Вирус в домашней сети

Обновлено: 25.04.2024

Роутер Keenetic Omni раздает по кабелю интернет двум компьютерам. Могут ли эти компьютеры заражать друг друга? Если да, то есть ли способ надежно обрубить любые пути распространения вирусов?


ipconfig /all с одного из компьютеров, на всякий случай.

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : syo
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет

Ethernet adapter Подключение по локальной сети:

DNS-серверы. . . . . . . . . . . : 192.168.1.1
NetBios через TCP/IP. . . . . . . . : Включен

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

Настройки домашней локальной сети и сети интернет
Здравствуйте! Недавно приобрел wi-fi роутер, но роутер не обычный, на нем только один порт.

Распространение по сети
Подскажите команду ,чтобы батник сам копировал себя в доступные папки по локальной сети.

Распространение файла по локальной сети
Подскажите, пожалуйста, у меня есть несколько компьютеров в локальной сети, мне нужно, чтобы батнки.


Обратное распространение ошибки нейронной сети
Разбираюсь с методом обратного распространения ошибки в нейронных сетях. Подскажите пожалуйста.

elin-reaper, Выключайте компьютеры от сети и выламывайте USB порты, холодной сваркой запаивайте разъемы для подключения жесткого диска и сидюка

При условии, что между этими ПК развернута локальная сеть с имеющимися шарами.
Если нет, то вероятность заражения между ПК минимальна.

Нет, оба компьютера под моим контролем, просто один для работы и хранения важной информации, а второй просто для игр, даже антивирус отключен.
Извиняюсь за некропостинг, просто по шуткам я уже понял что это паранойя, и поэтому закрыл вкладку.

Распространение и обновление приложения в локальной сети
Разработано клиентское приложение для работы с БД - все вроде добра, но есть заминка - версия не.


Обратное распространение ошибки, нейронные сети
Такая задачка, в python мало что понимаю. Буду благодарен за помощь.

Конфигурация домашней сети
Добрый день, подскажите как правильно организовать домашнюю сеть в загородном доме(два этажа ~по.

Схема домашней сети
Алоха всем, в последняя время я зачастил тут с вопросами, но ситуация вынуждает открыть новую тему.

Во время раздачи интернета по Wi-Fi через роутер могут появляться различные проблемы. Например, торможения и высокий пинг могут происходить из-за заражения раздающего оборудования вирусами. Рассмотрим подробнее, как почистить роутер самостоятельно.

Симптомы

Как проверить роутер на вирусы и почистить его: наши советы

Оборудование может быть заражено следующими типами вирусов:

  • замедляющими скорость передачи данных. К примеру, вирус способен сбивать настройки, будет низкая скорость, потеря сигнала и т. п.;
  • подменяющими адреса сайтов. Происходит это так: человек переходит на ресурс, а вредоносная программа меняет DNS, и пользователь перенаправляется на сайт с рекламой или ему становятся видны рекламные блоки, которые разместили владельцы сайтов. Данный вирус является опасным еще и по той причине, что он способен перенаправлять на ресурс, в котором содержится другой вредоносный контент.

Как проверить роутер на вирусы и почистить его: наши советы

Во всяком случае при нестабильной работе роутера необходимо провести его проверку на вирусы, убрать которые достаточно легко.

Как происходит заражение?

Маршрутизатор раздает интернет всем гаджетам, подключаемым к нему. Это означает, что все устройства действуют в одной локальной сети. Вирус использует это: он проникает в компьютер через сайт или загруженный файл, далее по сети попадает в роутер, в котором производит вредоносные действия.

Серьезность ситуации зависит от версии вирусной программы, к примеру, некоторые вредители ведут себя скрытно и начинают активно действовать, только оказавшись в роутере, другие наоборот, могут попутно повредить и операционную систему.

