkim računarima morate:

1. Postavite AVZ u mrežni folder na serveru koji je otvoren za čitanje.
2. Kreirajte poddirektorije LOG i Qurantine u ovoj fascikli i dozvolite korisnicima da pišu u njih.
3. Pokrenite AVZ na LAN računarima koristeći uslužni program rexec ili skriptu za prijavu.

Pokretanje AVZ-a u koraku 3 treba obaviti sa sljedećim parametrima:

\\my_server\AVZ\avz.exe Prioritet=-1 nw=Y nq=Y HiddenMode=2 Script=\\my_server\AVZ\my_script.txt

U ovom slučaju, parametar Priority=-1 snižava prioritet AVZ procesa, parametri nw=Y i nq=Y prebacuju karantin u način rada „mrežno pokretanje“ (u ovom slučaju se kreira poddirektorij u mapi karantina za svaki računar čiji se naziv poklapa sa naziv mreže PC), HiddenMode=2 nalaže da se korisniku uskrati pristup GUI i AVZ kontrolama i, konačno, većina važan parametar Skripta specificira puno ime skripte sa komandama koje će AVZ izvršiti na računaru korisnika. AVZ skriptni jezik je prilično jednostavan za korištenje i fokusiran je isključivo na rješavanje problema kompjuterskog pregleda i liječenja. Da biste pojednostavili proces pisanja skripti, možete koristiti specijalizovani uređivač skripti, koji sadrži prompt na mreži, čarobnjak za kreiranje standardnih skripti i alate za proveru ispravnosti napisane skripte bez njenog pokretanja (slika 1).

Rice. 1. AVZ uređivač skripte

Pogledajmo tri tipična skripta koja mogu biti korisna u borbi protiv epidemije. Prvo, potrebna nam je skripta za PC istraživanje. Zadatak skripte je da ispita sistem i kreira protokol sa rezultatima u datom mrežnom folderu. Skripta izgleda ovako:

ActivateWatchDog(60 * 10);

// Pokreni skeniranje i analizu

// Istraživanje sistema

ExecuteSysCheck(GetAVZDirectory+

‘\LOG\’+GetComputerName+’_log.htm’);

//Shutdown AVZ

Tokom izvršavanja ove skripte, HTML fajlovi sa rezultatima istraživanja mrežnih računara biće kreirani u folderu LOG ​​(pod pretpostavkom da je kreiran u AVZ direktorijumu na serveru i dostupan korisnicima za pisanje), a da bi se osiguralo jedinstvenost, naziv računara koji se ispituje je uključen u naziv protokola. Na početku skripte nalazi se komanda za omogućavanje watchdog tajmera, koji će nasilno prekinuti AVZ proces nakon 10 minuta ako dođe do kvarova tokom izvršavanja skripte.

AVZ protokol je zgodan za ručno proučavanje, ali je od male koristi za automatsku analizu. Osim toga, administrator često zna ime datoteke zlonamjernog softvera i samo treba provjeriti prisustvo ili odsustvo ovog fajla, i ako postoji, u karantin radi analize. U ovom slučaju možete koristiti sljedeću skriptu:

// Omogući watchdog timer na 10 minuta

ActivateWatchDog(60 * 10);

// Traži malver po imenu

QuarantineFile('%WinDir%\smss.exe', 'Sumnjivo u vezi LdPinch.gen');

QuarantineFile('%WinDir%\csrss.exe', 'Sumnja na LdPinch.gen');

//Shutdown AVZ

Ova skripta koristi funkciju QuarantineFile da pokuša staviti u karantin navedene datoteke. Administrator može analizirati samo sadržaj karantina (fascikla Quarantine\ime_mreže_PC\quarantine_date\) na prisustvo datoteka u karantinu. Imajte na umu da funkcija QuarantineFile automatski blokira karantin datoteka identificiranih bezbednom AVZ bazom podataka ili Microsoft bazom podataka digitalnih potpisa. Za praktična primjena ova skripta se može poboljšati - organizirati učitavanje naziva datoteka iz vanjske tekstualne datoteke, provjeriti pronađene datoteke u odnosu na AVZ baze podataka i generirati tekstualni protokol s rezultatima rada:

// Traži datoteku sa navedenim imenom

funkcija CheckByName(Fname: string) : boolean;

Rezultat:= FileExists(FName) ;

ako Rezultat onda počnite

case CheckFile(FName) of

1: S:= ‘, pristup datoteci je blokiran’;

1: S:= ‘, otkriveno kao zlonamjerni softver (‘+GetLastCheckTxt+’)’;

2: S:= ‘, na koju skener datoteka sumnja (‘+GetLastCheckTxt+’)’;

3: izlaz; // Sigurne datoteke se zanemaruju

AddToLog(‘Datoteka ‘+NormalFileName(FName)+’ ima sumnjivo ime’+S);

//Dodati specificirani fajl u karantinu

Datoteka karantina (FName, 'sumnjiva datoteka'+S);

SuspNames: TStringList; // Lista imena sumnjivih datoteka

// Provjera datoteka u odnosu na ažuriranu bazu podataka

ako FileExists(GetAVZDirectory + 'files.db') onda počnite

SuspNames:= TStringList.Create;

SuspNames.LoadFromFile('files.db');

AddToLog('Učitana baza podataka imena - broj zapisa = '+inttostr(SuspNames.Count));

// Petlja pretraživanja

za i:= 0 do SuspNames.Count - 1 do

CheckByName(SuspNames[i]);

AddToLog('Greška pri učitavanju liste imena datoteka');

SaveLog(GetAVZDirectory+’\LOG\’+

GetComputerName+’_files.txt’);

