Diagnoza: wirus?

Obawiasz się, że twój komputer padł ofiarą wirusa? W takich sytuacjach trzeba zachować zimną krew. Nasza apteczka pierwszej pomocy pozwoli potwierdzić lub wykluczyć zainfekowanie peceta cyfrowymi pasożytami.

Obawiasz się, że twój komputer padł ofiarą wirusa? W takich sytuacjach trzeba zachować zimną krew. Nasza apteczka pierwszej pomocy pozwoli potwierdzić lub wykluczyć zainfekowanie peceta cyfrowymi pasożytami.

Nagle pojawiające się okna, nietypowe funkcjonowanie przeglądarki internetowej i zawieszanie się systemu operacyjnego to ewentualne symptomy zarażenia wirusem. Nawet w razie najdrobniejszych oznak ataku wirusowego lub hakerskiego każda twoja reakcja decyduje o bezpieczeństwie danych. W poniższym materiale podpowiemy ci, jakie kroki podejmować w razie podejrzeń.

Ustalanie programów w tle

Ten program zdradzi ci, jakie dodatki pakietu Office są zainstalowane w systemie.

Ten program zdradzi ci, jakie dodatki pakietu Office są zainstalowane w systemie.

Freeware'owy program CodeStuff Starter (dostępny pod adresem: http://members.lycos.co.uk/codestuff/ , środowiska: Windows 95/98/Me/NT4/2000/XP, rozmiar pliku: 517 KB) pomoże ci sprawdzić, jakie programy uruchamiają się niepostrzeżenie wraz z Windows. Wiele intruzów i modułów szpiegujących włącza za plecami użytkownika automatyczne wczytywanie się do pamięci komputera.

CodeStuff Starter nie ogranicza się do elementów umieszczonych w folderze Autostart. Wykrywa także programy, których przywołania kryją się w plikach INI i w kluczach rejestru. Bardzo cenną wskazówkę w odróżnieniu szkodników od potrzebnych programów działających w tle stanowi ikona aplikacji. Moduły szpiegujące (spyware) i inne programy tego rodzaju zazwyczaj nie dysponują własną ikoną. Bardzo pomocne w znajdowaniu niepożądanego kodu okazują się również informacje o pliku, wyświetlane na dolnym pasku stanu. Jeśli jeden z obiektów figurujących w spisie odmawia podania nazwy, numeru wersji czy producenta, to pierwsza wskazówka, że masz do czynienia z pasożytem.

Identyfikacja

CodeStuff Starter pomoże ci zidentyfikować elementy uruchamiające się automatycznie wraz z systemem Windows.

CodeStuff Starter pomoże ci zidentyfikować elementy uruchamiające się automatycznie wraz z systemem Windows.

Całkowitą pewność co do tożsamości podejrzanego programu uzyskasz, korzystając z wewnętrznej funkcji wyszukiwania narzędzia CodeStuff Starter. Kliknij prawym przyciskiem żądany obiekt na liście - np. zupełnie nieszkodliwy, lecz budzący wątpliwości plik ctfmon.exe. Następnie wskaż polecenie Search on the Internet | Pacman's Portal Startups: CTFMON.EXE. Narzędzie wyśle twoje zapytanie do serwisu Sysinfo.org, który dysponuje bazą 10 tysięcy programów uruchamianych automatycznie podczas włączania Windows. W ten sposób dowiesz się, jak niebezpieczny jest zaznaczony przez ciebie element. W naszym przykładzie (ctfmon.exe) witryna poda, że chodzi o nieszkodliwy plik z pakietu Microsoft Office. Dzięki tym zapytaniom bez problemu wykryjesz niepożądane aplikacje działające w systemie. Aby zablokować ich automatyczne uruchamianie, usuń zaznaczenie pola wyboru obok ich nazwy i potwierdź, klikając przycisk OK.

Przydatną, choć nie tak zaawansowaną funkcję wyszukiwania zapewnia Autoruns (dostępny pod adresem: http://www.sysinternals.com/Utilities/Autoruns.html , środowiska: Windows 95/98/Me/NT4/2000/XP, rozmiar pliku: 279 KB). Za to wyświetla spis automatycznie uruchamianych usług, co jest cenną informacją dla doświadczonych użytkowników. Na dodatek nie wymaga instalowania.

Niebezpieczne pliki

MyUninstaller odinstalowuje z systemu niepotrzebne aplikacje. Działa nieco wygodniej od apletu Dodaj lub usuń programy w Panelu sterowania.

MyUninstaller odinstalowuje z systemu niepotrzebne aplikacje. Działa nieco wygodniej od apletu Dodaj lub usuń programy w Panelu sterowania.

Podczas gdy narzędzia CodeStuff Starter i Autoruns (patrz wyżej) sprawdzają tylko programy i usługi wczytywane automatycznie z systemem, bezpłatny File Alyzer (dostępny pod adresem: http://spybot.safer-networking.de/pl/filealyzer/index.html , środowiska: Windows 95/98/Me/NT4/2000/XP, rozmiar pliku: 1,67 MB) dostarcza szczegółowych informacji o każdym pliku na twardym dysku. Po zainstalowaniu go wystarczy kliknąć dowolny plik prawym przyciskiem myszy i wybrać polecenie Analyze file with FileAlyzer. W oknie dialogowym, które pojawi się na ekranie, ujrzysz typowe właściwości pliku - np. numer wersji, producenta, zawartość archiwum ZIP czy podgląd tekstowy. Nieocenioną pomoc w znajdowaniu cyfrowych szkodników stanowi podgląd szesnastkowy, który ujawnia kod. Wprawdzie sam w sobie niewiele mówi o zastosowaniu danego pliku, ale oprócz niego możesz przywołać podgląd w postaci jawnego tekstu. Jeśli podejrzany plik zawiera szkodliwe treści, na pewno znajdziesz na liście łańcuchów odpowiednie wskazówki. Mogą to być chociażby: nazwa intruza, wątpliwe hiperłącza lub wręcz wyraźna wiadomość od hakera.

