Die gezwungen sind, auf die Erstellung einer physischen Datei auf dem Computer des Benutzers zu warten, beginnt der Netzwerkschutz mit der Analyse eingehender Datenströme, die über das Netzwerk auf dem Computer des Benutzers ankommen, und blockiert Bedrohungen, bevor sie in das System gelangen.

Die Hauptbereiche des von Symantec-Technologien bereitgestellten Netzwerkschutzes sind:

Drive-by-Downloads, Web-Angriffe;
- Social-Engineering-Angriffe: FakeAV (gefälschte Antivirenprogramme) und Codecs;
- Angriffe durch soziale Netzwerke wie Facebook;
- Erkennung von Malware, Rootkits und Bot-infizierten Systemen;
- Schutz vor ausgeklügelten Bedrohungen;
- Zero-Day-Bedrohungen;
- Schutz vor unkorrigierten Software-Schwachstellen;
- Schutz vor schädlichen Domänen und IP-Adressen.

Netzwerkschutztechnologien

Die Stufe „Netzwerkschutz“ umfasst 3 verschiedene Technologien.

Network Intrusion Prevention-Lösung (Netzwerk-IPS)

Die Netzwerk-IPS-Technologie versteht und scannt über 200 verschiedene Protokolle. Es "durchbricht" auf intelligente und genaue Weise das Binär- und Netzwerkprotokoll und sucht dabei nach Anzeichen von böswilligem Datenverkehr. Diese Intelligenz ermöglicht ein genaueres Scannen des Netzwerks und bietet gleichzeitig starken Schutz. Sein „Herzstück“ ist eine Exploit-Blocking-Engine, die offene Schwachstellen mit nahezu undurchdringlichem Schutz bietet. Ein einzigartiges Merkmal von Symantec IPS ist, dass diese Komponente keine Konfiguration erfordert. Alle seine Funktionen funktionieren, wie man so schön sagt, „out of the box“. Bei jedem Norton-Verbraucherprodukt und jedem Symantec Endpoint Protection-Produkt der Version 12.1 und höher ist diese kritische Technologie standardmäßig aktiviert.

Browser-Schutz

Diese Sicherheits-Engine befindet sich im Browser. Es ist in der Lage, die komplexesten Bedrohungen zu erkennen, die weder herkömmliche Antivirenprogramme noch Netzwerk-IPS erkennen können. Heutzutage verwenden viele Netzwerkangriffe Verschleierungstechniken, um eine Erkennung zu vermeiden. Da Browser Guard innerhalb des Browsers läuft, ist es in der Lage, noch nicht verborgenen (verschleierten) Code während der Ausführung zu inspizieren. Auf diese Weise können Sie einen Angriff erkennen und blockieren, wenn er auf den niedrigeren Schutzebenen des Programms übersehen wurde.

Schutz vor nicht autorisiertem Download (UXP)

Die letzte Verteidigungslinie befindet sich innerhalb der Netzwerkschutzschicht und hilft dabei, die Folgen der Ausnutzung unbekannter und ungepatchter Schwachstellen ohne die Verwendung von Signaturen zu vertuschen und zu „mildern“. Dies bietet eine zusätzliche Schutzebene gegen Zero-Day-Angriffe.

Konzentration auf Probleme

Gemeinsam lösen Firewall-Technologien die folgenden Probleme.

Drive-by-Downloads und Toolkits für Webangriffe

Mithilfe von Network IPS, Browser Protection und UXP-Technologie blockieren die Netzwerkschutztechnologien von Symantec Drive-by-Downloads und verhindern sogar, dass Malware das System des Benutzers erreicht. Es werden verschiedene vorbeugende Methoden praktiziert, die die Verwendung derselben Technologien beinhalten, einschließlich der generischen Exploit-Blocking-Technologie und Tools zur Erkennung von Web-Angriffen. Ein gängiges webbasiertes Intrusion Detection-Tool analysiert die Merkmale eines gängigen webbasierten Angriffs, unabhängig davon, auf welche Schwachstelle der Angriff abzielt. Dadurch ist eine Bereitstellung möglich zusätzlicher Schutz neue und unbekannte Schwachstellen. Das Beste an dieser Art von Schutz ist, dass eine bösartige Datei, wenn sie das System „heimlich“ infizieren könnte, dennoch proaktiv gestoppt und vom System entfernt würde, was genau das Verhalten ist, das traditionelle Antivirenprodukte normalerweise vermissen. Aber Symantec blockiert weiterhin zig Millionen Malware-Varianten, die normalerweise nicht auf andere Weise erkannt werden können.

Social-Engineering-Angriffe

Da die Technologien von Symantec den Netzwerk- und Browserverkehr während der Übertragung überwachen, erkennt es Social-Engineering-Angriffe wie FakeAV oder gefälschte Codecs. Technologien sollen solche Angriffe blockieren, bevor sie auf dem Bildschirm des Benutzers erscheinen. Die meisten anderen konkurrierenden Lösungen enthalten diese leistungsstarke Funktion nicht.

Symantec blockiert Hunderte Millionen dieser Angriffe mit Technologie zum Schutz vor Netzwerkbedrohungen.

Angriffe auf Social-Media-Anwendungen

Social-Media-Anwendungen in In letzter Zeit sind sehr gefragt, weil sie es Ihnen ermöglichen, verschiedene Nachrichten, interessante Videos und Informationen sofort mit Tausenden von Freunden und Benutzern auszutauschen. Die weite Verbreitung und das Potenzial solcher Programme machen sie zum Ziel Nummer eins für Hacker. Einige gängige "Hacker"-Tricks sind das Erstellen gefälschter Konten und das Spammen.

Die IPS-Technologie von Symantec kann vor dieser Art von Betrug schützen und sie häufig verhindern, bevor der Benutzer überhaupt die Möglichkeit hat, darauf zu klicken. Symantec stoppt betrügerische und gefälschte URLs, Anwendungen und andere betrügerische Praktiken mit Network Threat Protection-Technologie.

Erkennung von Malware, Rootkits und Bot-infizierten Systemen

Wäre es nicht schön, genau zu wissen, wo sich der infizierte Computer im Netzwerk befindet? Die IPS-Lösungen von Symantec bieten diese Fähigkeit, einschließlich der Erkennung und Wiederherstellung von Bedrohungen, die es möglicherweise geschafft haben, andere Schutzebenen zu umgehen. Die Lösungen von Symantec erkennen Malware und Bots, die versuchen, „Updates“ automatisch anzuwählen oder herunterzuladen, um ihre Aktivität auf dem System zu steigern. Auf diese Weise können IT-Manager, die eine klare Liste der zu überprüfenden Systeme haben, sicherstellen, dass ihr Unternehmen sicher ist. Polymorphe und komplexe Stealth-Bedrohungen, die Rootkit-Methoden wie Tidserv, ZeroAccess, Koobface und Zbot verwenden, können mit dieser Methode gestoppt und entfernt werden.

Schutz vor verschleierten Bedrohungen

Die heutigen Web-Angriffe verwenden ausgefeilte Techniken, um Angriffe zu erschweren. Der Browserschutz von Symantec befindet sich im Browser und kann sehr ausgeklügelte Bedrohungen erkennen, die herkömmliche Methoden oft nicht erkennen können.

Zero-Day-Bedrohungen und ungepatchte Schwachstellen

Eine der letzten Sicherheitserweiterungen, die das Unternehmen hinzugefügt hat, ist eine zusätzliche Schutzebene gegen Day-Zero-Bedrohungen und ungepatchte Schwachstellen. Mit signaturlosem Schutz fängt das Programm System-API-Aufrufe ab und schützt vor Malware-Downloads. Diese Technologie wird als Un-Authorized Download Protection (UXP) bezeichnet. Es ist die letzte Verteidigungslinie innerhalb des Ökosystems zur Abwehr von Netzwerkbedrohungen. Dadurch kann das Produkt unbekannte und nicht gepatchte Schwachstellen ohne die Verwendung von Signaturen „verdecken“. Diese Technologie ist standardmäßig aktiviert und wurde in allen Produkten gefunden, die seit der Einführung von Norton 2010 veröffentlicht wurden.

Schutz vor nicht gepatchten Software-Schwachstellen

Schädliche Programme werden oft ohne Wissen des Benutzers installiert, indem Schwachstellen in der Software ausgenutzt werden. Symantec Network Security bietet eine zusätzliche Schutzebene namens Generic Exploit Blocking (GEB). Unabhängig davon, ob die neuesten Updates installiert sind oder nicht, schützt GEB „meistens“ größere Sicherheitslücken vor Ausnutzung. Schwachstellen in Oracle Sun Java, Adobe Acrobat Reader, Adobe Flash, Internet Explorer, ActiveX-Steuerelemente oder QuickTime sind jetzt allgegenwärtig. Der generische Exploit-Schutz wurde durch „Reverse Engineering“ erstellt, indem herausgefunden wurde, wie die Schwachstelle im Netzwerk ausgenutzt werden könnte, und gleichzeitig ein spezieller Patch bereitgestellt wurde Netzwerkschicht. Eine einzelne GEB oder Schwachstellensignatur kann Schutz vor Tausenden von neuen und unbekannten Malware-Varianten bieten.

Schädliche IPs und Domänenblockierung

Der Netzwerkschutz von Symantec umfasst auch die Möglichkeit, bösartige Domänen und IP-Adressen zu blockieren und gleichzeitig Malware und Datenverkehr von bekannten bösartigen Websites zu stoppen. Durch sorgfältige Überprüfung und Aktualisierung der Website-Datenbank durch STAR bietet Symantec Echtzeitschutz vor sich ständig ändernden Bedrohungen.