Da bi ova skripta funkcionisala, morate kreirati direktorijume Karantena i LOG u folderu AVZ, koji su dostupni korisnicima za pisanje, kao i tekstualnu datoteku files.db - svaki red ove datoteke će sadržavati naziv sumnjive datoteke. Nazivi datoteka mogu uključivati ​​makroe, od kojih su najkorisniji %WinDir% (put do Windows folder) i %SystemRoot% (putanja do fascikle System32). Drugi pravac analize mogao bi biti automatsko ispitivanje liste procesa koji se pokreću na korisničkim računarima. Informacije o pokrenutim procesima nalaze se u protokolu za istraživanje sistema, ali je za automatsku analizu pogodnije koristiti sljedeći fragment skripte:

procedure ScanProcess;

S:= ''; S1:= '';

//Ažuriranje liste procesa

RefreshProcessList;

AddToLog(‘Broj procesa = ‘+IntToStr(GetProcessCount));

// Ciklus analize primljene liste

za i:= 0 do GetProcessCount - 1 počinje

S1:= S1 + ‘,’ + ExtractFileName(GetProcessName(i));

// Traži proces po imenu

if pos(‘trojan.exe’, LowerCase(GetProcessName(i))) > 0 onda

S:= S + GetProcessName(i)+’,’;

ako je S<>''onda

AddLineToTxtFile(GetAVZDirectory+’\LOG\_alarm.txt’, DateTimeToStr(Now)+’ ‘+GetComputerName+’ : ‘+S);

AddLineToTxtFile(GetAVZDirectory+’\LOG\_all_process.txt’, DateTimeToStr(Now)+’ ‘+GetComputerName+’ : ‘+S1);

Proučavanje procesa u ovoj skripti se izvodi kao zasebna ScanProcess procedura, tako da ga je lako smjestiti u vlastitu skriptu. ScanProcess procedura gradi dvije liste procesa: puna lista procese (za naknadnu analizu) i listu procesa koji se, sa stanovišta administratora, smatraju opasnima. U ovom slučaju, u svrhu demonstracije, proces pod nazivom "trojan.exe" smatra se opasnim. Informacije o opasnim procesima se dodaju u tekstualnu datoteku _alarm.txt, podaci o svim procesima se dodaju u datoteku _all_process.txt. Lako je uočiti da skriptu možete zakomplikovati dodavanjem, na primjer, provjeravanjem procesnih datoteka u bazi podataka sigurni fajlovi ili provjera imena izvršne datoteke procesi za eksterna baza. Sličan postupak se koristi u AVZ skriptama koje se koriste u Smolenskenergu: administrator povremeno proučava prikupljene informacije i modificira skriptu, dodajući joj nazive procesa programa zabranjenih sigurnosnom politikom, na primjer ICQ i MailRu.Agent, što omogućava možete brzo provjeriti prisustvo zabranjenog softvera na računarima koji se proučavaju. Druga upotreba liste procesa je pronalaženje računara kojima nedostaje potreban proces, kao što je antivirusni program.

U zaključku, pogledajmo posljednju od korisnih skripti za analizu - skriptu za automatsku karantenu svih datoteka koje ne prepoznaju sigurna AVZ baza podataka i Microsoftova baza digitalnih potpisa:

// Izvršiti autokarantin

ExecuteAutoQuarantine;

Automatska karantena ispituje pokrenute procese i učitane biblioteke, servise i drajvere, oko 45 metoda automatskog pokretanja, module proširenja pretraživača i istraživača, SPI/LSP rukovaoce, poslove rasporeda, rukovaoce sistema za štampanje itd. Posebna karakteristika karantene je da joj se datoteke dodaju uz kontrolu ponavljanja, tako da se funkcija autokarantina može više puta pozivati.

Prednost automatske karantene je što uz njenu pomoć administrator može brzo prikupiti potencijal sumnjive datoteke sa svih računara na mreži da ih prouči. Najjednostavniji (ali vrlo efikasan u praksi) oblik proučavanja fajlova može biti provjera primljenih karantina od strane nekoliko popularni antivirusi u maksimalnom heurističkom modu. Treba napomenuti da istovremeno pokretanje auto-karantina na nekoliko stotina računara može stvoriti veliko opterećenje na mreži i serveru datoteka.

Traffic Research

Istraživanje saobraćaja može se provesti na tri načina:

• ručno korištenjem njuškala;
• u poluautomatskom načinu rada - u ovom slučaju njuškalo prikuplja informacije, a zatim se njegovi protokoli obrađuju ili ručno ili nekim softverom;
• automatski koristeći sisteme za otkrivanje upada (IDS) kao što je Snort (http://www.snort.org/) ili njihove softverske ili hardverske analoge. U najjednostavnijem slučaju, IDS se sastoji od njuškala i sistema koji analizira informacije prikupljene pomoću njuškala.

Sistem za otkrivanje upada je optimalan alat jer vam omogućava da kreirate skupove pravila za otkrivanje anomalija u mrežnoj aktivnosti. Njegova druga prednost je sljedeća: najmoderniji IDS omogućavaju postavljanje agenata za praćenje prometa na nekoliko mrežnih čvorova – agenti prikupljaju informacije i prenose ih. U slučaju korištenja sniffera, vrlo je zgodno koristiti konzolni UNIX sniffer tcpdump. Na primjer, za praćenje aktivnosti na portu 25 ( SMTP protokol) samo pokrenite njuškalo sa komandnom linijom kao što je:

tcpdump -i em0 -l tcp port 25 > smtp_log.txt

U ovom slučaju, paketi se hvataju preko em0 interfejsa; informacije o uhvaćenim paketima će biti pohranjene u smtp_log.txt datoteci. Protokol je relativno lako analizirati ručno, u u ovom primjeru Analiza aktivnosti na portu 25 vam omogućava da identifikujete računare sa aktivnim spam botovima.

