ความปลอดภัยของคอมพิวเตอร์ - มัลแวร์

ในบทที่แล้วเราได้ปฏิบัติต่อโปรแกรมป้องกันไวรัสซึ่งช่วยเราในการปกป้องระบบของเรา แต่ในบทนี้เราจะจัดการกับมัลแวร์วิธีการตรวจจับด้วยตนเองรูปแบบของมันคืออะไรนามสกุลไฟล์ของพวกเขาสัญญาณของคอมพิวเตอร์ที่ติดไวรัสเป็นต้น สิ่งสำคัญที่ต้องได้รับการปฏิบัติเนื่องจากปัจจุบันธุรกิจและคอมพิวเตอร์ส่วนบุคคลมีอัตราการแพร่ระบาดสูงเกินไป

โปรแกรมเหล่านี้เป็นโปรแกรมจำลองตัวเองที่สร้างรหัสของตนเองขึ้นมาใหม่โดยเชื่อมติดกับรหัสปฏิบัติการอื่น ๆ พวกเขาทำงานโดยไม่ได้รับอนุญาตหรือความรู้จากผู้ใช้คอมพิวเตอร์ ไวรัสหรือมัลแวร์เหมือนในชีวิตจริงในคอมพิวเตอร์จะปนเปื้อนไฟล์อื่น ๆ ที่ดีต่อสุขภาพ

อย่างไรก็ตามเราควรจำไว้ว่าไวรัสจะติดจากภายนอกเครื่องด้วยความช่วยเหลือของผู้ใช้คอมพิวเตอร์เท่านั้น สิ่งเหล่านี้เกิดขึ้นได้ด้วยการคลิกไฟล์ที่แนบมาพร้อมกับอีเมลจากบุคคลที่ไม่รู้จักเสียบ USB โดยไม่ต้องสแกนเปิด URL ที่ไม่ปลอดภัยด้วยเหตุผลนั้น เราในฐานะผู้ดูแลระบบต้องลบสิทธิ์ผู้ดูแลระบบของผู้ใช้ในคอมพิวเตอร์เหล่านี้ เราแบ่งประเภทมัลแวร์เป็นสามประเภท -

  • โทรจันและรูทคิท
  • Viruses
  • Worms

ลักษณะของไวรัส

ต่อไปนี้เป็นลักษณะบางประการของไวรัสที่ติดคอมพิวเตอร์ของเรา

  • พวกเขาอยู่ในหน่วยความจำของคอมพิวเตอร์และเปิดใช้งานตัวเองในขณะที่โปรแกรมที่แนบมาเริ่มทำงาน

    For example - พวกเขาแนบตัวเองโดยทั่วไปกับไฟล์ explorer.exe ในระบบปฏิบัติการ windows เนื่องจากเป็นกระบวนการที่ทำงานอยู่ตลอดเวลาดังนั้นคุณควรระมัดระวังเมื่อกระบวนการนี้เริ่มใช้ความจุของคอมพิวเตอร์มากเกินไป

  • พวกเขาแก้ไขตัวเองหลังจากขั้นตอนการติดไวรัสเช่นซอร์สโค้ดนามสกุลไฟล์ใหม่ ฯลฯ ดังนั้นจึงยากกว่าที่โปรแกรมป้องกันไวรัสจะตรวจพบ

  • พวกเขามักจะพยายามซ่อนตัวเองในระบบปฏิบัติการด้วยวิธีต่อไปนี้ -

    • เข้ารหัสตัวเองเป็นสัญลักษณ์ที่เป็นความลับและจะถอดรหัสตัวเองเมื่อทำซ้ำหรือดำเนินการ

      For example - คุณสามารถดูสิ่งนี้ในภาพต่อไปนี้เพื่อความเข้าใจที่ดีขึ้นเช่นเดียวกับในคอมพิวเตอร์ของฉันฉันพบไฟล์นี้

หลังจากพบไฟล์นี้ฉันเปิดมันด้วยโปรแกรมแก้ไขข้อความและเนื่องจากคิดว่าข้อความนั้นไม่สามารถเข้าใจได้ดังที่แสดงในภาพหน้าจอต่อไปนี้

