Вирусная активность в сети

Данная статья будет, в какой-то мере, посвящена безопасности. У меня недавно возникла мысль, а как проверить, какие приложение используют интернет соединение, куда может утекать трафик, через какие адреса идет соединение и многое другое. Есть пользователи, которые также задаются этим вопросом.

Допустим у вас есть точка доступа, к которой подключены только вы, но вы замечаете, что скорость соединения какая-то низкая, звоните провайдеру, они отмечают, что все нормально или что-то подобное. А вдруг к вашей сети кто-то подключен? Можно попробовать с помощью методов из этой статьи узнать, какие программы, которые требуют Интернет-соединения он использует. А вообще, вы можете использовать эти методы, как душе угодно.

Ну что, давайте анализировать?

Команда netstat для анализа сетевой активности

Этот способ без использования всяких программ, нам лишь понадобится командная строка. В Windows есть специальная утилита netstat, которая занимается анализом сетей, давайте использовать ее.

Желательно, чтобы командная строка была запущена от имени администратора. В Windows 10 можно нажать на меню Пуск правой кнопкой мыши и выбрать соответствующий пункт.

В командной строке вводим команду netstat и видим много интересной информации:

Мы видим соединения, в том числе, их порты, адреса, соединения активные и ожидающиеся. Это конечно круто, но нам этого мало. Нам бы узнать, какая программа использует сеть, для этого вместе с командной netstat можно использовать параметр –b, тогда команда будет выглядеть так:

netstat –b

Теперь в квадратных скобочках будет видна утилита, которая пользуется интернетом.

Это не единственный параметр в этой команде, для отображения полного списка введите команду netstat –h .

Дальше можно просто использовать несколько команд для получения необходимой информации.

Но, как показывает практика, многие утилиты командной строки не дают той информации, которой хотелось бы видеть, да и не так это удобно. В качестве альтернативы мы будем использовать стороннее программное обеспечение – TCPView.

Мониторинг сетевой активности с помощью TCPView

Скачать программу можно отсюда. Ее даже не нужно устанавливать вы просто ее распаковываете и запускаете утилиту. Также она бесплатная, но не поддерживает русский язык, но этого особо и не нужно, из этой статьи вы поймете, как ей пользоваться.

Итак, утилита TCPView занимается мониторингом сетей и показывает в виде списка все подключенные к сети программы, порты, адреса и соединения.

В принципе тут все предельно ясно, но некоторые пункты программы я поясню:

• Столбец Process, ясное дело, показывает название программы или процесса.

• Столбец PID указывает на идентификатор подключенного к сети процесса.

• Столбец Protocol указывает на протокол процесса.

• Столбец Local adress – локальный адрес процесса данного компьютера.
• Столбец Local port – локальный порт.

• Столбец Remote adress указывает на адрес, к которому подключена программа.

• Столбец State – указывает на состояние соединения.

• Там, где указано Sent Packets и Rcvd Packets указывает на отправленное и полученное количество пакетов, тоже самое и со столбцами Bytes.

Еще с помощью программы можно нажать на процесс правой кнопкой мыши и завершить его, либо посмотреть, где он находится.

Названия адреса, как показано на изображении ниже можно преобразовать в локальный адрес, для этого нужно нажать горячие клавиши Ctrl+R.

Если вы увидите строки разного цвета, например, зеленого, то это означает запуск нового соединения, если покажется красный цвет, то соединение завершено.

Вот и все основные настройки программы, там еще есть мелки параметры, типа настройки шрифта и сохранения списка соединения.

Если вам понравилась эта программа, то обязательно используйте ее. Опытные пользователи точно найдут для каких целей применить ее.

Вредоносные программы могут проявляться не только в виде подозрительных процессов или файлов автозапуска, но и в виде сетевой активности. Черви используют сеть для распространения, троянские программы - для загрузки дополнительных компонентов и отсылки информации злоумышленнику.

Некоторые типы троянских программ специально предназначены для обеспечения удаленного управления зараженным компьютером. Для обеспечения доступа к компьютеру по сети со стороны злоумышленника они открывают определенный порт.

Что такое порт? Как известно, каждый компьютер обладает IP-адресом, на который этому компьютеру можно передавать данные. Но если на компьютере имеется несколько программ, работающих с сетью, например, почтовый сервер и веб-сервер, как определить, какие данные какой программе предназначены? Для этого и используются порты. За каждой программой, ожидающей данные из сети закрепляется определенное число - номер порта, а данные, пересылаемые на компьютер, кроме адреса компьютера содержат также и номер порта, чтобы было понятно, какая программа должна получить эти данные.

Как правило, похожие по назначению программы используют одни и те же порты для приема соединений. Почтовый сервер использует порт 25 для приема исходящих писем от почтовых клиентов. Веб-сервер использует порт 80 для приема соединений от браузеров. Впрочем, никаких принципиальных ограничений на использование портов нет, кроме того, что две программы не могут использовать один и тот же порт.

Аналогично почтовому серверу, вредоносные программы для приема команд или данных от злоумышленника используют определенный порт, постоянно ожидая сигналов на этот порт. В таких случаях принято говорить, что программа слушает порт.

Определить, какие порты слушаются на компьютере можно при помощи команды netstat -n. Для ее выполнения сперва нужно запустить командную оболочку. В случае Windows NT, 2000, XP и 2003 она запускается командой cmd.exe, а в Windows 98 и Me - command.com. Для запуска используются команды Выполнить в меню Пуск.

После выполнения в командной оболочке команды netstat -a в том же окне отображаются данные об установленных соединениях и открытых портах (тех, которые слушаются). Выглядит это как на рисунке 4.7.

Рис. 4.7. Команда netstat -a

Результатом выполнения команды является список активных подключений, в который входят установленные соединения и открытые порты. Открытые TCP-порты 2) обозначаются строкой LISTENING в колонке состояние. Часть портов связана с системными службами Windows и отображается не по номеру, а по названию - epmap, microsoft-ds, netbios-ssn. Порты, не относящиеся к стандартным службам, отображаются по номерам.

UDP-порты обозначаются строкой UDP в колонке Имя. Они не могут находиться в разных состояниях, поэтому специальная пометка LISTENING в их отношении не используется. Как и TCP-порты они могут отображаться по именам или по номерам.

Порты, используемые вредоносными программами, чаще всего являются нестандартными и поэтому отображаются согласно их номерам. Впрочем, могут встречаться троянские программы, использующие для маскировки стандартные для других приложений порты, например 80, 21, 443 - порты, используемые на файловых и веб-серверах.

