Wirusoobrona

Miesiąc w miesiąc pojawia się coraz więcej ostrzeżeń przed wirusami, robakami i cyfrowymi szkodnikami innej maści. Jasne, że lepiej znać to z teorii niż z własnego doświadczenia. Dlatego podpowiemy ci, jak skutecznie chronić komputer przed zarażeniem. Wystarczy do tego stosowna wiedza i środki dostępne w systemie Windows.

Miesiąc w miesiąc pojawia się coraz więcej ostrzeżeń przed wirusami, robakami i cyfrowymi szkodnikami innej maści. Jasne, że lepiej znać to z teorii niż z własnego doświadczenia. Dlatego podpowiemy ci, jak skutecznie chronić komputer przed zarażeniem. Wystarczy do tego stosowna wiedza i środki dostępne w systemie Windows.

Gdy pierwsze wirusy zaczęły siać postrach i zniszczenie w sieciach komputerowych, programiści tworzyli je dla idei, z zemsty lub w celu niszczenia danych u losowych użytkowników. W chwili obecnej zarażony kod wprowadza się do obiegu po to, aby przejmować nad systemem całkowitą kontrolę. Na przykład ani Sasser, ani Blaster nie kierowały się chęcią destrukcji. Oba przemycają niebezpiecznego intruza - program typu backdoor. Dzięki niemu, można zdalnie sterować komputerem z Internetu niczym samochodem na krótkofalówkę, a użytkownik traci bezpieczeństwo i kontrolę swoich zasobów.

W dniu dzisiejszym istnieje tak wiele odmian cyfrowych napastników, że nie ma uniwersalnego programu, który poradziłby sobie ze wszystkimi szkodnikami. Jedyny sposób to maksymalna ostrożność i staranność. Na kolejnych stronach opisujemy, jak radzić sobie w przypadku zarażenia komputera i jak zapobiegać infekcjom.

Wykrywanie

System Windows nie dysponuje własnym systemem immunologicznym, który zabezpieczałby go przed wirusami, robakami i szkodnikami innej maści. Wprawdzie skanery antywirusowe pomogą ci zidentyfikować intruza, jednak najbardziej skuteczną kontrolę zapewnia sobie sam użytkownik.

1. Używanie stosownego skanera

Wygodna aktualizacja - skrypt pcwFupdate2 zdobywa sygnatury wirusów dla programu F-Prot (porada 1).

Wygodna aktualizacja - skrypt pcwFupdate2 zdobywa sygnatury wirusów dla programu F-Prot (porada 1).

Pierwszym krokiem, który należy podjąć w razie podejrzenia, że komputer został zarażony wirusem lub robakiem, jest zbadanie zasobów za pomocą skanera wyposażonego w najnowsze sygnatury. Jednak nie przeceniaj możliwości programów antywirusowych. Bronią tylko przed znanymi sobie szkodnikami. Jeśli nie potrzebujesz wartownika, który działa w tle i ciągle monitoruje system, możesz skorzystać z dosowej wersji skanera F-Prot (bezpłatny do użytku prywatnego, dostępny pod adresem http://www.f-prot.com/download/download_fpdos.html ), która sprawdza się również w środowisku Windows. Uruchamia się ją w oknie wiersza poleceń. Poprzez polecenia menu nawiguje się za pomocą klawiszy strzałek, zaś wybiera się je klawiszem [Enter].

Nieco pracochłonne okazuje aktualizowanie baz F-Prota. Pliki sygnatur FP-DEF.ZIP i MACRDEF2.ZIP są umieszczone na serwerze http://www.f-prot.com/download/home_user/ . Po pobraniu należy je rozpakować i skopiować ich zawartość do folderu, w którym jest zainstalowany F-Prot. Znacznie wygodniej wykonasz te czynności za pomocą naszego skryptu pcwFupdate2 (znajdziesz go na dołączonej płycie). Skopiuj zawartość archiwum do folderu F-Prot, a następnie przywołaj plik PCWF- UPDATE2.HTA, klikając dwukrotnie jego ikonę. W oknie skryptu ukaże się informacja, ile dni minęło od czasu ostatniej aktualizacji baz sygnatur. Jeśli okres ten przekracza kilka dni, warto nawiązać (ręcznie) połączenie internetowe, a następnie kliknąć przycisk Aktualizuj. Skrypt samodzielnie wykona wszystkie czynności konieczne do zaktualizowania baz sygnatur.

Jednak co począć, gdy na ekranie pojawi się ostrzeżenie o zarażeniu komputera? Taki komunikat wcale nie świadczy definitywnie, że wirus uaktywnił się i sieje zniszczenie w zasobach peceta. Jeśli jednak skaner zgłasza kilka lub więcej zarażonych plików (przede wszystkim w folderze PROGRAM FILES lub w folderze WINDOWS), prawdopodobieństwo infekcji jest bardzo wysokie.

2. Interpretowanie poszlak

Nawet gdy program antywirusowy uzna zasoby komputera za czyste, nie wykrywając żadnego szkodnika, powinieneś w przypadku nietypowego działania oprogramowania zachować szczególną ostrożność. Do oznak, które powinny wzbudzać największe podejrzenia, należy przede wszystkim nagłe zamykanie się menedżera zadań lub Edytora Rejestru. Duże obciążenie procesora utrzymujące się na tym samym poziomie, mimo iż nie ma uruchomionych aplikacji, sygnalizuje ukryte procesy działające w tle. Menedżer zadań systemu Windows XP podaje obciążenie portów sieciowych (sprawdź na karcie Sieć). Jeśli przez dłuższy czas pozostaje na tym samym, kilku- czy kilkudziesięcioprocentowym stopniu, a żadna z uruchomionych aplikacji nie odwołuje się do sieci, należy założyć jakieś nieprawidłowości w systemie.