Verbesserter Ausweichwiderstand

Unterstützung für zusätzliche Codierungen wurde hinzugefügt, um die Leistung der Angriffserkennung mit Verschlüsselungstechniken wie base64 und gzip zu verbessern.

Netzwerk-Audit-Erkennung zur Durchsetzung von Nutzungsrichtlinien und Identifizierung von Datenlecks

Netzwerk-IPS kann verwendet werden, um Anwendungen und Tools zu identifizieren, die möglicherweise gegen Unternehmensnutzungsrichtlinien verstoßen, oder um zu verhindern, dass Daten über ein Netzwerk gelangen. Es ist möglich, Datenverkehr wie IM, P2P, soziale Medien oder andere „interessante“ Arten von Datenverkehr zu erkennen, zu warnen oder zu verhindern.

STAR Intelligence Communication Protocol

Die Netzwerkschutztechnologie allein funktioniert nicht. Die Engine kommuniziert mit anderen Sicherheitsdiensten über das Protokoll STAR Intelligence Communication (STAR ​​​​ICB). Die Netzwerk-IPS-Engine stellt eine Verbindung zur Symantec Sonar-Engine und dann zur Insight Reputation-Engine her. Auf diese Weise können Sie informativeren und genaueren Schutz bieten.

Im nächsten Artikel betrachten wir die Ebene „Behavior Analyzer“.

Laut Symantec

Antivirus muss auf jedem Windows-PC installiert sein. Lange Zeit galt dies als goldene Regel, doch heute streiten IT-Sicherheitsexperten über die Wirksamkeit von Sicherheitssoftware. Kritiker argumentieren, dass Antivirenprogramme nicht immer schützen und manchmal sogar umgekehrt - aufgrund einer nachlässigen Implementierung können sie Sicherheitslücken im System schaffen. Die Entwickler solcher Lösungen kontern dieser Meinung mit einer beeindruckenden Anzahl von blockierten Angriffen, und Marketingabteilungen versichern weiterhin den umfassenden Schutz, den ihre Produkte bieten.

Die Wahrheit liegt irgendwo in der Mitte. Antivirenprogramme funktionieren nicht einwandfrei, aber alle können nicht als nutzlos bezeichnet werden. Sie warnen vor vielen Gefahren, aber vor den größtmöglichen Windows-Schutz sie sind nicht genug. Für Sie als Nutzer bedeutet das: Sie können den Antivirus entweder in den Müll werfen oder ihm blind vertrauen. Aber auf die eine oder andere Weise ist es nur einer der Blöcke (wenn auch ein großer) in der Sicherheitsstrategie. Wir liefern Ihnen weitere neun solcher "Bausteine".

Sicherheitsbedrohung: Virenschutz

> Das sagen Kritiker Die aktuelle Kontroverse Virenscanner provoziert vom ehemaligen Firefox-Entwickler Robert O'Callahan. Er behauptet, dass Antivirenprogramme die Sicherheit von Windows bedrohen und entfernt werden sollten. Einzige Ausnahme ist Microsofts Windows Defender.

> Was Entwickler sagen Antivirus-Ersteller, einschließlich Kaspersky Lab, werden beeindruckende Zahlen als Argument angeführt. Im Jahr 2016 registrierte und verhinderte die Software dieses Labors also etwa 760 Millionen Internetangriffe auf die Computer der Benutzer.

> Was CHIP denkt Antiviren sollten nicht als Relikt oder Allheilmittel betrachtet werden. Sie sind nur Bausteine ​​im Sicherheitsgebäude. Wir empfehlen die Verwendung von kompakten Antivirenprogrammen. Aber keine Sorge: Windows Defender ist in Ordnung. Sie können sogar einfache Scanner von Drittanbietern verwenden.

Wählen Sie das richtige Antivirenprogramm

Wir sind nach wie vor davon überzeugt, dass Windows ohne Virenschutz nicht denkbar ist. Sie müssen nur das richtige Produkt auswählen. Für Windows 10-Benutzer kann es sogar der integrierte Windows Defender sein. Auch wenn es bei unseren Tests nicht die beste Erkennung zeigte, ist es perfekt und vor allem ohne Sicherheitsprobleme im System verbaut. Zudem hat Microsoft sein Produkt im Creators Update für Windows 10 verbessert und einfacher zu verwalten gemacht.

Antivirenpakete anderer Entwickler haben oft einen höheren Bekanntheitsgrad als Defender. Wir plädieren für eine kompakte Lösung. Spitzenreiter unserer Wertung ist derzeit Kaspersky Internet Security 2017. Wer auf Zusatzoptionen wie Kindersicherung und Passwort-Manager verzichten kann, sollte sein Augenmerk auf eine preisgünstigere Variante von Kaspersky Lab richten.

Folgen Sie Aktualisierungen

Wenn nur eine Maßnahme gewählt werden müsste, um Windows sicher zu halten, würden wir auf jeden Fall zu Updates greifen. In diesem Fall sprechen wir natürlich in erster Linie von Updates für Windows, aber nicht nur. Installierte Software, einschließlich Office, Firefox und iTunes, sollte ebenfalls regelmäßig aktualisiert werden. Unter Windows ist das Abrufen von Systemupdates relativ einfach. Sowohl bei den „Sieben“ als auch bei den „Zehn“ werden Patches automatisch mit den Standardeinstellungen installiert.

Bei Programmen ist die Situation schwieriger, da nicht alle so einfach zu aktualisieren sind wie Firefox und Chrome, die eine automatische Update-Funktion eingebaut haben. Das Dienstprogramm SUMo (Software Update Monitor) unterstützt Sie bei dieser Aufgabe und benachrichtigt Sie, wenn Updates verfügbar sind. Das Schwesterprogramm DUMo (Driver Update Monitor) übernimmt die gleiche Aufgabe für Treiber. Beide kostenlosen Assistenten informieren Sie jedoch nur über neue Versionen – Sie müssen sie selbst herunterladen und installieren.

Firewall einrichten

Die eingebaute Firewall in Windows leistet gute Arbeit und blockt zuverlässig alle eingehenden Anfragen. Es kann jedoch mehr - sein Potenzial ist nicht auf die Standardkonfiguration beschränkt: alle installierte Programme das Recht haben, Ports in der Firewall ungefragt zu öffnen. Das kostenlose Windows-Firewall-Kontrollprogramm gibt Ihnen mehr Funktionen in die Hand.

Führen Sie es aus und stellen Sie im Menü "Profile" den Filter auf "Mittlere Filterung". Dank dessen kontrolliert die Firewall auch den ausgehenden Datenverkehr gemäß einem bestimmten Satz von Regeln. Welche Maßnahmen dort enthalten sein werden, legen Sie selbst fest. Klicken Sie dazu in der unteren linken Ecke des Programmbildschirms auf das Notizsymbol. So können Sie die Regeln einsehen und mit einem Klick einem bestimmten Programm die Erlaubnis erteilen oder es blockieren.

Besonderen Schutz verwenden

Updates, Antivirus und Firewall – um diese große Dreifaltigkeit an Sicherheitsmaßnahmen haben Sie sich bereits gekümmert. Es ist Zeit zu Feinabstimmung. Problem zusätzliche Programme unter Windows liegt oft darin, dass sie nicht alle vom System gebotenen Sicherheitsfeatures nutzen. Ein Exploit-Tool wie EMET (Enhanced Mitigation Experience Toolkit) wertet installierte Software weiter auf. Klicken Sie dazu auf „Empfohlene Einstellungen verwenden“ und lassen Sie das Programm automatisch laufen.

Verschlüsselung stärken

Durch die Verschlüsselung können Sie den Schutz personenbezogener Daten erheblich verbessern. Selbst wenn Ihre Informationen in die falschen Hände geraten, kann ein Hacker eine gute Codierung nicht entfernen, zumindest nicht sofort. Bei professionellen Windows-Versionen ist das BitLocker-Dienstprogramm bereits über die Systemsteuerung konfiguriert.

VeraCrypt wird eine Alternative für alle Benutzer. Dieses Open-Source-Programm ist der inoffizielle Nachfolger von TrueCrypt, das vor einigen Jahren eingestellt wurde. Wenn es nur um den Schutz personenbezogener Daten geht, können Sie über den Punkt „Volume erstellen“ einen verschlüsselten Container erstellen. Wählen Sie die Option „Verschlüsselten Dateicontainer erstellen“ und folgen Sie den Anweisungen des Assistenten. Der Zugriff auf den vorgefertigten Datensafe erfolgt über den Windows Explorer, as normale Festplatte.

Benutzerkonten schützen

Viele Schwachstellen bleiben von Hackern nur deshalb ungenutzt, weil die Arbeit am Rechner unter einem Standardkonto mit eingeschränkten Rechten erfolgt. Für alltägliche Aufgaben sollten Sie sich also auch ein solches Konto einrichten. In Windows 7 erfolgt dies über die Systemsteuerung und das Element Benutzerkonten hinzufügen oder entfernen. Klicken Sie in den „Zehn“ auf „Einstellungen“ und „Konten“ und wählen Sie dann „Familie und andere Personen“ aus.

