Проведение аттестации. 
Система защищенного электронного документооборота

По результатам предварительного ознакомления с аттестуемой ЛИС аттестационная комиссия разрабатывает программу испытаний, предусматривающую перечень работ и их продолжительность, методики испытаний (или типовых методик). Затем проводится распределение работ среди членов аттестационной комиссии и определяется необходимость использования инструментальных средств контроля защиты.

Порядок, содержание, условия и методы испытаний для оценки характеристик и показателей, проверяемых при аттестации, соответствия их установленным требованиям, а также применяемые в этих целях инструментальные средства определяются в методиках испытаний АИС.

При проведении аттестационных испытаний АИС аттестационная комиссия:

• · проводит анализ организационной структуры указанной АИС, информационных потоков, состава и структуры комплекса технических средств и программного обеспечения, системы защиты информации. разработанной документации и ее соответствия требованиям нормативной документации по защите информации;
• · определяет правильность установления требований по безопасности информации для аттестуемой ЛИС, выбора и применения сертифицированных и несертифицированных средств и систем зашиты информации;
• · проверяет уровень подготовки кадров и распределение ответственности персонала за обеспечение выполнения требований по безопасности информации;
• · проводит комплексные аттестационные испытания АИС в реальных условиях эксплуатации путем проверки фактического выполнения установленных требований на различных этапах технологического процесса обработки защищаемой информации, протоколируя все операции и процедуры проверок;
• · подготавливает заключение по результатам аттестации с краткой оценкой соответствия АИС требованиям безопасности информации, выводом о возможности выдачи аттестата соответствия и (или) необходимости выполнения рекомендаций.

  Заключение

  подписывается членами аттестационной комиссии. К заключению прилагаются протоколы испытаний, подтверждающие полученные при испытаниях результаты и обосновывающие приведенный в заключении вывод. Протоколы испытаний подписываются экспертами членами аттестационной комиссии, проводившими испытания.

При полном соответствии АИС предъявляемым к ней требованиям аттестационная комиссия подготавливает проект аттестата по следующей форме, который подписывает председатель аттестационной комиссии.

При выявлении нарушений или несоответствия требованиям безопасности информации аттестационная комиссия подготавливает проект распоряжения по организации об устранении недостатков, обнаруженных при проведении аттестации. После устранения этих недостатков аттестационная комиссия проводит дополнительные проверки, по результатам которых подготавливает проект аттестата соответствия АИС требованиям безопасности информации.

Аттестат выдается на период времени, в течение которого должна обеспечиваться неизменность условий функционирования АИC и технологий обработки защищаемой информации, могущих повлиять на характеристики, определяющие безопасность информации (состав и структура технических средств, используемое программное обеспечение, режимы обработки информации, средства и меры защиты), но нс более чем на три года. Организация, эксплуатирующая аттестованную АИС, несет ответственность за выполнение установленных условий ее функционирования, технологий обработки защищаемой информации и требований по безопасности информации.

В случае необходимости внесения изменений о условия и технологии обработки защищаемой информации эти изменения внедряются с последующей дополнительной проверкой эффективности системы защиты ЛИС, осуществляемой в порядке, предусмотренном для проведения аттестации, в части, касающейся внесенных изменений. Аттестат направляется в уполномоченный орган по управлению системой аттестации для регистрации в базе данных АИС, аттестованных на соответствие требованиям безопасности информации. На аттестате соответствия проставляется регистрационный номер, после чего аттестат возвращается организации, где проводилась аттестация.

Государственный надзор за проведением аттестации проводится Инспекцией ФСТЭК России и ФСБ России, как в процессе, так и по завершении аттестации, а за эксплуатацией аттестованных АИС — периодически, в соответствии с планами работы по контролю.

В случае грубых нарушений при проведении аттестации требований стандартов или иных нормативных документов ио безопасности информации, выявленных органом надзора, он может предложить организации расформировать аттестационную комиссию и создать новую. При этом аттестат, выданный комиссией, допускающей нарушения при проведении аттестации, будет недействительным.