Проверка сетевого оборудования на заражение

Перед очисткой оборудования от вирусов, необходимо проверить роутер на их наличие. Чтобы это сделать, нужно подключить интернет-кабель к порту компьютера напрямую. Вытащить провод WLAN из маршрутизатора и подсоединить его к компьютеру, а далее произвести такие манипуляции:

  • Запустите браузер и пооткрывайте несколько сайтов. Удостоверьтесь в их правильном содержании и отсутствии подмены сайтов, рекламных блоков. С целью проверки лучше выбирать ресурсы, в которых присутствия рекламы не может быть.
  • Запустите сканирование компьютера антивирусной программой. Это нужно, чтобы определить путь заражения – от компьютера или с маршрутизатора. Имейте ввиду, что вирусов может быть несколько, и они могут присутствовать как в системе, так и в сетевом оборудовании.

Как проверить роутер на вирусы и почистить его: наши советы

Удаление вируса

Видео про заражение роутера вирусами смотрите тут:

Для удаления вредоносной программы, нужно сбросить настройки до первоначальных. В случае, если вирусная программа уже нанесла вред прошивке, ее будет необходимо поставить заново.

Сброс параметров

Чтобы почистить маршрутизатор, нужно сбросить его настройки:

  • В задней части устройства найдите кнопку Reset. Зачастую она выделяется на фоне других. Зажмите ее и держите до того момента, когда роутер сбросит параметры и будет перезагружаться. Помните, что при перезагрузке все настройки слетят, а маршрутизатор нужно будет настроить заново.

Как проверить роутер на вирусы и почистить его: наши советы

  • Для настройки роутера необходимо с помощью кабеля подсоединить его к компьютеру, далее запустить браузер и набрать адрес 192.168.0.1. Он может быть другим и указывается на самом роутере или в документах к нему, в инструкции. При входе в настройки зачастую вводят логин admin, а пароль такой же или 12345. Если войти не получилось, то стоит заглянуть в инструкцию к сетевому оборудованию.

Как проверить роутер на вирусы и почистить его: наши советы

  • Найдите параметры быстрой настройки. Выберите все подходящие пункты. Также можете сменить пароль и наименование сети. Осуществив процесс настройки, сохраните их и перезагрузите маршрутизатор.

Как проверить роутер на вирусы и почистить его: наши советы

Проделав все описанные действия, проверьте, удалось ли избавиться от проблемы. Если не получилось, то понадобится перепрошивка сетевого оборудования.

Как выполнить перепрошивку?

Бывает, что вирусная программа изменяет прошивку на роутере. Нейтрализовать зараженную версию можно с помощью перепрошивки.

Подсоедините компьютер к маршрутизатору через LAN провод. Он должен быть в комплекте к любому роутеру. Если его нет, то можно использовать Wi-Fi соединение. Однако, кабельный способ подключения будет предпочтительнее.

Как проверить роутер на вирусы и почистить его: наши советы

После присоединения к маршрутизатору запускаем браузер и вписываем в адресное поле значение 192.168.1.1 (или другой, указанный на самом устройстве), далее потребуется ввести пароль и логин для открытия настроек роутера. По умолчанию логин и пароль – admin. Если зайти в настройки не получается, то необходимо узнать действующие реквизиты для входа, возможно после последней установки их сменили.

Загрузите новую версию прошивки с сайта производителя и, перейдя в настройки маршрутизатора, выберите ее на диске компьютера. Процесс прошивки для всех роутеров идентичен.

Защита сетевого оборудования от вирусов

Для защиты своего маршрутизатора от заражения можно воспользоваться следующими рекомендациями:

  • Сделать обновление прошивки до последней версии. Посетите сайт изготовителя, впишите в поиск свою модель и загрузите самую последнюю прошивку.
  • Установить многозначное значение пароля на веб-интерфейс. Не во всех роутерах можно менять логин. Однако, если вы поставите сложный пароль, взломать веб-интерфейс уже будет непросто.
  • Установить оффлайн вход в настройки роутера.
  • Поменять IP-адрес маршрутизатора в локальном доступе. В процессе взлома вирус сразу будет обращаться к таким адресам, как 192.168.0.1 и 192.168.1.1. Исходя из этого, лучше поменять третий и четвертый октет IP-адреса локальной сети.
  • Поставить надежную антивирусную программу на ПК. Если вирус сперва попытается проникнуть в компьютер, он будет сразу удален, что не позволит ему нанести вред маршрутизатору.
  • Не храните пароли в браузере.