Просто обнаружить неизвестные системе (и пользователю) порты мало. Нужно еще узнать, какие программы используют эти порты. Команда netstat не позволяет этого сделать, поэтому потребуется воспользоваться сторонними утилитами, например, утилитой tcpview.exe 3) . Эта утилита отображает более полную информацию о подключениях, включая данные о процессах, слушающих порты. Характерный вид окна утилиты представлен на рисунке 4.8.

Рис. 4.8. Утилита tcpview.exe

Как несложно заметить, утилита TCPView отображает те же данные, что и команда netstat -a, но дополняет их информацией о процессах.

Что делать с результатами поиска

Итак, по результатам анализа процессов, параметров автозагрузки и соединений получен список подозрительных с точки зрения пользователя процессов (имен файлов). Для неопытного пользователя неизвестных, а значит подозрительных имен файлов может оказаться слишком много, поэтому имеет смысл выделить наиболее подозрительные из них - те, которые были обнаружены в двух и более источниках. Например, файлы, которые присутствуют в списке процессов и в списке автозагрузки. Еще более подозрительными являются процессы, обнаруженные в автозагрузке и слушающие порты.

После того, как список подозрительных процессов максимально сужен и в нем остались только те, о которых нет исчерпывающей и достоверной информации, остается последний шаг, найти эти файлы на диске и отправить на исследование в одну из антивирусных компаний для анализа.

а.ч. ыЕЧЮХЛ, у.ч. вХТЮХ

рПУМЕ РПСЧМЕОЙС РЕТЧПЗП РЕТУПОБМШОПЗП ЛПНРШАФЕТБ Й РПМЕЪОПЗП РТПЗТБННОПЗП ПВЕУРЕЮЕОЙС (ПРЕТБГЙПООЩЕ УЙУФЕНЩ, ПЖЖЙУОЩЕ РТЙМПЦЕОЙС Й ДТ.) РПСЧЙМПУШ Й ЧТЕДПОПУОПЕ - ФБЛ ОБЪЩЧБЕНЩЕ "ЧЙТХУЩ". уМПЧП "ЧЙТХУЩ" ДБЧОП Й ИПТПЫП ЪОБЛПНП РПМШЪПЧБФЕМСН ЛПНРШАФЕТПЧ. пОП ДБЧОП РЕТЕТПУМП УЧПЕ РЕТЧПОБЮБМШОПЕ ЪОБЮЕОЙЕ Й ФЕРЕТШ ЮБУФП ХРПФТЕВМСЕФУС ДМС ПВПЪОБЮЕОЙС МАВЩИ ЧТЕДПОПУОЩИ РТПЗТБНН, УРПУПВОЩИ "ТБЪНОПЦБФШУС", ТБУРТПУФТБОССУШ У ЛПНРШАФЕТБ ОБ ЛПНРШАФЕТ Й ЪБТБЦБС РПДЮБУ ГЕМЩЕ ЛПНРШАФЕТОЩЕ УЕФЙ - ЧРМПФШ ДП ЗМПВБМШОЩИ ЬРЙДЕНЙК Ч йОФЕТОЕФЕ.

ьФП "ЛМБУУЙЮЕУЛЙЕ" ЧЙТХУЩ, УЕФЕЧЩЕ Й РПЮФПЧЩЕ ЮЕТЧЙ, "ФТПСОУЛЙЕ ЛПОЙ", backdoor-РТПЗТБННЩ Й ДТ.

ч ДБООПК УФБФШЕ ТЕЮШ РПКДЕФ П НЕФПДБИ ПВОБТХЦЕОЙС ЧЙТХУОПК БЛФЙЧОПУФЙ, ФБЛ ОБЪЩЧБЕНЩИ "ЮЕТЧЕК", - ЧЙТХУПЧ, ЛПФПТЩЕ УБНПТБУРТПУФТБОСАФУС РП УЕФЙ йОФЕТОЕФ, ЙУРПМШЪХС ЛБЛЙЕ-МЙВП ХСЪЧЙНПУФЙ Ч РТПЗТБННОПН ПВЕУРЕЮЕОЙЙ, МЙВП РПМШЪХСУШ ДПЧЕТЮЙЧПУФША Й МАВПРЩФУФЧПН ОЕПРЩФОЩИ РПМШЪПЧБФЕМЕК.

рТЕЦДЕ ЮЕН ЗПЧПТЙФШ П НЕФПДБИ ПВОБТХЦЕОЙС, УМЕДХЕФ РПУФБЧЙФШ УЕВС ОБ НЕУФП ЧЙТХУПРЙУБФЕМС Й РПРТПВПЧБФШ РТЕДУФБЧЙФШ УЕВЕ ЧУЕ ДЕКУФЧЙС, ЛПФПТЩЕ НПЦЕФ ЙУРПМШЪПЧБФШ ЧЙТХУ ДМС УБНПТБУРТПУФТБОЕОЙС.

пВЩЮОП ДПУФБФПЮОП ОБКФЙ ОЕДБЧОАА ОБКДЕООХА ЛЕН-МЙВП ХСЪЧЙНПУФШ Ч РПРХМСТОПН РТПЗТБННОПН ПВЕУРЕЮЕОЙЙ Й РПУФБТБФШУС ЙУРПМШЪПЧБФШ ЕЕ РПРХМСТОПУФШ ДМС ТБУРТПУФТБОЕОЙС ЧЙТХУБ. рТЕДУФБЧЙЧ УЕВЕ ФБЛПЕ ХУМПЧЙЕ, НЩ ПРТЕДЕМСЕН ЛТХЗ ОЕЛПФПТЩИ ЪБДБЮ, ЛПФПТЩЕ ОЕПВИПДЙНП ЧЩРПМОЙФШ "ЧЙТХУХ": УЛБОЙТПЧБОЙЕ МЙВП РПРЩФЛБ УПЕДЙОЕОЙС У ЛБЛЙН-МЙВП БДТЕУПН Ч УЕФЙ йОФЕТОЕФ ОБ РПТФ РПРХМСТОПЗП РТПЗТБННОПЗП РТПДХЛФБ, Ч УМХЮБЕ ХУРЕЫОПЗП УПЕДЙОЕОЙС РТПЙУИПДЙФ РПРЩФЛБ ЙУРПМШЪПЧБОЙС ХСЪЧЙНПУФЙ РТПЗТБННОПЗП РТПДХЛФБ ДМС УБНПЛПРЙТПЧБОЙС Й ДБМШОЕКЫЕЗП ТБУРТПУФТБОЕОЙС "ЮЕТЧС".