Защита от вредоносных программ.

1. Пути распространения вирусных угроз Развитие современных информационных и телекоммуникационных технологий — процессов, методов поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов дает возможность злоумышленникам хакерам использовать различные источники распространения вредоносных программ и вирусных угроз, а именно неправомерный доступ, уничтожение, модифицирование, блокирование, копирование, а также от других неправомерных действий в отношении информации и ее обладателя.

Вредоносные программы — вирусы могут распространяться различными путями. В данном разделе эти пути рассмотрены более подробно.

Интернет — глобальная сеть «Интернет» уникальна тем. что не является чьей-то собственностью и не имеет территориальных границ. Это во многом способствует развитию многочисленных вебресурсов и обмену информацией. Сейчас любой человек может получить доступ к данным, хранящимся в сети Интернет, или создать свой собственный веб-ресурс.

Однако эти же особенности глобальной сети предоставляют злоумышленникам возможность совершения преступлении в Интернете, затрудняя их обнаружение и наказание. Злоумышленники размещают вирусы и другие вредоносные программы на веб-ресурсах, «маскируют» их под полезное и бесплатное программное обеспечение, которое может выполнять вредоносные действия на компьютере, в системах межведомственного (межсетевого) электронного документооборота ВЭД, включая изменение системного реестра, кражу персональных данных и другой информации, установку вредоносного программного обеспечения.

Используя сетевые технологии, злоумышленники реализуют атаки на удаленные частные компьютеры и серверы организаций — государственных и негосударственных структур. Результатом таких атак может являться выведение информационною ресурса из строя, получение полного доступа к ресурсу организации, а следовательно, к хранящейся на нем информации, использование ресурса.

В связи с появлением кредитных карт, электронных денег и возможностью их использования через Интернет (интернет-магазины, аукционы, персональные страницы банков и т. д.) компьютерное мошенничество стало одним из наиболее распространенных преступлений, которые наказуемы.

Локальная сеть — это внутренняя сеть (специалисты также называют ее сетью Интернет), специально разработанная для управления информацией внутри организации — государственной и негосударственной структуры. Локальная сеть является единым пространством для хранения, обмена и доступа к информации для всех компьютеров сети. Поэтому, если какой-либо из компьютеров сети заражен, остальные компьютеры подвергаются значительному риску заражения. Во избежание возникновения таких ситуаций необходимо защищать не только периметр локальной сети, но и каждый отдельный компьютер.

Электронная почта — наличие электронных почтовых приложений есть практически на каждом компьютере, и то, что вредоносные программы полностью используют содержимое электронных адресных книг для выявления новых пострадавших, обеспечивает благоприятные условия для распространения вредоносных программ. Пользователь зараженного компьютера, сам того не подозревая, рассылает зараженные письма адресатам, которые, н свою очередь, отправляют новые зараженные письма и т. д. Нередки случаи, когда зараженный файл-документ по причине недосмотра попадает в списки рассылки информации какой-либо организации — государственной и негосударственной структуры. В этом случае страдают сотни тысячи абонентов таких рассылок, которые затем разошлют зараженные файлы десяткам тысяч своих абонентов.

Помимо угрозы проникновения вредоносных программ существует проблема внешней нежелательной почты рекламного характера (спама — в переводе с англ. мусор). Не являясь источником прямой угрозы, нежелательная корреспонденция увеличивает нагрузку на почтовые серверы, создаст дополнительный трафик, засоряет почтовый ящик пользователя, ведет к потере рабочего времени и тем самым наносит значительный временной и соответственно материальный и финансовый урон.

Важно отметить также то, что злоумышленники стали использовать так называемые спамерские технологии массового распространения и методы социального менеджмента, чтобы заставить пользователя открыть письмо, перейти по ссылке из письма на какой-либо сайт или Интернет-ресурс. Из этого следует, что возможности фильтрации спама важны не только сами по себе, но и для противодействия некоторым новым видам интернет-мошенничества, а также распространению вредоносных программ и вирусов.