Как проверить роутер на вирусы и почистить его: наши советы

Как видите, проверить роутер на вирусы и почистить его несложно. Но лучше следовать простым советам по профилактике заражения. Но если уж такое случилось, вы знаете, что нужно делать.

Проблема эпидемии сетевых червей актуальна для любой локальной сети. Рано или поздно может возникнуть ситуация, когда в ЛВС проникает сетевой или почтовый червь, который не детектируется применяемым антивирусом. Сетевой вирус распространяется по ЛВС через не закрытые на момент заражения уязвимости операционной системы или через доступные для записи общие ресурсы. Почтовый вирус, как следует из названия, распространяется по электронной почте при условии, что он не блокируется клиентским антивирусом и антивирусом на почтовом сервере. Кроме того, эпидемия в ЛВС может быть организована изнутри в результате деятельности инсайдера. В данной статье мы рассмотрим практические методики оперативного анализа компьютеров ЛВС с применением различных средств, в частности с помощью авторской утилиты AVZ.

Постановка задачи

В случае обнаружения эпидемии или некой нештатной активности в сети администратор должен оперативно решить минимум три задачи:

  • обнаружить зараженные ПК в сети;
  • найти образцы вредоносной программы для отправки в антивирусную лабораторию и выработки стратегии противодействия;
  • принять меры для блокирования распространения вируса в ЛВС и его уничтожения на зараженных компьютерах.

В случае деятельности инсайдера основные шаги анализа идентичны и чаще всего сводятся к необходимости обнаружения установленного инсайдером постороннего ПО на компьютерах ЛВС. В качестве примера такого ПО можно назвать утилиты удаленного администрирования, клавиатурные шпионы и различные троянские закладки.

Рассмотрим более подробно решение каждой из поставленных задач.

Поиск зараженных ПК

Для поиска зараженных ПК в сети можно применять как минимум три методики:

  • автоматический удаленный анализ ПК — получение информации о запущенных процессах, загруженных библиотеках и драйверах, поиск характерных закономерностей — например процессов или файлов с заданными именами;
  • исследование трафика ПК с помощью сниффера — данный метод очень эффективен для отлова спам-ботов, почтовых и сетевых червей, однако основная сложность в применении сниффера связана с тем, что современная ЛВС строится на базе коммутаторов и, как следствие, администратор не может осуществлять мониторинг трафика всей сети. Проблема решается двумя путями: запуском сниффера на маршрутизаторе (что позволяет осуществлять мониторинг обмена данными ПК с Интернетом) и применением мониторинговых функций коммутаторов (многие современные коммутаторы позволяют назначить порт мониторинга, на который дублируется трафик одного или нескольких портов коммутатора, указанных администратором);
  • исследование нагрузки на сеть — в данном случае очень удобно применять интеллектуальные коммутаторы, которые позволяют не только оценивать нагрузку, но и удаленно отключать указанные администратором порты. Данная операция существенно упрощается при наличии у администратора карты сети, на которой имеются данные о том, какие ПК подключены к соответствующим портам коммутатора и где они расположены;
  • применение ловушек (honeypot) — в локальной сети настоятельно рекомендуется создать несколько ловушек, которые позволят администратору своевременно обнаружить эпидемию.

Автоматический анализ ПК в сети

Автоматический анализ ПК можно свести к трем основным этапам:

  • проведение полного исследования ПК — запущенные процессы, загруженные библиотеки и драйверы, автозапуск;
  • проведение оперативного обследования — например поиск характерных процессов или файлов;
  • карантин объектов по определенным критериям.