VPN aktivieren, wenn Sie nicht zu Hause sind

Zuhause ein drahtloses Netzwerk Ihr Sicherheitsniveau ist hoch, denn nur Sie kontrollieren, wer Zugriff auf das lokale Netzwerk hat, und sind auch für Verschlüsselung und Zugangscodes verantwortlich. Bei Hotspots ist zum Beispiel alles anders,
in Hotels. Hier wird das WLAN an Unbefugte verteilt und Sie können keinen Einfluss auf die Sicherheit des Netzwerkzugriffs nehmen. Zum Schutz empfehlen wir die Verwendung eines VPN (Virtual Private Network). Wenn Sie Websites nur über einen Hotspot durchsuchen müssen, reicht das integrierte VPN aus. letzte Version Opera-Browser. Installieren Sie den Browser und klicken Sie unter „Einstellungen“ auf „Sicherheit“. Aktivieren Sie im Bereich „VPN“ das Kontrollkästchen „VPN aktivieren“.

Trennen Sie ungenutzte Funkverbindungen

Ok

Auch die Details können über den Ausgang einer Situation entscheiden. Wenn Sie Verbindungen wie WLAN und Bluetooth nicht nutzen, schalten Sie diese einfach ab und schließen so mögliche Schlupflöcher. In Windows 10 ist dies am einfachsten über das Action Center möglich. "Seven" bietet dazu auf dem Control Panel den Abschnitt " Netzwerkverbindungen».

Passwörter verwalten

Jedes Passwort darf nur einmal verwendet werden und muss Sonderzeichen, Zahlen, Großbuchstaben u Großbuchstaben. Und auch so lang wie möglich – zehn oder mehr Zeichen sind am besten. Das Konzept der Passwortsicherheit stößt heute an seine Grenzen, weil Benutzer sich zu viel merken müssen. Daher sollte ein solcher Schutz nach Möglichkeit durch andere Methoden ersetzt werden. Nehmen Sie die Windows-Anmeldung als Beispiel: Wenn Sie eine Windows Hello-fähige Kamera haben, verwenden Sie die Gesichtserkennung, um sich anzumelden. Für andere Codes empfehlen wir Ihnen, sich an Passwort-Manager wie KeePass zu wenden, die mit einem starken Master-Passwort geschützt werden sollten.

Schützen Sie die Privatsphäre im Browser

Es gibt viele Möglichkeiten, Ihre Privatsphäre online zu schützen. Für Firefox ist die Erweiterung Datenschutzeinstellungen ideal. Installieren Sie es und stellen Sie es auf "Volle Privatsphäre". Danach gibt der Browser keine Auskunft über Ihr Verhalten im Internet.

Rettungsring: Backup

> Sicherungen sind unerlässlich
sich nicht erst nach der Ansteckung mit dem Virus. Auch bei Problemen mit der Hardware hat es sich hervorragend bewährt. Unser Tipp: Einmal das gesamte Windows kopieren und dann zusätzlich regelmäßig alle wichtigen Daten sichern.

> Vollständige Archivierung von Windows Windows 10 geerbt vom „seven“ Modul „Archivieren und Wiederherstellen“. Damit erstellen Sie eine Sicherungskopie des Systems. Sie können auch verwenden spezielle Dienstprogramme, wie True Image oder Macrium Reflect.

> True Image File Protection und die kostenpflichtige Version von Macrium Reflect können Kopien bestimmter Dateien und Ordner erstellen. Kostenlose Alternative zur Archivierung wichtige Informationen wird zu Personal Backup.

FOTO: produzierende Unternehmen; NicoElNino/Fotolia.com

Alexander Frolov, Grigori Frolov

alexandre @frolov .pp .ru ; http://www.frolov.pp.ru, http://www.datarecovery.ru

Im vorherigen Artikel zum Virenschutz haben wir uns mit den wichtigsten Arten von Viren und ihrer Verbreitung befasst. Basierend auf diesen Erkenntnissen beschäftigen wir uns nun mit dem Schutz vor Viren, Trojanern und anderen Schadprogrammen. Wir werden über die Software, Hardware sowie administrative und technologische Lösungen und Maßnahmen sprechen, die erforderlich sind, um das Risiko einer Virusinfektion zu verringern und den Schaden zu verringern, wenn eine solche Infektion bereits aufgetreten ist.

Software- und Hardwaremethoden zum Erkennen von Viren

Antivirenprogramme waren und sind das wichtigste Mittel zur Bekämpfung von Viren. Sie können Antivirenprogramme (Antivirenprogramme) verwenden, ohne eine Vorstellung davon zu haben, wie sie funktionieren. Ohne die Prinzipien des Antivirus-Designs zu verstehen, die Arten von Viren zu kennen und zu wissen, wie sie sich verbreiten, ist es jedoch unmöglich, einen zuverlässigen Computerschutz zu organisieren. Folglich kann ein Computer infiziert werden, selbst wenn darauf Antivirenprogramme installiert sind.

Heutzutage werden mehrere grundlegende Methoden zum Erkennen und Schützen vor Viren verwendet:

Scannen;

heuristische Analyse;

Verwendung von Antiviren-Monitoren;

Erkennung von Änderungen;

Verwendung von Antivirenprogrammen, die in das BIOS des Computers integriert sind.

Darüber hinaus bieten fast alle Antivirenprogramme eine automatische Wiederherstellung infizierter Programme und Bootsektoren. Natürlich, wenn möglich.

Scannen

Die einfachste Methode zum Virenscannen besteht darin, dass das Antivirenprogramm die Dateien, die es überprüft, nacheinander auf Signaturen bekannter Viren scannt. Eine Signatur ist eine eindeutige Folge von Bytes, die zu einem Virus gehört und in anderen Programmen nicht zu finden ist.

Antiviren-Scanner können nur bekannte und untersuchte Viren finden, für die eine Signatur ermittelt wurde. Die Verwendung einfacher Scannerprogramme schützt Ihren Computer nicht vor dem Eindringen neuer Viren.

Verschlüsselte und polymorphe Viren, die ihren Code vollständig ändern können, wenn sie ein neues Programm oder einen neuen Bootsektor infizieren, können nicht identifiziert werden. Daher können einfache Antivirenscanner polymorphe Viren nicht erkennen.

Heuristische Analyse

Mit der heuristischen Analyse können Sie zuvor unbekannte Viren erkennen, und dafür müssen Sie nicht zuerst Daten über das Dateisystem sammeln, wie dies beispielsweise für die unten beschriebene Änderungserkennungsmethode erforderlich ist.

Antivirenprogramme, die die heuristische Analysemethode implementieren, scannen Programme und Bootsektoren von Festplatten und Disketten und versuchen, darin virenspezifischen Code zu erkennen. Der heuristische Analysator kann beispielsweise erkennen, dass das zu testende Programm ein residentes Modul im Speicher installiert oder Daten in die ausführbare Datei des Programms schreibt.

Fast alle modernen Antivirenprogramme implementieren ihre eigenen Methoden Heuristische Analyse. Auf Abb. 1 haben wir eines dieser Programme gezeigt - den McAffee VirusScan-Scanner, der manuell zum Antiviren-Scannen der Festplatte gestartet wird.

Reis. 1. McAffee VirusScan scannt das Laufwerk

Wenn ein Antivirenprogramm eine infizierte Datei erkennt, zeigt es normalerweise eine Meldung auf dem Monitorbildschirm an und macht einen Eintrag in seinem eigenen oder Systemprotokoll. Abhängig von den Einstellungen kann der Antivirus auch eine Nachricht über einen gefundenen Virus an den Netzwerkadministrator senden.

Wenn möglich, desinfiziert das Antivirenprogramm die Datei, indem es ihren Inhalt wiederherstellt. Andernfalls wird nur eine Option angeboten - die infizierte Datei löschen und dann wiederherstellen Sicherung(es sei denn, Sie haben einen).

Antivirus-Monitore

Es gibt auch eine ganze Klasse von Antivirenprogrammen, die sich ständig im Speicher des Computers befinden und alle verdächtigen Aktionen überwachen, die von anderen Programmen ausgeführt werden. Solche Programme werden Antiviren-Monitore oder Wächter genannt.

Der Monitor überprüft automatisch alle laufenden Programme, erstellte, geöffnete und gespeicherte Dokumente, Programm- und Dokumentdateien, die über das Internet empfangen oder kopiert werden Festplatte von Diskette und CD. Der Antivirus-Monitor benachrichtigt den Benutzer, wenn ein Programm versucht, eine potenziell gefährliche Aktion auszuführen.

Einer der fortschrittlichsten Scanner von Doctor Web (Abb. 2), der von Igor Danilov (http ://www .drweb .ru ) entwickelt wurde, enthält Spider Guard, das als Antivirus-Monitor fungiert.

Reis. 2. Doctor Web-Scanner

Änderungserkennung

Wenn ein Virus einen Computer infiziert, ändert er beispielsweise den Inhalt der Festplatte, hängt seinen Code an eine Programm- oder Dokumentdatei an, fügt der Datei AUTOEXEC.BAT einen Aufruf des Virenprogramms hinzu, ändert den Bootsektor und erstellt eine Begleitdatei. Solche Änderungen werden jedoch nicht von „körperlosen“ Viren vorgenommen, die nicht auf der Festplatte, sondern im Speicher von Betriebssystemprozessen leben.

Antivirenprogramme, sogenannte Disk-Auditoren, suchen nicht anhand von Signaturen nach Viren. Sie merken sich zunächst die Merkmale aller vom Virus befallenen Bereiche der Festplatte und überprüfen sie dann regelmäßig (daher der Name der Programmprüfer). Der Prüfer kann Änderungen finden, die von einem bekannten oder unbekannten Virus vorgenommen wurden.

Als Beispiele für Festplattenprüfer können wir das von DialogNauka CJSC (http ://www .dials .ru , http ://www .adinf .ru ) entwickelte Programm Advanced Diskinfoscope (ADinf) und den von Kaspersky Lab hergestellten Prüfer AVP Inspector anführen CJSC » (http://www.kaspersky.ru).

