Kaspersky Anti-Virus 6.0 for Windows Workstations ... - Kaspersky Lab
Kaspersky Anti-Virus 6.0 for Windows Workstations ... - Kaspersky Lab
Kaspersky Anti-Virus 6.0 for Windows Workstations ... - Kaspersky Lab
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
K A S P E R S K Y A N T I - V I R U S 6 . 0 F O R W I N D O W S W O R K S T A T I O N S<br />
sterowniki oraz usługi, które są niewidoczne dla narzędzi systemowych takich jak menedżer zadań <strong>Windows</strong> lub<br />
Process Explorer, a także programów antywirusowych.<br />
Szczególnym przypadkiem ukrytego procesu jest aktywność składająca się z prób utworzenia ukrytych procesów o<br />
negatywnych wartości PID. PID jest osobistym numerem identyfikacyjnym, jaki system operacyjny przypisuje<br />
każdemu uruchomionemu procesowi. Każdy uruchomiony proces ma swój własny, niepowtarzalny numer PID, stały<br />
w danej sesji systemu operacyjnego. Jeżeli numer PID procesu ma negatywną wartość, proces ten jest ukryty,<br />
dlatego nie może zostać wykryty przy pomocy standardowych narzędzi.<br />
Przykładem fałszywego alarmu jest reakcja modułu Ochrona proaktywna na gry, które chronią swoje własne procesy<br />
przed narzędziami służącymi do obejścia ograniczeń licencyjnych lub oszustwa.<br />
Modyfikacja pliku HOSTS<br />
Plik Hosts jest jednym z najważniejszych plików systemowych Microsoft <strong>Windows</strong>. Jest on przeznaczony do<br />
przekierowywania dostępu do stron internetowych poprzez tłumaczenie adresów URL na adresy IP na serwerach<br />
DNS. Plik hosts jest plikiem tekstowym, w którym każda linia określa związek pomiędzy nazwą serwera (URL) i jego<br />
adresem IP.<br />
Szkodliwe programy często używają tego pliku do ponownego określania adresów serwerów aktualizacyjnych dla<br />
aplikacji antywirusowych, m.in. aby blokować uaktualnienia oraz uniemożliwiać wykrycie szkodliwych programów z<br />
sygnaturami.<br />
Przekierowanie wejścia-wyjścia<br />
Główny słaby punkt polega na uruchamianiu wiersza poleceń z przekierowanego wejścia/wyjścia (zazwyczaj do<br />
sieci), co może być używane do uzyskania zdalnego dostępu do komputera.<br />
Szkodliwy obiekt próbuje uzyskać dostęp do wiersza poleceń atakowanego komputera, który zostanie wówczas<br />
wykorzystany do wykonania poleceń. Po przeprowadzeniu zdalnego ataku i uruchomieniu skryptu wykorzystującego<br />
tę lukę możliwe jest uzyskanie dostępu do komputera. Skrypt uruchamia interpretator wiersza poleceń na<br />
komputerze połączonym poprzez TCP. W rezultacie, intruz może zdalnie zarządzać systemem.<br />
Wtargnięciu do procesu / Wtargnięcie do wszystkich procesów<br />
Istnieje niezliczona ilość odmian szkodliwych programów, które są maskowane jako pliki wykonywalne, biblioteki lub<br />
wtyczki dla znanych aplikacji. Dzięki temu szkodliwe programu mogą być ładowane się do listy standardowych<br />
procesów. Dlatego intruz może spowodować utratę danych na komputerze użytkownika. Ruch sieciowy utworzony<br />
przez szkodliwy kod nie będzie oddzielany przez zaporę sieciową, dopóki jest wyświetlany jako ruch utworzony<br />
przez program z dostępem do Internetu.<br />
Trojany zazwyczaj przedostają się do innych procesów. Jednakże, takie aktywności są także typowe dla pewnych<br />
nieszkodliwych programów, pakietów aktualizacyjnych i kreatorów instalacji. Na przykład, programy tłumaczące<br />
przechodzą do innych procesów w celu śledzenia naciskania skrótów klawiaturowych.<br />
Podejrzany dostęp do rejestru<br />
Szkodliwe programy tak modyfikują rejestr, aby automatycznie uruchamiały się podczas ładowania systemu<br />
operacyjnego, zmieniają stronę domową w Microsoft Internet Explorer i podejmują inne szkodliwe akcje. Zauważ, że<br />
do rejestru systemu mogą także mieć dostęp popularne programy. Na przykład, pewne programy mogą tworzyć i<br />
wykorzystywać niewidoczne klucze rejestru do ukrywania własnych poufnych in<strong>for</strong>macji (włączając in<strong>for</strong>macje<br />
licencyjne) od użytkownika.<br />
Szkodliwe programy tworzą ukryte klucze rejestru, które nie są wyświetlane przez żadne z dostępnych<br />
standardowych programów (typu regedit). Utworzone są klucze z nieprawidłowymi nazwami. Ma to na celu uchronić<br />
edytor rejestru przed wyświetlaniem tych wartości, co skutkuje problemami w diagnostyce szkodliwej obecności w<br />
systemie.<br />
Wysyłanie danych przy pomocy zaufanych aplikacji<br />
Istnieje niezliczona ilość odmian szkodliwych programów, które są maskowane jako pliki wykonywalne, biblioteki lub<br />
wtyczki dla znanych aplikacji. Dzięki temu szkodliwe programu mogą być ładowane się do listy standardowych<br />
procesów. Dlatego intruz może spowodować utratę danych na komputerze użytkownika. Ruch sieciowy utworzony<br />
przez szkodliwy kod nie będzie oddzielany przez zaporę sieciową, dopóki jest wyświetlany jako ruch utworzony<br />
przez program z dostępem do Internetu.<br />
75