Все перечисленные задачи можно решить при помощи авторской утилиты AVZ, которая рассчитана на запуск из сетевой папки на сервере и поддерживает скриптовый язык для автоматического обследования ПК. Для запуска AVZ на компьютерах пользователей необходимо:

  1. Поместить AVZ в открытую для чтения сетевую папку на сервере.
  2. Создать в этой папке подкаталоги LOG и Qurantine и разрешить пользователям запись в них.
  3. Запустить AVZ на компьютерах ЛВС при помощи утилиты rexec или логон-скрипта.

Запуск AVZ на шаге 3 должен производиться при таких параметрах:

\\my_server\AVZ\avz.exe Priority=-1 nw=Y nq=Y HiddenMode=2 Script=\\my_server\AVZ\my_script.txt

Рис. 1. Редактор скриптов AVZ

Рассмотрим три типовых скрипта, которые могут пригодиться в ходе борьбы с эпидемией. Во-первых, нам потребуется скрипт для исследования ПК. Задача скрипта — произвести исследование системы и создать протокол с результатами в заданной сетевой папке. Скрипт имеет следующий вид:

// Включение сторожевого таймера на 10 минут

// Запуск сканирования и анализа

//Завершение работы AVZ

В ходе выполнения данного скрипта в папке LOG (предполагается, что она создана в каталоге AVZ на сервере и доступна пользователям для записи) будут создаваться HTML-файлы с результатами исследования компьютеров сети, причем для обеспечения уникальности в имя протокола включается имя исследуемого компьютера. В начале скрипта располагается команда включения сторожевого таймера, который принудительно завершит процеcc AVZ через 10 минут в случае, если в ходе выполнения скрипта возникнут сбои.

Протокол AVZ удобен для изучения вручную, однако для автоматизированного анализа он мало пригоден. Кроме того, администратору часто известно имя файла вредоносной программы и требуется только проверить наличие или отсутствие данного файла, а при наличии — поместить в карантин для анализа. В этом случае можно применить скрипт следующего вида:

// Включение сторожевого таймера на 10 минут

// Поиск вредоносной программы по имени

QuarantineFile(‘%WinDir%\smss.exe’, ‘Подозрение на LdPinch.gen’);

QuarantineFile(‘%WinDir%\csrss.exe’, ‘Подозрение на LdPinch.gen’);

//Завершение работы AVZ

В этом скрипте задействуется функция QuarantineFile, которая совершает попытку карантина указанных файлов. Администратору остается только проанализировать содержимое карантина (папка Quarantine\сетевое_имя_ПК\дата_каратина\) на наличие помещенных в карантин файлов. Следует учесть, что функция QuarantineFile автоматически блокирует помещение в карантин файлов, опознанных по базе безопасных AVZ или по базе ЭЦП Microsoft. Для практического применения данный скрипт можно усовершенствовать — организовать загрузку имен файлов из внешнего текстового файла, проверять найденные файлы по базам AVZ и формировать текстовый протокол с результатами работы:

// Поиск файла с указанным именем

function CheckByName(Fname : string) : boolean;

if Result then begin

case CheckFile(FName) of

-1 : S := ‘, доступ к файлу блокируется’;

1 : S := ‘, опознан как Malware (‘+GetLastCheckTxt+’)’;

2 : S := ‘, подозревается файловым сканером (‘+GetLastCheckTxt+’)’;

3 : exit; // Безопасные файлы игнорируем

AddToLog(‘Файл ‘+NormalFileName(FName)+’ имеет подозрительное имя’+S);

//Добавление указанного файла в карантин

SuspNames : TStringList; // Список имен подозрительных файлов

// Проверка файлов по обновляемой базе данных

if FileExists(GetAVZDirectory + ‘files.db’) then begin

AddToLog(‘База имен загружена - количество записей = ‘+inttostr(SuspNames.Count));

for i := 0 to SuspNames.Count - 1 do

AddToLog(‘Ошибка загрузки списка имен файлов’);