Ocena zagrożenia

Freeware'owy Office Ins 1.02 (dostępny pod adresem: http://www.nirsoft.net/utils/officeins.html , środowiska: Windows 95/98/Me/NT4/2000/XP, rozmiar pliku: 37 KB) pilnuje rozszerzeń pakietu Office. Narzędzie to nie wymaga instalowania. Wystarczy je uruchomić, aby uzyskać informacje o wszystkich dodatkach Office'a w systemie. Oprócz nazwy rozszerzenia określanego jako ProgID lista zawiera zwięzły opis dodatku i dane składnika pakietu Office, z którego korzysta.

Mając do dyspozycji tak szczegółowe informacje, łatwo wykryjesz niepożądane rozszerzenia. Aby wyłączyć niechciany dodatek, kliknij go prawym przyciskiem i wskaż polecenie Change start mode | Disabled. Potem możesz usunąć plik z dysku. Dokładną ścieżkę dostępu znajdziesz w kolumnie File name, a w witrynie autora - także plik nakładki z polską wersją językową interfejsu.

Nie wszystkie pliki, które dostały się do komputera bez twojej wiedzy, uda się bezproblemowo usunąć z dysku. Przeważnie są używane - a więc chronione przed usunięciem - bo uruchamiają się automatycznie z systemem albo podłączają do Eksploratora. W tej sytuacji uruchom system w trybie awaryjnym, przywołaj okno wiersza poleceń, przejdź do katalogu zawierającego niepożądany plik i usuń go poleceniem del. Jeśli cenisz wygodę, możesz skorzystać z alternatywnego rozwiązania. Uruchom bezpłatne narzędzie Delete Doctor (dostępne pod adresem: http://www.diskcleaners.com/#deletedr , środowiska: Windows 95/98/Me/NT4/2000/XP, rozmiar pliku: 148 KB), kliknij przycisk Browse i wybierz plik do usunięcia. Następnie kliknij Delete file on System Restart. Gdy po raz kolejny uruchomisz Windows, narzędzie wyrzuci z dysku wskazany przez ciebie plik.

Monitoring - odczytywanie i zapisywanie

Kolejny sposób wykrywania szkodników to monitoring, czyli stałe nadzorowanie. W ten sposób ustalisz, które pliki odwołują się do zasobów systemowych, np. do rejestru.

Obserwacja zadań

Do zrealizowania tego celu dobrze nadaje się bezpłatny Process Explorer (dostępny pod adresem: http://www.sysinternals.com/Utilities/ProcessExplorer.html , środowiska: Windows 95/98/Me/NT4/2000/XP/XP64, rozmiar pliku: 558 KB), który przypomina bardzo rozbudowany menedżer zadań. Gdy go uruchomisz, wczyta pełne zestawienie wszystkich działających w danej chwili programów, przedstawiając je w postaci hierarchicznej. Sposób wyświetlania jest bardziej przejrzysty niż lista w wewnętrznym Menedżerze zadań systemu Windows. Gdy klikniesz któryś z procesów w górnej części okna, w dole pojawi się spis związanych z nim plików, kluczy rejestru i kont użytkowników. Więcej informacji uzyskasz, klikając dowolny wpis prawym przyciskiem myszy i wskazując polecenie Properties. Jeśli dany proces wyda ci się podejrzany (chociażby ze względu na wątpliwy opis), kliknij go prawym przyciskiem myszy, a następnie wybierz polecenie Google. W ten sposób wyślesz zapytanie do wyszukiwarki Google i dowiesz się, czy stanowi ryzyko.

Kontrola plików i rejestru

Jeszcze więcej szczegółowych informacji otrzymasz, stosując bezpłatne programy Registry Monitor (dostępny pod adresem: http://www.sysinternals.com/Utilities/Regmon.html , środowiska: Windows 95/98/Me/NT4/2000/XP/XP64, rozmiar pliku: 113 - 175 KB) i File Monitor (dostępny pod adresem: http://www.sysinternals.com/Utilities/Filemon.html , środowiska: Windows 95/98/Me/NT4/2000/XP, rozmiar pliku: 142 - 196 KB). Pierwszy nadzoruje rejestr systemu Windows, wyświetlając w czasie rzeczywistym wszystkie dokonywane w nim operacje. Ułatwia zaawansowanym użytkownikom wykrywanie intruzów, którzy chcą manipulować rejestrem w trakcie pracy systemu operacyjnego. Drugie z wymienionych narzędzi pozwala ustalać, które pliki wykonują operacje zapisu i odczytu na dysku. Dokładnie odwrotnie działa Access Enum (dostępny pod adresem: http://www.sysinternals.com/Utilities/AccessEnum.html , środowiska: Windows 95/98/Me/NT4/2000/XP, rozmiar pliku: 26 KB).

Wskazujesz folder lub klucz rejestru, a program podaje jego prawa dostępu.


Zobacz również