бМЗПТЙФН УМЕЗЛБ ПФМЙЮБЕФУС ДМС, ФБЛ ОБЪЩЧБЕНЩИ "РПЮФПЧЩИ ЮЕТЧЕК". пУОПЧОЩЕ ПФМЙЮЙС Ч ФПН, ЮФП "ХСЪЧЙНЩН" РТПЗТБННОЩН РТПДХЛФПН СЧМСЕФУС SMTP УЕТЧЕТ - РТПЗТБННОЩК РТПДХЛФ, ПФЧЕЮБАЭЙК ЪБ ДПУФБЧЛХ ЬМЕЛФТПООПК РПЮФЩ. хСЪЧЙНПУФША Ч ПВПЙИ УМХЮБСИ НПЦЕФ УЮЙФБФШУС, ЛБЛ ПЫЙВЛБ Ч ЛПДЕ РТПЗТБННЩ, ФБЛ Й ПЫЙВЛБ ДПРХЭЕООБС РТЙ ЕЕ ЛПОЖЙЗХТБГЙЙ.

уХЭЕУФЧХЕФ ОЕУЛПМШЛП ЧЙДПЧ ПВОБТХЦЕОЙС РПДПВОПК БЛФЙЧОПУФЙ:

1. чПЪТПУЫБС УЕФЕЧБС БЛФЙЧОПУФШ.
2. цБМПВЩ РПМШЪПЧБФЕМЕК-ЦЕТФЧ.
3. ч УМХЮБЕ ХЦЕ ЙЪЧЕУФОЩИ ЧЙТХУПЧ ПВОБТХЦЕОЙЕ ЧПЪНПЦОП ВМБЗПДБТС БОФЙЧЙТХУОЩН ЖЙМШФТБН, ЛБЛ ОБ РПЮФПЧЩИ(Sнфт) УЕТЧЕТБИ, ФБЛ Й ХУФБОПЧМЕООЩИ РПМШЪПЧБФЕМЕН.

еУМЙ УП ЧФПТЩН УМХЮБЕН УДЕМБФШ ЮФП-ФП ДПЧПМШОП ФТХДОП, ФП Ч РЕТЧПН Й ФТЕФШЕН УМХЮБСИ БДНЙОЙУФТБФПТХ УЕФЙ РТЕДПУФБЧМСЕФУС ДПЧПМШОП ЫЙТПЛЙК ЧЩВПТ ХЦЕ УХЭЕУФЧХАЭЙИ НЕФПДПЧ ВПТШВЩ У "ЧЙТХУОПК ЬРЙДЕНЙЕК", ОБЮЙОБС ПФ ХУФБОПЧЛЙ БОФЙЧЙТХУОЩИ РТПЗТБНН ОБ УЕТЧЕТБ, Й ЛПОЮБС ПВЩЛОПЧЕООПК ВМПЛЙТПЧЛПК ФТБЖЙЛБ РТЙ РПНПЭЙ УЕФЕЧПЗП ЬЛТБОБ (firewall). бОФЙЧЙТХУЩ ПВЩЮОП РТЕДОБЪОБЮЕОЩ ДМС ЛБЛПЗП-МЙВП ЛПОЛТЕФОПЗП УЕТЧЙУБ, ЮЕТЕЪ ЛПФПТЩК НПЗХФ ТБУРТПУФТБОЙФШУС ЧЙТХУЩ: РПЮФБ, УЛБЮБООЩЕ ЙЪ УЕФЙ ЖБКМЩ (http, ftp РТПФПЛПМЩ). рТЙНЕОЙФШ БОФЙЧЙТХУ ДМС ЖЙМШФТБГЙЙ ЧУЕЗП ФТБЖЙЛБ ДПУФБФПЮОП ФТХДОПТЕБМЙЪХЕНП, ТЕУХТУПЕНЛП Й ОЕ ЗБТБОФЙТХЕФ РПМОПК ЙДЕОФЙЖЙЛБГЙЙ ЙЪ-ЪБ ЧПЪНПЦОПУФЙ ЫЙЖТПЧБОЙС ФТБЖЙЛБ. фБЛ ЦЕ УХЭЕУФЧХАФ ФБЛ ОБЪЩЧБЕНЩЕ "УЙУФЕНЩ ПВОБТХЦЕОЙС ЧФПТЦЕОЙС". йИ ПУПВЕООПУФША СЧМСЕФУС ФП, ЮФП ПОЙ, ЙУРПМШЪХС МЙВП ЧПЪНПЦОПУФЙ УЕФЕЧПЗП ЬЛТБОБ МЙВП ФБЛ ОБЪЩЧБЕНЩЕ "МПЧХЫЛЙ"(honeypot) ДМС ПВОБТХЦЕОЙС ЧФПТЦЕОЙС (ЧЙТХУ ФПЦЕ ЧФПТЦЕОЙЕ!). йНЕООП ОБ ЬФЙИ УЙУФЕНБИ НЩ Й ПУФБОПЧЙНУС РПДТПВОЕЕ.

бЧФПТЩ ДБООПК УФБФШЙ РТЙДХНБМЙ УЧПК НЕФПД ПВОБТХЦЕОЙС ЧЙТХУОПК БЛФЙЧОПУФЙ. пУОПЧПК ЕЗП СЧМСЕФУС ПРЙУБОЙЕ ТБВПФЩ ПВЩЮОПЗП TCP-УПЕДЙОЕОЙС.