Primjena Honeypot

Može se koristiti kao zamka (Honeypot) zastarjeli kompjuter, čija izvedba ne dozvoljava da se koristi za rješavanje proizvodni zadaci. Na primjer, Pentium Pro sa 64 MB uspješno se koristi kao zamka u autorovoj mreži ram memorija. Na ovom računaru trebate instalirati najčešći LAN operativni sistem i odaberite jednu od strategija:

• Instalirajte operativni sistem bez paketa ažuriranja - to će biti pokazatelj izgleda aktivnog mrežni crv, iskorištavanje bilo koje od poznatih ranjivosti za ovaj operativni sistem;
• instalirajte operativni sistem sa ažuriranjima koja su instalirana na drugim računarima na mreži - Honeypot će biti analogan bilo kojoj od radnih stanica.

Svaka strategija ima svoje prednosti i nedostatke; Autor uglavnom koristi opciju bez ažuriranja. Nakon kreiranja Honeypot-a, trebali biste kreirati sliku diska za brz oporavak sistem nakon što ga je oštetio zlonamjerni softver. Kao alternativu za sliku diska, možete koristiti sisteme za vraćanje promjena kao što su ShadowUser i njegovi analozi. Nakon što ste napravili Honeypot, trebalo bi da uzmete u obzir da određeni broj mrežnih crva traži zaražene računare skeniranjem IP opsega, izračunatog iz IP adrese zaraženog računara (uobičajene tipične strategije su X.X.X.*, X.X.X+1.*, X.X.X-1.*), - dakle, idealno bi trebalo da postoji Honeypot na svakoj podmreži. Kao dodatne elemente pripreme, svakako treba otvoriti pristup nekoliko foldera na Honeypot sistemu, a u te foldere treba staviti nekoliko fajlova uzoraka raznim formatima, minimalni set- EXE, JPG, MP3.

Naravno, nakon što je kreirao Honeypot, administrator mora pratiti njegov rad i odgovoriti na sve anomalije otkrivene na ovaj računar. Auditori se mogu koristiti kao sredstvo za evidentiranje promjena; Važna tačka je da većina njuškala pruža mogućnost konfigurisanja slanja upozorenja administratoru ako se otkrije određena mrežna aktivnost. Na primjer, u CommView njuškalu pravilo uključuje navođenje “formule” koja opisuje mrežni paket, ili postavljanje kvantitativnih kriterijuma (slanje više od određenog broja paketa ili bajtova u sekundi, slanje paketa na neidentifikovane IP ili MAC adrese) - Sl. 2.

Rice. 2. Kreirajte i konfigurirajte upozorenje o mrežnoj aktivnosti

Kao upozorenje, najpogodnije je koristiti poruke e-pošte na koje se šalju Mailbox administrator - u ovom slučaju možete primati brza upozorenja od svih zamki u mreži. Osim toga, ako vam njuškalo omogućava kreiranje nekoliko upozorenja, ima smisla razlikovati mrežnu aktivnost, naglašavajući rad s e-poštom, FTP/HTTP, TFTP, Telnet, MS Net, povećan promet od više od 20-30 paketa u sekundi u bilo kojem protokol (slika 3) .

Rice. 3. Pismo obavještenja poslano
ako se otkriju paketi koji odgovaraju navedenim kriterijima

Prilikom organiziranja zamke, dobra je ideja na nju postaviti nekoliko ranjivih mrežnih servisa koji se koriste na mreži ili za njih instalirati emulator. Najjednostavniji (i besplatni) je vlasnički APS uslužni program koji radi bez instalacije. Princip rada APS-a se svodi na slušanje mnogih TCP i UDP portova opisanih u njegovoj bazi podataka i izdavanje unapred određenog ili nasumično generisanog odgovora u trenutku povezivanja (slika 4).

Rice. 4. Glavni prozor APS uslužnog programa

Slika prikazuje snimak ekrana napravljen tokom prave APS aktivacije na Smolenskenergo LAN. Kao što se može vidjeti na slici, pokušaj povezivanja jednog od klijentski računari na portu 21. Analiza protokola je pokazala da su pokušaji periodični i evidentirani od strane nekoliko zamki na mreži, što nam omogućava da zaključimo da se mreža skenira radi traženja i hakovanja FTP servera pogađanjem lozinki. APS vodi evidenciju i može slati poruke administratorima sa izvještajima o registrovanim vezama na nadgledane portove, što je zgodno za brzo otkrivanje mrežnih skeniranja.

Prilikom kreiranja honeypota, također je korisno upoznati se s internetskim resursima na tu temu, posebno http://www.honeynet.org/. IN Odeljak za alate Na ovoj stranici (http://www.honeynet.org/tools/index.html) možete pronaći brojne alate za snimanje i analizu napada.

Daljinsko uklanjanje zlonamjernog softvera

IN idealno Nakon što otkrije uzorke zlonamjernog softvera, administrator ih šalje u antivirusnu laboratoriju, gdje ih analitičari promptno proučavaju i odgovarajući potpisi dodaju u antivirusnu bazu podataka. Ovi potpisi automatsko ažuriranje doći do računara korisnika i antivirus proizvodi automatsko uklanjanje malware bez intervencije administratora. Međutim, ovaj lanac ne radi uvijek kako se očekuje, a mogući su sljedeći razlozi za neuspjeh:

• iz brojnih razloga nezavisnih od administratora mreže, slike možda neće stići u antivirusnu laboratoriju;
• nedovoljna efikasnost antivirusne laboratorije - u idealnom slučaju nije potrebno više od 1-2 sata za proučavanje uzoraka i njihovo unošenje u bazu podataka, što znači da se ažurirane baze potpisa mogu dobiti u roku od jednog radnog dana. Međutim, ne sve antivirusne laboratorije rade tako brzo i možete čekati ažuriranja nekoliko dana (u rijetkim slučajevima, čak i sedmicama);
• visoke performanse antivirusa - određeni broj zlonamjernih programa nakon aktivacije uništava antivirusne programe ili na drugi način ometa njihov rad. Klasični primjeri - unos u datoteku hostuje zapise, blokiranje normalan rad antivirusni sistemi za automatsko ažuriranje, brisanje procesa, servisa i antivirusnih drajvera, oštećenje njihovih postavki itd.

