You are reading help file online using chmlib.com
|
Вердикты проактивной защиты |
В данном разделе представлена информация о вердиктах Проактивной защиты. Обратите внимание, что не все вердикты должны однозначно восприниматься как угроза. Некоторые из этих операций являются нормальным поведением приложений, выполняющихся на компьютере, либо реакцией операционной системы на работу данных приложений. Однако в некоторых случаях эти же операции могут быть вызваны деятельностью злоумышленников либо вредоносных программ.
Вердикты, опасность которых очень высока, выделены по тексту раздела красным цветом. Вердикты, которые не всегда свидетельствуют об угрозе, отмечены черным цветом.
Переполнение буфера - одна из самых широко распространенных в настоящее время технологий получения несанкционированного доступа к системе.
Суть уязвимости заключается в следующем: для работы программы обычно необходим стек - структура в памяти, в которую можно помещать промежуточные значения и доставать их оттуда в обратном порядке. Когда программа вызывает процедуру (подпрограмму), она помещает адрес возврата в стек, в результате чего процедура знает, куда возвращать управление после того, как она завершится. Проблема переполнения стека заключается в том, что в стек передается блок данных, превышающий его объем. Лишние данные записываются как раз в ту часть стека, которая предназначена для корректного возврата из процедуры. Таким образом, переполнение изменяет обычный ход выполнения программы и, вместо корректного возврата к ее дальнейшему выполнению, происходит переход по адресу, который благодаря переполнению стека был перезаписан в командном указателе.
Для вызова переполнения стека злоумышленники используют эксплойты (exploit - от англ. «использовать в своих целях») - это программы, содержащие машинные инструкции, исполняемые процессором. Адрес, по которому перейдет процессор в результате переполнения стека, будет указывать на эти инструкции.
Вероятность переполнения стека при работе обычных программ в штатном режиме крайне мала. Обнаружение факта переполнения стека с большой вероятностью означает попытку использования этой уязвимости в злонамеренных целях.
Данная технология использует ошибки в программном обеспечении, установленном на компьютере. Суть используемых ошибок - замещение корректных данных данными, предоставленными вредоносным объектом, в результате чего эти данные неправильно обрабатываются.
Самый распространенный объект атаки с использованием Data execution - это браузеры, многие из которых во время работы с веб-страницами, изображениями и мультимедиа-объектами не выполняют необходимых проверок, и внедрившийся в объекты на веб-страницах вредоносный код может получить управление.
Компания Microsoft для защиты исполняемого кода в Microsoft Windows использует решение DEP (Data Execution Prevention - предотвращение выполнения данных). Решение входит в пакеты обновления для Microsoft Windows XP и Microsoft Windows Server 2003.
Скрытая установка - это процесс установки вредоносной программы или запуск исполняемых файлов без уведомления об этом пользователя. Процесс скрытой установки можно обнаружить обычными средствами (например, Диспетчером задач Microsoft Windows), но, поскольку во время установки вредоносной программы на экране нет стандартных окон установки, пользователю вряд ли придет в голову отслеживать процессы, происходящие в системе.
Скрытый процесс - это процесс, который нельзя обнаружить обычными средствами (Диспетчер задач Microsoft Windows, Process Explorer и др.). Rootkit (руткит, от англ. «root kit», то есть «набор для получения прав суперпользователя «root») - программа или набор программ для скрытого контроля взломанной системы. Этот термин пришел из Unix.
В контексте операционной системы Microsoft Windows под термином "руткит" принято подразумевать программу, которая внедряется в систему, перехватывает и искажает системные сообщения, содержащие информацию о запущенных в системах процессах, а также о содержимом папок на диске. Другими словами, руткит работает аналогично прокси-серверу, пропуская через себя одну информацию и не пропуская или искажая другую. Кроме того, как правило, руткит может маскировать присутствие в системе любых описанных в его конфигурации процессов, каталогов и файлов на диске, ключей в реестре. Многие руткиты устанавливают в систему свои драйверы и службы, которые, естественно, являются «невидимыми» как для средств управления системой, таких как Диспетчер задач или Process Explorer, так и для антивирусных программ.
