Czy twój komputer jest w rękach cyberprzestępców?

Nie widać tego i bardzo trudno wyczuć. Czy jesteś pewien, że twój pecet nie jest wykorzystywany za twoimi plecami przez cyberprzestępców do nieuczciwych celów? Nasze rady pomogą ci to ustalić. Ponadto dowiesz się, jak w skuteczny sposób chronić się przed takim niebezpieczeństwem.


Eksperci zajmujący się bezpieczeństwem w dziedzinie IT ostrzegają przed nowymi szkodnikami. Złośliwy kod określany mianem drive-by-exploits dostaje się do komputera ofiary już przez samo przywołanie zakażonej lub specjalnie spreparowanej strony internetowej. Potrafi opanować cały system, przekazując kontrolę nad nim w obce ręce. Wskutek tego twój komputer może zupełnie niechcąco i niepostrzeżenie dla ciebie stać się rozsyłaczem niepożądanej korespondencji na masową skalę lub być nadużywany do ataków internetowych. Jednak to jeszcze nie wszystko. Na domiar złego zagrożone są wszystkie twoje prywatne i inne poufne dane zgromadzone w komputerze. Korzystając z rad zawartych w tym artykule i odpowiedniego oprogramowania, wykryjesz, czy twój komputer został przejęty przez cyberprzestępców. Dowiesz się ponadto, co zrobić, gdy twoje podejrzenia się potwierdzą.

1. Co powinno budzić twoje podejrzenia?

Solidnie zaprogramowane szkodniki zachowują się z reguły niezwykle dyskretnie. Ich autorzy chcą, aby możliwie długo działały w komputerze, zanim zostaną odkryte. Powinieneś zatem w regularnych odstępach czasu sprawdzać wszystkie punkty z poniższej listy, aby wykrywać, co podejrzane.

Zobacz również:

  • Najlepszy VPN dla Linuxa - ranking 2022
  • Uwaga - wzrasta liczba oszustw związanych z wojną na Ukrainie

1. Zwracaj uwagę na diody kontrolne karty sieciowej i twardych dysków. Gdy nadal mrugają po upływie kilku minut, choć nie wydawałeś żadnych poleceń, wskazując, że odbywa się transmisja danych, może (lecz wcale nie musi) to oznaczać obecność intruza. Aktywność karty sieciowej i/lub twardego dysku może być równie dobrze spowodowana automatycznym aktualizowaniem systemu Windows bądź działaniem usługi indeksowania.

2. Gdy twój Windows raz po raz działa wyjątkowo ślamazarnie, a potem ledwo lub wcale nie reaguje na twoje polecenia, powinieneś mieć się na baczności.

Czy twój komputer jest w rękach cyberprzestępców?

Jeśli serwis skanowania portów ShieldsUP! wyświetla czerwone bloczki, dane porty są otwarte, umożliwiając dostęp do systemu z Internetu. Np. port 25 jest stosowany do przesyłania wiadomości pomiędzy serwerami pocztowymi (SMTP).

3. Odwiedź witrynę www.grc.com/default.htm i przeprowadź test portów ShieldsUP!. Kliknij w tym celu ShieldsUP! | Proceed | All Service Ports. W ten sposób sprawdzić, czy są otwarte porty, przez które można dostać się z Internetu do twojej sieci lokalnej i do twojego komputera - a jeśli tak, to które. Zielony kolor oznacza, że dany port jest zamknięty i ukryty, czerwony, że jest otwarty, niebieski zaś, że jest zamknięty.

Porty zaznaczone na czerwono mogą oznaczać, że szkodnik otworzył w twoim systemie tzw. tylne wejście, przez które cyberprzestępca może się do niego dostać. Aczkolwiek być może otwarcie portu jest pożądane. Na przykład port 443 (SSL) może być otwarty, gdy uaktywnisz zdalną konserwację swojego rutera.