Stoga ćete u gore navedenim situacijama morati ručno rješavati zlonamjerni softver. U većini slučajeva to nije teško, jer su zaraženi računari poznati iz rezultata kompjuterskih pregleda, kao i puna imena malware fajlovi. Ostaje samo da ih uklonite na daljinu. Ako zlonamjerni program nije zaštićen od brisanja, može se uništiti pomoću sljedeće AVZ skripte:

// Brisanje datoteke

DeleteFile('ime datoteke');

ExecuteSysClean;

Ova skripta briše jednu specificiranu datoteku (ili nekoliko datoteka, budući da u skripti može postojati neograničen broj naredbi DeleteFile), a zatim izvodi automatsko čišćenje registar U složenijem slučaju, zlonamjerni softver se može zaštititi od brisanja (na primjer, ponovnim kreiranjem svojih datoteka i ključeva registratora) ili se prikriti korištenjem rootkit tehnologije. U ovom slučaju, skripta postaje složenija i izgledat će ovako:

// Anti-rootkit

SearchRootkit(true, true);

// Kontrola AVZGuard

SetAVZGuardStatus(true);

// Brisanje datoteke

DeleteFile('ime datoteke');

// Omogući BootCleaner evidentiranje

BC_LogFile(GetAVZDirectory + 'boot_clr.log');

// Uvozite u zadatak BootCleaner listu datoteka koje je skripta izbrisala

BC_ImportDeletedList;

// Aktiviraj BootCleaner

// Heurističko čišćenje sistema

ExecuteSysClean;

RebootWindows(true);

Ova skripta uključuje aktivno suzbijanje rootkita, korištenje AVZGuard sistema (ovo je blokator aktivnosti zlonamjernog softvera) i BootCleaner sistema. BootCleaner je drajver koji vrši uklanjanje date objekte iz KernelModea tokom ponovnog pokretanja, rano u procesu pokretanja sistema. Praksa pokazuje da je takva skripta u stanju da uništi veliku većinu postojećeg zlonamjernog softvera. Izuzetak je zlonamjerni softver koji mijenja nazive svojih izvršnih datoteka pri svakom ponovnom pokretanju - u ovom slučaju, datoteke otkrivene tokom skeniranja sistema mogu se preimenovati. U tom slučaju, morat ćete ručno dezinficirati svoj računar ili kreirati vlastite potpise zlonamjernog softvera (primjer skripte koja implementira pretragu potpisa opisan je u AVZ pomoći).

Zaključak

U ovom članku pogledali smo neke praktične tehnike za suzbijanje LAN epidemije ručno, bez korištenja antivirusni proizvodi. Većina opisanih tehnika može se koristiti i za traženje stranih računara i trojanskih oznaka na korisničkim računarima. Ako imate bilo kakvih poteškoća u pronalaženju zlonamjernog softvera ili kreiranju skripti za liječenje, administrator može koristiti odjeljak "Pomoć" na forumu http://virusinfo.info ili odjeljak "Borba protiv virusa" na forumu http://forum.kaspersky.com /index.php?showforum= 18. Proučavanje protokola i pomoć u liječenju se obavljaju na oba foruma besplatno, PC analiza se vrši prema AVZ protokolima, au većini slučajeva liječenje se svodi na izvođenje na zaraženim računarima AVZ skripta, sastavljen od strane iskusnih stručnjaka sa ovih foruma.

Problem epidemije mrežnih crva relevantan je za svaku lokalnu mrežu. Prije ili kasnije, može doći do situacije kada mrežni ili e-mail crv prodre u LAN i antivirus koji se koristi ne otkrije ga. Mrežni virus se širi LAN-om preko ranjivosti operativnog sistema koje nisu bile zatvorene u vrijeme infekcije ili putem zajedničkih resursa za pisanje. Virus e-pošte, kao što ime govori, širi se putem e-pošte, pod uslovom da ga ne blokiraju klijentski antivirus i antivirus na mail serveru. Osim toga, epidemija na LAN-u može se organizirati iznutra kao rezultat aktivnosti insajdera. U ovom članku ćemo se osvrnuti na praktične metode za operativnu analizu LAN računara koristeći različite alate, posebno koristeći autorski uslužni program AVZ.

Formulacija problema

Ako se otkrije epidemija ili neka nenormalna aktivnost na mreži, administrator mora brzo riješiti najmanje tri zadatka:

• otkriti zaražene računare na mreži;
• pronaći uzorke zlonamjernog softvera za slanje u antivirusnu laboratoriju i razviti strategiju za suprotstavljanje;
• poduzeti mjere za blokiranje širenja virusa na LAN-u i njegovo uništavanje na zaraženim računarima.

U slučaju insajderske aktivnosti, glavni koraci analize su identični i najčešće se svode na potrebu otkrivanja softvera treće strane koji je insajder instalirao na LAN računarima. Primjeri takvog softvera uključuju uslužne programe za udaljenu administraciju, keyloggere i razne trojanske oznake.

Razmotrimo detaljnije rješenje svakog od zadataka.

