События Проактивной защиты

В данном разделе представлена информация о событиях Проактивной защиты, которые могут трактоваться как опасные. Обратите внимание, что не все события должны однозначно восприниматься как угроза. Некоторые из этих операций являются нормальным поведением программ, выполняющихся на компьютере, либо реакцией операционной системы на работу данных программ. Однако в некоторых случаях эти же события могут быть вызваны деятельностью злоумышленников либо вредоносных программ. Поэтому важно понимать, что срабатывание Проактивной защиты не всегда однозначно говорит о том, что обнаруженная активность принадлежит вредоносной программе: это может быть и обычная программа, обладающая признаками поведения вредоносной.

Активность, характерная для Р2Р-червей / Активность, характерная для троянских программ

Червь – это самовоспроизводящаяся программа, распространяющаяся в компьютерных сетях. P2P-черви распространяются по типу "компьютер-компьютер" минуя централизованное управление. Как правило, распространение таких червей происходит через общие сетевые папки и съемные носители информации.

Троянская программа – это вредоносная программа, проникающая на компьютер под видом безвредной. Троянские программы помещаются злоумышленниками на открытые сетевые ресурсы, открытые для записи носители самого компьютера, на съемные носители информации, а также рассылаются с помощью служб обмена сообщениями (например, электронной почты) с целью их запуска на компьютере.

Активность, характерная для таких программ включает:

• действия, характерные для заражения и укрепления вредоносного объекта в системе;
• непосредственно вредоносные действия;
• действия, характерные для распространения вредоносного объекта.

Клавиатурные перехватчики

Клавиатурный перехватчик – это программа, перехватывающая все нажатия клавиш на клавиатуре. Вредоносная программа такого типа может отправлять информацию, набираемую на клавиатуре (логины, пароли, номера кредитных карт) злоумышленнику. Однако перехват нажатий клавиш может использоваться и обычными программами. Примером таких программ могут служить игровые программы, которые при работе в полноэкранном режиме, вынуждены перехватывать данные, вводимые с клавиатуры, чтобы узнать какие клавиши нажимает пользователь. Также зачастую перехват нажатий клавиш применяется для вызова функций программы из другой программы с помощью «горячих клавиш».

Скрытая установка драйвера

Скрытая установка драйвера – это процесс установки вредоносной программой собственного драйвера с тем, чтобы получить доступ к операционной системе на низком уровне, что позволит скрыть присутствие вредоносной программы в системе и затруднит ее удаление. Процесс скрытой установки можно обнаружить обычными средствами (например, Диспетчером задач Microsoft Windows), но, поскольку во время установки драйвера на экране нет стандартных окон установки, пользователю вряд ли придет в голову отслеживать процессы, происходящие в системе.

Однако, в некоторых случаях срабатывание Проактивной защиты может быть ложным. Например, большинство компьютерных игр в последнее время используют защиту от нелегального распространения и копирования. Для обеспечения данной цели они устанавливают на компьютере пользователя системные драйверы. Данная активность в некоторых случаях может быть классифицирована как "скрытая установка драйвера".

Изменение ядра операционной системы

Ядро операционной системы обеспечивает программам, работающим на компьютере, координированный доступ к ресурсам компьютера: процессору, памяти и внешнему аппаратному обеспечению. Некоторые вредоносные программы пытаются изменить логику работы ядра операционной системы перенаправляя вызовы из стандартных драйверов на себя. Получив таким образом доступ к операционной системе на низком уровне вредоносные программы пытаются скрыть свое присутствие и сделать тяжелым процесс своего удаления из системы.

Примером ложного срабатывания Проактивной защиты может служить реакция компонента на некоторые системы шифрования жестких дисков. Подобные системы для обеспечения максимальной защиты информации устанавливают в систему драйвер и внедряются в ядро операционной системы, чтобы перехватывать обращения к файлам на диске и производить операции шифрования и дешифрования.

Скрытый объект / Скрытый процесс

Скрытый процесс – это процесс, который нельзя обнаружить обычными средствами (Диспетчер задач Microsoft Windows, Process Explorer и др.). Rootkit (руткит, от англ. «root kit», то есть «набор для получения прав суперпользователя root») – программа или набор программ для скрытого контроля взломанной системы. Этот термин пришел из Unix.

В контексте операционной системы Microsoft Windows под rootkit принято подразумевать программу-маскировщик, которая внедряется в систему, перехватывает и искажает системные сообщения, содержащие информацию о запущенных в системах процессах, а также о содержимом папок на диске. Другими словами, rootkit работает аналогично прокси-серверу, пропуская через себя одну информацию и не пропуская или искажая другую. Кроме того, как правило, rootkit может маскировать присутствие в системе любых описанных в его конфигурации процессов, каталогов и файлов на диске, ключей в реестре. Многие программы-маскировщики устанавливают в систему свои драйверы и службы, которые, естественно, являются «невидимыми» как для средств управления системой, таких как Диспетчер задач или Process Explorer, так и для антивирусных программ.