пВЩЮОП ХУФБОПЧЛБ TCP-УПЕДЙОЕОЙС РТПЙУИПДЙФ Ч ФТЙ УФБДЙЙ (3-way handshake): ЛМЙЕОФ ЧЩВЙТБЕФ Й РЕТЕДБЕФ УЕТЧЕТХ РПТСДЛПЧЩК ОПНЕТ (sequence number, ОБЪПЧЕН ЕЗП C-SYN), Ч ПФЧЕФ ОБ ЬФП УЕТЧЕТ ЧЩУЩМБЕФ ЛМЙЕОФХ РБЛЕФ ДБООЩИ, УПДЕТЦБЭЙК РПДФЧЕТЦДЕОЙЕ (у-бул) Й УПВУФЧЕООЩК РПТСДЛПЧЩК ОПНЕТ УЕТЧЕТБ (S-SYN). фЕРЕТШ ХЦЕ ЛМЙЕОФ ДПМЦЕО ЧЩУМБФШ РПДФЧЕТЦДЕОЙЕ (S-ACK). рПУМЕ ЬФПЗП УПЕДЙОЕОЙЕ УЮЙФБЕФУС ХУФБОПЧМЕООЩН Й ОБЮЙОБЕФУС ПВНЕО ДБООЩНЙ. рТЙ ЬФПН ЛБЦДЩК РБЛЕФ ЙНЕЕФ Ч ЪБЗПМПЧЛЕ РПМЕ ДМС РПТСДЛПЧПЗП ОПНЕТБ Й РПДФЧЕТЦДЕОЙС. дБООЩЕ ЮЙУМБ ХЧЕМЙЮЙЧБАФУС РТЙ ПВНЕОЕ ДБООЩНЙ Й РПЪЧПМСАФ ЛПОФТПМЙТПЧБФШ ЛПТТЕЛФОПУФШ РЕТЕДБЮЙ. ч УМХЮБЕ ЧЙТХУПЧ, ДПЧПМШОП ЮБУФП TCP-УПЕДЙОЕОЙЕ РТПУФП ОЕ ДПИПДЙФ ДП ПВНЕОБ ДБООЩНЙ, ПЗТБОЙЮЙЧБСУШ ОБЮБМШОЩН C-SYN Й ОЕ РПМХЮБС ПВТБФОПЗП. фБЛЙН ПВТБЪПН, УЮЙФБС ЛПМЙЮЕУФЧП SYN РБЛЕФПЧ Ч ПВЕ УФПТПОЩ (ЧИПДСЭЙЕ Й ЙУИПДСЭЙЕ) Й ЙНЕС УХЭЕУФЧЕООХА ТБЪОЙГХ (3, 5, 10 ТБЪ-ХУФБОБЧМЙЧБЕФУС ЬЛУРЕТЙНЕОФБМШОП) Ч ЛПМЙЮЕУФЧЕ, НЩ НПЦЕН РТЕДРПМПЦЙФШ ОЕОПТНБМШОХА УЕФЕЧХА БЛФЙЧОПУФШ Й, МЙВП ВМПЛЙТПЧБФШ ФТБЖЙЛ, МЙВП РТЕДРТЙОЙНБФШ ДБМШОЕКЫЙЕ НЕТЩ ПВОБТХЦЕОЙС Ч ГЕМСИ ДЕФБМШОПК ЙДЕОФЙЖЙЛБГЙЙ РТЙЮЙО ЧПЪОЙЛОПЧЕОЙС РПДПВОПК БЛФЙЧОПУФЙ.

оБ ПУОПЧЕ ЧЩЫЕПРЙУБООПЗП НЕФПДБ БЧФПТБНЙ РТЕДРПМБЗБЕФУС УПЪДБФШ УЙУФЕНХ ПВОБТХЦЕОЙС ЧЙТХУОПК УЕФЕЧПК БЛФЙЧОПУФЙ Ч ГЕМСИ РТЕДПФЧТБЭЕОЙС ЧЙТХУОЩИ ЬРЙДЕНЙК Ч МПЛБМШОПК УЕФЙ уф "вПФЙЛ", сТПУМБЧУЛБС ПВМБУФШ, З. рЕТЕУМБЧМШ-ъБМЕУУЛЙК. рЕТЧБС ФЕУФПЧБС ЧЕТУЙС ХЦЕ УПЪДБОБ Й РТПИПДЙФ ТЕЦЙН ФЕУФЙТПЧБОЙС.

Если вы пользуетесь системой Windows, то скорее всего знаете о на наличии в ней встроенного брандмауэра. Возможно вы также умеете разрешать и блокировать доступ отдельных программ в сеть, чтобы контролировать входящий и исходящий трафик. Но знаете ли вы, что фаервол Windows может быть использован для регистрации всех проходящих через него соединений?

Журналы Брандмауэра Windows могут быть полезны при решении отдельных проблем:

• Используемая программа не может подключиться к Интернету, несмотря на то, что с другими приложениями эта проблема не наблюдается. В данном случае для устранения неисправности следует проверить, не блокирует ли системный фаервол запросы данной программы на подключение.
• Вы подозреваете, что компьютер используется для передачи данных вредоносной программой и хотите провести мониторинг исходящего трафика на предмет подозрительных запросов подключения.
• Вы создали новые правила разрешения и блокировки доступа и хотите убедиться, что фаервол корректно обрабатывает заданные инструкции.

Независимо от причин использования, включение протоколирования событий может быть сложной задачей, так как требует многих манипуляций с настройками. Приведем четкий алгоритм действий, как активировать регистрацию сетевой активности в фаерволе Windows.

Во-первых, нужно перейти к расширенным настройкам брандмауэра Windows. Откройте панель управления (клик правой кнопкой мыши по меню Пуск, опция “Панель управления”), затем нажмите ссылку “Брандмауэр Windows”, если стоит режим просмотра мелкие/крупные значки, либо выберите раздел “Система и безопасность”, а затем “Брандмауэр Windows”, если стоит режим просмотра категория.

В окне фаервола выберите опцию в левом навигационном меню “Дополнительные параметры”.

Вы увидите следующий экран настроек:

Это внутренняя техническая сторона брандмауэра Windows. Данный интерфейс позволяет разрешать или блокировать доступ программ в Интернет, настраивать входящие и исходящий трафик. Кроме того, именно здесь можно активировать функцию регистрации событий - хотя не сразу понятно, где это можно сделать.

Во-первых, выберите опцию “Брандмауэр Windows в режиме повышенной безопасности (Локальный компьютер)”.

Кликните правой кнопкой мыши по ней и выберите опцию “Свойства”.

Откроется окно, которое может запутать пользователя. При выборе трех вкладок (Профиль домена, Частный профиль, Общий профиль) можно заметить, что их содержимое идентично, но относится к трем различным профилям, название которых указано в заголовке вкладки. На вкладке каждого профиля содержится кнопка настройки ведения журнала. Каждый журнал будет соответствовать отдельному профилю, но какой профиль используете вы?

Рассмотрим, что означает каждый профиль:

• Профиль домена используется для подключения к беспроводной сети Wi-Fi, когда домен задается контроллером домена. Если вы не уверены, что это значит, лучше не используйте данный профиль.
• Частный профиль используется для подключения к частным сетям, включая домашние или персональные сети - именно данный профиль вы скорее всего будете использовать.
• Общий профиль используется для подключения к общественным сетям, включая сети ресторанов, аэропортов, библиотек и других учреждений.