Potražite zaražene računare

Za traženje zaraženih računara na mreži možete koristiti najmanje tri metode:

• automatska analiza udaljenog računara - dobijanje informacija o pokrenutim procesima, učitanim bibliotekama i drajverima, traženje karakterističnih obrazaca - na primer, procesi ili datoteke sa datim imenima;
• proučavanje PC saobraćaja pomoću njuškala - ova metoda je vrlo efikasna za hvatanje spam robota, emaila i mrežnih crva, međutim, glavna poteškoća u korištenju njuškala je zbog činjenice da je moderna LAN mreža izgrađena na bazi prekidača i, kao rezultat toga, administrator ne može pratiti promet cijele mreže. Problem se može riješiti na dva načina: pokretanjem sniffera na ruteru (koji vam omogućava da pratite razmjenu podataka između PC-a i Interneta) i korištenjem funkcija nadzora prekidača (mnogi moderni prekidači vam omogućavaju da dodijelite port za nadzor koji je dupliran saobraćaj jednog ili više portova komutatora koje je odredio administrator);
• proučavanje mrežnog opterećenja - u ovom slučaju je vrlo zgodno koristiti pametne prekidače, koji vam omogućuju ne samo procjenu opterećenja, već i daljinsko onemogućavanje portova koje je odredio administrator. Ova operacija je znatno pojednostavljena ako administrator ima mapu mreže, koja sadrži informacije o tome koji su računari povezani na odgovarajuće portove komutatora i gde se nalaze;
• korištenje honeypota - preporučljivo je napraviti nekoliko honeypota na lokalnoj mreži koji će omogućiti administratoru da blagovremeno otkrije epidemiju.

Automatska analiza računara na mreži

Automatska PC analiza može se svesti na tri glavne faze:

• provođenje kompletnog skeniranja računara - pokrenuti procesi, učitane biblioteke i drajveri, autostart;
• provođenje operativnih istraživanja - na primjer, traženje karakterističnih procesa ili datoteka;
• karantena objekata prema određenim kriterijumima.

Svi gore navedeni problemi mogu se riješiti korištenjem autorskog uslužnog programa AVZ, koji je dizajniran za pokretanje iz mrežne mape na serveru i podržava skriptni jezik za automatsku inspekciju računara. Da biste pokrenuli AVZ na korisničkim računarima morate:

1. Postavite AVZ u mrežni folder na serveru koji je otvoren za čitanje.
2. Kreirajte poddirektorije LOG i Qurantine u ovoj fascikli i dozvolite korisnicima da pišu u njih.
3. Pokrenite AVZ na LAN računarima koristeći uslužni program rexec ili skriptu za prijavu.

Pokretanje AVZ-a u koraku 3 treba obaviti sa sljedećim parametrima:

\\my_server\AVZ\avz.exe Prioritet=-1 nw=Y nq=Y HiddenMode=2 Script=\\my_server\AVZ\my_script.txt

U ovom slučaju, parametar Priority=-1 snižava prioritet AVZ procesa, parametri nw=Y i nq=Y prebacuju karantin u način rada „mrežno pokretanje“ (u ovom slučaju se kreira poddirektorij u mapi karantina za svaki računar, čije ime odgovara mrežnom imenu računara), HiddenMode=2 nalaže da korisniku zabrani pristup GUI i AVZ kontrolama, i na kraju, najvažniji parametar Script specificira puno ime skripte sa komande koje će AVZ izvršiti na računaru korisnika. AVZ skriptni jezik je prilično jednostavan za korištenje i fokusiran je isključivo na rješavanje problema kompjuterskog pregleda i liječenja. Da biste pojednostavili proces pisanja skripti, možete koristiti specijalizovani uređivač skripti, koji sadrži prompt na mreži, čarobnjak za kreiranje standardnih skripti i alate za proveru ispravnosti napisane skripte bez njenog pokretanja (slika 1).

Rice. 1. AVZ uređivač skripte

Pogledajmo tri tipična skripta koja mogu biti korisna u borbi protiv epidemije. Prvo, potrebna nam je skripta za PC istraživanje. Zadatak skripte je da ispita sistem i kreira protokol sa rezultatima u datom mrežnom folderu. Skripta izgleda ovako:

ActivateWatchDog(60 * 10);

// Pokreni skeniranje i analizu

// Istraživanje sistema

ExecuteSysCheck(GetAVZDirectory+

‘\LOG\’+GetComputerName+’_log.htm’);

//Shutdown AVZ

Tokom izvršavanja ove skripte, HTML fajlovi sa rezultatima istraživanja mrežnih računara biće kreirani u folderu LOG ​​(pod pretpostavkom da je kreiran u AVZ direktorijumu na serveru i dostupan korisnicima za pisanje), a da bi se osiguralo jedinstvenost, naziv računara koji se ispituje je uključen u naziv protokola. Na početku skripte nalazi se komanda za omogućavanje watchdog tajmera, koji će nasilno prekinuti AVZ proces nakon 10 minuta ako dođe do kvarova tokom izvršavanja skripte.

AVZ protokol je zgodan za ručno proučavanje, ali je od male koristi za automatsku analizu. Osim toga, administrator često zna ime datoteke zlonamjernog softvera i samo treba provjeriti prisustvo ili odsustvo ove datoteke, i ako postoji, staviti je u karantin radi analize. U ovom slučaju možete koristiti sljedeću skriptu:

// Omogući watchdog timer na 10 minuta

ActivateWatchDog(60 * 10);

// Traži malver po imenu

QuarantineFile('%WinDir%\smss.exe', 'Sumnjivo u vezi LdPinch.gen');

QuarantineFile('%WinDir%\csrss.exe', 'Sumnja na LdPinch.gen');

//Shutdown AVZ

Ova skripta koristi funkciju QuarantineFile da pokuša staviti u karantin navedene datoteke. Administrator može analizirati samo sadržaj karantina (fascikla Quarantine\ime_mreže_PC\quarantine_date\) na prisustvo datoteka u karantinu. Imajte na umu da funkcija QuarantineFile automatski blokira karantin datoteka identificiranih bezbednom AVZ bazom podataka ili Microsoft bazom podataka digitalnih potpisa. Za praktičnu upotrebu, ova skripta se može poboljšati - organizirajte učitavanje naziva datoteka iz vanjske tekstualne datoteke, provjerite pronađene datoteke u odnosu na AVZ baze podataka i generirajte tekstualni protokol s rezultatima rada:

// Traži datoteku sa navedenim imenom

funkcija CheckByName(Fname: string) : boolean;

Rezultat:= FileExists(FName) ;

ako Rezultat onda počnite

case CheckFile(FName) of

1: S:= ‘, pristup datoteci je blokiran’;

1: S:= ‘, otkriveno kao zlonamjerni softver (‘+GetLastCheckTxt+’)’;

2: S:= ‘, na koju skener datoteka sumnja (‘+GetLastCheckTxt+’)’;

3: izlaz; // Sigurne datoteke se zanemaruju

AddToLog(‘Datoteka ‘+NormalFileName(FName)+’ ima sumnjivo ime’+S);

//Dodavanje navedene datoteke u karantenu

Datoteka karantina (FName, 'sumnjiva datoteka'+S);

SuspNames: TStringList; // Lista imena sumnjivih datoteka

// Provjera datoteka u odnosu na ažuriranu bazu podataka

ako FileExists(GetAVZDirectory + 'files.db') onda počnite

SuspNames:= TStringList.Create;

SuspNames.LoadFromFile('files.db');

AddToLog('Učitana baza podataka imena - broj zapisa = '+inttostr(SuspNames.Count));

// Petlja pretraživanja

za i:= 0 do SuspNames.Count - 1 do

CheckByName(SuspNames[i]);

AddToLog('Greška pri učitavanju liste imena datoteka');

SaveLog(GetAVZDirectory+’\LOG\’+

GetComputerName+’_files.txt’);

Da bi ova skripta funkcionisala, potrebno je u AVZ folderu kreirati direktorijume Karantena i LOG koji su dostupni korisnicima za pisanje, kao i tekstualni fajl files.db - svaki red ove datoteke će sadržati naziv sumnjive datoteke. Imena datoteka mogu uključivati ​​makroe, od kojih su najkorisniji %WinDir% (puta do Windows foldera) i %SystemRoot% (puta do foldera System32). Drugi pravac analize mogao bi biti automatsko ispitivanje liste procesa koji se pokreću na korisničkim računarima. Informacije o pokrenutim procesima nalaze se u protokolu za istraživanje sistema, ali je za automatsku analizu pogodnije koristiti sljedeći fragment skripte:

procedure ScanProcess;

S:= ''; S1:= '';

//Ažuriranje liste procesa

RefreshProcessList;

AddToLog(‘Broj procesa = ‘+IntToStr(GetProcessCount));

// Ciklus analize primljene liste

za i:= 0 do GetProcessCount - 1 počinje

S1:= S1 + ‘,’ + ExtractFileName(GetProcessName(i));

// Traži proces po imenu

if pos(‘trojan.exe’, LowerCase(GetProcessName(i))) > 0 onda

S:= S + GetProcessName(i)+’,’;

ako je S<>''onda

AddLineToTxtFile(GetAVZDirectory+’\LOG\_alarm.txt’, DateTimeToStr(Now)+’ ‘+GetComputerName+’ : ‘+S);

AddLineToTxtFile(GetAVZDirectory+’\LOG\_all_process.txt’, DateTimeToStr(Now)+’ ‘+GetComputerName+’ : ‘+S1);

Proučavanje procesa u ovoj skripti se izvodi kao zasebna ScanProcess procedura, tako da ga je lako smjestiti u vlastitu skriptu. Procedura ScanProcess gradi dvije liste procesa: potpunu listu procesa (za naknadnu analizu) i listu procesa koji se, sa stanovišta administratora, smatraju opasnim. U ovom slučaju, u svrhu demonstracije, proces pod nazivom "trojan.exe" smatra se opasnim. Informacije o opasnim procesima se dodaju u tekstualnu datoteku _alarm.txt, podaci o svim procesima se dodaju u datoteku _all_process.txt. Lako je uočiti da skriptu možete zakomplikovati dodavanjem, na primjer, provjeravanjem procesnih datoteka u bazi podataka sigurnih datoteka ili provjerom imena izvršnih procesnih datoteka u odnosu na eksternu bazu podataka. Sličan postupak se koristi u AVZ skriptama koje se koriste u Smolenskenergu: administrator povremeno proučava prikupljene informacije i modificira skriptu, dodajući joj nazive procesa programa zabranjenih sigurnosnom politikom, na primjer ICQ i MailRu.Agent, što omogućava možete brzo provjeriti prisustvo zabranjenog softvera na računarima koji se proučavaju. Druga upotreba liste procesa je pronalaženje računara kojima nedostaje potreban proces, kao što je antivirusni program.

U zaključku, pogledajmo posljednju od korisnih skripti za analizu - skriptu za automatsku karantenu svih datoteka koje ne prepoznaju sigurna AVZ baza podataka i Microsoftova baza digitalnih potpisa:

// Izvršiti autokarantin

ExecuteAutoQuarantine;

Automatska karantena ispituje pokrenute procese i učitane biblioteke, servise i drajvere, oko 45 metoda automatskog pokretanja, module proširenja pretraživača i istraživača, SPI/LSP rukovaoce, poslove rasporeda, rukovaoce sistema za štampanje itd. Posebna karakteristika karantene je da joj se datoteke dodaju uz kontrolu ponavljanja, tako da se funkcija autokarantina može više puta pozivati.