Zusammen mit ADinf wird das ADinf Cure Module (ADinfExt) verwendet, das zuvor gesammelte Informationen über Dateien verwendet, um sie nach einer Infektion mit unbekannten Viren wiederherzustellen. Der AVP Inspector enthält auch ein Desinfektionsmodul, das Viren entfernen kann.

Im BIOS des Computers integrierter Schutz

Die einfachsten Mittel zum Schutz vor Viren sind auch in den Hauptplatinen von Computern eingebaut. Mit diesen Tools können Sie den gesamten Zugriff auf den Master Boot Record steuern. Festplatte, sowie in die Bootsektoren von Disketten und Disketten. Versucht irgendein Programm, den Inhalt der Bootsektoren zu verändern, wird der Schutz ausgelöst und der Benutzer erhält eine entsprechende Warnung.

Dieser Schutz ist jedoch nicht sehr zuverlässig. Es gibt Viren (z. B. Tchechen.1912 und 1914), die versuchen, die BIOS-Virenschutzsteuerung zu deaktivieren, indem sie einige Zellen im nichtflüchtigen Speicher (CMOS-Speicher) des Computers verändern.

Funktionen zum Schutz des Unternehmensintranets

Ein Unternehmensintranet kann Hunderte oder Tausende von Computern umfassen, die als Workstations und Server fungieren. Dieses Netzwerk ist normalerweise mit dem Internet verbunden und enthält Mail-Server, Workflow-Server wie Microsoft Exchange und Lotus Notes sowie benutzerdefinierte Informationssysteme.

Für zuverlässiger Schutz Das Unternehmens-Intranet muss Antivirenprogramme auf allen Arbeitsstationen und Servern installieren. Gleichzeitig sollte auf Fileservern, E-Mail-Servern und Servern von Dokumentenmanagementsystemen spezielle Server-Antivirensoftware eingesetzt werden. Workstations können mit herkömmlichen Antiviren-Scannern und -Monitoren geschützt werden.

Es wurden spezielle Antiviren-Proxyserver und Firewalls entwickelt, die den Datenverkehr scannen und bösartige Softwarekomponenten daraus entfernen. Diese Antivirenprogramme werden häufig zum Schutz von Mailservern und Servern von Dokumentenverwaltungssystemen verwendet.

Dateiserver-Schutz

Dateiserver sollten mit Antiviren-Monitoren geschützt werden, die automatisch alle Serverdateien scannen können, auf die über das Netzwerk zugegriffen wird. Virenschutzprogramme zum Schutz von Dateiservern werden von allen Antivirenunternehmen hergestellt, sodass Sie eine große Auswahl haben.

Mailserver-Schutz

Antiviren-Monitore können Viren in E-Mail-Nachrichten nicht effektiv erkennen. Dies erfordert spezielle Antivirenprogramme, die den SMTP-, POP3- und IMAP-Verkehr filtern können und verhindern, dass infizierte Nachrichten die Arbeitsstationen der Benutzer erreichen.

Um E-Mail-Server zu schützen, können Sie Antivirenprogramme erwerben, die speziell zum Scannen des E-Mail-Verkehrs entwickelt wurden, oder herkömmliche Antivirenprogramme mit Ihrem E-Mail-Server verbinden, mit denen Sie im Befehlszeilenmodus arbeiten können.

Der Doctor Web Antivirus-Daemon kann mit allen bekannten Mailservern und -systemen wie Doctor ComminiGatePro, Sendmail, Postfix, Exim, QMail und Zmailer integriert werden. Ähnliche Tools werden von Kaspersky Lab als Teil des Pakets Kaspersky Corporate Suite bereitgestellt.

MERAK Mail Server ermöglicht die Verbindung verschiedener Arten von externen Antivirenprogrammen, die über eine Befehlszeilenschnittstelle verfügen. Einige Mailserver (wie EServ) verfügen über einen integrierten Virenschutz.

Sie können auch zusätzlich den POP 3-Verkehr auf Benutzerarbeitsstationen überprüfen. Auf diese Weise können Sie beispielsweise den SpIDer Mail Antivirus-Proxy-Server für das POP 3-Protokoll erstellen, der zusammen mit Doctor Web Antivirus erworben werden kann.

Schutz von Servern von Dokumentenmanagementsystemen

Workflow-Server wie Microsoft Exchange und Lotus Notes speichern Dokumente in Datenbanken ihres eigenen Formats. Daher führt der Einsatz herkömmlicher Dateiscanner zum Antiviren-Scannen von Dokumenten zu keinen Ergebnissen.

Es gibt eine Reihe von Antivirenprogrammen, die speziell für den Virenschutz solcher Systeme entwickelt wurden. Dies sind Trend Micro ScanMail für Lotus Notes, McAfee GroupScan und McAfee GroupShield, Norton Antivirus für Lotus Notes, Kaspersky Business Optimal Antivirus für MS Exchange Server und einige andere.

Diese Programme scannen Mail- und Anhangsdateien, um sämtliche Malware in Echtzeit zu entfernen, und erkennen Makroviren und Trojaner in Formularen und Makros, in Skriptdateien und in OLE-Objekten. Die Verifizierung erfolgt sowohl in Echtzeit als auch auf Abruf.

Schutz von Nicht-Standard-Informationssystemen

Für den Virenschutz von Nicht-Standard-Informationssystemen, die Daten in ihren eigenen Formaten speichern, ist es notwendig, entweder eine Antiviren-Engine in das System einzubauen oder einen externen Scanner anzuschließen, der im Befehlszeilenmodus arbeitet.

Beispielsweise wurde der Kern des Virenschutzprogramms Doctor Web von der FSUE NPO Mashinostroeniya zum Schutz eines Workflow-Systems verwendet, das auf der Grundlage der proprietären Technologie von Sapiens erstellt wurde (http://www.npomit.ru). Alle von diesem System in der Datenbank gespeicherten Informationen werden von der Antiviren-Engine von Doctor Web überprüft.

Als Entwickler von Informationssystemen für eine verantwortungsbewusste Nutzung hat "NPO Mashinostroeniya" Virenschutz für Entwicklungen wie Sapiens Registration and Document Execution Control, Sapiens Monitoring of Computing Resources, Sapiens Electronic Archive of Design Documentation bereitgestellt.

Antiviren-Kontrollzentrum für das Netzwerk

Wenn das Intranet über Hunderte und Tausende von Computern verfügt, ist eine zentralisierte Fernsteuerung von Antivirenprogrammen und die Kontrolle ihrer Arbeit erforderlich. Durchführen "manueller" Vorgänge wie z. B. Nachverfolgen von Aktualisierungen Antiviren-Datenbank Daten- und Boot-Module von Antivirenprogrammen, die Überwachung der Wirksamkeit der Virenerkennung auf Workstations und Servern usw. ist wirkungslos, wenn das Netzwerk eine große Anzahl von Benutzern hat oder wenn das Netzwerk aus geografisch voneinander entfernten Segmenten besteht.

Wenn Sie die rechtzeitige und effiziente Ausführung der oben genannten Vorgänge nicht sicherstellen, wird die Technologie des Virenschutzes des Unternehmensnetzwerks zwangsläufig verletzt, was früher oder später zu einer Virusinfektion führen wird. Benutzer können beispielsweise falsch konfigurieren Automatisches Update Antiviren-Datenbank oder schalten Sie Ihren Computer einfach aus, während ein solches Update durchgeführt wird. Infolgedessen werden keine automatischen Updates durchgeführt und es besteht die potenzielle Gefahr einer Infektion mit neuen Viren.

Die folgenden Funktionen sind in modernen Antivirensystemen implementiert Fernbedienung und Kontrolle:

Installation und Aktualisierung von Antivirenprogrammen sowie Antivirendatenbanken;

zentralisierte Remote-Installation und -Konfiguration von Antivirenprogrammen;

Automatische Erkennung neuer Arbeitsstationen, die mit dem Unternehmensnetzwerk verbunden sind, gefolgt von automatische Installation zu diesen Stationen von Antivirenprogrammen;

· Planen von Aufgaben für den sofortigen oder verzögerten Start (z. B. Aktualisierung von Programmen, Antiviren-Datenbanken, Scannen von Dateien usw.) auf beliebigen Netzwerkcomputern;

· Echtzeitanzeige des Antivirus-Betriebs auf Workstations und Netzwerkservern.

Alle oder viele der oben aufgeführten Funktionen sind in den Netzwerkkontrollzentren der führenden Antivirus-Produkte für Unternehmen implementiert, die von Sophos (http://www.sophos.com), Symantec (http://www.symantec .ru), Network Associates (http://www.nai.com) und Kaspersky Lab.

Netzwerkkontrollzentren ermöglichen es Ihnen, den Virenschutz des gesamten Netzwerks von einer Workstation des Systemadministrators aus zu verwalten. Gleichzeitig erstellen diese Netzwerke ihre eigenen lokalen Verteilungsverzeichnisse, um die Installation von Antivirenprogrammen in entfernten Netzwerken zu beschleunigen, die über langsame Kommunikationskanäle mit dem Hauptnetzwerk verbunden sind.

Bei Verwendung einer Client-Server-Architektur basiert das Netzwerkkontrollzentrum auf einem Antiviren-Server, der auf einem der Server des Unternehmensnetzwerks installiert ist. Es interagiert einerseits mit Agentenprogrammen, die zusammen mit Antivirenprogrammen auf Netzwerkarbeitsplätzen installiert werden, und andererseits mit der Verwaltungskonsole des Antivirenschutzadministrators (Abb. 3).