Для работы данного скрипта необходимо создать в папке AVZ доступные пользователям для записи каталоги Quarantine и LOG, а также текстовый файл files.db — каждая строка данного файла будет содержать имя подозрительного файла. Имена файлов могут включать макросы, наиболее полезные из которых — %WinDir% (путь к папке Windows) и %SystemRoot% (путь к папке System32). Другим направлением анализа может стать автоматическое исследование списка процессов, запущенных на компьютерах пользователей. Информация о запущенных процессах есть в протоколе исследования системы, но для автоматического анализа удобнее применять следующий фрагмент скрипта:

// Обновление списка процессов

AddToLog(‘Количество процессов = ‘+IntToStr(GetProcessCount));

// Цикл анализа полученного списка

for i := 0 to GetProcessCount - 1 do begin

S1 := S1 + ‘,’ + ExtractFileName(GetProcessName(i));

// Поиск процесса по имени

if pos(‘trojan.exe’, LowerCase(GetProcessName(i))) > 0 then

S := S + GetProcessName(i)+’,’;

AddLineToTxtFile(GetAVZDirectory+’\LOG\_alarm.txt’, DateTimeToStr(Now)+’ ‘+GetComputerName+’ : ‘+S);

AddLineToTxtFile(GetAVZDirectory+’\LOG\_all_process.txt’, DateTimeToStr(Now)+’ ‘+GetComputerName+’ : ‘+S1);

В завершение рассмотрим последний из полезных скриптов анализа — скрипт автоматического карантина всех файлов, которые не опознаются по базе безопасных AVZ и по базе ЭЦП Microsoft:

Автоматический карантин изучает запущенные процессы и загруженные библиотеки, службы и драйверы, около 45 способов автозапуска, модули расширения браузера и проводника, обработчики SPI/LSP, задания планировщика, обработчики системы печати и т.п. Особенностью карантина является то, что файлы в него добавляются с контролем повторов, поэтому функцию автокарантина можно вызывать многократно.

Достоинство автоматического карантина заключается в том, что с его помощью администратор может оперативно собрать потенциально подозрительные файлы со всех компьютеров сети для их изучения. Простейшей (но весьма эффективной на практике) формой изучения файлов может быть проверка полученного карантина несколькими популярными антивирусами в режиме максимальной эвристики. Следует отметить, что одновременный запуск автокарантина на нескольких сотнях компьютеров может создать высокую нагрузку на сеть и на файловый сервер.

Исследование трафика

Исследование трафика можно проводить тремя способами:

Система обнаружения вторжений является оптимальным средством, так как позволяет создавать наборы правил для обнаружения аномалии в сетевой активности. Второе ее преимущество состоит в следующем: большинство современных IDS позволяют размещать агенты мониторинга трафика на нескольких узлах сети — агенты собирают информацию и передают ее. В случае же применения сниффера очень удобно пользоваться консольным UNIX-сниффером tcpdump. Например, для мониторинга активности по порту 25 (протокол SMTP) достаточно запустить сниффер с командной строкой вида:

tcpdump -i em0 -l tcp port 25 > smtp_log.txt

В данном случае ведется захват пакетов через интерфейс em0; информация о захваченных пакетах будет сохраняться в файле smtp_log.txt. Протокол сравнительно просто анализировать вручную, в данном примере анализ активности по порту 25 позволяет вычислить ПК с активными спам-ботами.

Применение Honeypot

В качестве ловушки (Honeypot) можно использовать устаревший компьютер, производительность которого не позволяет применять его для решения производственных задач. Например, в сети автора в качестве ловушки успешно применяется Pentium Pro c 64 Мбайт оперативной памяти. На этот ПК следует установить наиболее распространенную в ЛВС операционную систему и выбрать одну из стратегий:

  • Установить операционную систему без пакетов обновлений — она будет индикатором появления в сети активного сетевого червя, эксплуатирующего любую из известных уязвимостей для данной операционной системы;
  • установить операционную систему с обновлениями, которые установлены на других ПК сети — Honeypot будет аналогом любой из рабочих станций.