4. Otwórz plik o nazwie hosts w katalogu \Windows\System32\Drivers\etc w dowolnym edytorze tekstowym - np. Notatniku. Upewnij się, że wszystkie wiersze znajdujące się w tym pliku rozpoczynają się od znaku kratki (#). Wiersze, które nie spełniają tego warunku, powinny zawierać tylko wpisy 127.0.0.1 localhost lub ::1 localhost. Jeżeli znajdziesz w nich coś innego i jesteś pewien, że nie wpisałeś tego sam, jest to oznaka ataku cyberprzestępców.

Port

Port to numer identyfikujący kanał komunikacyjny, za pośrednictwem którego program znajdujący się w twoim systemie może wymieniać dane z innym programem zainstalowanym w innym komputerze. Porty z zakresu od 0 do 1024 potocznie noszą nazwę Well Known Ports. Należą do grupy portów stosowanych tylko przez znane aplikacje. Nie stanowią zagrożenia pod warunkiem, że regularnie aktualizujesz system Windows i pozostałe oprogramowanie.

Porty z zakresu od 1025 do 49151 (Registered Ports) nie są na stałe przypisane do określonych aplikacji ani usług systemowych. Są używane tymczasowo przez programy, które muszą wymieniać dane z serwerem w Internecie. Po zakończeniu transmisji porty te są natychmiast zamykane.

Trzecia grupa portów pochodzi z zakresu od 49152 po 65535 i jest znana pod nazwą Dynamic Ports. Tylko w nielicznych wypadkach są one używane w uczciwych zamiarach - m.in. przez oprogramowanie antywirusowe, aplikacje do pobierania torrentów i narzędzia sprzętu nVidia. Są więc z zasady podejrzane.

5. Oprócz tego sprawdź, czy twój zewnętrzny adres IP figuruje w jednej z rejestrów wyszczególniających dystrybutorów niepożądanej korespondencji wysyłanej na masową skalę. Wprawdzie w wypadku łącza DSL o zmiennym adresie IP jest to raczej mało prawdopodobne, ale i tak powinieneś sprawdzić. Przywołaj w tym celu witrynę www.dnsbl.info i kliknij pole Check this IP. Jeśli znajdziesz więcej wpisów oznaczonych czerwonym kolorem, twój adres IP widnieje w rejestrach spamu, a jeden z komputerów w twojej sieci lokalnej jest prawdopodobnie zakażony.

2. Poszukiwanie szkodliwego kodu w systemie

Jeśli twój system zachowuje się w nietypowy sposób, powinieneś dokonać gruntownej analizy za pomocą oprogramowania antywirusowego. Zapewne masz zainstalowany w swoim komputerze pakiet zabezpieczający. Jeśli nie, możesz użyć jednej z wersji demonstracyjnych, które zamieszczamy regularnie na płycie DVD dołączanej do miesięcznika PC World. Alternatywnie możesz przynajmniej pobrać i zainstalować jeden z bezpłatnych programów antywirusowych. Obszerny test takich narzędzi zamieściliśmy pod tym adresem internetowym.

Przy pierwszym uruchomieniu aplikacji należy najpierw zaktualizować bazę definicji wirusów. Gdy operacja ta dobiegnie końca, wybierz sprawdzanie systemu w trybie gruntownym (nazwa może się różnić zależnie od wersji stosowanego oprogramowania). Zainicjuj analizę i poczekaj na wyniki. Uzbrój się w cierpliwość. W razie znalezienia groźnego elementu powinieneś koniecznie poszukać w Internecie informacji na temat skutków jego działania i wyrządzanych szkód. Ponadto powinieneś zastanowić się, czy sam mogłeś kiedyś w jakiś sposób uruchomić złośliwy program. Jeśli okaże się, że otwiera w komputerze ofiary tylne wejście (tzw. backdoor) lub dokonuje innych zmian o równie dotkliwych skutkach, nie pozostanie ci nic innego niż sformatować twardy/e dysk(i) i ponownie zainstalować cały system Windows. Jednak niezależnie od tego, czy powyższa czynność okaże się konieczna, przed podjęciem dalszych kroków powinieneś wnikliwie przeanalizować uruchomione programy i połączenia sieciowe.

