Противодействие вирусным угрозам — от теории к практике
Противодействие вирусным угрозам — от теории к практике
Противодействие вирусным угрозам — от теории к практике
14.04.2008
Некоторое время назад в "Лабораторию Касперского" обратилось ОАО "Мострансагентство" с просьбой помочь ликвидировать эпидемическое заражение информационных систем, уже охватившее большинство рабочих станций и серверов Windows на нескольких объектах. Зараженные серверы и рабочие станции непредсказуемо перезагружались, что препятствовало нормальному функционированию бизнес-приложений и, как следствие, полноценной работе всего предприятия.
Перед нами стояли следующие задачи: максимально быстро получить специализированную информацию с зараженных компьютеров заказчика, которая позволит выявить проникшие в информационные системы и сети вредоносные программы; получить образцы и проанализировать функционал этих вредоносных программ и механизмы их распространения; выработать и предоставить заказчику рекомендации по локализации заражения и устранению последствий; при необходимости создать специализированные утилиты для обнаружения и уничтожения выявленных вредоносных программ, одновременно добавить сигнатуры обнаруженных вредоносных программ и механизмы противодействия им в антивирусные базы наших продуктов.
Сначала специалистами Лаборатории Касперского были выявлены две уже известные нам вредоносные программы: Trojan.Win32.Dialer.fn и Backdoor.Win32.SdBot.aad. Первая предназначена для осуществления не санкционированных пользователем звонков на платные телефонные номера, список которых загружается из Интернета; механизмов самораспространения по Сети и заражения исполняемых файлов она не имеет. Вторая программа "распространяет себя" по Сети, используя известные уязвимости семейства ОС Microsoft Windows, а после заражения компьютера предоставляет полный доступ извне к его ресурсам. Эта программа содержит механизмы, препятствующие ее обнаружению, а также средства уничтожения нескольких десятков конкурирующих вредоносных программ.
В ходе дальнейшего исследования была обнаружена еще одна вредоносная программа, не детектируемая на момент ее получения, — Net-Worm.Win32.SdBoter.n. Ее функционал аналогичен Backdoor.Win32.SdBot.aad, но между ними есть ряд различий технического характера.
Поскольку типы вирусов были нам известны, то выбор мер противодействия занял минимум времени. Мы представили свои рекомендации специалистам "Мострансагентства". Кроме того, была создана и передана заказчику утилита для обнаружения вредоносной программы Backdoor.Win32.SdBot.aad, корректного удаления ее из операционной системы и устранения последствий ее вредоносных действий, а средства детектирования Net-Worm.Win32.SdBoter.n были добавлены в антивирусные базы ЛК.
Для предотвращения распространения любых вирусов каждой компании необходимо соблюдать единственный простейший принцип — использовать наиболее эффективные средства защиты, которые должны регулярно обновляться. Это означает, что помимо использования актуальной версии надежного антивирусного программного обеспечения с регулярно обновляемыми базами сигнатур вирусов и атак, для предотвращения проникновения и распространения вредоносных программ необходимо закрыть все уязвимости семейства ОС Windows штатными исправлениями компании Microsoft.
Кроме того, следует обратить внимание на наличие внешнего источника команд на загрузку новых вредоносных программ с интернет-ресурсов и команд на активизацию функционала самораспространения по ЛВС заказчика. Все это с высокой степенью вероятности позволяет предположить, что заказчик подвергся целенаправленной узко сфокусированной атаке — наиболее распространенной сегодня интернет-угрозе.
Copyright © 2018-2022, ООО "ГРОТЕК"