Prednost automatske karantene je što uz njenu pomoć administrator može brzo prikupiti potencijalno sumnjive datoteke sa svih računara na mreži radi pregleda. Najjednostavniji (ali vrlo efikasan u praksi) oblik proučavanja datoteka može biti provjera rezultirajućeg karantina s nekoliko popularnih antivirusa u maksimalno heurističkom načinu. Treba napomenuti da istovremeno pokretanje auto-karantina na nekoliko stotina računara može stvoriti veliko opterećenje na mreži i serveru datoteka.

Traffic Research

Istraživanje saobraćaja može se provesti na tri načina:

• ručno korištenjem njuškala;
• u poluautomatskom načinu rada - u ovom slučaju njuškalo prikuplja informacije, a zatim se njegovi protokoli obrađuju ili ručno ili nekim softverom;
• automatski koristeći sisteme za otkrivanje upada (IDS) kao što je Snort (http://www.snort.org/) ili njihove softverske ili hardverske analoge. U najjednostavnijem slučaju, IDS se sastoji od njuškala i sistema koji analizira informacije prikupljene pomoću njuškala.

Sistem za otkrivanje upada je optimalan alat jer vam omogućava da kreirate skupove pravila za otkrivanje anomalija u mrežnoj aktivnosti. Njegova druga prednost je sljedeća: najmoderniji IDS omogućavaju postavljanje agenata za praćenje prometa na nekoliko mrežnih čvorova – agenti prikupljaju informacije i prenose ih. U slučaju korištenja sniffera, vrlo je zgodno koristiti konzolni UNIX sniffer tcpdump. Na primjer, za praćenje aktivnosti na portu 25 (SMTP protokol), dovoljno je pokrenuti njuškalo sa komandnom linijom poput:

tcpdump -i em0 -l tcp port 25 > smtp_log.txt

U ovom slučaju, paketi se hvataju preko em0 interfejsa; informacije o uhvaćenim paketima će biti pohranjene u smtp_log.txt datoteci. Protokol je relativno lako analizirati ručno, u ovom primeru, analiza aktivnosti na portu 25 vam omogućava da identifikujete računare sa aktivnim spam botovima.

Primjena Honeypot

Zastarjeli računar čije performanse ne dozvoljavaju da se koristi za rješavanje proizvodnih problema može se koristiti kao medanica. Na primjer, u autorovoj mreži, Pentium Pro sa 64 MB RAM-a uspješno se koristi kao zamka. Na ovom računaru trebate instalirati najčešći operativni sistem na LAN-u i odabrati jednu od strategija:

• Instalirajte operativni sistem bez paketa ažuriranja - to će biti pokazatelj pojave aktivnog mrežnog crva na mreži koji iskorištava bilo koju od poznatih ranjivosti za ovaj operativni sistem;
• instalirajte operativni sistem sa ažuriranjima koja su instalirana na drugim računarima na mreži - Honeypot će biti analogan bilo kojoj od radnih stanica.

Svaka strategija ima svoje prednosti i nedostatke; Autor uglavnom koristi opciju bez ažuriranja. Nakon kreiranja Honeypot-a, trebali biste kreirati sliku diska kako biste brzo vratili vaš sistem nakon što ga je oštetio zlonamjerni softver. Kao alternativu za sliku diska, možete koristiti sisteme za vraćanje promjena kao što su ShadowUser i njegovi analozi. Nakon što ste napravili Honeypot, trebalo bi da uzmete u obzir da određeni broj mrežnih crva traži zaražene računare skeniranjem IP opsega, izračunatog iz IP adrese zaraženog računara (uobičajene tipične strategije su X.X.X.*, X.X.X+1.*, X.X.X-1.*), - dakle, idealno bi trebalo da postoji Honeypot na svakoj podmreži. Kao dodatne elemente pripreme svakako treba otvoriti pristup nekoliko foldera na Honeypot sistemu, au ove foldere treba staviti nekoliko uzoraka fajlova različitih formata, minimalni set je EXE, JPG, MP3.

Naravno, nakon što je kreirao Honeypot, administrator mora pratiti njegov rad i reagovati na sve anomalije otkrivene na ovom računaru. Auditori se mogu koristiti kao sredstvo za evidentiranje promjena; Važna stvar je da većina njuškača ima mogućnost da konfiguriše slanje upozorenja administratoru ako se otkrije određena mrežna aktivnost. Na primjer, u CommView njuškalu pravilo uključuje navođenje “formule” koja opisuje mrežni paket ili navođenje kvantitativnih kriterija (slanje više od određenog broja paketa ili bajtova u sekundi, slanje paketa na neidentificirane IP ili MAC adrese) - Fig. 2.

Rice. 2. Kreirajte i konfigurirajte upozorenje o mrežnoj aktivnosti

Kao upozorenje, najpogodnije je koristiti e-poruke koje se šalju u poštansko sanduče administratora - u tom slučaju možete primati brza upozorenja od svih zamki u mreži. Osim toga, ako vam njuškalo omogućava kreiranje nekoliko upozorenja, ima smisla razlikovati mrežnu aktivnost, naglašavajući rad s e-poštom, FTP/HTTP, TFTP, Telnet, MS Net, povećan promet od više od 20-30 paketa u sekundi u bilo kojem protokol (slika 3) .

Rice. 3. Pismo obavještenja poslano
ako se otkriju paketi koji odgovaraju navedenim kriterijima

Prilikom organiziranja zamke, dobra je ideja na nju postaviti nekoliko ranjivih mrežnih servisa koji se koriste na mreži ili za njih instalirati emulator. Najjednostavniji (i besplatni) je vlasnički APS uslužni program koji radi bez instalacije. Princip rada APS-a se svodi na slušanje mnogih TCP i UDP portova opisanih u njegovoj bazi podataka i izdavanje unapred određenog ili nasumično generisanog odgovora u trenutku povezivanja (slika 4).