3. Nadzorowanie ruchu sieciowego

Chcąc wykryć, czy twój system rozsyła niechcianą pocztę za twoimi plecami, atakuje bez twojej zgody inne komputery lub przekazuje twoje poufne informacje cyberprzestępcy, musisz ustalić, które aplikacje nawiązują połączenia z Internetem. Przydadzą ci się do tego programy CurrPorts i IPNetInfo.

Czy twój komputer jest w rękach cyberprzestępców?

Narzędzie CurrPorts podaje listę otwartych obecnie portów wraz z aplikacjami, które wykonały tę operację.

Instalowanie potrzebnego oprogramowania. Najpierw rozpakuj archiwum stosownej wersji programu CurrPorts (32-bitowa lub 64-bitowa - zależnie od wersji systemu Windows) do dowolnego folderu na twardym dysku. Następnie rozpakuj archiwum IPNetInfo do tego samego folderu i uruchom plik wykonywalny cports.exe. Wówczas ujrzysz na ekranie tabelę z wyszczególnieniem nazwy procesu (Process Name), używanych przez niego protokołu transmisji danych (Protocol), adresu IP twojego komputera (Local Address), adresu komputera docelowego (Remote Address) i numery portów wykorzystywanych do przesyłania danych (Local Port). W kolumnie Local Address widnieje z reguły wewnętrzny adres IP twojego komputera lub domyślny adres localhost, a więc 127.0.0.1.

Tabela, którą masz przed sobą, odzwierciedla tylko stan w momencie uruchomienia programu CurrPorts. Kliknij menu Options | Auto Refresh | Every 2 Seconds, aby włączyć samoczynne ponawianie analizy co 2 sekundy. Na koniec zaznacz polecenie File | Log Changes.

Analizowanie połączeń. Niestety, nie ma jednoznacznej reguły, która pozwalałaby odróżniać przydatne połączenia od szkodliwych. Trzy najbardziej istotne czynniki pomocne przy wykrywaniu złośliwych połączeń to nazwa aplikacji nawiązującej dane połączenie (kolumna Process Name), port lokalny (Local Port) i docelowy adres połączenia (Remote Address).

Najpierw kliknij dwa razy tytuł kolumny Local Port, aby posortować połączenia malejąco wg numerów portów. Jeżeli jakieś programy otworzyły w twoim systemie porty z zakresu od 49152 do 65535 (Dynamic Ports), sprawdź nazwy programów. Jeśli któraś z nich nic ci nie mówi, kliknij wpis prawym przyciskiem myszy i wskaż polecenie IPNetInfo w menu podręcznym. Wówczas pojawi się nowe okno zawierające informacje o serwerze docelowym. Informacje będą dostępne, rzecz jasna, tylko w wypadku, gdy udało się ustalić adres tego serwera (powinien być wyszczególniony w kolumnie Remote Address). Jeśli masz do czynienia z serwerem godnym zaufania, np. Google, ustalenie danych połączenia będzie z pewnością bezproblemowe.

W przeciwnym razie kliknij prawym przyciskiem myszy dany wpis i wskaż polecenie Properties. W następnym oknie ujrzysz ścieżkę do poszukiwanej aplikacji. Widnieje w wierszu Process Path. Jeżeli wiersz Module Filename nie jest pusty, podaje z reguły faktycznego inicjatora połączenia. W wierszu Process ID znajdziesz identyfikator procesu. Zapamiętaj lub zanotuj zarówno ścieżkę dostępu, jak i wspomniany identyfikator. Kliknij przycisk OK w prawym dolnym narożniku, aby zamknąć okno.

Narzędzie CurrPorts ma jeszcze jedną pomocną właściwość. Automatycznie zaznacza różowym kolorem wszystkie wpisy aplikacji, które nie są opatrzone ani numerem wersji, ani ikoną. Także takie wpisy powinny wzbudzać wątpliwości. Jednak niektóre z nich (np. w wypadku serwerów MySQL i Oracle) okazują się fałszywym alarmem.

Ten adres internetowy zaprowadzi cię na angielskojęzyczną stronę Wikipedii z listą wszystkich zdefiniowanych portów TCP i UDP - wraz z przyporządkowanymi im aplikacjami.