Частным случаем скрытого процесса является активность, представляющая собой попытки создания скрытых процессов с отрицательными значениями идентификаторов (PID). PID – персональный идентификационный номер, который присваивается операционной системой запущенным процессам. PID является уникальным для каждого запущенного процесса и сохраняется одинаковым для каждого из процессов только в текущей сессии работы операционной системы. Если PID процесса имеет отрицательное значение, такой процесс является скрытым и его нельзя обнаружить обычными средствами.

Примером ложного срабатывания может быть срабатывание Проактивной защиты на игровые программы, защищающие свои процессы от хакерских утилит для обхода лицензии или нечестной игры.

Изменение файла HOSTS

Файл hosts – это один из важных системных файлов операционной системы Microsoft Windows. Он предназначен для перенаправления доступа к интернет-ресурсам за счет преобразования URL-адресов в IP-адреса не на DNS-серверах, а непосредственно на локальном компьютере. Файл hosts – это обычный текстовый файл, каждая строка которого определяет соответствие символьного имени (URL) сервера и его IP-адреса.

Вредоносные программы часто используют данный файл для переопределения адресов серверов обновлений антивирусных программ, чтобы заблокировать возможность обновления и предотвратить обнаружение вредоносной программы сигнатурным методом, а также для других целей.

Перенаправление ввода-вывода

Суть уязвимости заключается в запуске командной строки с перенаправленным вводом/выводом (обычно в сеть), что, как правило, используется для получения удаленного доступа к компьютеру.

Вредоносный объект пытается получить доступ к командной строке на компьютере-жертве, из которой будут исполняться дальнейшие команды. Обычно доступ бывает получен в результате удаленной атаки и запуска скрипта, использующего данную уязвимость. Скрипт запускает интерпретатор командной строки с компьютера, подключенный по TCP-соединению. В результате злоумышленник может удаленно управлять системой.

Внедрение в процесс / Внедрение во все процессы

Существует множество разновидностей вредоносных программ, которые маскируются под исполняемые файлы, библиотеки или модули расширения известных программ и внедряются в стандартные процессы. Таким образом, можно, например, организовать утечку данных с компьютера пользователя. Сетевой трафик, инициированный вредоносным кодом, будет свободно пропускаться сетевыми экранами, поскольку, с точки зрения сетевого экрана, этот трафик принадлежит программе, которой разрешен доступ в интернет.

Внедрение в другие процессы широко используется троянскими программами. Однако такая активность характерна также для некоторых безобидных программ, пакетов обновлений и программ установки. Например, программы-переводчики внедряются в другие процессы, чтобы отслеживать нажатие "горячих клавиш".

Подозрительное обращение к реестру

Вредоносные программы модифицируют реестр с целью регистрации себя для автоматического запуска при старте операционной системы, подмены стартовой страницы Microsoft Internet Explorer и других деструктивных действий. Однако следует помнить, что доступ к системному реестру может осуществляться и обычными программами. Например, обычные программы используют возможность создания и использования скрытых ключей реестра для сокрытия собственной информации от пользователя (в том числе информации о лицензии).

Вредоносные программы создают «скрытые» ключи в реестре, не отображаемые обычными программами (типа regedit). Создаются ключи с некорректными именами. Это делается для того, чтобы редактор реестра не смог отобразить эти значения, в результате чего диагностика на присутствие в системе вредоносного программного обеспечения затрудняется.

Отправка данных посредством доверенных программ

Существует множество разновидностей вредоносных программ, которые маскируются под исполняемые файлы, библиотеки или модули расширения известных программ и внедряются в стандартные процессы. Таким образом, можно, например, организовать утечку данных с компьютера пользователя. Сетевой трафик, инициированный вредоносным кодом, будет свободно пропускаться сетевыми экранами, поскольку, с точки зрения сетевого экрана, этот трафик принадлежит программе, которой разрешен доступ в интернет.

Подозрительная активность в системе

Данный аспект подразумевает под собой обнаружение подозрительного поведения какого-либо конкретного процесса: изменение состояния самой операционной системы, например, прямой доступ к памяти или получение привилегий отладчика. Перехваченная активность не является характерной для большинства программ, но в тоже время является опасной. Поэтому такая активность классифицируется как подозрительная.

Отправка DNS-запросов

DNS-сервер предназначен для ответов на DNS-запросы по соответствующему протоколу. Если в базе данных локального DNS-сервера не содержится соответствующей DNS-запросу записи, то запрос передается дальше, пока не будет достигнут сервер, хранящий нужную информацию. Поскольку DNS-запросы пропускаются большинством систем защиты без проверки, в содержимом DNS-пакета могут быть переданы дополнительные сведения, содержащие персональные данные пользователя. Злоумышленник, контролирующий один из DNS-серверов, обрабатывающих такие DNS-запросы, имеет возможность получить эту информацию.

Попытка доступа к защищенному хранилищу

Процесс пытается получить доступ к защищенному хранилищу операционной системы с персональными данными и паролями пользователя.