Reis. 3. Interaktion zwischen der Administratorkonsole, den Agenten und dem Antivirus-Server

Der Antivirus-Server führt Verwaltungs- und Koordinierungsaktionen durch. Es speichert ein allgemeines Protokoll von Ereignissen im Zusammenhang mit dem Virenschutz, die auf allen Computern im Netzwerk auftreten, sowie eine Liste und einen Zeitplan von Aufgaben. Der Antiviren-Server ist dafür verantwortlich, Nachrichten von Agenten zu empfangen und sie an den Antivirenschutz-Administrator über das Auftreten bestimmter Ereignisse im Netzwerk zu senden, führt eine regelmäßige Überprüfung der Netzwerkkonfiguration durch, um neue Workstations oder Workstations mit einem zu erkennen geänderte Konfiguration Antiviren-Tools usw.

Zusätzlich zu den Agenten wird auf jedem Arbeitsplatz- und Firmennetzwerk-Server ein Antivirus installiert, der Dateien scannt und Dateien beim Öffnen überprüft (Scanner- und Antiviren-Monitor-Funktionen). Die Ergebnisse der Antivirenoperation werden über Agenten an den Antivirenserver übermittelt, der sie analysiert und im Ereignisprotokoll protokolliert.

Die Steuerkonsole kann eine Standard-Microsoft-Windows-Anwendung mit einer Fensteroberfläche oder ein Applet (Snap-In) der Systemsteuerungs-Steuerkonsole des Microsoft-Windows-Betriebssystems sein. Der erste Ansatz wird beispielsweise im Antivirus-Verwaltungssystem von Sophos und der zweite im Norton AntiVirus-Verwaltungssystem implementiert.

Die Benutzeroberfläche der Verwaltungskonsole ermöglicht es Ihnen, die Baumstruktur des Unternehmensnetzwerks anzuzeigen und bei Bedarf Zugriff auf einzelne Computer bestimmter Benutzergruppen oder Domänen zu erhalten.

Mehrstufige Systeme mit Webinterface

Die Architektur von Multilevel-Systemen mit einer Webschnittstelle beinhaltet die Verwendung eines Webservers als Kern des Systems. Die Aufgabe dieses Kerns ist einerseits die Organisation der interaktiven Interaktion mit dem Benutzer und andererseits mit den Softwaremodulen eines bestimmten Systems.

Die Vorteile dieses Ansatzes liegen in der Vereinheitlichung von Verfahren zur Verwaltung verschiedener Netzwerksysteme sowie in der fehlenden Notwendigkeit, Steuerprogramme oder Konsolen auf der Workstation des Administrators zu installieren. Die Verwaltung kann von jedem Netzwerkcomputer aus durchgeführt werden, und wenn das Netzwerk mit dem Internet verbunden ist, dann von jedem Ort auf der Welt, an dem eine Internetverbindung und ein Computer mit einem Browser vorhanden sind.

Kontrollinformationen werden bei der Übertragung über das Internet oder ein Unternehmensintranet mithilfe von SSH-Protokollen oder anderen ähnlichen Mitteln (z. B. proprietäre sichere Modifikationen des HTTP-Protokolls) geschützt.

Auf Abb. In den Abbildungen 4-5 haben wir ein Blockdiagramm des webbasierten Virenschutzsystems Trend Virus Control System gezeigt. Mit diesem System können Sie den Betrieb des Antivirenschutzsystems des Unternehmens von einer Workstation aus über einen Browser vollständig verwalten und steuern, selbst wenn sich einzelne Netzwerkfragmente in verschiedenen Ländern oder auf verschiedenen Kontinenten befinden.

Reis. 4. Antivirensystem mit Webinterface

Diese Schaltung ähnelt der in Abb. 4-1 jedoch verwaltet der Antivirenschutzadministrator seinen Betrieb über den Browser und nicht über die Konsolenanwendung.

Auf den Arbeitsstationen ist ein Virenschutz installiert (PC-cillin , Server Protect , InterScan VirusWall , ScanMail usw.). Dieses Antivirenprogramm wird vom Antivirenserver über einen Agenten verwaltet.

Auf dem Computer, der die Rolle eines Antivirus-Servers spielt, wird der Microsoft IIS-Webserver installiert. Eine spezielle Webanwendung, die auf diesem Server ausgeführt wird, verwaltet den Antivirus-Server. Es bietet auch den Administrator Benutzeroberfläche um das Virenschutzsystem zu verwalten.

Um so unabhängig wie möglich von Computerplattformen zu sein, sind der Trend VCS-Server und die Client-Anwendung in der Programmiersprache Java und anderen Sprachen geschrieben, die zur Entwicklung von Webanwendungen verwendet werden.

Benachrichtigungen über das Auftreten von Ereignissen im Antivirenschutzsystem des Unternehmens werden von Agentenprogrammen an den Trend VCS-Server übertragen und per E-Mail, Paging-Netzwerke, über SMS-Systeme usw. gesendet.

Administrative und technologische Schutzmethoden

Damit Antivirenprogramme ihre Funktionen effektiv erfüllen können, müssen die in der Dokumentation beschriebenen Empfehlungen für ihre Verwendung strikt befolgt werden. Besonderes Augenmerk sollte auf die Notwendigkeit regelmäßiger Updates von Virendatenbanken und Komponenten von Antivirensoftware gelegt werden. Moderne Antivirenprogramme sind in der Lage, Aktualisierungsdateien über das Internet oder über ein lokales Netzwerk herunterzuladen. Dazu müssen sie jedoch entsprechend konfiguriert werden.

Aber auch ohne die Verwendung von Antivirenprogrammen können Sie versuchen, das Eindringen von Viren in Ihren Computer zu verhindern und den Schaden zu verringern, den sie bei einer Infektion verursachen. Folgendes ist zuerst zu tun:

Blockieren Sie mögliche Vireneindringkanäle: Verbinden Sie den Computer nicht mit dem Internet und dem lokalen Netzwerk des Unternehmens. Wenn dies nicht erforderlich ist, trennen Sie die Geräte Externer Speicher wie Diskettenlaufwerke und CD-ROM-Geräte;

Programmgesteuerte Modifikation des Inhalts des nichtflüchtigen BIOS-Speichers verbieten;

· Bereiten Sie eine Systemstartdiskette vor, indem Sie Antivirenprogramme und andere Systemdienstprogramme schreiben, die mit der Diskette funktionieren, sowie eine Microsoft Windows-Notfallwiederherstellungsdiskette;

· Überprüfen Sie alle Programme und Dokumentdateien, die auf den Computer geschrieben werden, sowie Disketten mit den neuesten Versionen von Antivirenprogrammen.

Installieren Software nur von lizenzierten CDs;

· Schreibschutz auf allen Disketten installieren und nur bei Bedarf entfernen;

· den Austausch von Programmen und Disketten einschränken;

Sichern Sie Ihre Daten regelmäßig

· die minimal notwendigen Zugriffsrechte auf die Verzeichnisse des Dateiservers setzen, die Verzeichnisse der Distributionen und Programmdateien schreibgeschützt machen;

Erstellen Sie Anweisungen für Benutzer zum Antivirenschutz, in denen die Regeln für die Verwendung von Antivirenprogrammen, die Regeln für die Arbeit mit Dateien und beschrieben werden Email, und beschreiben Sie auch die zu ergreifenden Maßnahmen, wenn Viren entdeckt werden.

Problem mit Heimcomputer

Oftmals arbeiten Firmenmitarbeiter nicht nur im Büro, sondern auch zu Hause und tauschen Dateien zwischen ihrem Heimcomputer und dem Arbeitsplatz im Büro aus. Der Systemadministrator des Unternehmens ist nicht in der Lage, die Heimcomputer aller Mitarbeiter vor Viren zu schützen. Viren können sowohl aus dem Internet als auch über den Austausch auf einen Heimcomputer gelangen Spielprogramme. Dies passiert oft, wenn Heimcomputer andere Familienmitglieder und Kinder haben Zugriff.

Alle Dateien, die Mitarbeiter von zu Hause zur Arbeit mitbringen, sollten als potenziell gefährlich angesehen werden. In verantwortungsvollen Fällen sollte ein solcher Austausch vollständig verboten oder stark eingeschränkt werden. Potenziell gefährliche "Home"-Dateien sollten gescannt werden, bevor sie von Antivirenprogrammen geöffnet werden.

Installieren von Personal Firewalls

Ein mit dem Internet verbundenes Unternehmensnetzwerk muss mit einer Firewall vor Hackern geschützt werden. Darüber hinaus können Sie Workstations und Netzwerkserver jedoch zusätzlich schützen, indem Sie Personal Firewalls wie AtGuard installieren (Abb. 5).

Reis. 5. Einrichtung einer Personal Firewall AtGuard

Zusätzlich zum Herausfiltern von unerwünschtem Datenverkehr können einige persönliche Firewalls Ihren Computer vor Java-Trojaner-Applets und ActiveX-Steuerelementen schützen. Solche Komponenten können eingebaut werden Mail-Nachrichten HTML-Format und Seiten von Trojaner-Websites.

Persönliche Firewalls im sogenannten Lernmodus können dabei helfen, Datenverkehr von Trojanern, Logikbomben und anderer unerwünschter Malware zu erkennen. Wenn eine solche Komponente versucht, mit dem Computer eines Hackers zu kommunizieren, zeigt die Firewall eine Warnmeldung auf dem Bildschirm an.