หลังจากพบสิ่งนี้ฉันลองใช้ตัวถอดรหัส base64 และพบว่าเป็นไฟล์ไวรัส

ไวรัสนี้อาจทำให้เกิดสิ่งต่อไปนี้กับคอมพิวเตอร์ของคุณ -

  • อาจลบข้อมูลสำคัญออกจากคอมพิวเตอร์ของคุณเพื่อให้มีพื้นที่ว่างสำหรับกระบวนการ

  • อาจหลีกเลี่ยงการตรวจจับโดยการเปลี่ยนเส้นทางข้อมูลดิสก์

  • มันอาจดำเนินการโดยเรียกเหตุการณ์ด้วยตัวมันเอง ตัวอย่างเช่นกรณีนี้เกิดขึ้นเมื่ออยู่ในตารางป๊อปอัปของคอมพิวเตอร์ที่ติดไวรัสเป็นต้นแสดงขึ้นโดยอัตโนมัติบนหน้าจอ

  • เป็นเรื่องปกติใน Windows และ Mac OS เนื่องจากระบบปฏิบัติการเหล่านี้ไม่มีสิทธิ์หลายไฟล์และมีการแพร่กระจายออกไปมากขึ้น

กระบวนการทำงานของมัลแวร์และวิธีทำความสะอาด

มัลแวร์แนบตัวเข้ากับโปรแกรมและส่งไปยังโปรแกรมอื่นโดยใช้ประโยชน์จากเหตุการณ์บางอย่างพวกเขาต้องการให้เหตุการณ์เหล่านี้เกิดขึ้นเพราะไม่สามารถ -

  • เริ่มต้นด้วยตัวเอง
  • ส่งตัวเองโดยใช้ไฟล์ที่ไม่สามารถเรียกใช้งานได้
  • ติดเชื้อเครือข่ายหรือคอมพิวเตอร์อื่น ๆ

จากข้อสรุปข้างต้นเราควรทราบว่าเมื่อกระบวนการหรือบริการที่ผิดปกติบางอย่างดำเนินการด้วยตัวเองเราควรตรวจสอบความสัมพันธ์ของพวกเขากับไวรัสที่เป็นไปได้เพิ่มเติม กระบวนการสอบสวนมีดังนี้ -

ในการตรวจสอบกระบวนการเหล่านี้ให้เริ่มด้วยการใช้เครื่องมือต่อไปนี้ -

  • fport.exe
  • pslist.exe
  • handle.exe
  • netstat.exe

Listdll.exe แสดงไฟล์ dll files ถูกใช้ในขณะที่ netstat.exe ด้วยตัวแปรแสดงกระบวนการทั้งหมดที่กำลังรันกับพอร์ตของตน

คุณสามารถดูตัวอย่างต่อไปนี้เกี่ยวกับวิธีที่ฉันแมปกระบวนการของโปรแกรมป้องกันไวรัส Kaspersky ซึ่งฉันใช้พร้อมกับคำสั่ง netstat-ano เพื่อดูหมายเลขกระบวนการและตัวจัดการงานเพื่อดูว่ากระบวนการใดเป็นของหมายเลขนี้

จากนั้นเราควรมองหา modified, replaced or deleted files และ shared librariesควรตรวจสอบด้วย โดยทั่วไปจะติดเชื้อไฟล์โปรแกรมปฏิบัติการที่มีนามสกุลเช่น.EXE, .DRV, .SYS, .COM, .BIN. มัลแวร์เปลี่ยนนามสกุลของไฟล์แท้ตัวอย่างเช่น File.TXT เป็น File.TXT.VBS

หากคุณเป็นผู้ดูแลระบบของเว็บเซิร์ฟเวอร์คุณควรระวังมัลแวร์อีกรูปแบบหนึ่งซึ่งเรียกว่า webshell. โดยทั่วไปจะอยู่ในนามสกุล. php แต่มีชื่อไฟล์แปลก ๆ และอยู่ในรูปแบบที่เข้ารหัส คุณควรลบออกในกรณีที่ตรวจพบ

หลังจากนั้นเราควรอัปเดตโปรแกรมป้องกันไวรัสและสแกนคอมพิวเตอร์อีกครั้ง

การตรวจจับข้อผิดพลาดของคอมพิวเตอร์จากการติดไวรัส

ในส่วนนี้เราจะปฏิบัติต่อวิธีตรวจจับความผิดปกติของคอมพิวเตอร์หรือระบบปฏิบัติการจากไวรัสเนื่องจากบางครั้งผู้คนและผู้ดูแลระบบก็มีอาการร่วมกัน