Если вы используете компьютер в домашней сети, перейдите на вкладку “Частный профиль”. Если используется публичная сеть, перейдите на вкладку “Общий профиль”. Нажмите кнопку “Настроить” в секции “Ведение журнала” на корректной вкладке.

В открывшемся окне вы можете настроить расположение и максимальный размер журнала. Можно задать легко запоминающееся место для лога, но на самом деле локация файла журнала не имеет особо значения. Если вы хотите запустить регистрацию событий, в обоих выпадающих меню “Записывать пропущенные пакеты” и “Записывать успешные подключения” установите значение “Да” и нажмите кнопку “ОК”. Постоянная работа функции может привести к проблемам производительности, поэтому активируйте ее только когда действительно нужно выполнить мониторинг подключений. Для отключения функции логирования установите значение “Нет (по умолчанию)” в обоих выпадающих меню.

Теперь компьютер будет фиксировать сетевую активность, контролируемую фаерволом. Для того, чтобы просмотреть логи, перейдите в окно “Дополнительные параметры”, выберите опцию “Наблюдение” в левом списке, а затем в секции “Параметры ведения журнала” кликните ссылку “Имя файла”.

Затем откроется журнал сетевой активности. Содержимое журнала может запутать неопытного пользователя. Рассмотрим основное содержимое записей журнала:

1. Дата и время подключения.
2. Что произошло с подключением. Статус “ALLOW” означает, что фаервол разрешил подключение, а статус “DROP” показывает, что подключение было заблокировано фаерволом. Если вы столкнулись с проблемами подключения к сети отдельной программы, то сможете точно определить, что причина проблемы связана с политикой брандмауэра.
3. Тип подключения - TCP или UDP.
4. По порядку: IP-адрес источника подключения (компьютера), IP-адрес получателя (например, веб-страницы) и используемый на компьютере сетевой порт. Данная запись позволяет выявлять порты, которые требуют открытия для работы ПО. Также следите за подозрительными подключениями - они могут быть совершены вредоносными программами.
5. Был ли успешно отправлен или получен пакет данных.

Информация в журнале поможет выяснить причину проблем подключения. Журналы могут регистрировать и другую активность, например, целевой порт или номер подтверждения TCP. Если вам нужны подробности, ознакомьтесь со строкой “#Fields” в верхней части лога, чтобы идентифицировать значение каждого показателя.

Не забудьте отключить функцию ведения журнала после завершения работы.

С помощью использования журнала брандмауэра Windows, вы можете проанализировать типы данных, обрабатываемых на компьютере. Кроме того, можно установить причины проблем с сетью, связанные с работой фаервола или другими объектами, нарушающими соединения. Журнал активности позволяет ознакомиться с работой фаервола и получить четкое представление о происходящем в сети.

В этом топике расскажу как можно в пару скриптов наладить простой сбор статистики по аномальной активности в сети.

Аномальным для нас будет на момент снятия статистики:

1. Более 20 исходящих коннектов по 25 порту с 1 IP.
2. Более 100 исходящих коннектов по 80 порту с 1 IP.
3. Более 100 исходящих коннектов по 53 порту с 1 IP.
4. Придумывайте сами, всё гибко.

Статистику будем вынимать из кэша netflow маршрутизаторов. Будет ли это Cisco или FreeBSD — не важно. О настройке netflow на FreeBSD я рассказывал в предыдущих своих статьях.

Так как мы собираемся обрабатывать статистику исходящих соединений, в netflow обязательно попадание исходящего трафика из вашей сети.

7206#sh ip cache flow
IP packet size distribution (50885M total packets):
1-32 64 96 128 160 192 224 256 288 320 352 384 416 448 480
.000 .367 .018 .009 .005 .004 .019 .005 .004 .002 .015 .001 .002 .003 .002

512 544 576 1024 1536 2048 2560 3072 3584 4096 4608
.002 .003 .012 .030 .486 .000 .000 .000 .000 .000 .000

IP Flow Switching Cache, 4456704 bytes
14372 active, 51164 inactive, 1424895745 added
595073185 ager polls, 0 flow alloc failures
Active flows timeout in 30 minutes
Inactive flows timeout in 15 seconds
IP Sub Flow Cache, 1057544 bytes
14372 active, 18396 inactive, 1424881570 added, 1424881570 added to flow
0 alloc failures, 0 force free
2 chunks, 63 chunks added
last clearing of statistics never
Protocol Total Flows Packets Bytes Packets Active(Sec) Idle(Sec)
-------- Flows /Sec /Flow /Pkt /Sec /Flow /Flow
TCP-Telnet 2394420 0.5 2 59 1.2 1.6 17.3
TCP-FTP 693781 0.1 12 67 1.9 4.1 7.6
TCP-FTPD 16673 0.0 4116 815 15.9 29.6 10.9
TCP-WWW 705969510 164.3 46 843 7698.6 4.6 11.0
TCP-SMTP 4790885 1.1 16 593 18.5 4.8 8.6
TCP-X 586390 0.1 3 176 0.5 1.0 17.5
TCP-BGP 377369 0.0 3 490 0.3 11.7 17.2
TCP-NNTP 492 0.0 6 270 0.0 4.5 10.8
TCP-Frag 1878 0.0 27 194 0.0 12.3 17.2
TCP-other 283995180 66.1 37 715 2505.0 5.9 12.1
UDP-DNS 42291343 9.8 1 73 10.1 0.0 19.3
UDP-NTP 1781711 0.4 1 76 0.6 7.4 17.9
UDP-TFTP 49776 0.0 5 52 0.0 21.6 17.3
UDP-Frag 293665 0.0 352 106 24.0 15.7 18.1
UDP-other 347985517 81.0 18 618 1503.7 4.4 18.7
ICMP 33442833 7.7 2 80 21.9 5.0 18.4
IGMP 2 0.0 2 28 0.0 0.9 26.5
IPv6INIP 178 0.0 4 68 0.0 13.4 18.1
GRE 60567 0.0 2878 162 40.5 185.4 15.4
IP-other 150016 0.0 89 614 3.1 69.2 17.0
Total: 1424882186 331.7 35 781 11846.6 4.7 13.5

SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts
Gi0/1 80.75.131.2 Null 123.456.123.14 06 40A0 0050 29
Gi0/1 82.116.35.44 Null 123.456.123.23 06 D52A 0050 5
Gi0/2.105 123.456.789.54 Null 195.151.255.253 06 0050 F9F0 3
Gi0/1 217.172.29.5 Null 123.456.123.33 06 E469 0050 279
Gi0/1 217.172.29.5 Null 123.456.123.43 06 E46B 0050 25
Gi0/1 217.172.29.5 Null 123.456.123.53 06 E46D 0050 51
Gi0/1 82.116.35.44 Null 123.456.123.64 06 D531 0050 5
Gi0/1 217.172.29.5 Null 123.456.123.73 06 E46E 0050 55
Gi0/1 217.172.29.5 Null 123.456.123.13 06 E46F 0050 23
Gi0/1 217.172.29.5 Null 123.456.123.23 06 E464 0050 39
Gi0/2.105 123.456.789.54 Null 67.195.111.40 06 0050 E9FC 5
Gi0/2.105 123.456.789.53 Null 83.167.97.145 06 0050 CF77 7
Gi0/2.105 123.456.789.56 Null 213.180.199.34 11 C479 0035 1
Gi0/2.103 123.456.789.30 Null 123.456.123.56 11 BB7D 0035 1
Gi0/2.105 123.456.789.56 Null 123.456.123.30 11 0035 BB7D 1

[--cut--] дальше еще много-много похожих строчек[--cut--]

даёт вот такой вот вывод, верхняя его часть нам не интересна, там общая статистика.

[root@border] /root/> /usr/sbin/flowctl netflow show
SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts
lo0 123.456.161.48 vlan3 212.119.237.214 6 0f93 0050 6
lo0 123.456.153.8 vlan2 154.153.8.109 17 6df4 f45f 20
lo0 123.456.164.126 vlan2 154.164.126.104 17 68eb eb5f 16
lo0 123.456.134.168 vlan2 154.134.168.139 17 8b2c 2c5f 40
lo0 123.456.169.132 vlan2 154.169.132.219 17 db31 315f 28
lo0 123.456.153.13 vlan2 154.153.13.62 17 3e3a 3a5f 28
lo0 123.456.147.214 vlan2 154.147.214.54 17 3658 585f 4
lo0 123.456.161.167 vlan2 154.161.167.102 17 66f5 f55f 4
lo0 123.456.144.147 vlan2 154.144.147.248 17 f88b 8b5f 4
lo0 123.456.162.220 vlan2 154.162.220.42 17 2adc dc5f 27
lo0 123.456.170.119 vlan2 154.170.119.198 17 c60a 0a5f 64

[--cut--] дальше еще много-много похожих строчек[--cut--]

Анализируем вывод этой статистики:

Получаем для 25 порта:
[root@border] /root/>flowctl netflow show | grep 0019 | awk '' | sort | uniq -c | awk ' < if( $1 >20 ) print $2 >'
123.456.123.10
123.456.123.17
123.456.123.140
123.456.123.220

Для 80 порта:
[root@border] /root/>flowctl netflow show | grep 0050 | awk '' | sort | uniq -c | awk ' < if( $1 >100 ) print $2 >'
123.456.123.10
123.456.123.17
123.456.123.165

Для 53 порта:
[root@border] /root/>flowctl netflow show | grep 0035 | awk '' | sort | uniq -c | awk ' < if( $1 >100 ) print $2 >'
123.456.123.17
123.456.123.19

Что делать с этими адресами решайте сами.
У меня, например, по крону, раз в 5 минут, адреса добавляются в БД, с которой работает radius сервер.
Клиента выкидывают из интернета, а при следующей авторизации он блокируется полностью. Также при обращении по 80 порту выдается сообщение о нарушении регламента сети из-за вирусной активности на его компьютере.

Проблема эпидемии сетевых червей актуальна для любой локальной сети. Рано или поздно может возникнуть ситуация, когда в ЛВС проникает сетевой или почтовый червь, который не детектируется применяемым антивирусом. Сетевой вирус распространяется по ЛВС через не закрытые на момент заражения уязвимости операционной системы или через доступные для записи общие ресурсы. Почтовый вирус, как следует из названия, распространяется по электронной почте при условии, что он не блокируется клиентским антивирусом и антивирусом на почтовом сервере. Кроме того, эпидемия в ЛВС может быть организована изнутри в результате деятельности инсайдера. В данной статье мы рассмотрим практические методики оперативного анализа компьютеров ЛВС с применением различных средств, в частности с помощью авторской утилиты AVZ.

Постановка задачи

В случае обнаружения эпидемии или некой нештатной активности в сети администратор должен оперативно решить минимум три задачи:

• обнаружить зараженные ПК в сети;
• найти образцы вредоносной программы для отправки в антивирусную лабораторию и выработки стратегии противодействия;
• принять меры для блокирования распространения вируса в ЛВС и его уничтожения на зараженных компьютерах.

В случае деятельности инсайдера основные шаги анализа идентичны и чаще всего сводятся к необходимости обнаружения установленного инсайдером постороннего ПО на компьютерах ЛВС. В качестве примера такого ПО можно назвать утилиты удаленного администрирования, клавиатурные шпионы и различные троянские закладки.

Рассмотрим более подробно решение каждой из поставленных задач.

Поиск зараженных ПК

Для поиска зараженных ПК в сети можно применять как минимум три методики:

• автоматический удаленный анализ ПК — получение информации о запущенных процессах, загруженных библиотеках и драйверах, поиск характерных закономерностей — например процессов или файлов с заданными именами;
• исследование трафика ПК с помощью сниффера — данный метод очень эффективен для отлова спам-ботов, почтовых и сетевых червей, однако основная сложность в применении сниффера связана с тем, что современная ЛВС строится на базе коммутаторов и, как следствие, администратор не может осуществлять мониторинг трафика всей сети. Проблема решается двумя путями: запуском сниффера на маршрутизаторе (что позволяет осуществлять мониторинг обмена данными ПК с Интернетом) и применением мониторинговых функций коммутаторов (многие современные коммутаторы позволяют назначить порт мониторинга, на который дублируется трафик одного или нескольких портов коммутатора, указанных администратором);
• исследование нагрузки на сеть — в данном случае очень удобно применять интеллектуальные коммутаторы, которые позволяют не только оценивать нагрузку, но и удаленно отключать указанные администратором порты. Данная операция существенно упрощается при наличии у администратора карты сети, на которой имеются данные о том, какие ПК подключены к соответствующим портам коммутатора и где они расположены;
• применение ловушек (honeypot) — в локальной сети настоятельно рекомендуется создать несколько ловушек, которые позволят администратору своевременно обнаружить эпидемию.