Съемные носители информации — дискеты, CD/DVD-диски, флеш-юрты — широко используются для хранения и передачи информации.

При запуске файла, содержащего вредоносный код, со съемного носителя вы можете повредить данные, хранящиеся на компьютере, и распространить вирус на другие диски компьютера или компьютеры сети. Поэтому съемные носители в организации необходимо учитывать. Более подробно это рассмотрено в разд. 3.7.

2. Виды вирусов Антивирусное программное обеспечение должно быть типа «Kaspersky Business Space Security» [117]. Поэтому в данном подразделе подробнее остановимся на угрозах, блокируемых Антивирусом Касперского.

Черви (Worms) — вредоносные программы, которые для распространения используют в основном уязвимости операционных систем. Название этого класса программ было дано исходя из способности червей «переполтать» с компьютера на компьютер, используя сети и электронную почту. Благодаря этому многие черви обладают достаточно высокой скоростью распространения.

Черви проникают на компьютер, осуществляют поиск сетевых адресов других компьютеров и рассылают по этим адресам свои копии. Помимо сетевых адресов часто используются данные адресной книги почтовых клиентов. Представители этого класса вредоносных программ иногда создают рабочие файлы на дисках системы, но могут вообще не обращаться к ресурсам компьютера (за исключением оперативной памяти).

Вирусы (Viruses) — программы, которые заражают другие программы: добавляют в них свой код, чтобы получить управление при запуске зараженных файлов. Это простое определение дает возможность выявить основное действие, выполняемое вирусом — заражение.

Троянские программы (Trojans) — выполняют на поражаемых компьютерах несанкционированные пользователем действия, в зависимости от каких-либо условий уничтожают информацию на дисках, приводят систему к «зависанию», воруют конфиденциальную информацию и т. д. Данный класс вредоносных программ не является вирусом в традиционном понимании этого термина (т.е. не заражает другие программы или данные); троянские программы не способны самостоятельно проникать на компьютеры и распространяются злоумышленниками под видом «полезного» программного обеспечения. При этом вред, наносимый ими, может во много раз превышать потерн от традиционной вирусной атаки.

В последнее время наиболее распространенными типами вредоносных программ, портящими компьютерные данные, стали черви. Далее по распространенности следуют вирусы и троянские программы. Некоторые вредоносные программы совмещают в себе характеристики двух или даже трех из перечисленных выше классов.

Программы-рекламы (Adware) — программный код, без ведома пользователя включенный в программное обеспечение с целью демонстрации рекламных объявлений. Как правило, программы — рекламы встроены в программное обеспечение, распространяющееся бесплатно. Реклама располагается в рабочем интерфейсе. За частую данные программы также собирают и переправляют своему разработчику персональную информацию о пользователе, изменяют различные параметры браузера (стартовые и поисковые страницы, уровни безопасности и т. д.). а также создают неконтролируемый пользователем трафик. Все это может привести как к нарушению политики безопасности, так и к прямым финансовым потерям.

Программы-шпионы (Spyware) — программное обеспечение, позволяющее собирать сведения об отдельно взятом пользователе или организации без их ведома. О наличии программ-шпионов на своем компьютере можно и не догадываться. Как правило, целью программ-шпионов является:

• · отслеживание действий пользователя на компьютере;
• · сбор информации о содержании жесткого диска; в этом случае чаще всего речь идет о сканировании некоторых каталогов и системного реестра с целью составления списка программного обеспечения. установленного на компьютере;
• · сбор информации о качестве связи, способе подключения, скорости модема и т. д.

Потенциально опасные приложения (Riskware) — это приложения, которые не имеют вредоносных функций, но могут являться частью среды разработки вредоносного программного обеспечения или использоваться хакерами-злоумышленникам в качестве вспомогательных компонентов вредоносных программ. К категории таких программ относятся программы, имеющие бреши и ошибки, а также некоторые утилиты удаленного администрирования, программы автоматического переключения раскладки клавиатуры, серверы, всевозможные утилиты для остановки процессов или скрытия их работы.

Еще одним видом вредоносных программ, являющимся пограничным для таких программ, как Adware, Spyware и Riskware, являются программы, встраивающиеся в установленный на компьютере браузер и перенаправляющие трафик. Например, если при запросе одного адреса веб-сайта открывается совсем другой.

Программы-шутки (Jokes) — программное обеспечение, нс причиняющее компьютеру какого-либо прямого вреда, но выводящее сообщения о том, что такой вред уже причинен либо будет причинен при каких-либо условиях. Такие программы часто предупреждают пользователя о несуществующей опасности, например, выводят сообщения о форматировании диска (хотя никакого форматирования на самом деле не происходит), обнаруживают вирусы в незараженных файлах и т. д.

Руткиты (Rootkit) — утилиты, используемые для сокрытия вредоносной активности. Они маскируют вредоносные программы, чтобы избежать их обнаружения антивирусными программами. Руткиты модифицируют операционную систему на компьютере и заменяют основные ее функции, чтобы скрыть свое собственное присутствие и действия, которые предпринимает злоумышленник на зараженном компьютере.

Прочие опасные программы, программы, созданные для организации атак на удаленные серверы, взлома других компьютеров, а также являющиеся частью среды разработки вредоносного программного обеспечения. К таким программам относятся хакерские утилиты (Hack Tools), конструкторы вирусов, сканеры уязвимостей, программы для взлома паролей, прочие виды программ для взлома сетевых ресурсов или проникновения в атакуемую систему.

Обнаружение и блокирование данных видов угроз антивирусом Касперского возможно с помощью двух методов:

• 1) реактивного — метода, основанного на поиске вредоносных объектов с помощью постоянно обновляемых баз приложения. Для реализации данного метода необходимо хотя бы одно заражение, чтобы добавить в базы и распространить обновление баз;
• 2) проактивного — метода, в отличие от реактивной защиты, строящегося на анализе не кода объекта, а его поведения в системе. Этот метод нацелен на обнаружение новых угроз, информации о которых еще нет в базах.

Применение обоих методов в антивирусе Касперского обеспечивает комплексную защиту компьютера от известных, а также новых угроз.

3. Признаки заражения Есть ряд признаков, свидетельствующих о заражении компьютера или АИС. Если заметно, что с компьютером происходят «странные» вещи, а именно:

• · на экран выводятся непредусмотренные сообщения, изображения либо воспроизводятся непредусмотренные звуковые сигналы;
• · неожиданно открывается и закрывается лоток CD/DVD-ROMустройства;
• · произвольно на компьютере запускаются какие-либо программы:
• · на экран выводятся предупреждения о попытке какой-либо из программ компьютера выйти в Интернет, хотя вы никак не инициировали такое его поведение, то с большой степенью вероятности можно предположить, что компьютер поражен вирусом.

Существуют некоторые характерные признаки поражения вирусом через электронную почту:

• · другие пользователи АИС информируют об электронных сообщениях от вас, которые вы не отправляли;
• · в электронном почтовом ящике находится большое количество сообщении без обратного адреса и заголовка.

Следует отметить, что не всегда такие признаки вызываются присутствием вирусов. Иногда они могут быть следствием других причин. Например, в случае с электронной почтой зараженные сообщения могут рассылаться с вашим обратным адресом, но нс с вашего компьютера.

Косвенными признаками заражения компьютера являются следующие:

• · частые зависания и сбои в работе;
• · медленная работа при запуске программ;
• · невозможность загрузки операционной системы;
• · исчезновение файлов и каталогов или искажение их содержимого:
• · частое обращение к жесткому диску (часто мигает лампочка на системном блоке);
• · веб-браузер. например Microsoft Internet Explorer, «зависает» или ведет себя неожиданным образом (например, окно программы невозможно закрыть).

В 90% случаев наличие косвенных признаков вызвано сбоем в аппаратном или программном обеспечении. Несмотря на то что подобные симптомы с малой вероятностью свидетельствуют о заражении, при их появлении рекомендуется провести полную проверку компьютера или АИС.

4. Проактивная защита от вредоносных программ Антивирус Касперского защищает не только от известных угроз, но и от новых, информация о которых отсутствует в базах приложения. Это обеспечивает специально разработанный компонент — проактивная защита.

Необходимость в проактивной защите назрела с тех пор. как скорость распространения вредоносных программ стала превышать скорость обновления антивирусной защиты, способной обезвредить эти угрозы. Реактивные технологии, на которых построена антивирусная защита, требуют как минимум одного фактического заражения новой угрозой, время на анализ вредоносного кода, на добавление его в базы приложения и на обновление тих баз на компьютерах пользователей. За это время новая угроза может нанести огромный ущерб.

Превентивные технологии, на которых построена проактивная защита антивируса Касперского, позволяют избежать потери времени и обезвредить новую угрозу еще до того как она нанесет вред вашему компьютеру. За счет чего это достигается? В отличие от реактивных технологий, где анализ выполняется на основании записей баз приложений, превентивные технологии распознают новую угрозу на вашем компьютере по последовательности действии, выполняемых некоторой программой. В поставку программы включен набор критериев, позволяющих определять, насколько активность той или иной программы опасна. Если в результате анализа активности последовательность действий какой-либо программы вызывает подозрение, антивирус Касперского применяет действие, заданное правилом для активности подобного рода.

Опасная активность определяется по совокупности действий программы. Например, при обнаружении таких действий, как самокопирование некоторой программы на сетевые ресурсы, в каталог автозапуска, системный реестр, а также последующая рассылка копий, можно с большой долей вероятности предположить, что это программа — червь. К опасным действиям также относятся:

• · изменения файловой системы:
• · встраивание модулей в другие процессы:
• · скрытие процессов в системе;
• · изменение определенных ключей системного реестра Microsoil Windows.
• · Все опасные операции отслеживаются и блокируются проактивной защитой. В процессе работы проактивная защита использует набор правил, включенных в поставку программы, а также сформированных пользователем при работе с приложением. Правило это набор критериев, определяющих совокупность подозрительных действий и реакцию антивируса Касперского на них. Отдельные правила предусмотрены для активности приложений, контроля изменений системного реестра и запускаемых па компьютере программ. При этом можно изменять правила по своему усмотрению. добавляя. удаляя или изменяя их. Правила могут быть запрещающими или разрешающими.

Рассмотрим алгоритм работы проактивной защиты. Сразу после запуска компьютера проактивная защита анализирует следующее.

Действия каждого запускаемого на компьютере приложения. История выполняемых действий и их последовательность фиксируется и сравнивается с последовательностью, характерной дня опасной активности (база видов опасной активности включена в поставку антивируса Касперского и обновляется вместе с базами приложения).

Целостность программных модулей, установленных на компьютере приложений, что позволяет избежать подмены модулей приложения встраивания в них вредоносного кода.

Каждую попытку изменения системного реестра (удаление, добавление ключей системного реестра, ввод значений для ключей в недопустимом формате, препятствующем их просмотру и редактированию и т. д.).

Анализ производится на основании разрешающих и запрещающих правил проактивной защиты. В результате анализа возможны следующие варианты поведения:

• · если активность удовлетворяет условиям разрешающего правила проактивной защиты либо не подпадает ни под одно запрещающее правимо, она не блокируется:
• · если активность описана в запрещающем правиле, дальнейшая последовательность действий компонента соответствует инструкциям, указанным в правиле. Обычно такая активность блокируется. На экран выводится уведомление, где указывается приложение, тин его активности, история выполненных действий. Необходимо самостоятельно принять решение, запретить или разрешить такую активность. Можно создать правило для такой активности и отменить выполненные действия в системе.

В том случае, если при появлении уведомления проактивной защиты пользователь не производит никаких действий, через некоторое время приложение применяет действие по умолчанию, рекомендуемое для данной угрозы. Рекомендуемое действие может быть различным для разных типов угроз.

Вердикты проактивной защиты. Необходимо обратить внимание, что не все вердикты должны однозначно восприниматься как угроза. Некоторые из этих операций являются нормальным поведением приложений, выполняющихся на компьютере, либо реакцией операционной системы на работу данных приложений. Однако в некоторых случаях эти же операции могут быть вызваны деятельностью злоумышленников либо вредоносных программ.

Вердикты, опасность которых очень высока, выделены по тексту раздела красным цветом. Вердикты, которые не всегда свидетельствуют об угрозе, отмечены черным цветом.

Переполнение буфера (Stack overflow) — одна из самых широко распространенных в настоящее время технологий получения несанкционированного доступа к системе.

Суть уязвимости заключается в следующем: для работы программы обычно необходим стек структура в памяти, в которую можно помещать промежуточные значения и доставать их оттуда в обратном порядке. Когда программа вызывает процедуру (подпрограмму). она помещает адрес возврата в стек, в результате чего процедура знает, куда возвращать управление после того, как она завершится. Проблема переполнения стека заключается в том, что в стек передается блок данных, превышающий его объем. Лишние данные записываются как раз в ту часть стека, которая предназначена для корректного возврата из процедуры. Таким образом, переполнение изменяет обычный ход выполнения программы и вместо корректного возврата к ее дальнейшему выполнению происходит переход по адресу, который, благодаря переполнению стека, был перезаписан в командном указателе.

Для вызова переполнения стека злоумышленники используют эксплойты (от англ. exploit — использовать в своих целях) — это программы, содержащие машинные инструкции, исполняемые процессором. Адрес, по которому перейдет процессор в результате переполнения стека, будет указывать на эти инструкции.

Вероятность переполнения стека при работе обычных программ в штатном режиме крайне мала. Обнаружение факта переполнения стека с большой вероятностью означает попытку использования этой уязвимости в злонамеренных целях.

Выполнение данных (Dala execution). Эта технология использует ошибки в программном обеспечении, установленном на компьютере или АИС. Суть используемых ошибок — замещение корректной информации данными, предоставленными вредоносным объектом, в результате чего они неправильно обрабатываются. Самый распространенный объект атаки с использованием Data execution — это браузеры, многие из которых во время работы с веб-страницами, изображениями и мультимедиа-объектами не выполняют необходимых проверок, и внедрившийся в объекты на веб-страницах вредоносный код может получить управление.

Компания Microsoft для защиты исполняемого кода в Microsoft Windows использует решение DEP (Data Execution Prevention предотвращение выполнения данных). Решение входит в пакеты обновления для Microsoft Windows ХР и Microsoft Windows Server 2003.

Скрытая установка (Hidden Install) это процесс установки вредоносной программы или запуск исполняемых файлов без уведомления об этом пользователя. Процесс скрытой установки можно обнаружить обычными средствами (например, диспетчером задач Microsoft Windows), но, поскольку во время установки вредоносной программы на экране нет стандартных окон установки, пользователю вряд ли придет в голову отслеживать процессы, происходящие в системе.

Скрытый процесс (Hidden Object) — это процесс, который нельзя обнаружить обычными средствами (диспетчер задач Microsoft Windows, Process Explorer и др.). Руткит (от англ. " root kit" - набор для получения прав суперпользователя «root») — программа или набор программ для скрытого контроля взломанной системы. В контексте операционной системы Microsoft Windows под термином «руткит» принято подразумевать программу, которая внедряется в систему, перехватывает и искажает системные сообщения, содержащие информацию о запущенных в ней процессах, а также о содержимом папок на диске. Другими словами, руткит работает аналогично серверу, пропуская через себя одну информацию и не пропуская или искажая другую. Кроме того, как правило, руткит может маскировать присутствие в системе любых описанных в его конфигурации процессов, каталогов и файлов на диске, ключей в реестре. Многие руткнты устанавливают в систему свои драйверы и службы, которые, естественно, являются «невидимыми» как для средств управления системой, таких как диспетчер задач или Process Explorer, так и для антивирусных программ.

Контроль удаленного доступа (Root Shell). Суть уязвимости заключается в запуске командной строки с перенаправленным вводом/ выводом (обычно в сеть), что. как правило, используется для получения удаленного доступа к компьютеру. Вредоносный объект пытается получить доступ к командной строке на компьютере-жертве, из которой будут исполняться дальнейшие команды. Обычно доступ бывает получен в результате удаленной атаки и запуска скрипта, использующего данную уязвимость. Скрипт запускает интерпретатор командной строки с компьютера, подключенный по ТСР-соединению. В результате злоумышленник может удаленно управлять системой.

Запуск браузера с параметрами (Starting Internet Browser).

Контроль запуска браузера с параметрами позволяет перехватить скрытый запуск браузера с переданными ему данными, которые потом могут быть использованы злоумышленниками. Обычно запуск браузера с параметрами (содержащими, к примеру, пользовательские пароли) происходит каждый раз, когда пользователь «кликает» по ссылке о письме в почтовой программе, что не является подозрительным действием. Если внести почтовую программу в доверенную зону, т.с. если разрешить запуск браузера с параметрами только определенным программам, то в остальных случаях, когда осуществляется передача данных через браузер от лица злоумышленника, а не пользователя компьютера, данное действие может расцениваться как подозрительное.

Обнаружение необычного поведения (Strange Behaviour). Данный аспект подразумевает под собой обнаружение не опасного или подозрительного поведения какого-либо конкретного процесса, а изменение состояния самой операционной системы, например прямой доступ к памяти.

Обнаружение опасного поведения (Generic-детекты). К данной группе распознавателей вредоносных действий относятся Trojan, generic, Wbrm. generic и Worm. P2P.generic — довольно сложные алгоритмы распознавания опасного поведения. Вердикт о том, что какой-либо процесс является, скорее всего, неизвестным вредоносным процессом, принимается на основе анализа совокупности действий, а не какого-то одного или двух признаков. Вердикт Generic не присваивается при первой же попытке совершения подозрительного действия. С каждым совершаемым подозрительным действием «рейтинг подозрительности» процесса растет. Как только он достигает критической отметки, проактивная защита срабатывает. Этим достигается крайне низкий уровень ложных срабатываний. Вероятность того, что «хорошая» программа проявляем сразу несколько аспектов вредоносности, крайне мала.

Действия, влияющие на рейтинг подозрительности:

• · действия, характерные для заражения и укрепления вредоносного объекта в системе:
• · непосредственно вредоносные действия;
• · действия, характерные для распространения (размножения) вредоносного объекта.

Изменение исполняемого файла (Application Changed). Данное событие означает, что исполняемый файл приложения был изменен с момента предыдущего запуска. Следует помнить, что его изменение могло произойти в результате как внедрения в приложение вредоносного кода, так и обычного обновления программы.

Нарушение целостности (Intergity Violation). Нарушение целостности заключается в том, что с момента предыдущего запуска один или несколько модулей контролируемого приложения могли быть изменены. Помимо изменений в результате внедрения в приложение вредоносного кода, могли произойти изменения и из-за обновления программы (например, библиотеки, используемые браузером Microsoft Internet Explorer, могут измениться вследствие обновления Microsoft Windows).

Контроль запуска приложений (Critical Application). Модуль контроля целостности приложений обладает дополнительной возможностью контролем запуска приложений. В этом режиме антивирус Касперского выдает предупреждение всякий раз, когда запускается указанное пользователем приложение. Предупреждение появляется только в том случае, если для контролируемого приложения настроено правило Запуск: Запросить действие. По умолчанию этот режим отключен.