Суть уязвимости заключается в запуске командной строки с перенаправленным вводом/выводом (обычно в сеть), что, как правило, используется для получения удаленного доступа к компьютеру.
Вредоносный объект пытается получить доступ к командной строке на компьютере-жертве, из которой будут исполняться дальнейшие команды. Обычно доступ бывает получен в результате удаленной атаки и запуска скрипта, использующего данную уязвимость. Скрипт запускает интерпретатор командной строки с компьютера, подключенный по TCP-соединению. В результате злоумышленник может удаленно управлять системой.
Запуск браузера с параметрами (Starting Internet Browser)
Контроль запуска браузера с параметрами позволяет перехватить скрытый запуск браузера с переданными ему данными, которые потом могут быть использованы злоумышленниками.
Обычно запуск браузера с параметрами (содержащими, к примеру, пользовательские пароли) происходит каждый раз, когда пользователь кликает по ссылке в теле письма в почтовой программе, или в ICQ-чате, что не является подозрительным действием. Если внести почтовую программу и ICQ в доверенную зону, т. е. если разрешить запуск браузера с параметрами только определенным программам, то в остальных случаях, когда осуществляется передача данных через браузер от лица злоумышленника, а не пользователя компьютера, данное действие может расцениваться как подозрительное.
Данный аспект подразумевает под собой обнаружение не опасного или подозрительного поведения какого-либо конкретного процесса, а изменение состояния самой операционной системы, например, прямой доступ к памяти или модификация точки входа R0-R3.
К данной группе распознавателей вредоносных действий относятся Trojan.generic, Worm.generic и Worm.P2P.generic - довольно сложные алгоритмы распознавания опасного поведения. Вердикт о том, что какой-либо процесс является, скорее всего, неизвестным вредоносным процессом, принимается на основе анализа совокупности действий, а не на основе какого-то одного или двух признаков. Вердикт Generic не присваивается при первой же попытке совершения подозрительного действия. С каждым совершаемым подозрительным действием «рейтинг подозрительности» процесса растет. Как только он достигает критической отметки, Проактивная защита срабатывает. Этим достигается крайне низкий уровень ложных срабатываний. Вероятность того, что «хорошая» программа проявляет сразу несколько аспектов вредоносности, крайне мала.
Действия, влияющие на «рейтинг подозрительности»:
Изменение исполняемого файла (Application Changed)
Данное событие означает, что исполняемый файл контролируемого приложения был изменен с момента предыдущего запуска. Следует помнить, что изменение исполняемого файла могло произойти как в результате внедрения в приложение вредоносного кода, так и в результате обычного обновления программы (например, исполняемый файл браузера Microsoft Internet Explorer может измениться в результате обновления Microsoft Windows).
Нарушение целостности (Intergity Violation)
Нарушение целостности заключается в том, что с момента предыдущего запуска один или несколько модулей контролируемого приложения могли быть изменены. Помимо изменений в результате внедрения в приложение вредоносного кода, могли произойти изменения и из-за обновления программы (например, библиотеки, используемые браузером Microsoft Internet Explorer, могут измениться в результате обновления Microsoft Windows).
Контроль запуска приложений (Critical Application)
Модуль Контроль целостности приложений обладает дополнительной возможностью - контролем запуска приложений. В этом режиме Kaspersky Internet Security выдает предупреждение всякий раз, когда запускается указанное пользователем приложение. Предупреждение появляется только в том случае, если для контролируемого приложения настроено правило Запуск: Запросить действие. По умолчанию этот режим отключен.