Rice. 4. Glavni prozor APS uslužnog programa

Slika prikazuje snimak ekrana napravljen tokom prave APS aktivacije na Smolenskenergo LAN. Kao što se može vidjeti na slici, zabilježen je pokušaj povezivanja jednog od klijentskih računara na port 21. Analiza protokola je pokazala da su pokušaji periodični i da ih bilježi nekoliko zamki na mreži, što nam omogućava da zaključimo da mreža se skenira u cilju traženja i hakovanja FTP servera pogađanjem lozinki. APS vodi evidenciju i može slati poruke administratorima sa izvještajima o registrovanim vezama na nadgledane portove, što je zgodno za brzo otkrivanje mrežnih skeniranja.

Prilikom kreiranja honeypota, također je korisno upoznati se s internetskim resursima na tu temu, posebno http://www.honeynet.org/. U odeljku Alati ove stranice (http://www.honeynet.org/tools/index.html) možete pronaći brojne alate za snimanje i analizu napada.

Daljinsko uklanjanje zlonamjernog softvera

U idealnom slučaju, nakon što otkrije uzorke zlonamjernog softvera, administrator ih šalje u antivirusnu laboratoriju, gdje ih analitičari odmah proučavaju i odgovarajući potpisi dodaju u antivirusnu bazu podataka. Ovi potpisi se automatski ažuriraju na računaru korisnika, a antivirus automatski uklanja malver bez intervencije administratora. Međutim, ovaj lanac ne radi uvijek kako se očekuje, a mogući su sljedeći razlozi za neuspjeh:

• iz brojnih razloga nezavisnih od administratora mreže, slike možda neće stići u antivirusnu laboratoriju;
• nedovoljna efikasnost antivirusne laboratorije - u idealnom slučaju nije potrebno više od 1-2 sata za proučavanje uzoraka i njihovo unošenje u bazu podataka, što znači da se ažurirane baze potpisa mogu dobiti u roku od jednog radnog dana. Međutim, ne rade sve antivirusne laboratorije tako brzo, a na ažuriranja možete čekati nekoliko dana (u rijetkim slučajevima, čak i sedmicama);
• visoke performanse antivirusa - određeni broj zlonamjernih programa nakon aktivacije uništava antivirusne programe ili na drugi način ometa njihov rad. Klasični primjeri - uključivanje u hosts fajl unosi koji blokiraju normalan rad antivirusnog sistema za automatsko ažuriranje, brišu procese, usluge i antivirus drajvere, oštećuju njihova podešavanja itd.

Stoga ćete u gore navedenim situacijama morati ručno rješavati zlonamjerni softver. U većini slučajeva to nije teško, jer rezultati kompjuterskog pregleda otkrivaju zaražene računare, kao i pune nazive malver fajlova. Ostaje samo da ih uklonite na daljinu. Ako zlonamjerni program nije zaštićen od brisanja, može se uništiti pomoću sljedeće AVZ skripte:

// Brisanje datoteke

DeleteFile('ime datoteke');

ExecuteSysClean;

Ova skripta briše jednu određenu datoteku (ili nekoliko datoteka, pošto u skripti može postojati neograničen broj komandi DeleteFile), a zatim automatski čisti registar. U složenijem slučaju, zlonamjerni softver se može zaštititi od brisanja (na primjer, ponovnim kreiranjem svojih datoteka i ključeva registratora) ili se prikriti korištenjem rootkit tehnologije. U ovom slučaju, skripta postaje složenija i izgledat će ovako:

// Anti-rootkit

SearchRootkit(true, true);

// Kontrola AVZGuard

SetAVZGuardStatus(true);

// Brisanje datoteke

DeleteFile('ime datoteke');

// Omogući BootCleaner evidentiranje

BC_LogFile(GetAVZDirectory + 'boot_clr.log');

// Uvozite u zadatak BootCleaner listu datoteka koje je skripta izbrisala

BC_ImportDeletedList;

// Aktiviraj BootCleaner

// Heurističko čišćenje sistema

ExecuteSysClean;

RebootWindows(true);

Ova skripta uključuje aktivno suzbijanje rootkita, korištenje AVZGuard sistema (ovo je blokator aktivnosti zlonamjernog softvera) i BootCleaner sistema. BootCleaner je drajver koji uklanja određene objekte iz KernelModea tokom ponovnog pokretanja, u ranoj fazi pokretanja sistema. Praksa pokazuje da je takva skripta u stanju da uništi veliku većinu postojećeg zlonamjernog softvera. Izuzetak je zlonamjerni softver koji mijenja nazive svojih izvršnih datoteka pri svakom ponovnom pokretanju - u ovom slučaju, datoteke otkrivene tokom skeniranja sistema mogu se preimenovati. U tom slučaju, morat ćete ručno dezinficirati svoj računar ili kreirati vlastite potpise zlonamjernog softvera (primjer skripte koja implementira pretragu potpisa opisan je u AVZ pomoći).

Zaključak

U ovom članku pogledali smo neke praktične tehnike za suzbijanje LAN epidemije ručno, bez upotrebe antivirusnih proizvoda. Većina opisanih tehnika može se koristiti i za traženje stranih računara i trojanskih oznaka na korisničkim računarima. Ako imate bilo kakvih poteškoća u pronalaženju zlonamjernog softvera ili kreiranju skripti za liječenje, administrator može koristiti odjeljak "Pomoć" na forumu http://virusinfo.info ili odjeljak "Borba protiv virusa" na forumu http://forum.kaspersky.com /index.php?showforum= 18. Proučavanje protokola i pomoć u liječenju se obavljaju na oba foruma besplatno, PC analiza se vrši prema AVZ protokolima, au većini slučajeva liječenje se svodi na izvršavanje AVZ skripte na zaraženim računarima, koju kompajliraju iskusni stručnjaci sa ovih foruma. .