Dość jednoznacznie można interpretować komunikaty inicjowane przez robaki Blaster i Sasser w środowiskach Windows 2000 i XP. W systemach, w których użytkownik nie zainstalował odpowiednich łat (do pobrania pod adresem http://v4.windowsupdate.microsoft.com/pl/default.asp ), oba te szkodniki wykorzystują luki w zabezpieczeniach usług systemowych. Blaster uderza w usługę RPC (usługa Zdalne wywoływanie procedur, Remote Procedure Call), doprowadzając do zawieszenia się programu SVCHOST. EXE. Celem ataku Sassera jest usługa uwierzytelniania LSASS (Local Security Authority Subsystem Service). Robak ten paraliżuje proces LSASS.EXE. W obu przypadkach na ekranie monitora pojawia się komunikat obwieszczający natychmiastowe zamknięcie systemu Windows.

3. Wykrywanie nieznanych procesów

Sprawdź, jakie procesy są aktywne w twoim systemie. W Windows 2000 i XP możesz używać do tego celu wewnętrznego Menedżera zadań. Przywołasz go, wciskając jednocześnie klawisze [Ctrl Shift Alt] (w Windows XP kliknij ponadto przycisk Menedżer zadań). Listę bieżących procesów zobaczysz na karcie Procesy. Jeśli trafisz na nazwę procesu, która nie jest ci znana, spróbuj ustalić jego pochodzenie. Podejrzenia powinny budzić wszystkie procesy działające w tle, które nie należą do systemu Windows - przede wszystkim te, które mają nazwy podobne do plików systemowych (np. SVHOST.EXE, RUNDLL16.EXE czy ISSAS.EXE).

Użytkownicy, którzy nie są dobrze obeznani z systemem Windows, mogą mieć tu spore problemy, jednak przyjdzie im w sukurs nasz skrypt pcwProcview (dostępny na krążku dołączonym do numeru). Narzędzie to działa w środowiskach Windows Me, 2000 i XP. Pełni zadanie ulepszonego Menedżera zadań. Gdy uruchomisz go dwukrotnym kliknięciem, na ekranie pojawi się spis wszystkich procesów 32-bitowych, które są w danej chwili aktywne.

Obok nazwy programu widnieje jego ścieżka docelowa. W wierszu każdego procesu znajduje się przycisk Szukaj z Google, którym zainicjujesz wyszukiwanie informacji o danym procesie za pomocą serwisu Google (www.google.pl). Wyniki zostaną wyświetlone w przeglądarce Internet Explorer. Gdy klikniesz przycisk Eksplorator, skrypt otworzy okno Eksploratora Windows i przeskoczy automatycznie do folderu i pliku danego procesu. Z kolei przyciskiem Zamknij, zakończysz wybrany proces. W przypadku niektórych procesów brakuje tego przycisku. Są to usługi systemowe nieodzowne do poprawnego działania Windows. Ich zamknięcie spowodowałoby zawieszenie lub co najmniej niestabilną pracę systemu. Jednak przerywając inne procesy, musisz liczyć się z podobną reakcją, więc pozapisuj uprzednio wszystkie pliki w aplikacjach.

4. Odnajdowanie otwartych portów

Utrata kontroli - NETSTAT.EXE pokazuje porty otwarte przez program typu backdoor. W tym przypadku są to porty 1243 i 6776 otworzone przez wirusa Subseven (porada 4).

Utrata kontroli - NETSTAT.EXE pokazuje porty otwarte przez program typu backdoor. W tym przypadku są to porty 1243 i 6776 otworzone przez wirusa Subseven (porada 4).

Programy typu backdoor otwierają porty sieciowe i czekają, aż otrzymają przez nie polecenia z zewnątrz. W środowiskach Windows 98, Me, 2000 i XP możesz przywoływać na ekran listę otwartych portów. Pomoże ci w tym program NETSTAT.EXE. Przywołaj okno wiersza poleceń (menu Start | Programy | Akcesoria | Wiersz poleceń w Windows 2000/XP lub menu Start | Programy | Akcesoria | Tryb MS-DOS w Windows 98/Me) i wpisz polecenie

netstat -an

Następnie porównaj wyniki komputera, który jest przypuszczalnie zainfekowany, z wynikiem czystego peceta o podobnej konfiguracji. Przykładając wagę do profilaktyki, zachowaj dane portów w nowo zainstalowanym systemie. Wprowadź w tym celu polecenie

netstat -an > ports.txt

Gdy zaistnieje podejrzenie, że komputer został zarażony programem backdoor, użyj ponownie polecenia netstat, po czym porównaj otrzymane wyniki z zapisanym uprzednio plikiem PORTS.TXT. Następnie użyj wyszukiwarki internetowej Google, aby uzyskać więcej informacji na temat niepewnych portów - w grę wchodzą przede wszystkim porty oznaczone numerem 1025 i większymi. Jednak nawet otwarcie standardowych portów może sygnalizować ewentualną infekcję. Jeśli nie zainstalowałeś serwera FTP, a system oczekuje na transmisję przez port 21, coś nie gra i należy poddać komputer kwarantannie.


Zobacz również