เหตุการณ์ต่อไปนี้ไม่น่าจะเกิดจากมัลแวร์ -

  • เกิดข้อผิดพลาดขณะที่ระบบกำลังบูตในระยะไบออสเช่นการแสดงเซลล์แบตเตอรี่ของ Bios การแสดงข้อผิดพลาดของตัวจับเวลา
  • ข้อผิดพลาดของฮาร์ดแวร์เช่นเสียงบี๊บเบิร์น RAM HDD ฯลฯ
  • หากเอกสารไม่สามารถเริ่มทำงานได้ตามปกติเช่นไฟล์ที่เสียหาย แต่สามารถเปิดไฟล์อื่น ๆ ได้
  • แป้นพิมพ์หรือเมาส์ไม่ตอบสนองต่อคำสั่งของคุณคุณต้องตรวจสอบปลั๊กอิน
  • การเปิดและปิดจอภาพบ่อยเกินไปเช่นการกะพริบหรือการสั่นซึ่งเป็นความผิดพลาดของฮาร์ดแวร์

ในทางกลับกันหากคุณมีสัญญาณต่อไปนี้ในระบบของคุณคุณควรตรวจหามัลแวร์

  • คอมพิวเตอร์ของคุณแสดงป๊อปอัปหรือตารางข้อผิดพลาด

  • ค้างบ่อย.

  • ช้าลงเมื่อโปรแกรมหรือกระบวนการเริ่มทำงาน

  • บุคคลที่สามบ่นว่าพวกเขาได้รับคำเชิญในโซเชียลมีเดียหรือทางอีเมลจากคุณ

  • การเปลี่ยนแปลงนามสกุลไฟล์จะปรากฏขึ้นหรือมีการเพิ่มไฟล์ลงในระบบของคุณโดยไม่ได้รับความยินยอมจากคุณ

  • Internet Explorer หยุดทำงานบ่อยเกินไปแม้ว่าความเร็วอินเทอร์เน็ตของคุณจะดีมากก็ตาม

  • ฮาร์ดดิสก์ของคุณถูกเข้าถึงเกือบตลอดเวลาดังที่คุณเห็นจากไฟ LED บนเคสคอมพิวเตอร์ของคุณ

  • ไฟล์ OS เสียหายหรือหายไป

  • หากคอมพิวเตอร์ของคุณใช้แบนด์วิธหรือทรัพยากรเครือข่ายมากเกินไปนี่เป็นกรณีของหนอนคอมพิวเตอร์

  • พื้นที่ฮาร์ดดิสก์ถูกใช้งานตลอดเวลาแม้ว่าคุณจะไม่ได้ดำเนินการใด ๆ ก็ตามตัวอย่างเช่นการติดตั้งโปรแกรมใหม่

  • ขนาดไฟล์และโปรแกรมเปลี่ยนแปลงไปเมื่อเทียบกับเวอร์ชันดั้งเดิม

Some Practical Recommendations to Avoid Viruses -

  • อย่าเปิดไฟล์แนบอีเมลที่มาจากคนที่ไม่รู้จักหรือจากคนที่รู้จักซึ่งมีข้อความที่น่าสงสัย
  • อย่ารับคำเชิญจากคนที่ไม่รู้จักบนโซเชียลมีเดีย
  • อย่าเปิด URL ที่ส่งโดยคนที่ไม่รู้จักหรือคนที่รู้จักในรูปแบบแปลก ๆ

ข้อมูลไวรัส

หากคุณพบไวรัส แต่ต้องการตรวจสอบเพิ่มเติมเกี่ยวกับการทำงานของไวรัส ฉันอยากจะแนะนำให้คุณดูฐานข้อมูลไวรัสเหล่านี้ซึ่งมีให้โดยผู้จำหน่ายแอนตี้ไวรัสโดยทั่วไป

  • Kaspersky Virus Database - (http://www.kaspersky.com/viruswatchlite?hour_offset=-1)

  • F-Secure - (https://www.f-secure.com/en/web/labs_global/threat-descriptions)

  • Symantec – Virus Encyclopedia - (https://www.symantec.com/security_response/landing/azlisting.jsp)