Каждая из стратегий имеет как свои плюсы, так и минусы; автор в основном применяет вариант без обновлений. После создания Honeypot следует создать образ диска для быстрого восстановления системы после ее повреждения вредоносными программами. В качестве альтернативы образу диска можно использовать системы отката изменений типа ShadowUser и его аналогов. Построив Honeypot, следует учесть, что ряд сетевых червей ищут заражаемые компьютеры путем сканирования диапазона IP, отсчитываемого от IP-адреса зараженного ПК (распространенные типовые стратегии — X.X.X.*, X.X.X+1.*, X.X.X-1.*), — следовательно, в идеале Honeypot должен быть в каждой из подсетей. В качестве дополнительных элементов подготовки следует обязательно открыть доступ к нескольким папкам на Honeypot-системе, причем в данные папки следует положить несколько файлов-образцов различного формата, минимальный набор — EXE, JPG, MP3.

Рис. 2. Создание и настройка предупреждения о сетевой активности

Рис. 3. Письмо-оповещение, высылаемое
в случае обнаружения пакетов, соответствующих заданным критериям

При организации ловушки неплохо разместить на ней несколько применяемых в сети уязвимых сетевых служб или установить их эмулятор. Простейшим (и бесплатным) является авторская утилита APS, работающая без инсталляции. Принцип работы APS сводится к прослушиванию множества описанных в ее базе портов TCP и UDP и выдаче в момент подключения заранее заданного или случайно генерируемого отклика (рис. 4).

Рис. 4. Главное окно утилиты APS

Дистанционное удаление вредоносных программ

В идеальном случае после обнаружения образцов вредоносных программ администратор отправляет их в антивирусную лабораторию, где они оперативно изучаются аналитиками и в базы антивируса вносятся соответствующие сигнатуры. Эти сигнатуры через автоматическое обновление попадают на ПК пользователей, и антивирус производит автоматическое удаление вредоносных программ без вмешательства администратора. Однако эта цепочка не всегда работает как положено, в частности возможны следующие причины сбоя:

  • по ряду независимых от администратора сети причин образы могут не дойти до антивирусной лаборатории;
  • недостаточная оперативность антивирусной лаборатории — в идеале на изучение образцов и их внесение в базы уходит не более 1-2 часов, то есть в пределах рабочего дня можно получить обновленные сигнатурные базы. Однако не все антивирусные лаборатории работают столь оперативно, и обновления можно ждать несколько дней (в редких случаях — даже недель);
  • высокая работоспособность антивируса — ряд вредоносных программ после активации уничтожают антивирусы или всячески нарушают их работу. Классические примеры — внесение в файл hosts записей, блокирующих нормальную работу системы автообновления антивируса, удаление процессов, службы и драйверов антивирусов, повреждение их настроек и т.п.

Следовательно, в перечисленных ситуациях придется бороться с вредоносными программами вручную. В большинстве случаев это несложно, так как по результатам исследования компьютеров известны зараженные ПК, а также полные имена файлов вредоносных программ. Остается только произвести их дистанционное удаление. Если вредоносная программа не защищается от удаления, то уничтожить ее можно скриптом AVZ следующего вида:

// Эвристическая чистка системы

Данный скрипт удаляет один заданный файл (или несколько файлов, так как команд DeleteFile в скрипте может быть неограниченное количество) и затем производит автоматическую чистку реестра. В более сложном случае вредоносная программа может защищаться от удаления (например, пересоздавая свои файлы и ключи реестра) или маскироваться по руткит-технологии. В этом случае скрипт усложняется и будет иметь следующий вид:

Сети WiFi могут быть ценным инструментом для вашего бизнеса, значительно упрощая установку нового оборудования и позволяя сотрудникам свободно работать в любом месте здания.

Однако это также может стать дырой в безопасности, потому что плохо защищенные сети WiFi могут быть легкой целью для атак хакеров и вредоносных программ. Вирусы могут использовать WiFi для распространения с одного компьютера на другой, а в некоторых случаях перемещаться между соседними сетями в поисках новых целей.