Analizowanie protokołowanych połączeń

W oknie programu CurrPorts jest wyświetlany domyślnie tylko bieżący stan systemu. Tymczasem niektóre szkodniki nawiązują połączenie internetowe tylko na krótką chwilę. W tej sytuacji bardzo łatwo przegapić złowrogie połączenie. Dlatego warto skorzystać z funkcji protokołowania zmian, którą oferuje narzędzie CurrPorts. W ten sposób będziesz mógł w dowolnej chwili przywołać potrzebne informacje. Przeskocz w tym celu folder programu CurrPorts w oknie Eksploratora, po czym otwórz plik cports.log dwukrotnym kliknięciem myszy. Każdy wiersz figurujący w przywołanym pliku tekstowym symbolizuje nowy lub zakończony proces. W pierwszej kolumnie znajdziesz datę i godzinę zmiany. W następnej ujrzysz nazwę programu, a w kolejnej CurrPorts wymienia twój adres IP i (po dwukropku) port użyty do transmisji danych. W ostatniej kolumnie podaje adres docelowy. Również tu poszukaj wpisów, w których widnieją numery z zakresu grupy Dynamic Ports. Bardzo skrupulatnie sprawdź znalezione adresy docelowe. Uruchom w tym celu program IPNetInfo.exe, a następnie wpisz docelowy adres IP i potwierdź przyciskiem OK.

Czy twój komputer jest w rękach cyberprzestępców?

Aby upewnić się, że nieszkodliwie wyglądający proces jest naprawdę bezpieczny, kliknij polecenie Sprawdź w odpowiednim wierszu System Explorera.

4. Nadzorowanie bieżących procesów

Jeżeli udało ci się wykryć podejrzany program, korzystając z porad opisanych w powyższym punkcie, powinieneś szczegółowo zbadać potencjalnego intruza. Wyśmienitym narzędziem do tego celu jest aplikacja System Explorer.

Używanie System Explorera. Zainstaluj i uruchom program, o którym mowa. Na karcie Procesy ujrzysz wszystkie działające w danej chwili programy posortowane w drzewiastej strukturze wg ich zależności. Upewnij się, że jest naciśnięty przycisk z dwoma trybami (znajduje się na pasku narzędzi). Wówczas System Explorer wyświetla listę usług. Znajdź w kolumnach Nazwa obrazu i PID podejrzany proces na podstawie nazwy i identyfikatora ustalonych w poprzednim punkcie. Zaznacz dany wiersz, po czym kliknij polecenie Sprawdź w kolumnie Zabezpieczenia.

Zaawansowane funkcje programu System Explorer

System Explorer to bardzo uniwersalne narzędzie. Podaje nie tylko listę działających w danej chwili aplikacji (karty Zadania i Procesy). Na karcie Wydajność zapewnia ciągle aktualizowane parametry takie jak obciążenie rdzeni procesora, procentowe użycie pamięci RAM, odbywająca się w danej chwili transmisja danych z użyciem karty sieciowej, a także aktywność twardych dysków. Karta Historia stanowi pewnego rodzaju protokół zdarzeń, w którym są rejestrowane wszystkie zmiany systemu. Poprzez Menu | Narzędzia systemowe dostaniesz się do niektórych akcesoriów Windows.

Klikając ikonę z przyciskiem + obok ostatniej karty, możesz otworzyć następną. Na ekranie pojawi się lista dostępnych kart. Jeśli wskażesz np. Autostart, na nowej karcie zostanie wyświetlonych wiele elementów uruchamiających się automatycznie wraz z systemem Windows. Możesz zablokować ich samodzielne wczytywanie, usuwając pole wyboru przed ich nazwą. Natomiast poleceniem Deinstalatory otworzysz zestawienie wszystkich aplikacji zainstalowanych w systemie (łącznie z aktualizacjami systemu Windows). Aby usunąć niepotrzebny program z systemu, wystarczy kliknąć jego nazwę prawym przyciskiem myszy, po czym wybrać polecenie Odinstaluj aplikację w menu podręcznym.

