Изучение настроек браузера

Задание 1. Вирусные проявления бывают явными, косвенными и скрытыми. Если первые обычно видны невооруженным глазом, то косвенные и тем более скрытые требуют от пользователя проявления изрядной доли интуиции. Они часто не мешают работе и для их обнаружения требуется знать где и что нужно искать. Явные проявления обычно выражаются в неожиданно появляющихся рекламных сообщениях и баннерах - обычно это следствие проникновения на компьютер рекламной утилиты. Поскольку их главная цель - это привлечь внимание пользователя к рекламируемой услуге или товару, то им сложно оставаться незаметными. Также явные проявления могут вызывать ряд троянских программ, например утилиты несанкционированного дозвона к платным сервисам. Они вынуждены быть явными, поскольку используемые ими приложения сложно использовать незаметно от пользователя.

В этом задании предлагается исследовать явные проявления вирусной активности на примере несанкционированного изменения настроек браузера. Этот механизм иногда используется для того, чтобы вынудить пользователей зайти на определенный сайт, часто порнографического содержания. Для этого меняется адрес домашней страницы, то есть адрес сайта, который автоматически загружается при каждом открытии браузера.

1. Откройте браузер Internet Explorer, воспользовавшись одноименным ярлыком на рабочем столе или в системном меню Пуск / Программы

2. Если у Вас открыт и настроен доступ в Интернет, должна открыться страница по умолчанию - например - http://www.msn.com

Если доступ в Интернет не настроен, то выведется соответствующее уведомление:

3. Проверьте значение параметра, отвечающего за стартовую страницу. Для этого нужно воспользоваться меню Сервис. Откройте его и выберите пункт Свойства обозревателя

4. Адрес стартовой страницы указан в первом же поле открывшегося окна Свойства обозревателя, на закладке Общие. Значение этого поля совпадает с тем адресом, который был автоматически задан при открытии браузера.

Измените это поле, введя адрес www.viruslist.ru

1. Далее для подтверждения сделанных изменений нажмите ОК

1. Закройте и снова откройте браузер
2. Убедитесь, что теперь первым делом была загружена страница www.viruslist.ru

В случае, если на Вашем компьютере доступ в Интернет не настроен, об этом можно догадаться по значению в поле Адрес:

Таким образом, если Ваш браузер начал самостоятельно загружать посторонний сайт, в первую очередь нужно изучить настройки браузера: какой адрес выставлен в поле домашней страницы.

Ряд вредоносных программ ограничиваются изменением этого параметра и для устранения последствий заражения нужно лишь исправить адрес домашней страницы. Однако это может быть только частью вредоносной нагрузки. Поэтому если Вы обнаружили несанкционированное изменение адреса домашней страницы, следует немедленно установить антивирусное программное обеспечение и проверить весь жесткий диск на наличие вирусов.

Подводя итог, вспомним, что нужно сделать, для того чтобы не стать жертвой новой вредоносной программы, которая может украсть личные данные или стать орудием киберпреступления.

Во-первых, необходимо установить на компьютер антивирус - хотя бы бесплатный - и обновлять антивирусные базы.

Во-вторых, следить за обновлениями для операционной системы.

В-третьих, быть внимательным и посещать только проверенные интернет-сайты, каждый раз приглядываясь к адресу, который написан в строке браузера.

Пр.раб.№6. Подозрительные процессы Задание 1. Подозрительные процессыОдним из основных проявлений вредоносных программ является наличие в списке запущенных процессов подозрительных программ. Исследуя этот список и особенно сравнивая его с перечнем процессов, которые были запущены на ПК сразу после установки системы, то есть до начала работы, можно сделать достаточно достоверные выводы об инфицировании. Это часто помогает при обнаружении вредоносных программ, имеющих лишь только скрытые или косвенные проявления. Однако необходимо четко понимать и уметь отличать легальные процессы от подозрительных. В этой практической работе необходимо ознакомиться с основным методом исследования запущенных процессов, а именно получить навыки работы с Диспетчером задач Windows, и изучить стандартный их набор. Диспетчер задач Windows - это стандартная утилита, входящая в любую Microsoft Windows. C ее помощью можно в режиме реального времени отслеживать выполняющиеся приложения и запущенные процессы, оценивать загруженность системных ресурсов компьютера и использование сети. Познакомьтесь с интерфейсом Диспетчера и проследите за изменениями в системе на примере запуска программы Paint. 1. Перейдите к Диспетчеру задач Windows, нажав одновременно клавиши Ctrl, Shift и Esc. Открывшееся окно содержит четыре закладки, отвечающие четырем видам активности, которые отслеживает Диспетчер: приложения, процессы, быстродействие (использование системных ресурсов) и Сеть. По умолчанию у Вас должна открыться вторая закладка, Процессы. 2. Внимательно изучите представленный в окне список процессов. Если на компьютере не запущены никакие пользовательские программы, он должен содержать только служебные процессы операционной системы. Описание большинства процессов можно найти в Интернете. Поэтому если к Вам закрались подозрения, немедленно обратитесь к всемирной сети. 3. Для каждого процесса выводятся его параметры: имя образа (может не совпадать с именем запускаемого файла), имя пользователя, от чьего имени был запущен процесс, загрузка этим процессом процессора и объем занимаемой им оперативной памяти. Загрузка процессора представлена в процентах от максимальной. Поэтому для удобства пользователя в списке всегда присутствует пункт "Бездействие системы". С его помощью можно быстро узнать насколько загружен, вернее свободен процессор. Отсортируйте все процессы по использованию ресурсов процессора. Для этого нажмите на заголовок поля ЦП () 4. Поскольку в данный момент не должна быть запущена ни одна пользовательская программа, процессор должен быть свободен. Следовательно, "Бездействие системы" должно оказаться внизу списка с достаточно большим процентом "использования" процессора. На рисунке это 95 %. Этот метод также можно использовать для того, чтобы в случае заметного снижения производительности определить, какая программа виновна в этом: столбец ЦП покажет загрузку процессора, а Память - оперативную память. В ряде случаев может потребоваться вручную завершить некий процесс. Это можно сделать с помощью кнопки Завершить процесс. Например, Вы обнаружили подозрительный процесс, на сайте вирусной энциклопедии www.viruslist.ru прочитали, что он однозначно принадлежит вирусу или троянской программе, но антивирусной программы на компьютере нет. Тогда нужно закрыть все работающие приложения и с помощью Диспетчера задач вручную завершить этот процесс. Чтобы исключить появление его снова настоятельно рекомендуется как можно быстрее установить полноценное антивирусное приложение и сразу же запустить проверку всего жесткого диска на наличие вирусов. 5. Выпишите все запущенные процессы на лист бумаги или в текстовый файл и перейдите к закладке Приложения 6. Поскольку в данный момент не запущено ни одно приложение, список запущенных приложений пуст 7. Не закрывая окна Диспетчера задач Windows, откройте программу Paint. Для этого воспользуйтесь системным меню Пуск / Программы / Стандартные / Paint 8. Дождитесь запуска Paint 9. Не закрывая приложение Paint, вернитесь к окну Диспетчера задач Windows и проследите за изменениями на закладке Приложения 10. Список запущенных приложений должен содержать строку, соответствующую Paint. Поскольку она сейчас работает, это же записано в строке Состояние. Иногда случается так, что программа вызывает ошибку - тогда в ее состоянии будет написано "Не отвечает". Если некое ранее бесперебойно работающее приложение начало часто без видимых причин переходить в состояние "Не отвечает", это может быть косвенным признаком заражения. Тогда первое, что можно сделать - это воспользоваться кнопкой Снять задачу и начать поиски причин. В иных случаях пользоваться этой кнопкой не рекомендуется. 11. Перейдите к закладке Процессы. Сравните список запущенных сейчас процессов с перечнем, составленным на шаге 5 этого задания. Найдите отличие (появился процесс mspaint.exe). Убедитесь, что программе Paint соответствует процесс mspaint.exe. Для этого найдите его в списке запущенных процессов, не закрывая и не сворачивая окно Диспетчера задач Windows, вернитесь в окне Paint и закройте его. 12. Проследите, что из списка запущенных процессов пропал mspaint.exe 13. Вернитесь к закладке Приложения и убедитесь, что она снова пуста 14. Перейдите к закладке Быстродействие. Внимательно изучите расположенные тут графики. Любые всплески на них должны по времени соответствовать неким действиям, например запуску требовательной к ресурсам программы. Если ничего похожего сознательно не производилось, это может быть причиной для более детального исследования ПК   Закройте окно Диспетчера задач Windows Пр.раб.№7. Элементы автозапуска. Задание 1. Элементы автозапуска.Для того, чтобы прикладная программа начала выполняться, ее нужно запустить. Следовательно, и вирус нуждается в том, чтобы его запустили. Для этого можно использовать два сценария: либо сделать так, чтобы пользователь сам его стартовал (используются обманные методы), либо внедриться в конфигурационные файлы и запускать одновременно с другой, полезной программой. Оптимальным с точки зрения вируса вариантом служит запуск одновременно с операционной системой - в этом случае запуск практически гарантирован. В этом задании предлагается изучить элементы операционной системы, отвечающие за автозапуск программ при ее загрузке, а именно: группу Автозагрузка в меню Пуск. 1. Самый простой способ добавить какую-либо программу в автозагрузку - это поместить ее ярлык в раздел Автозагрузка системного меню Пуск / Программы. По умолчанию, сразу после установки операционной системы этот раздел пуст, поскольку ни одной прикладной программы еще не установлено. Проверьте папку Автозагрузка на Вашем компьютере. Она должна быть пустой 2. Добавьте в список автозагрузки свою программу. Для этого дважды щелкните левой клавишей мыши по названию группы Автозагрузка. В результате должно открыться соответствующее окно папки автозагрузки. Обратите внимание на полный адрес открывшейся папки. Чтобы некая программа запускалась автоматически при старте операционной системы - это поместить в эту папку ее ярлык. 3. Повторите действия пункта 2, но только для папки Пуск / Программы / Стандартные В открывшемся окне найдите ярлык "Блокнот". Щелчком правой клавиши мыши на нем выведите контекстное меню В контекстном меню выберите пункт Копировать Закройте окно стандартных программ и вернитесь в окно автозагрузки В окне автозагрузки щелкните правой клавишей мыши где-нибудь на белом поле окна и в открывшемся контекстном меню выберите Вставить В результате этих действий в окне должна появиться копия ярлыка Блокнота 9. Закройте окно и убедитесь, что теперь раздел Автозагрузка в системном меню Пуск / Программы не пуст 10. Перезагрузите компьютер (Пуск / Завершение работы) и войдите в систему 11. Убедитесь, что по завершению загрузки автоматически запустилась программа Блокнот 12. При обследовании компьютера нужно помнить, что отсутствие подозрительных ярлыков в разделе Автозагрузка системного меню Пуск / Программы не гарантирует, что ни одно приложение не запускается автоматически. Технически для автозапуска нужно добавить соответствующую запись в системный реестр операционной системы. Несмотря на то, что реестр Windows очень большой, существует оболочка, позволяющая с ним работать напрямую. Но делать это рекомендуется только в крайнем случае. Для большинства ситуаций, связанных с автозапуском, достаточно использовать системную утилиту Настройка системы.