Беспроводная сеть и вредоносные программы

Подключение компьютера или устройства к сети через WiFi ничем не отличается от подключения к сети с помощью кабеля Ethernet. После подключения новое устройство может взаимодействовать с другими ПК в сети.

Это означает, что любой зараженный компьютер или устройство может распространять вирусные атаки на другие ПК в сети, заражать их и подвергать риску. Если вирус захватывает компьютер с полными сетевыми привилегиями, он может быстро заразить любой другой компьютер подключенный к сети.

Защита от вирусов

Чтобы защитить сеть от зараженных компьютеров и мобильных устройств, необходимо использовать антивирусы со встроенным фаерволом и регулярно обновлять антивирусное программное обеспечение. Защищенные компьютеры могут блокировать навязчивые попытки вирусных атак в сети и будут препятствовать дальнейшему распространению вредоносного ПО через систему.

Кроме того, если вы регулярно предоставляете сетевые пароли другим пользователям, рассмотрите возможность смены ваших паролей каждые несколько недель, чтобы уменьшить количество пользователей, которые могут свободно получать доступ к вашей сети WiFi.

Беспроводной червь

В 2007 году исследование, проведенное в Университете Индианы, подтвердило, что вредоносные программы, предназначенные для взлома беспроводных маршрутизаторов, могут перемещаться из одной сети WiFi в другую, не требуя от пользователей каких-либо действий.

Эти программы могут использовать преимущества беспроводного покрытия в городских районах, где несколько сетей могут существовать достаточно близко, чтобы обеспечить перекрестную связь. Когда маршрутизатор не поддается заражению, вредоносное ПО может начать атаки на любой другой маршрутизатор в диапазоне, быстро распространяясь из одной системы в другую.

Беспроводная безопасность

Лучший способ избежать подобных атак – использовать надежную защиту. Если оставить беспроводную сеть незащищенной, любой находящийся в зоне действия сможет получить доступ к вашей сети, а после подключения посторонние могут начать атаки на ваш собственный компьютер.

Рекомендовано использовать протокол безопасности WPA2, так как он обеспечивает сеть наивысшим уровнем защиты. Поэтому, настраивая защиту своей беспроводной сети используйте протокол безопасности WPA2 или даже WPA3, если ваш маршрутизатор его поддерживает.

Возможно, вам будет интересно:

Спасибо за внимание, надеемся наша статья была вам полезна.

Не забываем подписаться на канал " IT знания " и поставить лайк, у нас для вас еще масса интересного.

Какой бы хороший антивирус ни стоял на компьютерах в вашей фирме, всегда находится такой вирус, который рано или поздно может прорваться сквозь защиту и нанести большой вред всей системе.
Вирусы в корпоративной сети очень опасны тем, что поражают не один ПК, а могут достаточно быстро расползтись по всем устройствам. Вирус может стереть очень важную информацию или вообще остановить работу компании.
Поэтому, если в сети обнаружено вредоносное ПО, нужно принимать экстренные меры, чтобы зловредная программа принесла минимальный урон.

Что нужно делать в первую очередь?

Попадая в компьютер, сетевой вирус начинает очень быстро распространяться. На другие устройства он проникает через открытые уязвимости ОС или через общие ресурсы. Поэтому первое, что нужно сделать, это закрыть все уязвимости, отключить вай-фай, заблокировать общие источники.

В идеале, чтобы вирус не распространился, нужно отключить заражённый компьютер от корпоративной сети. Однако здесь есть проблема. Если вирус уже начал распространяться по сети, определить, какой ПК пустил его в сеть, будет не просто. Для этого есть несколько методик.

Поиск заражённого компьютера

Чем быстрее удастся найти источник (источники) заражения, тем больше компьютеров и данных получиться спасти.

