Co zrobić jeśli komputer jest zainfekowany?
Niestety czasami może się zdażyć, że program antywirusowy zainstalowany na komputerze
z najnowszymi aktualizacjami nie jest w stanie wykryc nowego wirusa, robaka lub trojana.
Prawda jest taka, że żadne oprogramowanie antywirusowe nie gwarantuje 100% bezpieczeństwa.
Jednak użytkownicy samodzielnie są zazwyczaj w stanie wykryć, że ich komputer został zainfekowany. W drodze wyjątku, niektóre trojany informują bezpośrednio użytkownika, że ich komputer został zainfekowany – mogą np. szyfrować pliki osobiste tak aby domagać się zapłaty za narzędzia deszyfrujące. Większość dzisiejszych trojanów instaluje się potajemnie w systemie, często wykorzystuje specjalne metody maskowania i również potajemnie wykonują swoje zadania. Tak więc fakt zainfekowania może zostać wykryty tylko przez pośrednie dowody.
Objawy zainfekowania
Wzrost ruchu wychodzącego do sieci Internet jest ogólną wskazówką infekcji, dotoczy to zarówno pojedyńczych komputerów jak i sieci firmowych. Jeśli sami nic nie wysyłamy lub nasz komputer nawiązał połączenia z jakimś nieznanym hostem jest to najprawdopodobniej działanie szkodliwego oprogramowania.
polecenie netstat w systemie windows z opcją -on wyświetla dla każdego połączenia skojarzony z nim identyfikator procesu będącego jego właścicielem.
Komunikaty od zapory sieciowej (firewall) „nieznana aplikacja próbuje nawiązać” połączeniewychodzące może również świadczyć o infekcji. Liczne okna reklamowe pojawiające się podczas odwiedzania witryn internetowych może sygnalizować, że adware jest obecny w systemie. Jeśli komputer często się zawiesza może to też być związane z aktywnością szkodliwego oprgoramowania.
Co zrobić?
Na początek upewnijmy się, że baza danych antywirusa jest aktualna i przeskanujmy komputer. Jeśli to nie pomoże, możemy skorzystać z oprogramowania antywirusowego innych producentów. Wielu producentów rozwiązań antywirusowych oferują darmowe wersje swoich produktow do badań lub jednorazowego skanowania. W przypadku gdy inny program wykryje wirusa lub trojana wyślij kopię zainfekowanego pliku do producenta antywirusa, które nie udało się wykryć. Pomoże to szybciej rozwijać ochronę przed tymi zagrożeniami i chronić innych użytkowników.
W przypadku gdy programy antywirusowe nie wykryją żadnego szkodliwego oprogramowania zaleca się odłączyć komputer od Internetu lub sieci lokalnej zanim zaczniemy szukać zainfekowanego pliku. Nie należy korzystać z sieci chyba, że w krytycznej potrzebie. Nie należy używać płatności internetowych lub usług bankowości internetowej. Unikać podawania jakichkolwiek danych osobowych lub poufnych, nie używaj żadnych usług internetowych, które wymagają twój login i hasło.
Jak odszukac zainfekowany plik?
Wykrycie wirusa lub trojana w systemie w niektórych przypadkach może być złożonym problemem wymagającym kwalifikacje techniczne, jednak w innych przypadkach, może być to całkiem proste zadanie. Wszystko zależy od stopnia złozności szkodliwego oprogramowania i metody wykorzystywane do ukrycia złośliwego kodu w systemie. W trudnych przypadkach nie obejdzie się bez użycia specjalnych narzędzi lub uruchomienia dysku w osobnym systemie np z botowalnego CD. Jednakże jeśli jest to prosty robak lub trojan można będzie go wyśledzić za pomoca dość prostych metod
Zdecydowana wiekszość robaków i trojanów musi przejąć kontrolę po uruchomieniu systemu. Istnieją dwa podstawowe sposoby aby to zrobić:
1. Sciezka do zainfekowanego pliku jest zapisywana w kluczach rejestru Windows odpowiedzialnego za automatyczne uruchamianie
2. Zainfekowany plik jest kopiowany do folderu autorun w systemie Windows
Najczęstrze foldery autorun w WinXP
%Documents and Settings%\%user name%\Start Menu\Programs\Startup\
%Documents and Settings%\All Users\Start Menu\Programs\Startup\
Istnieje spora liczba kluczy w rejestrze systemowym do automatycznego uruchamiania. Najpopularniejsze klucze to Run, RunService, RunOnce, RunServiceOnce, które znajdują się w folderach rejestru:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\]
W systemie Windows katalog system i system32 są najbardziej dogodnymi miejscami gdzie zostają umieszczone robaki i trojany. Wynika to z dwóch faktów: Katalogi te nie wyświetlają się domyślnie przez Explorer oraz jest tam dużo innych
plików systemowych, które są całkowicie nieznane dla niedoświadczonych użytkowników. Nawet doświadczony użytkownik będzie prawdopodobnie miał problem ze stwierdzeniem czy plik o nazwie winkrnl386.exe jest częścia systemu operacyjnego czy nie.
Zaleca się użyć dowolnego menadżera plików, który umożliwi posortowanie po dacie utworzenia lub modyfikowania plików znajdujących się w katalogu system i system32. Po sortowaniu wyświetlone zostaną w górnej częsci menadżera pliki ostatnio utworzone/zmodyfikowane. Pliki te na pewno będą interesujące dla badacza. Jeśli któryś z plików są identyczne jak te, które występują w kluczach autouruchomienia może to być pierwszy znak
Zaawansowani użytkownicy powinni sprawdzić nawiązane połączenia za pomocą programu netstat w systemie windows. Zaleca się również skonfigurowanie zapory sieciowej i zablokowaniu połączeń wychodzących w taki sposób by wszystkie połączenia zostały zasyngalizowane. Powinniśmy sprawdzić listę aktywnych procesów z wykorzystaniem dedykowanych narzędzi (np. gmer) z zaawansowanymi funkcjami niż te standardowe narzędzia systemu Windows – wiele trojanów umie skutecznie uniknąć wykrycia przez standardowe narzędzia Windows.
[źródło: interblock.pl]
W przypadku chęci przyłączenia się do sieci lub w przypadkach ewentualnych niejasności lub problemów, - prosimy o kontakt! Zapraszamy także na forum GONET'u, które dostępne jest pod nowym adresem