Es ist zu beachten, dass Sie in den Browsereinstellungen auch die Möglichkeit zur Verwendung aktiver Komponenten wie Java-Applets und ActiveX-Steuerelemente deaktivieren können. Persönliche Firewalls sind jedoch vielseitiger und ermöglichen es Ihnen, die Verwendung solcher Komponenten durch beliebige Programme wie E-Mail-Clients zu blockieren.

Das Problem einer Netzwerkwurm-Epidemie ist für jedes lokale Netzwerk relevant. Früher oder später kann es vorkommen, dass ein Netzwerk- oder Mailwurm in das LAN eindringt, der vom verwendeten Antivirus nicht erkannt wird. Ein Netzwerkvirus verbreitet sich über ein LAN über Schwachstellen des Betriebssystems, die zum Zeitpunkt der Infektion nicht geschlossen wurden, oder über freigegebene Ressourcen, die beschreibbar sind. Ein E-Mail-Virus verbreitet sich, wie der Name schon sagt, per E-Mail, sofern er nicht durch das Antivirenprogramm des Clients und das Antivirenprogramm auf dem Mailserver blockiert wird. Zudem kann die Epidemie im LAN durch die Aktivitäten eines Insiders von innen organisiert werden. In diesem Artikel werden wir praktische Methoden zur Betriebsanalyse von LAN-Computern mit verschiedenen Tools betrachten, insbesondere mit dem des Autors AVZ-Dienstprogramme.

Formulierung des Problems

Falls im Netzwerk eine Epidemie oder eine ungewöhnliche Aktivität festgestellt wird, muss der Administrator unverzüglich mindestens drei Aufgaben lösen:

• infizierte PCs im Netzwerk erkennen;
• Finden Sie Malware-Samples, die Sie an das Antivirus-Labor senden können, und entwickeln Sie eine Strategie für Gegenmaßnahmen.
• Ergreifen Sie Maßnahmen, um die Ausbreitung des Virus im LAN zu blockieren und ihn auf infizierten Computern zu zerstören.

Im Falle einer Insider-Aktivität sind die Hauptanalyseschritte identisch und laufen meistens auf die Notwendigkeit hinaus, Software von Drittanbietern zu erkennen, die vom Insider auf LAN-Computern installiert wurde. Beispiele für solche Software sind Dienstprogramme zur Fernverwaltung, Keylogger und verschiedene Trojaner-Lesezeichen.

Betrachten wir die Lösung jeder Aufgabe genauer.

Suchen Sie nach infizierten PCs

Mindestens drei Methoden können verwendet werden, um nach infizierten PCs im Netzwerk zu suchen:

• automatische Remote-PC-Analyse - Abrufen von Informationen über laufende Prozesse, geladene Bibliotheken und Treiber, Suche nach charakteristischen Mustern - beispielsweise Prozesse oder Dateien mit bestimmten Namen;
• Untersuchen des PC-Verkehrs mit einem Sniffer - diese Methode ist sehr effektiv, um Spam-Bots, E-Mail- und Netzwerkwürmer abzufangen. Die Hauptschwierigkeit bei der Verwendung eines Sniffers besteht jedoch darin, dass ein modernes LAN auf der Grundlage von Switches und z Folglich kann der Administrator den Datenverkehr nicht im gesamten Netzwerk überwachen. Das Problem wird auf zwei Arten gelöst: durch das Ausführen eines Sniffers auf dem Router (mit dem Sie den PC-Datenaustausch mit dem Internet überwachen können) und durch die Verwendung der Überwachungsfunktionen von Switches (viele moderne Switches ermöglichen die Zuweisung eines Überwachungsports, dem die Datenverkehr eines oder mehrerer vom Administrator festgelegter Switch-Ports wird dupliziert);
• Untersuchung der Netzwerklast - in diesem Fall ist es sehr praktisch, intelligente Schalter zu verwenden, mit denen nicht nur die Last geschätzt, sondern auch die vom Administrator angegebenen Ports aus der Ferne deaktiviert werden können. Dieser Vorgang wird stark vereinfacht, wenn der Administrator über eine Netzwerkkarte verfügt, die Daten darüber enthält, welche PCs an den entsprechenden Ports des Switches angeschlossen sind und wo sie sich befinden;
• Verwendung von Fallen (Honeypot) - Es wird dringend empfohlen, mehrere Fallen im lokalen Netzwerk zu erstellen, die es dem Administrator ermöglichen, die Epidemie rechtzeitig zu erkennen.

Automatische Analyse von PCs im Netzwerk

Die automatische PC-Analyse kann auf drei Hauptschritte reduziert werden:

• Durchführung einer vollständigen Untersuchung des PCs - laufende Prozesse, geladene Bibliotheken und Treiber, Autorun;
• Durchführen einer Betriebsübersicht - zum Beispiel Suchen nach charakteristischen Prozessen oder Dateien;
• Objektquarantäne nach bestimmten Kriterien.

Alle oben genannten Aufgaben können mit dem AVZ-Autorendienstprogramm gelöst werden, das so konzipiert ist, dass es von einem Netzwerkordner auf dem Server gestartet werden kann und eine Skriptsprache für die automatische PC-Prüfung unterstützt. Um AVZ auf den Computern der Benutzer auszuführen, müssen Sie:

1. Platzieren Sie AVZ in einem lesbaren Netzwerkordner auf dem Server.
2. Erstellen Sie LOG- und Qurantine-Unterverzeichnisse in diesem Ordner und erlauben Sie Benutzern, darin zu schreiben.
3. Starten Sie AVZ auf LAN-Computern mit dem Dienstprogramm rexec oder einem Anmeldeskript.

Das Starten von AVZ in Schritt 3 sollte mit den folgenden Parametern erfolgen:

\\my_server\AVZ\avz.exe Priority=-1 nw=Y nq=Y HiddenMode=2 Script=\\my_server\AVZ\my_script.txt

In diesem Fall senkt der Parameter Priority=-1 die Priorität des AVZ-Prozesses, die Parameter nw=Y und nq=Y schalten die Quarantäne in den Modus „Netzwerkstart“ (in diesem Fall wird ein Unterverzeichnis im Quarantäneordner erstellt für jeden Computer, dessen Name mit dem Netzwerknamen des PCs übereinstimmt) weist HiddenMode=2 an, dem Benutzer den Zugriff auf die GUI- und AVZ-Steuerung zu verweigern, und schließlich gibt der wichtigste Parameter Script den vollständigen Namen des Skripts mit Befehlen an dass AVZ auf dem Computer des Benutzers ausgeführt wird. Die AVZ-Skriptsprache ist recht einfach zu verwenden und konzentriert sich ausschließlich auf die Lösung der Probleme bei der Untersuchung und Behandlung eines Computers. Um das Schreiben von Skripten zu vereinfachen, können Sie einen spezialisierten Skripteditor verwenden, der eine Eingabeaufforderung, einen Assistenten zum Erstellen typischer Skripts und Tools zum Überprüfen der Korrektheit eines geschriebenen Skripts enthält, ohne es auszuführen (Abb. 1).

Reis. 1. AVZ-Skripteditor

Betrachten wir drei typische Skripte, die im Kampf gegen die Epidemie nützlich sein können. Zunächst benötigen wir ein PC-Forschungsskript. Die Aufgabe des Skripts besteht darin, das System zu untersuchen und ein Protokoll mit den Ergebnissen in einem bestimmten Netzwerkordner zu erstellen. Das Skript sieht so aus:

WatchDog aktivieren (60 * 10);

// Scannen und Analyse starten

// Untersuchen Sie das System

Führen Sie SysCheck (GetAVZDirectory+

‘\LOG\’+GetComputerName+’_log.htm’);

//AVZ herunterfahren

Während der Ausführung dieses Skripts werden im LOG-Ordner (es wird davon ausgegangen, dass es im AVZ-Verzeichnis auf dem Server erstellt wurde und für Benutzer zum Schreiben verfügbar ist) HTML-Dateien mit den Ergebnissen der Untersuchung von Netzwerkcomputern erstellt. und der Name des untersuchten Computers ist im Protokollnamen enthalten, um die Eindeutigkeit sicherzustellen. Am Anfang des Skripts gibt es einen Befehl zum Einschalten des Watchdog-Timers, der den AVZ-Prozess nach 10 Minuten zwangsweise beendet, falls während der Skriptausführung Fehler auftreten.