Запуск дочернего процесса (Running as child)
Существует ряд вредоносных программ, которые используют известные программы для организации утечки данных или загрузки вредоносного кода из интернета. Для этого известная программа, для которой правилами сетевого экрана и других средств защиты разрешен доступ в интернет (например, веб-браузер), запускается вредоносной программой. Контролируемое приложение при этом запускается как дочерний процесс.
Предупреждение появляется только в том случае, если для контролируемого приложения настроено правило Запуск процесса как дочернего: Запросить действие. Поскольку запуск одних программ другими в качестве дочерних процессов - это достаточно распространенное явление, по умолчанию показ предупреждений о таких событиях отключен, однако эти события протоколируются в отчетах Проактивной защиты.
Файл hosts - это один из важных системных файлов операционной системы Microsoft Windows. Он предназначен для перенаправления доступа к интернет-ресурсам за счет преобразования URL-адресов в IP-адреса не на DNS-серверах, а непосредственно на локальном компьютере. Файл hosts - это обычный текстовый файл, каждая строка которого определяет соответствие символьного имени (URL) сервера и его IP-адреса.
Вредоносные программы часто используют данный файл для переопределения адресов серверов обновлений антивирусных приложений, чтобы заблокировать возможность обновления и предотвратить обнаружение вредоносной программы сигнатурным методом, а также для других целей.
Внедрение в процесс (Invader / Loader)
Существует множество разновидностей вредоносных программ, которые маскируются под исполняемые файлы, библиотеки или модули расширения известных программ и внедряются в стандартные процессы. Таким образом, можно, например, организовать утечку данных с компьютера пользователя. Сетевой трафик, инициированный вредоносным кодом, будет свободно пропускаться сетевыми экранами, поскольку, с точки зрения сетевого экрана, этот трафик принадлежит приложению, которому разрешен доступ в интернет.
Внедрение в другие процессы широко используется троянскими программами. Однако такая активность характерна также для некоторых безобидных программ, пакетов обновлений и программ установки. Следует разрешать этот вид активности только в том случае, если вы уверены, что внедряемая программа безобидна.
Обнаружение клавиатурных перехватчиков (Keylogger)
Клавиатурный перехватчик - это программа, перехватывающая все нажатия клавиш на клавиатуре. Вредоносная программа такого типа может отправлять информацию, набираемую на клавиатуре (логины, пароли, номера кредитных карт) злоумышленнику. Однако перехват нажатий клавиш может использоваться и обычными программами. Часто перехват нажатий клавиш применяется для вызова функций программы из другого приложения с помощью «горячих клавиш».
Мониторинг системного реестра (Registry access)
Контроль системного реестра (монитор реестра) отслеживает изменения ключей реестра.
Вредоносные программы модифицируют реестр с целью регистрации себя для автоматического запуска при старте операционной системы, подмены стартовой страницы Microsoft Internet Explorer и других деструктивных действий. Однако следует помнить, что доступ к системному реестру может осуществляться и обычными приложениями.
Модуль содержит предустановленный список из 6 групп критических ключей. Также пользователь может добавить свои группы ключей и настроить правила доступа к ним для различных приложений.
Контроль подозрительных значений в реестре (Registry strange)
Модуль позволяет перехватить попытку создания «скрытых» ключей в реестре, не отображаемых обычными программами (типа regedit). Создаются ключи с некорректными именами для того, чтобы редактор реестра не смог отобразить эти значения, в результате чего диагностика на присутствие в системе вредоносного программного обеспечения затрудняется.
Trojan Downloader - это программа, основным назначением которой является скрытая несанкционированная загрузка программного обеспечения из интернета. Наиболее известным источником Trojan Downloader являются хакерские сайты. Сам по себе Trojan Downloader не несет прямой угрозы для компьютера - он опасен именно тем, что производит неконтролируемую загрузку и запуск программного обеспечения. Trojan Downloader применяются в основном для загрузки и запуска вирусов, троянских и шпионских программ.
You are reading help file online using chmlib.com
|