Какой бы хороший антивирус ни стоял на компьютерах в вашей фирме, всегда находится такой вирус, который рано или поздно может прорваться сквозь защиту и нанести большой вред всей системе.
Вирусы в корпоративной сети очень опасны тем, что поражают не один ПК, а могут достаточно быстро расползтись по всем устройствам. Вирус может стереть очень важную информацию или вообще остановить работу компании.
Поэтому, если в сети обнаружено вредоносное ПО, нужно принимать экстренные меры, чтобы зловредная программа принесла минимальный урон.
Что нужно делать в первую очередь?
Попадая в компьютер, сетевой вирус начинает очень быстро распространяться. На другие устройства он проникает через открытые уязвимости ОС или через общие ресурсы. Поэтому первое, что нужно сделать, это закрыть все уязвимости, отключить вай-фай, заблокировать общие источники.
В идеале, чтобы вирус не распространился, нужно отключить заражённый компьютер от корпоративной сети. Однако здесь есть проблема. Если вирус уже начал распространяться по сети, определить, какой ПК пустил его в сеть, будет не просто. Для этого есть несколько методик.
Чтобы вирус не «убил» всю систему, нужно как можно быстрее найти его источник и обезвредить. После этого данные о вредоносной программе нужно передать производителям вашего антивируса, чтобы они могли разработать защиту. Но обо всём по порядку.
Поиск заражённого компьютера
Чем быстрее удастся найти источник (источники) заражения, тем больше компьютеров и данных получиться спасти.
Существует несколько методов поиска. Мы рассмотрим два самых простых, доступных и вместе с тем эффективных:
- Исследование трафика компьютера;
- Автоматический удалённый анализ.
Первым способом очень легко поймать спам-бота, сетевого или почтового червя. Второй способ несколько сложнее первого, но зато более универсальный. Для верности можно использовать оба метода сразу.
Исследование трафика
Для применения метода используют снифферы – специальные анализаторы трафика. Исследование можно проводить вручную. Но это достаточно трудоёмкий процесс. Сейчас для исследования трафика большинство фирм использует специальные системы обнаружения вторжений – IDS. Пример такой системы – Snort.
Стандартная IDS состоит из сниффера и программы, анализирующей собранную информацию. Систему устанавливают на несколько узлов сети и запускают в случае проникновения вируса. Анализ делается автоматически. После этого устройства, на которых была замечена подозрительная активность, отключаются от корпоративной сети, и на них отдельно ведётся поиск и обезвреживание вируса.
Помимо того, что IDS автоматизируют работу, у них есть ещё один плюс – анализ можно периодически проводить для профилактики. Так больше шансов вовремя обнаружить вредную программу и удалить её.
Автоматический анализ
На самом деле, здесь существует несколько способов. Чтобы объяснить принцип, мы рассмотрим использование утилиты AVZ. Она запускается из сетевой папки на сервере при помощи логин-скрипта. Для успешной работы утилиты нужно создать в сетевой папке подкаталоги LOG и Qurantine и разрешить участникам сети делать в них записи.
После этого применяются разные скрипты, которые ищут подозрительное ПО. Мы рассмотрим несколько самых полезных.
Самый простой скрипт – автоматический карантин. Выглядит он следующим образом:
begin
ExecuteAutoQuarantine;end.
Программа изучает всю систему и поступающие в неё файлы и отправляет подозрительные программы в папку «Карантин». Этот процесс можно периодически запускать на компьютерах для профилактики и, если были обнаружены подозрительные программы, проверять их.
Если автокарантин не работает, можно пойти более сложным и детальным путём. Для этого нужен скрипт, с помощью которого делается анализ всех запущенных процессов на компьютере. Процессы распределяются в два списка: все процессы и те, которые считаются опасными. Обычно имя вредоносного процесса бывает уже известно. Поэтому, если компьютер заражён, программа находит его. А остальные процессы можно изучить на предмет представления опасности. Данный скрипт выглядит следующим образом:
procedure ScanProcess;
var
i : integer;
S, S1 : string;
begin
S := ‘’; S1 := ‘’;
RefreshProcessList;
AddToLog(‘Количество процессов = ‘+IntToStr(GetProcessCount));
for i := 0 to GetProcessCount — 1 do begin
S1 := S1 + ‘,’ + ExtractFileName(GetProcessName(i));
if pos(‘danger.exe’, LowerCase(GetProcessName(i))) > 0 then
S := S + GetProcessName(i)+’,’;
end;
if S <> ‘’ then
AddLineToTxtFile(GetAVZDirectory+’\LOG\_alarm.txt’, DateTimeToStr(Now)+’ ‘+GetComputerName+’ : ‘+S);
AddLineToTxtFile(GetAVZDirectory+’\LOG\_all_process.txt’, DateTimeToStr(Now)+’ ‘+GetComputerName+’ : ‘+S1);
end;
begin
ScanProcess;
end.
Имя вредоносного файла мы условно обозначили как danger.exe. Для более детального анализа этот скрипт можно усложнять, дополнять. В любом случае принцип программы остаётся тот же – поиск запущенных процессов и выделение подозрительных.
Удаление вируса
Самый простой способ – это отправить данные вредоносного ПО производителю антивируса. Производитель должен изучить его и разработать сигнатуры, которые удалят вирус. Сигнатуры поступят в сеть после нового обновления, и вирус исчезнет.
Однако к этому способу прибегают крайне редко, потому что зачастую разработчики антивируса не реагируют на проблему достаточно оперативно. Пока придёт обновление, коварная программа может натворить очень много бед. Данные, конечно же, надо отправить. И с новым обновлением вы больше не подхватите тот же вирус. Но удалять его лучше вручную. И тут опять можно использовать AVZ.
Стандартный скрипт для удаления выглядит так:
Begin
DeleteFile(‘имя файла’);
ExecuteSysClean;
end.
Программа удаляет заданный файл или несколько файлов (команд DeleteFile может быть сколько угодно), а после чистит реестр.
Однако очень часто вирусы защищаются от удаления. Тогда скрипт можно усложнить до вида:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile(‘имя файла’);
BC_LogFile(GetAVZDirectory + ‘boot_clr.log’);
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
Этот скрипт достаточно эффективен. Чтобы противостоять ему, вирус должен быть очень сильным. А такие попадаются крайне редко.
Ловушки для вирусов
Чтобы вообще не дать вирусу проникнуть в систему, можно установить ловушку. Для этого можно использовать старый компьютер. Устанавливаем на него ОС без пакетов обновлений, подключаем к корпоративной сети и ставим сниффер. Очень удобно ставить снифферы с автоматическими оповещениями. Если на таком компьютере будет обнаружена активность, значит, вирус проник в систему. Так можно вовремя засечь его и удалить, не позволив нанести вред.