Das AVZ-Protokoll eignet sich für manuelle Studien, ist jedoch für die automatisierte Analyse von geringem Nutzen. Außerdem kennt der Administrator oft den Namen der Malware-Datei und muss nur auf Vorhandensein oder Nichtvorhandensein prüfen angegebene Datei, und falls vorhanden, Quarantäne zur Analyse. In diesem Fall können Sie das folgende Skript verwenden:

// Watchdog-Timer für 10 Minuten aktivieren

WatchDog aktivieren (60 * 10);

// Malware anhand des Namens suchen

QuarantineFile('%WinDir%\smss.exe', 'LdPinch.gen vermutet');

QuarantineFile('%WinDir%\csrss.exe', 'LdPinch.gen vermutet');

//AVZ herunterfahren

Dieses Skript verwendet die QuarantineFile-Funktion, die versucht, die angegebenen Dateien unter Quarantäne zu stellen. Der Administrator muss lediglich den Inhalt der Quarantäne (Ordner Quarantäne\Netzwerk_PC_Name\Quarantäne_Datum\) auf Dateien in Quarantäne analysieren. Bitte beachten Sie, dass die QuarantineFile-Funktion automatisch die Quarantäne von Dateien blockiert, die von einer sicheren AVZ-Datenbank oder Microsoft EDS-Datenbank identifiziert wurden. Für praktische Anwendung dieses Skript kann verbessert werden - das Laden von Dateinamen aus einer externen Textdatei organisieren, die gefundenen Dateien gegen die AVZ-Datenbanken prüfen und mit den Ergebnissen der Arbeit ein Textprotokoll erstellen:

// Suche nach einer Datei mit dem angegebenen Namen

Funktion CheckByName (Fname: Zeichenfolge) : boolean;

Ergebnis:= FileExists(FName) ;

Wenn Ergebnis dann beginnen

Fall CheckFile(FName) von

1: S:= ', Dateizugriff gesperrt';

1: S:= ', als Malware identifiziert ("+GetLastCheckTxt+')';

2: S:= ', vom Dateiscanner verdächtigt ('+GetLastCheckTxt+')';

3: Ausgang; // Ignoriere sichere Dateien

AddToLog('Die Datei '+NormalFileName(FName)+' hat einen verdächtigen Namen'+S);

//Hinzufügen angegebene Datei in Quarantäne

QuarantineFile(FName,'verdächtige Datei'+S);

SuspNames: TStringList; // Liste der Namen verdächtiger Dateien

// Dateien gegen die aktualisierte Datenbank prüfen

if FileExists(GetAVZDirectory + 'files.db') then begin

SuspNames:= TStringList.Create;

SuspNames.LoadFromFile('files.db');

AddToLog('Namensdatenbank geladen - Anzahl Einträge = '+inttostr(SuspNames.Count));

// Suchschleife

for i:= 0 bis SuspNames.Count - 1 do

CheckByName(SuspNames[i]);

AddToLog('Fehler beim Laden der Liste der Dateinamen');

SaveLog(GetAVZDirectory+'\LOG\'+

GetComputerName+'_files.txt');

Damit dieses Skript funktioniert, müssen im AVZ-Ordner die Quarantäne- und LOG-Verzeichnisse erstellt werden, die den Benutzern zum Schreiben zur Verfügung stehen, sowie die Textdatei files.db – jede Zeile dieser Datei enthält den Namen der verdächtigen Datei. Dateinamen können Makros enthalten, am nützlichsten ist %WinDir% (Pfad zu Windows-Ordner) und %SystemRoot% (Pfad zum System32-Ordner). Eine andere Richtung der Analyse kann eine automatische Untersuchung der Liste der Prozesse sein, die auf den Computern der Benutzer ausgeführt werden. Informationen über laufende Prozesse sind im System Research Protocol verfügbar, aber für die automatische Analyse ist es bequemer, das folgende Skriptfragment zu verwenden:

Prozedur ScanProcess;

S:=''; S1:='';

// Prozessliste aktualisieren

RefreshProcessList;

AddToLog('Anzahl der Prozesse = '+IntToStr(GetProcessCount));

// Analysezyklus der empfangenen Liste

für i:= 0 bis GetProcessCount - 1 beginnen

S1:= S1 + ',' + ExtractFileName(GetProcessName(i));

// Suche nach einem Prozess anhand des Namens

if pos('trojan.exe', LowerCase(GetProcessName(i))) > 0 then

S:= S + GetProcessName(i)+',';

wenn s<>''dann

AddLineToTxtFile(GetAVZDirectory+'\LOG\_alarm.txt', DateTimeToStr(Now)+' '+GetComputerName+' : '+S);

AddLineToTxtFile(GetAVZDirectory+'\LOG\_all_process.txt', DateTimeToStr(Now)+' '+GetComputerName+' : '+S1);

Die Untersuchung von Prozessen in diesem Skript wird als separate ScanProcess-Prozedur durchgeführt, sodass Sie sie problemlos in Ihr eigenes Skript einfügen können. Die ScanProcess-Prozedur erstellt zwei Listen von Prozessen: eine vollständige Liste von Prozessen (zur späteren Analyse) und eine Liste von Prozessen, die aus Sicht des Administrators als gefährlich gelten. In diesem Fall wird zur Demonstration ein Prozess namens „trojan.exe“ als gefährlich angesehen. Informationen über gefährliche Prozesse werden der Textdatei _alarm.txt hinzugefügt, Daten über alle Prozesse - der Datei _all_process.txt. Es ist leicht zu erkennen, dass Sie das Skript komplizieren können, indem Sie beispielsweise Prozessdateien mit der Datenbank für sichere Dateien vergleichen oder die Namen von ausführbaren Prozessdateien mit einer externen Datenbank vergleichen. Ein ähnliches Verfahren wird in den in Smolenskenergo verwendeten AVZ-Skripten verwendet: Der Administrator überprüft regelmäßig die gesammelten Informationen und ändert das Skript, indem er den Namen der Prozesse von Programmen hinzufügt, die durch die Sicherheitsrichtlinie verboten sind, z. B. ICQ und MailRu.Agent, was dies zulässt Sie schnell prüfen, ob auf den untersuchten PCs verbotene Software vorhanden ist. Eine weitere Verwendung der Prozessliste besteht darin, PCs zu finden, denen ein erforderlicher Prozess fehlt, z. B. ein Antivirus.

Betrachten wir abschließend das letzte nützliche Analyseskript – das Skript für die automatische Quarantäne aller Dateien, die von der sicheren AVZ-Datenbank und der Microsoft EDS-Datenbank nicht erkannt werden:

// Automatische Quarantäne ausführen

ExecuteAutoQuarantine;

Die automatische Quarantäne untersucht laufende Prozesse und geladene Bibliotheken, Dienste und Treiber, etwa 45 Autostart-Methoden, Browser- und Explorer-Erweiterungsmodule, SPI/LSP-Handler, Scheduler-Jobs, Drucksystem-Handler usw. Ein Merkmal der Quarantäne ist, dass Dateien mit Wiederholungssteuerung hinzugefügt werden, sodass die Auto-Quarantäne-Funktion mehrmals aufgerufen werden kann.

Der Vorteil der automatischen Quarantäne besteht darin, dass der Administrator mit ihrer Hilfe schnell potenziell verdächtige Dateien von allen Computern im Netzwerk für seine Untersuchung sammeln kann. Die einfachste (aber in der Praxis sehr effektive) Form des Studiums von Dateien kann darin bestehen, die empfangene Quarantäne mit mehreren gängigen Antivirenprogrammen im maximalen Heuristikmodus zu überprüfen. Zu beachten ist, dass der gleichzeitige Start der Auto-Quarantäne auf mehreren hundert Rechnern zu einer hohen Belastung des Netzwerks und des Fileservers führen kann.

Verkehrsforschung

Verkehrsforschung kann auf drei Arten durchgeführt werden:

• manuell mit Sniffer;
• im halbautomatischen Modus - in diesem Fall sammelt der Sniffer Informationen und seine Protokolle werden dann entweder manuell oder von einer Software verarbeitet;
• automatisch unter Verwendung von Intrusion Detection Systems (IDS) wie Snort (http://www.snort.org/) oder deren Software- oder Hardware-Pendants. IDS besteht im einfachsten Fall aus einem Sniffer und einem System, das die vom Sniffer gesammelten Informationen auswertet.

Ein Intrusion-Detection-System ist das beste Werkzeug, da es Ihnen ermöglicht, Regelsätze zu erstellen, um Anomalien in der Netzwerkaktivität zu erkennen. Sein zweiter Vorteil ist folgender: Die meisten modernen IDS ermöglichen es Ihnen, Verkehrsüberwachungsagenten auf mehreren Netzwerkknoten zu platzieren – Agenten sammeln Informationen und übertragen sie. Wenn Sie einen Sniffer verwenden, ist es sehr praktisch, den UNIX-Konsolen-Sniffer tcpdump zu verwenden. Um beispielsweise die Aktivität auf Port 25 (SMTP-Protokoll) zu überwachen, reicht es aus, den Sniffer damit auszuführen Befehlszeile Typ:

tcpdump -i em0 -l TCP-Port 25 > smtp_log.txt

In diesem Fall werden Pakete über die em0-Schnittstelle erfasst; Informationen über erfasste Pakete werden in der Datei smtp_log.txt gespeichert. Das Protokoll ist relativ einfach manuell zu analysieren, in diesem Beispiel ermöglicht die Analyse der Aktivität auf Port 25, den PC mit aktiven Spam-Bots zu berechnen.

Honeypot-Anwendung

Als Falle (Honeypot) können Sie einen veralteten Computer verwenden, dessen Leistung es nicht zulässt, ihn zur Lösung von Produktionsproblemen zu verwenden. Im Netzwerk des Autors wird beispielsweise ein Pentium Pro mit 64 MB erfolgreich als Trap eingesetzt. Arbeitsspeicher. Auf diesem PC sollten Sie das gängigste Betriebssystem im LAN installieren und eine der Strategien auswählen:

• Installieren Sie ein Betriebssystem ohne Service Packs – dies ist ein Indikator für das Auftreten eines aktiven Netzwerkwurms im Netzwerk, der eine der bekannten Schwachstellen dieses Betriebssystems ausnutzt;
• Installieren Sie ein Betriebssystem mit Updates, die auf anderen PCs im Netzwerk installiert sind - Honeypot ist ein Analogon zu einer der Workstations.

Jede der Strategien hat ihre Vor- und Nachteile; Der Autor wendet meistens die Option „No-Updates“ an. Nachdem Sie den Honeypot erstellt haben, sollten Sie ein Disk-Image erstellen, um das System schnell wiederherzustellen, nachdem es durch Malware beschädigt wurde. Als Alternative zu einem Disk-Image können Sie Change-Rollback-Systeme wie ShadowUser und seine Analoga verwenden. Nach dem Erstellen eines Honeypots sollte berücksichtigt werden, dass eine Reihe von Netzwerkwürmern nach infizierten Computern suchen, indem sie den IP-Bereich scannen, gezählt ab der IP-Adresse des infizierten PCs (übliche typische Strategien sind X.X.X.*, X.X.X+1.* , X.X.X-1.*), - daher sollte idealerweise in jedem der Subnetze ein Honeypot vorhanden sein. Als zusätzliche Vorbereitungselemente ist es notwendig, den Zugriff auf mehrere Ordner im Honeypot-System zu öffnen, und mehrere Beispieldateien in verschiedenen Formaten sollten in diesen Ordnern abgelegt werden, der Mindestsatz ist EXE, JPG, MP3.

Natürlich muss der Administrator, nachdem er einen Honeypot erstellt hat, seinen Betrieb überwachen und auf alle Anomalien reagieren, die auf diesem Computer gefunden werden. Auditoren können als Mittel zum Registrieren von Änderungen verwendet werden, und ein Sniffer kann zum Registrieren von Netzwerkaktivitäten verwendet werden. Ein wichtiger Punkt ist, dass die meisten Sniffer die Möglichkeit bieten, das Senden einer Warnung an den Administrator zu konfigurieren, wenn eine bestimmte Netzwerkaktivität erkannt wird. Zum Beispiel beinhaltet die Regel im CommView-Sniffer die Angabe einer "Formel", die ein Netzwerkpaket beschreibt, oder die Festlegung quantitativer Kriterien (Senden von mehr als einer bestimmten Anzahl von Paketen oder Bytes pro Sekunde, Senden von Paketen an nicht erkannte IP- oder MAC-Adressen) - Feige. 2.

Reis. 2. Erstellen und konfigurieren Sie eine Netzwerkaktivitätswarnung

Als Warnung ist es am bequemsten, E-Mail-Nachrichten zu verwenden, die an gesendet werden Briefkasten Administrator - in diesem Fall können Sie Echtzeit-Benachrichtigungen von allen Traps im Netzwerk erhalten. Wenn Sie mit dem Sniffer mehrere Alerts erstellen können, ist es außerdem sinnvoll, die Netzwerkaktivität zu differenzieren, indem Sie die Arbeit mit E-Mail, FTP / HTTP, TFTP, Telnet, MS Net und einen erhöhten Datenverkehr von mehr als 20-30 Paketen pro Sekunde hervorheben für jedes Protokoll (Abb. 3) .

Reis. 3. Benachrichtigungsschreiben verschickt
wenn Pakete gefunden werden, die den angegebenen Kriterien entsprechen

Wenn Sie eine Falle organisieren, ist es eine gute Idee, mehrere anfällige Netzwerkdienste, die im Netzwerk verwendet werden, darauf zu platzieren oder ihren Emulator zu installieren. Das einfachste (und kostenlose) ist das Dienstprogramm APS des Autors, das ohne Installation funktioniert. Das Funktionsprinzip von APS beschränkt sich auf das Abhören einer Reihe von TCP- und UDP-Ports, die in seiner Datenbank beschrieben sind, und das Ausgeben einer vordefinierten oder zufällig generierten Antwort zum Zeitpunkt der Verbindung (Abb. 4).

Reis. 4. Das Hauptfenster des APS-Dienstprogramms

Die Abbildung zeigt einen Screenshot, der während einer echten APS-Operation im LAN von Smolenskenergo aufgenommen wurde. Wie Sie in der Abbildung sehen können, wurde versucht, eine Verbindung herzustellen Client-Computer auf Port 21. Eine Analyse der Protokolle zeigte, dass die Versuche periodisch sind und durch mehrere Traps im Netzwerk behoben werden, was uns den Schluss zulässt, dass das Netzwerk gescannt wird, um FTP-Server zu finden und zu hacken, indem Passwörter erraten werden. APS protokolliert und kann Nachrichten an Administratoren senden, die registrierte Verbindungen zu überwachten Ports melden, was für die schnelle Erkennung von Netzwerkscans nützlich ist.

Beim Erstellen eines Honeypots ist es auch hilfreich, sich Online-Ressourcen zu diesem Thema anzusehen, wie z. B. http://www.honeynet.org/. Im Abschnitt „Tools“ dieser Website (http://www.honeynet.org/tools/index.html) finden Sie eine Reihe von Tools zum Aufzeichnen und Analysieren von Angriffen.

Remote-Entfernung von Malware

Im Idealfall schickt der Administrator nach dem Erkennen von Malware-Samples diese an das Antiviren-Labor, wo sie schnell von Analysten untersucht und die entsprechenden Signaturen in die Antiviren-Datenbanken aufgenommen werden. Diese Signaturen gelangen durch automatische Updates auf die PCs der Benutzer, und das Antivirenprogramm entfernt automatisch bösartige Programme ohne Eingreifen des Administrators. Allerdings funktioniert diese Kette nicht immer wie erwartet, insbesondere sind folgende Gründe für den Ausfall möglich:

• aus einer Reihe von Gründen, die vom Netzwerkadministrator unabhängig sind, erreichen Bilder möglicherweise nicht das Antivirenlabor;
• unzureichende Effizienz des Antivirenlabors - idealerweise dauert es nicht länger als 1-2 Stunden, um Proben zu untersuchen und sie den Datenbanken hinzuzufügen, dh Sie können innerhalb eines Arbeitstages aktualisierte Signaturdatenbanken erhalten. Allerdings arbeiten nicht alle Antiviren-Labore so schnell, und Updates sind über mehrere Tage (in seltenen Fällen sogar Wochen) zu erwarten;
• hohe Leistung des Antivirenprogramms - eine Reihe von Schadprogrammen zerstören nach der Aktivierung Antivirenprogramme oder stören ihre Arbeit auf andere Weise. Klassische Beispiele - Einbringen Host-Datei Einträge, die den normalen Betrieb des automatischen Antiviren-Update-Systems blockieren, Antiviren-Prozesse, -Dienste und -Treiber löschen, ihre Einstellungen beschädigen usw.

Daher müssen Sie in diesen Situationen manuell mit Malware umgehen. In den meisten Fällen ist dies nicht schwierig, da die Ergebnisse der Analyse von Computern als infizierte PCs sowie die vollständigen Namen von Malware-Dateien bekannt sind. Es bleibt nur, ihre Fernentfernung durchzuführen. Wenn das Schadprogramm nicht vor Entfernung geschützt ist, kann es mit einem AVZ-Skript der folgenden Form zerstört werden:

// Datei löschen

DeleteFile('Dateiname');

AusführenSysClean;

Dieses Skript löscht eine angegebene Datei (oder mehrere Dateien, da das Skript eine unbegrenzte Anzahl von DeleteFile-Befehlen enthalten kann) und führt dann aus automatische Reinigung registrieren. In einem komplexeren Fall kann sich ein Schadprogramm vor dem Löschen schützen (z. B. indem es seine Dateien und Registrierungsschlüssel neu erstellt) oder sich mithilfe der Rootkit-Technologie tarnen. In diesem Fall wird das Skript komplizierter und sieht folgendermaßen aus:

// Anti-Rootkit

SearchRootkit(true, true);

// AVZGuard-Steuerung

SetAVZGuardStatus(true);

// Datei löschen

DeleteFile('Dateiname');

// BootCleaner-Protokollierung aktivieren

BC_LogFile(GetAVZDirectory + 'boot_clr.log');

// Eine Liste der vom Skript gelöschten Dateien in die BootCleaner-Aufgabe importieren

BC_ImportDeletedList;

// BootCleaner aktivieren

// Heuristische Reinigung des Systems

AusführenSysClean;

Windows neu starten (true);

Dieses Skript umfasst aktiven Widerstand gegen Rootkits, die Verwendung des AVZGuard-Systems (dies ist ein Malware-Aktivitätsblocker) und des BootCleaner-Systems. BootCleaner ist ein Treiber, der bestimmte Objekte während des Neustarts in einem frühen Stadium des Systemstarts aus dem KernelMode entfernt. Die Praxis zeigt, dass ein solches Skript in der Lage ist, die überwiegende Mehrheit der vorhandenen Malware zu zerstören. Die Ausnahme bildet Malware, die bei jedem Neustart die Namen ihrer ausführbaren Dateien ändert – in diesem Fall können die beim Studium des Systems gefundenen Dateien umbenannt werden. In diesem Fall müssen Sie den Computer manuell desinfizieren oder eigene Malware-Signaturen erstellen (ein Beispiel für ein Skript, das eine Signatursuche implementiert, ist in der AVZ-Hilfe beschrieben).

Fazit

In diesem Artikel haben wir einige praktische Techniken zum manuellen Umgang mit der LAN-Epidemie ohne den Einsatz von Antivirus-Produkten betrachtet. Die meisten der beschriebenen Techniken können auch verwendet werden, um auf den Computern der Benutzer nach fremden PC- und Trojaner-Lesezeichen zu suchen. Wenn Sie Schwierigkeiten haben, Malware zu finden oder Desinfektionsskripte zu erstellen, kann der Administrator den Abschnitt „Hilfe“ des Forums http://virusinfo.info oder den Abschnitt „Viren bekämpfen“ des Forums http://forum.kaspersky.com/ verwenden. index.php?showforum= achtzehn. Das Studieren der Protokolle und die Hilfestellung bei der Behandlung werden in beiden Foren kostenlos durchgeführt, die PC-Analyse wird nach AVZ-Protokollen durchgeführt, und in den meisten Fällen läuft die Behandlung darauf hinaus, ein AVZ-Skript auf infizierten PCs auszuführen, das von erfahrenen Spezialisten von erstellt wurde diese Foren.