Запуск дочернего процесса (Running as child). Существует ряд вредоносных программ, которые используют известные upoipavмы для организации утечки данных или загрузки вредоносного кода из Интернета. Для этого известная программа, для которой правилами сетевого экрана и других средств защиты разрешен доступ в Интернет (например, веб-браузер), запускается вредоносной программой. Предупреждение появляется только в том случае, если для контролируемого приложения настроено правило Запуск процесса как дочернего: Запросить действие. Поскольку запуск одних программ другими в качестве дочерних процессов — это достаточно распространенное явление, по умолчанию показ предупреждений о таких событиях отключен, однако эти события протоколируются в отчетах проактивной защиты.

Изменение файла hosts (Hosts file modification). Файл hosts — эго одни из важных системных файлов операционной системы Microsoft Windows. Он предназначен для перенаправлення доступа к интернет-ресурсам за счет преобразования URL-адресов в IР-адреса не на DNS-серверах, а непосредственно на локальном компьютере. Файл hosts является обычным текстовым файлом, каждая срока которого определяет соответствие символьного имени (URL) сервера и его IP-адреса. Вредоносные программы часто используют данный файл для переопределения адресов серверов обновлений антивирусных приложений, чтобы заблокировать возможность обновления и предотвратить обнаружение вредоносной программы сигнатурным методом, а также для других целей.

Внедрение в процесс (Invader / Loader). Существует множество разновидностей вредоносных программ, которые маскируются под исполняемые файлы, библиотеки или модули расширения известных программ и внедряются в стандартные процессы. Таким образом. можно, например, организовать утечку данных с компьютера пользователя. Сетевой трафик, инициированный вредоносным кодом будет свободно пропускаться сетевыми экранами, поскольку, с точки зрения сетевого экрана, этот трафик принадлежит приложению, которому разрешен доступ в Интернет.

Внедрение в другие процессы широко используется троянскими программами. Однако такая активность характерна также для некоторых безобидных программ, пакетов обновлений и программ установки. Следует разрешать этот вид активности только в том случае, если вы уверены, что внедряемая программа безобидна.

Обнаружение клавиатурных перехватчиков (Keylogger). Клавиатурный перехватчик — это программа, перехватывающая все нажатия клавиш на клавиатуре. Вредоносная программа такого типа может отправлять информацию, набираемую на клавиатуре (логины, пароли, номера кредитных карт) злоумышленнику. Однако перехват нажатий клавиш может использоваться и обычными программами. Часто перехват нажатий клавиш применяется для вызова функций программы из другого приложения с помощью «горячих клавиш» .

Мониторинг системного реестра (Registry access). Контроль системного реестра (монитор реестра) отслеживает изменения ключей реестра. Вредоносные программы модифицируют реестр с целью регистрации себя для автоматического запуска при старте операционной системы, подмены стартовой страницы Microsoft Internet Еxplorer и других деструктивных действий. Однако следует помнить, что доступ к системному реестру может осуществляться и обычными приложениями. Модуль содержит предустановленный список из шести групп критических ключей. Кроме того, пользователь может добавить свои группы ключей и настроить правила доступа к ним для различных приложений.

Контроль подозрительных значений в реестре (Registry strange). Модуль позволяет перехватить попытку создания «скрытых» ключей в реестре, не отображаемых обычными программами (типа regedit). Создаются ключи с некорректными именами, чтобы редактор реестра не смог отобразить эти значения, в результате чего диагностика на присутствие в системе вредоносного программного обеспечения затрудняется.

Обнаружение доставки вредоносных программ (Trojan Downloadеr). Trojan Downloader — это программа, основным назначением которой является скрытая несанкционированная загрузка программ много обеспечения из Интернета. Наиболее известным источником Trojan Downloader являются хакерские сайты. Сама по себе Trojan Downloader не несет прямой угрозы для компьютера — она опасна именно тем, что производит неконтролируемую загрузку и запуск программного обеспечения. Trojan Downloader применяется в основном для загрузки и запуска вирусов, троянских и шпионских программ.