Существует несколько методов поиска. Мы рассмотрим два самых простых, доступных и вместе с тем эффективных:

  • Исследование трафика компьютера;
  • Автоматический удалённый анализ.

Первым способом очень легко поймать спам-бота, сетевого или почтового червя. Второй способ несколько сложнее первого, но зато более универсальный. Для верности можно использовать оба метода сразу.

Исследование трафика

Для применения метода используют снифферы – специальные анализаторы трафика. Исследование можно проводить вручную. Но это достаточно трудоёмкий процесс. Сейчас для исследования трафика большинство фирм использует специальные системы обнаружения вторжений – IDS. Пример такой системы – Snort.

Стандартная IDS состоит из сниффера и программы, анализирующей собранную информацию. Систему устанавливают на несколько узлов сети и запускают в случае проникновения вируса. Анализ делается автоматически. После этого устройства, на которых была замечена подозрительная активность, отключаются от корпоративной сети, и на них отдельно ведётся поиск и обезвреживание вируса.

Помимо того, что IDS автоматизируют работу, у них есть ещё один плюс – анализ можно периодически проводить для профилактики. Так больше шансов вовремя обнаружить вредную программу и удалить её.

Автоматический анализ

На самом деле, здесь существует несколько способов. Чтобы объяснить принцип, мы рассмотрим использование утилиты AVZ. Она запускается из сетевой папки на сервере при помощи логин-скрипта. Для успешной работы утилиты нужно создать в сетевой папке подкаталоги LOG и Qurantine и разрешить участникам сети делать в них записи.

После этого применяются разные скрипты, которые ищут подозрительное ПО. Мы рассмотрим несколько самых полезных.

Самый простой скрипт – автоматический карантин. Выглядит он следующим образом:

Если автокарантин не работает, можно пойти более сложным и детальным путём. Для этого нужен скрипт, с помощью которого делается анализ всех запущенных процессов на компьютере. Процессы распределяются в два списка: все процессы и те, которые считаются опасными. Обычно имя вредоносного процесса бывает уже известно. Поэтому, если компьютер заражён, программа находит его. А остальные процессы можно изучить на предмет представления опасности. Данный скрипт выглядит следующим образом:

AddToLog(‘Количество процессов = ‘+IntToStr(GetProcessCount));

for i := 0 to GetProcessCount — 1 do begin

S1 := S1 + ‘,’ + ExtractFileName(GetProcessName(i));

if pos(‘danger.exe’, LowerCase(GetProcessName(i))) > 0 then

S := S + GetProcessName(i)+’,’;

AddLineToTxtFile(GetAVZDirectory+’\LOG\_alarm.txt’, DateTimeToStr(Now)+’ ‘+GetComputerName+’ : ‘+S);

AddLineToTxtFile(GetAVZDirectory+’\LOG\_all_process.txt’, DateTimeToStr(Now)+’ ‘+GetComputerName+’ : ‘+S1);

Имя вредоносного файла мы условно обозначили как danger.exe. Для более детального анализа этот скрипт можно усложнять, дополнять. В любом случае принцип программы остаётся тот же – поиск запущенных процессов и выделение подозрительных.

Удаление вируса

Стандартный скрипт для удаления выглядит так:

Программа удаляет заданный файл или несколько файлов (команд DeleteFile может быть сколько угодно), а после чистит реестр.

Однако очень часто вирусы защищаются от удаления. Тогда скрипт можно усложнить до вида:

Этот скрипт достаточно эффективен. Чтобы противостоять ему, вирус должен быть очень сильным. А такие попадаются крайне редко.

Ловушки для вирусов

Чтобы вообще не дать вирусу проникнуть в систему, можно установить ловушку. Для этого можно использовать старый компьютер. Устанавливаем на него ОС без пакетов обновлений, подключаем к корпоративной сети и ставим сниффер. Очень удобно ставить снифферы с автоматическими оповещениями. Если на таком компьютере будет обнаружена активность, значит, вирус проник в систему. Так можно вовремя засечь его и удалить, не позволив нанести вред.

Читайте также: