Wirus! - I co teraz?

Ryzyko czyha wszędzie. Każdy komputer jest wystawiony na niebezpieczeństwo. Najwięcej zagrożeń czyha w Internecie. Szkodliwy kod dostaje się do pecetów przez luki w zabezpieczeniach systemu operacyjnego, przeglądarki internetowej i innych aplikacji. Bardzo często udaje im się przemknąć do komputera niezauważenie przez użytkownika. To mają na celu. Przecież system ma działać bez zakłóceń, aby intruz mógł w spokoju wypełniać swą haniebną misję za plecami użytkownika. Może np. podłączyć zainfekowany komputer do botnetu i wykorzystywać do atakowania serwerów i/lub wysyłania niechcianej poczty.

Przeciwdziałanie zagrożeniom. Zintegrowane pakiety zabezpieczające i programy antywirusowe próbują chronić system i zapobiegać infekcjom. Jednak jest to możliwe tylko wtedy, gdy dobrze znają atakującego wirusa, trojana bądź robaka, lub przynajmniej ich funkcje heurystyczne są w stanie wykryć potencjalny szkodliwy kod w podejrzanym pliku.

Sposób na bezpiecznego peceta. Nie ufaj ślepo programom zabezpieczającym. Niektóre wirusy maskują się niewiarygodnie skutecznie, innym udaje się unieszkodliwić oprogramowanie antywirusowe. Dlatego bądź podejrzliwy i obserwuj uważnie, co dzieje się w twoim systemie. Podpowiemy ci, jak w 12 etapach wykryć szkodnika, usunąć go i zabezpieczyć swój komputer.

Najprościej odkryjesz nieproszonych gości w swoim systemie, stosując aktualną wersję skanera antywirusowego. Procedurę tę powinien poprzedzać test, czy skaner ten nie został unieruchomiony przez złośliwy kod. Oprócz tego pokażemy ci metody rozpoznawania niepożądanych procesów i bram, przez które intruzy dostają się do komputera ofiary.


Etap 1 - Korzystaj z aktualnego skanera

W walce z intruzami - Avira AntiVir Personal zapewnia skuteczną ochronę przed wirusami, robakami i trojanami, a przy tym jest bezpłatny do użytku prywatnego.Pierwszą czynnością, którą należy wykonać w razie podejrzenia infekcji, to analiza dysku za pomocą skanera antywirusowego. Jednak nie przeceniaj możliwości tego narzędzi tego typu. Potrafią wykrywać tylko znane sobie szkodniki, więc koniecznie trzeba wyposażać je regularnie w aktualne bazy sygnatur. Bardzo użyteczny okazuje się Avira AntiVir Personal (dostępny pod tym adresem), który jest bezpłatny do użytku prywatnego. Co prawda, w odróżnieniu od poprzednich najnowsza wersja zajmuje się również modułami reklamowymi (adware) i szpiegującymi (spyware), jednak mimo warto stosować dodatkowe narzędzia takie jak Windows Defender (dostępny pod tym adresem) i narzędzie Malicious Software Removal Tool (dostępne pod tym adresem). Oba wymienione programy wyspecjalizowały się w usuwaniu określonych robaków i trojanów.

Początkującym użytkownikom zalecamy nabycie komercyjnego pakietu, bo dysponują strażnikiem poczty i komunikatora internetowego. Wspomniany AntiVir działa w tle i nie obciąża za bardzo komputera. Skaner antywirusowy usadawia się w obszarze powiadomień. Otwarty parasol sygnalizuje włączoną ochronę. Program uderzy na alarm np. gdy użytkownik pobierze z Internetu zarażony plik. AntiVir aktualizuje swoją bazę samoczynnie, gdy jest nawiązane połączenie internetowe.

Pełna analiza. Po zainstalowaniu skanera antywirusowego, a ponadto w pewnych odstępach czasu zaleca się gruntownie sprawdzać wszystkie dyski. Kliknij ikonę AntiVira prawym przyciskiem myszy i wskaż polecenie Start AntiVir. W oknie programu kliknij Local protection | Scanner, a następnie Complete system scan w drzewie po prawej stronie. Następnie kliknij ikonę lupy. Wówczas AntiVir sprawdzi pod kątem wirusów wszystkie pliki na wszystkich dyskach, sektor startowy i rejestr.


Etap 2 - Sprawdź działanie skanera

Aby przekonać się, czy skaner antywirusowy działa bez zarzutu, pobierz specjalny plik testowy. Znajduje się pod odnośnikiem Anti-Malware Testfile w witrynie www.eicar.org (European Institute for Computer Antivirus Research). Plik ten jest dostępny w kilku wariantach (np. w postaci dokumentu TXT lub archiwum ZIP). Każdy z nich zawiera wiersz

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Egzamin na piątkę - gdy założysz lub przywołasz plik z testową sygnaturą Eicar, strażnik antywirusowy musi natychmiast wszcząć alarm. W przeciwnym razie nie można na nim polegać.Na widok tego pliku każdy skaner antywirusowy uderzy na alarm. Ale bez obawy - zawiera tylko niegroźny kod, który nie wyrządzi żadnych szkód w systemie.

Wspomniany wiersz możesz równie dobrze przepisać w dowolnym edytorze tekstowym i zapisać go pod nazwą Eicar.com. Zwróć uwagę na to, że trzeci znak to wielka litera o (a nie zero). Strażnik powinien zgłosić się już podczas próby zapisania powyższego pliku, jednak najpóźniej, gdy przywołasz go dwukrotnym kliknięciem. Powinien także alarmować w trakcie pobierania pliku COM z witryny www.eicar.com.

Tymczasem podczas pobierania pliku ZIP z reguły nie dzieje się nic (zależy to od konfiguracji skanera). Niemniej jednak powinien natychmiast wykryć szkodnika, gdy zainicjujesz rozpakowywanie archiwum. W przeciwnym razie należy założyć, że program antywirusowy został zablokowany przez jakiegoś szkodnika.

Wówczas ponowne zainstalowanie oprogramowania antywirusowego okazuje się przeważnie bezskuteczne. W tej sytuacji trzeba przeskanować zasoby dyskowe z poziomu innego, zewnętrznego systemu (patrz etap 4) i usunąć znalezionego intruza (patrz etap 8).


Etap 3 - Konfigurowanie skanera

Wszystkie programy antywirusowe zapewniają już w swojej podstawowej konfiguracji wystarczającą ochronę. Modyfikując ich ustawienia, przeważnie zmniejszysz nieco poziom bezpieczeństwa. Jednak możesz w ten sposób wyeliminować fałszywe alarmy i skrócić czas skanowania dysków.

W programie AntiVir dostaniesz się do tych ustawień poprzez menu Extras | Configuration. Domyślnie są wyświetlane tylko nieliczne opcje. Dopiero gdy zaznaczysz pole wyboru Expert mode, dostaniesz się do naprawdę interesujących możliwości. Niektórych ustawień dokonuje się oddzielnie dla skanera i strażnika. Te pierwsze dotyczą sprawdzania zasobów dyskowych inicjowanego ręcznie bądź automatycznie, drugie zaś nieustannego monitorowania systemu w tle.

Przyspieszanie skanowania. W menu Scanner | Scan | Archives możesz np. wyłączyć przeszukiwanie archiwów. Jeśli przechowujesz na dysku wiele plików ZIP, RAR, JAR itp., znacznie skrócisz w ten sposób czas skanowania. Przed sprawdzeniem AntiVir musi wyodrębnić zawartość z archiwów. Tymczasem nie zmniejszysz poziomu bezpieczeństwa, bo strażnik i tak zbada pliki w trakcie rozpakowywania archiwum.

Funkcje heurystyczne. Ustawienia heurystyki kryją się w menu Scanner | Scan | Heuristic i Guard | Scan | Heuristic. Jest ona domyślnie włączona, a poziom wykrywania jest ustawiony na średni (Medium detection level w rubryce Advanced Heuristic Analysis and Detection). Za pomocą tej funkcji skaner próbuje wykrywać określone wzorce w plikach, które mogłyby wskazywać na szkodliwy kod. Wzorów tych nie ma w bazie sygnatur. Mogą to być np. polecenia zakończania procesów lub rozszyfrowywania haseł. Jeśli w twoim systemie występują często fałszywe alarmy, powinieneś wyłączyć heurystykę lub przynajmniej ustawić niższy poziom Low detection level.

Wykrywanie rootkitów. Rootkity to procesy niewidzialne dla użytkownika, które mogą wykorzystywać komputer do niecnych celów - np. do wysyłania spamu lub przeprowadzania skomasowanych ataków na określone serwery internetowe. Szkodliwy kod dostaje się do systemu przeważnie poprzez wirusa lub robaka. Niekiedy zostaje zainstalowany niepostrzeżenie wraz ze złośliwym oprogramowaniem. Przy uaktywnionym profilu Complete system scan lub Rootkit search AntiVir przeczesuje system w poszukiwaniu zamaskowanych procesów. W menu Scanner | Scan okna konfiguracyjnego możesz zaznaczyć pole wyboru Search for Rootkits before scan. Wówczas AntiVir zastosuje nie aż tak gruntowną, za to znacznie szybszą metodę wykrywania rootkitów w katalogu systemu Windows.


Etap 4 - Fałszywy czy prawdziwy alarm?

Konfigurowanie szczegółów - w wypadku częstych fałszywych alarmów zmniejsz poziom wykrywania w konfiguracji heurystyki.Skanując zasoby dyskowe, program antywirusowy porównuje zawartość plików z określonymi wzorcami w swojej bazie sygnatur. Przy włączonej heurystyce (patrz etap 3) szuka ponadto kodu, który mogłyby stanowić zagrożenie dla systemu. Obie metody nie zapewniają jednak stuprocentowej dokładności wykrywania. Wraz z rosnącym rozmiarem bazy sygnatur wzrasta ryzyko, że podejrzane wzorce mogą występować w nieszkodliwych plikach, a wówczas skaner będzie mylnie zgłaszał znalezienie intruza. Powinieneś też mieć na uwadze, że w wypadku określonych programów reakcja strażnika jest bardzo prawdopodobna. Dotyczy to przede wszystkim aplikacji służących do łamania haseł czy do rejestrowania znaków wprowadzanych klawiaturą (tzw. key-loggery).

Skanery online. Gdy skaner antywirusowy uderzy na alarm, warto zasięgnąć opinii innego eksperta. Doskonale nadaje się do tego celu skaner dostępny w Internecie. Godny polecenia jest m.in. serwis www.mks.com.pl/skaner/ (działa tylko w Internet Explorerze) i www.infectedornot.com (działa w Internet Explorerze i Firefoksie). Jeśli również ten skaner zgłosi wirusa, prawdopodobieństwo zakażenia jest bardzo wysokie.

Skanery zewnętrzne. Jeśli nie ufasz rezultatom swojego oprogramowania antywirusowego lub zostało ono zablokowane przez złośliwego intruza, powinieneś zbadać swoje zasoby z zewnętrznego systemu - np. uruchomionego z płyty CD. Możesz to zrobić na przykład za pomocą pakietu Trinity Rescue Kit (dostępny pod tym adresem). Pobrany plik obrazu należy nagrać na płytę CD, a następnie uruchomić z niej system i zbadać dyski pod kątem występowania wirusów.


Etap 5 - Zbadaj aktywne procesyPcwProcess - nasza przeglądarka procesów sortuje je wg kolejności uruchomienia. Domyślnie widać ścieżkę pliku. Więcej informacji uzyskasz, klikając jeden z przycisków.

Skanery antywirusowe nie są w stanie wykryć wszystkich potencjalnych szkodliwych lub niepożądanych programów w twoim pececie. Jeśli masz wrażenie, że w twoim pececie działa więcej aplikacji i procesów, niż powinno, możesz to sprawdzić za pomocą skryptu pcwProcess (na płycie DVD dołączonej do numeru). Narzędzie to wyświetla wszystkie aktywne zadania w przejrzystej tabeli. Aby dowiedzieć się, jakie procesy kryją się za takimi nazwami jak Srss.exe, Lsass.exe czy Alg.exe, wystarczy kliknąć przycisk Google. Użytkownicy władający językiem niemieckim mogą skorzystać z przycisku PC-Welt. Wówczas dostaną się do bazy procesów, skąd zaczerpną żądane informacje. Ponadto możesz kliknąć przycisk Właściwości, a następnie przeskoczyć na kartę Wersja. Jeśli producent umieścił w pliku informacje, znajdziesz w tym oknie m.in. zwięzły opis programu.


Etap 6 - Zidentyfikuj intruza

Pojedynczego szkodnika można usunąć niewielkim nakładem czasu i pracy. Jeśli jednak wraz z nim dostał się do systemu złośliwy kod, który pootwierał tylne wejścia, pozbycie się jego może okazać się nie lada wysiłkiem. Poszukiwania zmian, których intruz dokonał w systemie, będą trwały przypuszczalnie dłużej niż ponowne zainstalowanie systemu operacyjnego i wszystkich aplikacji.

Gdy skaner zgłosi wykrycie wirusa, powinieneś najpierw dowiedzieć się, z jakim typem infekcji masz do czynienia, i jakie szkody może wyrządzić w twoim systemie. Wiele wirusów i robaków nie poprzestają na przemyceniu podejrzanego pliku do systemu ofiary. Ponadto modyfikują zawartość rejestru, manipulują ważne pliki systemowe i wykonują inne czynności.

Zagrożenia pod kontrolą - producenci zabezpieczeń (tu: Symantec) na bieżąco informują o nowych niebezpieczeństwach.W razie wykrycia intruza AntiVir podaje jego nazwę w postaci hiperłącza. Oprócz tego wyświetla informację, na podstawie czego zaklasyfikował kod jako niebezpieczny - metodami heurystycznymi czy poprzez porównanie z sygnaturami w swojej bazie. Bardziej szczegółowe informacje uzyskasz, klikając wspomniany odnośnik. W ten sposób dowiesz się, czy wirus rozprzestrzenia się samodzielnie, czy manipuluje rejestr i pliki systemowe, a także czy jest wyposażony w mechanizmy destrukcyjne.

Większość producentów oprogramowania zabezpieczającego oferuje w swoich witrynach wzmianki o bieżących zagrożeniach. W niektórych wypadkach udostępniają bezpłatne narzędzia i instrukcje do usuwania określonych intruzów.


Etap 7 - Umieść w kwarantannie

Jeśli uzyskane informacje potwierdzą podejrzenie, że w systemie działa niepożądany program, natychmiast poddaj system kwarantannie. To samo powinieneś zrobić nawet w sytuacji, gdy nie ma śladu po szkodliwej aplikacji. Niektóre wirusy samoczynnie kończą działanie lub wręcz usuwają się z systemu, podczas gdy zainstalowana tylna furtka czeka niezauważona przez użytkownika na polecenia z zewnątrz.

Odłącz wszystkie połączenia sieciowe i internetowe, a także wszystkie napędy USB. Te ostatnie powinieneś przebadać później raz jeszcze za pomocą zewnętrznego skanera (patrz etap 4). Wszystkie czynności musisz wykonać w trybie offline. W przeciwnym razie agresor mógłby wykorzystać tylną furtkę lub natychmiast zaatakować niezałatany system tuż po jego ponownym zainstalowaniu.

Tworzenie kopii zapasowej. Teraz powinieneś zarchiwizować swoje zasoby na płytach DVD lub na dysku zewnętrznym. Nie kopiuj aplikacji, bo mogły zostać zarażone. Zapasowa kopia powinna zawierać tylko dane. Również te pliki mogły zostać zmodyfikowane przez wirusa, lecz z reguły nie stanowią ryzyka. Dopiero gdy odzyskasz zaufanie do swojego systemu, możesz nawiązywać nim połączenia internetowe.


Etap 8 - Wyeliminuj złoczyńcę

Jeśli podejrzewasz, że w wyniku zarażenia otworzono w twoim systemie tylną furtkę, nie możesz mieć do niego zaufania. Uznaj, że utraciłeś nad nim kontrolę. Musisz ocenić sytuację i podjąć decyzję, czy chcesz nadal pracować w zaatakowanym systemie, czy lepiej zainstalować go od nowa. Miej jednak na uwadze, że pierwsze z wymienionych rozwiązań może być niebezpieczne.

Jeżeli w momencie zarażenia nie pracowałeś w systemie jako administrator ani jako użytkownik o takowych uprawnieniach, szkody przeważnie nie są duże. Wówczas nie można było manipulować składników systemu, ani modyfikować ustawień rejestru, które obowiązują w całym systemie. A jeśli użytkownik o ograniczonych uprawnieniach tylko przywołał niebezpieczny załącznik pocztowy, jest nadzieja, że wystarczy usunąć zarażony plik.

Czy udało ci się zidentyfikować intruza? Dowiedz się z witryn producentów zabezpieczeń, czy szkodnik, z którym masz do czynienia, otwiera w systemie tylne furtki, a także czy pełni rolę nosiciela innych niebezpiecznych programów. Jeśli na pewno tak nie jest, zrestartuj system w trybie awaryjnym. Spróbuj usunąć zainfekowane pliki - ręcznie lub za pomocą programu antywirusowego (pod warunkiem, że działa w trybie awaryjnym). Jeżeli ci się to nie uda, bo szkodnik działa nadal, zamknij go w Windows 2000/XP z poziomu Menedżera zadań. Nie wystarczy usunąć jeden zarażony plik, gdy nie wiadomo, jak i kiedy doszło do zainfekowania systemu, i czy w międzyczasie ktoś nie wykorzystał otwartej furtki.

Uwaga! Niektóre skanery antywirusowe proponują usunąć zarażony plik. W wypadku plików znajdujących się w skrzynce odbiorczej poczty, nie powierzaj tego zadania programowi antywirusowemu. Zaryzykowałbyś w ten sposób utratę całej nadchodzącej korespondencji. Lepiej jest usunąć ręcznie treść listu lub załącznik bezpośrednio w programie pocztowym.


Etap 9 - Ostatnia deska ratunku

Gdy wszystkie opisane czynności nie przyniosą pożądanego rezultatu, pozostanie ci tylko ponowne zainstalowanie systemu Windows i wszystkich aplikacji. Jest to bardzo mozolne i czasochłonne, jednak w zaistniałej sytuacji to jedyne bezpieczne rozwiązanie. Zacznij od utworzenia zapasowej kopii ważnych danych (patrz etap 7). Uruchom program instalacyjny z płyty Windows i sformatuj wszystkie partycje, na których znajdują się pliki wykonywalne. Gdy po zainstalowaniu systemu po raz pierwszy nawiążesz połączenie internetowe, natychmiast zaktualizuj system za pomocą funkcji Windows Update.

Pozmieniaj wszystkie hasła, których używałeś w zainfekowanym komputerze. Dotyczy to nie tylko hasła dostępu do systemu Windows, lecz również hasła dostępu do poczty i serwisów internetowych.

Instalując aplikacje, korzystaj z najnowszych wersji. Pobierz je z bezpiecznych serwisów internetowych i sprawdź, czy są dostępne łaty lub aktualizacje.

Na koniec przywróć swoje dane (dokumenty tekstowe, zdjęcia itd.) z przygotowanej uprzednio kopii zapasowej. Zbadaj je skanerem antywirusowym. Wprawdzie pliki, które nie są wykonywalne, nie zarażą na nowo twojego komputera, jednak mogły być zmodyfikowane przez intruza. Szczególną ostrożność należy zachować w wypadku dokumentów PDF pobranych z Internetu, bo mogą one wykorzystywać luki w zabezpieczeniach Adobe Readera.


Etap 10 - Unikaj konta administratora

Teraz powinieneś podjąć działania prewencyjne, aby kolejna fala wirusów nie wdarła się do twojego systemu.

Windows XP. Jeśli korzystasz z tego systemu operacyjnego, nie powinieneś korzystać z konta administratora do codziennej pracy w systemie. Zamiast tego powinieneś logować się zawsze jako użytkownik ograniczonych uprawnieniach. Wówczas szkodniki będą miały znacznie mniejsze możliwości rozprzestrzeniania się. Konto administratora powinieneś używać tylko wtedy, gdy jest to nieuniknione. Aby sprawdzić, jakie prawa dostępu masz w danej chwili, spróbuj utworzyć nowy folder w obrębie folderu Windows. Jeśli nie uda ci się tego zrobić, wszystko w porządku. W przeciwnym razie masz zbyt wiele uprawnień, a uruchomiony przez ciebie program mógłby umieszczać nowe lub modyfikować pliki w katalogu Windows, przez co wyrządziłby szkody w systemie. W tej sytuacji przywołaj aplet Konta użytkowników w Panelu sterowania i przydziel swojemu kontu ograniczone uprawnienia. Pamiętaj jednak, że jest ci potrzebne dodatkowe konto z uprawnieniami administratora. W przeciwnym razie nie będziesz mógł instalować pewnych aplikacji ani zmieniać niektórych ustawień systemowych.

Windows Vista. W tym środowisku uprawnienia użytkownika są ograniczone domyślnie. Gdy wymagane są uprawnienia administratora, moduł Kontrola konta użytkownika ustawia je samodzielnie, prosząc użytkownika o zgodę.


Etap 11 - Korzystaj z bezpiecznego oprogramowania

Dzień w dzień specjaliści od zabezpieczeń odkrywają nowe szkodniki, które wykorzystują niedociągnięcia w aplikacjach i systemie operacyjnym. Agresorzy polegają na tym, że wielu użytkowników korzysta ze starego, mało bezpiecznego oprogramowania. W większości wypadków to nie nowe, lecz od dawna znane, a niezałatane luki w zabezpieczeniach służą do przemycania szkodliwego kodu.

Zdecydowana większość ataków jest skierowana przeciwko systemowi Windows i przeglądarce Internet Explorer. Dlatego jeśli to możliwe, warto zrezygnować z domyślnych programów takich jak Internet Explorer czy Outlook Express. Oprócz tego konieczne jest regularne aktualizowanie systemu i aplikacji. Windows potrafi aktualizować się automatycznie. Wystarczy włączyć tę funkcję w aplecie Aktualizacje automatyczne Panelu sterowania.

Większość programów nawiązujących połączenia internetowe zapewnia możliwość samodzielnego aktualizowania się. Warto z niej korzystać. Ponadto nie korzystaj z programów pozyskanych z podejrzanych źródeł. Pobieraj aplikacje tylko z oryginalnej witryny producenta lub z naszego serwisu www.pcworld.pl. Nie przywołuj programów z załączników pocztowych, nie sprawdziwszy ich uprzednio skanerem antywirusowym - nawet jeśli znasz nadawcę wiadomości.


Etap 12 - Wyłącz niepotrzebne usługi

W swojej domyślnej konfiguracji Windows włącza liczne usługi sieciowe - niezależnie od tego, czy są potrzebne, czy nie. Usługi te otwierają poprzez połączenie sieciowe port na zewnątrz, poprzez który można się z nimi kontaktować. Jest zagrożenie, że któraś usługa padnie ofiarą wirusa. Dlatego warto wyłączyć niepotrzebne usługi, bo w ten sposób pozamykasz porty otwarte bez potrzeby - tym bardziej, że aktywne usługi pochłaniają zasoby systemowe, zmniejszając jego wydajność.

Za pomocą naszego skryptu pcwXPServices (na płycie DVD dołączonej do numeru) możesz szybko i wygodnie zmniejszyć zakres włączonych usług w Windows XP. Uruchom go z uprawnieniami administratora, zaznacz opcję Konfiguracja zalecana przez redakcję PCWK i potwierdź przyciskiem Wprowadź zmiany. Następnie zrestartuj system. Jeśli zauważysz brak potrzebnych ci funkcji, możesz ponownie przywołać skrypt i wybrać opcję Przywróć pierwotną konfigurację usług.

Pozostałe otwarte porty są strzeżone przez systemową zaporę sieciową. Jeszcze lepszą ochronę zapewnia zapora niezależna od systemu - najlepiej sprzętowa w modemie lub ruterze DSL.