Автоматический анализ ПК можно свести к трем основным этапам:

• проведение полного исследования ПК — запущенные процессы, загруженные библиотеки и драйверы, автозапуск;
• проведение оперативного обследования — например поиск характерных процессов или файлов;
• карантин объектов по определенным критериям.

Все перечисленные задачи можно решить при помощи авторской утилиты AVZ, которая рассчитана на запуск из сетевой папки на сервере и поддерживает скриптовый язык для автоматического обследования ПК. Для запуска AVZ на компьютерах пользователей необходимо:

1. Поместить AVZ в открытую для чтения сетевую папку на сервере.
2. Создать в этой папке подкаталоги LOG и Qurantine и разрешить пользователям запись в них.
3. Запустить AVZ на компьютерах ЛВС при помощи утилиты rexec или логон-скрипта.

Запуск AVZ на шаге 3 должен производиться при таких параметрах:

\\my_server\AVZ\avz.exe Priority=-1 nw=Y nq=Y HiddenMode=2 Script=\\my_server\AVZ\my_script.txt

Рис. 1. Редактор скриптов AVZ

Рассмотрим три типовых скрипта, которые могут пригодиться в ходе борьбы с эпидемией. Во-первых, нам потребуется скрипт для исследования ПК. Задача скрипта — произвести исследование системы и создать протокол с результатами в заданной сетевой папке. Скрипт имеет следующий вид:

// Включение сторожевого таймера на 10 минут

// Запуск сканирования и анализа

//Завершение работы AVZ

В ходе выполнения данного скрипта в папке LOG (предполагается, что она создана в каталоге AVZ на сервере и доступна пользователям для записи) будут создаваться HTML-файлы с результатами исследования компьютеров сети, причем для обеспечения уникальности в имя протокола включается имя исследуемого компьютера. В начале скрипта располагается команда включения сторожевого таймера, который принудительно завершит процеcc AVZ через 10 минут в случае, если в ходе выполнения скрипта возникнут сбои.

Протокол AVZ удобен для изучения вручную, однако для автоматизированного анализа он мало пригоден. Кроме того, администратору часто известно имя файла вредоносной программы и требуется только проверить наличие или отсутствие данного файла, а при наличии — поместить в карантин для анализа. В этом случае можно применить скрипт следующего вида:

// Включение сторожевого таймера на 10 минут

// Поиск вредоносной программы по имени

QuarantineFile(‘%WinDir%\smss.exe’, ‘Подозрение на LdPinch.gen’);

QuarantineFile(‘%WinDir%\csrss.exe’, ‘Подозрение на LdPinch.gen’);

//Завершение работы AVZ

В этом скрипте задействуется функция QuarantineFile, которая совершает попытку карантина указанных файлов. Администратору остается только проанализировать содержимое карантина (папка Quarantine\сетевое_имя_ПК\дата_каратина\) на наличие помещенных в карантин файлов. Следует учесть, что функция QuarantineFile автоматически блокирует помещение в карантин файлов, опознанных по базе безопасных AVZ или по базе ЭЦП Microsoft. Для практического применения данный скрипт можно усовершенствовать — организовать загрузку имен файлов из внешнего текстового файла, проверять найденные файлы по базам AVZ и формировать текстовый протокол с результатами работы:

// Поиск файла с указанным именем

function CheckByName(Fname : string) : boolean;

if Result then begin

case CheckFile(FName) of

-1 : S := ‘, доступ к файлу блокируется’;

1 : S := ‘, опознан как Malware (‘+GetLastCheckTxt+’)’;

2 : S := ‘, подозревается файловым сканером (‘+GetLastCheckTxt+’)’;

3 : exit; // Безопасные файлы игнорируем

AddToLog(‘Файл ‘+NormalFileName(FName)+’ имеет подозрительное имя’+S);

//Добавление указанного файла в карантин

SuspNames : TStringList; // Список имен подозрительных файлов

// Проверка файлов по обновляемой базе данных

if FileExists(GetAVZDirectory + ‘files.db’) then begin

AddToLog(‘База имен загружена - количество записей = ‘+inttostr(SuspNames.Count));

for i := 0 to SuspNames.Count - 1 do

AddToLog(‘Ошибка загрузки списка имен файлов’);

Для работы данного скрипта необходимо создать в папке AVZ доступные пользователям для записи каталоги Quarantine и LOG, а также текстовый файл files.db — каждая строка данного файла будет содержать имя подозрительного файла. Имена файлов могут включать макросы, наиболее полезные из которых — %WinDir% (путь к папке Windows) и %SystemRoot% (путь к папке System32). Другим направлением анализа может стать автоматическое исследование списка процессов, запущенных на компьютерах пользователей. Информация о запущенных процессах есть в протоколе исследования системы, но для автоматического анализа удобнее применять следующий фрагмент скрипта:

// Обновление списка процессов

AddToLog(‘Количество процессов = ‘+IntToStr(GetProcessCount));

// Цикл анализа полученного списка

for i := 0 to GetProcessCount - 1 do begin

S1 := S1 + ‘,’ + ExtractFileName(GetProcessName(i));

// Поиск процесса по имени

if pos(‘trojan.exe’, LowerCase(GetProcessName(i))) > 0 then

S := S + GetProcessName(i)+’,’;

AddLineToTxtFile(GetAVZDirectory+’\LOG\_alarm.txt’, DateTimeToStr(Now)+’ ‘+GetComputerName+’ : ‘+S);

AddLineToTxtFile(GetAVZDirectory+’\LOG\_all_process.txt’, DateTimeToStr(Now)+’ ‘+GetComputerName+’ : ‘+S1);

В завершение рассмотрим последний из полезных скриптов анализа — скрипт автоматического карантина всех файлов, которые не опознаются по базе безопасных AVZ и по базе ЭЦП Microsoft:

Автоматический карантин изучает запущенные процессы и загруженные библиотеки, службы и драйверы, около 45 способов автозапуска, модули расширения браузера и проводника, обработчики SPI/LSP, задания планировщика, обработчики системы печати и т.п. Особенностью карантина является то, что файлы в него добавляются с контролем повторов, поэтому функцию автокарантина можно вызывать многократно.

Достоинство автоматического карантина заключается в том, что с его помощью администратор может оперативно собрать потенциально подозрительные файлы со всех компьютеров сети для их изучения. Простейшей (но весьма эффективной на практике) формой изучения файлов может быть проверка полученного карантина несколькими популярными антивирусами в режиме максимальной эвристики. Следует отметить, что одновременный запуск автокарантина на нескольких сотнях компьютеров может создать высокую нагрузку на сеть и на файловый сервер.

Исследование трафика можно проводить тремя способами:

• вручную при помощи снифферов;
• в полуавтоматическом режиме — в данном случае сниффер собирает информацию, и затем его протоколы обрабатываются либо вручную, либо некоторым ПО;
• автоматически при помощи систем обнаружения вторжений (IDS) типа Snort (http://www.snort.org/) либо их программных или аппаратных аналогов. В простейшем случае IDS состоит из сниффера и системы, анализирующей собираемую сниффером информацию.

Система обнаружения вторжений является оптимальным средством, так как позволяет создавать наборы правил для обнаружения аномалии в сетевой активности. Второе ее преимущество состоит в следующем: большинство современных IDS позволяют размещать агенты мониторинга трафика на нескольких узлах сети — агенты собирают информацию и передают ее. В случае же применения сниффера очень удобно пользоваться консольным UNIX-сниффером tcpdump. Например, для мониторинга активности по порту 25 (протокол SMTP) достаточно запустить сниффер с командной строкой вида:

tcpdump -i em0 -l tcp port 25 > smtp_log.txt

В данном случае ведется захват пакетов через интерфейс em0; информация о захваченных пакетах будет сохраняться в файле smtp_log.txt. Протокол сравнительно просто анализировать вручную, в данном примере анализ активности по порту 25 позволяет вычислить ПК с активными спам-ботами.

В качестве ловушки (Honeypot) можно использовать устаревший компьютер, производительность которого не позволяет применять его для решения производственных задач. Например, в сети автора в качестве ловушки успешно применяется Pentium Pro c 64 Мбайт оперативной памяти. На этот ПК следует установить наиболее распространенную в ЛВС операционную систему и выбрать одну из стратегий:

• Установить операционную систему без пакетов обновлений — она будет индикатором появления в сети активного сетевого червя, эксплуатирующего любую из известных уязвимостей для данной операционной системы;
• установить операционную систему с обновлениями, которые установлены на других ПК сети — Honeypot будет аналогом любой из рабочих станций.

Каждая из стратегий имеет как свои плюсы, так и минусы; автор в основном применяет вариант без обновлений. После создания Honeypot следует создать образ диска для быстрого восстановления системы после ее повреждения вредоносными программами. В качестве альтернативы образу диска можно использовать системы отката изменений типа ShadowUser и его аналогов. Построив Honeypot, следует учесть, что ряд сетевых червей ищут заражаемые компьютеры путем сканирования диапазона IP, отсчитываемого от IP-адреса зараженного ПК (распространенные типовые стратегии — X.X.X.*, X.X.X+1.*, X.X.X-1.*), — следовательно, в идеале Honeypot должен быть в каждой из подсетей. В качестве дополнительных элементов подготовки следует обязательно открыть доступ к нескольким папкам на Honeypot-системе, причем в данные папки следует положить несколько файлов-образцов различного формата, минимальный набор — EXE, JPG, MP3.

Рис. 2. Создание и настройка предупреждения о сетевой активности

В качестве предупреждения удобнее всего использовать сообщения электронной почты, отправляемые на почтовый ящик администратора, — в этом случае можно получать оперативные оповещения от всех ловушек в сети. Кроме того, если сниффер позволяет создавать несколько предупреждений, есть смысл дифференцировать сетевую активность, выделив работу с электронной почтой, FTP/HTTP, TFTP, Telnet, MS Net, повышенный трафик более 20-30 пакетов в секунду по любому протоколу (рис. 3).

Рис. 3. Письмо-оповещение, высылаемое
в случае обнаружения пакетов, соответствующих заданным критериям

При организации ловушки неплохо разместить на ней несколько применяемых в сети уязвимых сетевых служб или установить их эмулятор. Простейшим (и бесплатным) является авторская утилита APS, работающая без инсталляции. Принцип работы APS сводится к прослушиванию множества описанных в ее базе портов TCP и UDP и выдаче в момент подключения заранее заданного или случайно генерируемого отклика (рис. 4).

Рис. 4. Главное окно утилиты APS

Дистанционное удаление вредоносных программ

В идеальном случае после обнаружения образцов вредоносных программ администратор отправляет их в антивирусную лабораторию, где они оперативно изучаются аналитиками и в базы антивируса вносятся соответствующие сигнатуры. Эти сигнатуры через автоматическое обновление попадают на ПК пользователей, и антивирус производит автоматическое удаление вредоносных программ без вмешательства администратора. Однако эта цепочка не всегда работает как положено, в частности возможны следующие причины сбоя:

• по ряду независимых от администратора сети причин образы могут не дойти до антивирусной лаборатории;
• недостаточная оперативность антивирусной лаборатории — в идеале на изучение образцов и их внесение в базы уходит не более 1-2 часов, то есть в пределах рабочего дня можно получить обновленные сигнатурные базы. Однако не все антивирусные лаборатории работают столь оперативно, и обновления можно ждать несколько дней (в редких случаях — даже недель);
• высокая работоспособность антивируса — ряд вредоносных программ после активации уничтожают антивирусы или всячески нарушают их работу. Классические примеры — внесение в файл hosts записей, блокирующих нормальную работу системы автообновления антивируса, удаление процессов, службы и драйверов антивирусов, повреждение их настроек и т.п.

Следовательно, в перечисленных ситуациях придется бороться с вредоносными программами вручную. В большинстве случаев это несложно, так как по результатам исследования компьютеров известны зараженные ПК, а также полные имена файлов вредоносных программ. Остается только произвести их дистанционное удаление. Если вредоносная программа не защищается от удаления, то уничтожить ее можно скриптом AVZ следующего вида:

// Эвристическая чистка системы

Данный скрипт удаляет один заданный файл (или несколько файлов, так как команд DeleteFile в скрипте может быть неограниченное количество) и затем производит автоматическую чистку реестра. В более сложном случае вредоносная программа может защищаться от удаления (например, пересоздавая свои файлы и ключи реестра) или маскироваться по руткит-технологии. В этом случае скрипт усложняется и будет иметь следующий вид:

// Включение протоколирования BootCleaner

// Импорт в задание BootCleaner списка файлов, удаленных скриптом