Wtedy System Explorer utworzy sumy kontrolne podejrzanego pliku i porówna je ze swoją bazą danych w internetowym serwisie www.systemexplorer.net. Potem na ekranie pojawi się okno przeglądarki internetowej, a w niej informacje o konkretnej wersji pliku (niestety, tylko w języku angielskim). Najbardziej istotny jest obszar pod napisem Is the Process Safe or Thread?. Znajdziesz w nim oceny od innych użytkowników System Explorera, którzy znaleźli tę samą wersję pliku w swoim systemie. Jeśli znajdziesz tu wpis 100% Safe, nie masz do czynienia ze złośliwym programem.

Następnie kliknij zielony przycisk Security Scan (w starszych wersjach programu uprzednio ikonę okna z lupą). W ten sposób zainicjujesz sprawdzenie za jednym zamachem wszystkich bieżących procesów z bazą danych w Internecie. Jeśli ekspertyza nie wykaże nic szczególnego, przynajmniej w danej chwili nie grasuje żaden szkodnik w twoim systemie.

Czy twój komputer jest w rękach cyberprzestępców?

Jeżeli nie będziesz mógł zalogować się na swoim koncie w Facebooku, bo ktoś zmieni twoje hasło i adres e-mail, odwiedź tę stronę.

5. Gdy system jest przechwycony przez cyberprzestępców

Jeżeli w ramach przeprowadzania badań opisanych w poprzednim punkcie ustaliłeś, że do twojego systemu zakradł się jakiś intruz, dowiedz się natychmiast za pośrednictwem Internetu, jak działa i jakich szkód dokonuje w komputerze ofiary. Jeśli na przykład jest to zwyczajny wirus lub moduł szpiegujący, w większości wypadków wystarczy go usunąć.

Gdy rezultaty twoich poszukiwań będą jednak niejednoznaczne lub okaże się, że złapałeś szkodnika gorszego rodzaju - np. Zeus, TLD4 czy Conficker - już nigdy więcej nie będziesz mógł zaufać swojemu systemowi. W tym wypadku pomoże tylko radykalne rozwiązanie - sformatowanie twardego dysku i ponowne zainstalowanie systemu Windows. Swoje osobiste dane takie jak dokumenty tekstowe, utwory muzyczne, fotografie, dane kontaktowe znajomych i skrzynki pocztowe powinieneś zarchiwizować uprzednio na zewnętrznym dysku lub innej partycji przeznaczonej tylko na dane, a potem wgrać je z powrotem z kopii zapasowej.

Czy twój komputer jest w rękach cyberprzestępców?

Gdy ktoś zaloguje się na twoim koncie Facebooka, otrzymasz wiadomość e-mail lub sms - pod warunkiem, że skorzystasz z tej funkcji.

Walka z kradzieżą tożsamości. Ponadto niezwykle ważne jest, abyś niezwłocznie pozmieniał dane dostępu do swojej skrzynki pocztowej i do kont w serwisach internetowych. Najpierw powinieneś zabrać się za hasła do kont skrzynek pocztowych, bo z reguły to one stanowią centralne źródło informacji, które pozwalają przywracać dostęp do różnych usług internetowych. Jeśli stracisz dostęp do swojej skrzynki pocztowej, bo cyberprzestępca zdążył przed tobą zmienić hasło, musisz natychmiast skontaktować się z operatorem tej skrzynki, opisać sytuację i poprosić o dostarczenie nowego hasła.

To samo dotyczy zasadniczo również wszystkich innych usług internetowych, np. serwisów eBay, Google czy Facebook. Jeżeli zostało zmienione hasło dostępu do tych portali, spróbuj odzyskać je za pośrednictwem swojej skrzynki pocztowej. Jeśli jednak cyberprzestępca zmienił także twój adres awaryjny, musisz skontaktować się z operatorem danego portalu i poprosić, aby zablokował konto lub wydał inne dane dostępowe.

Czy twój komputer jest w rękach cyberprzestępców?

Zaznacz to pole wyboru, aby korzystać z szyfrowanego połączenia podczas swojej sesji w serwisie Facebook.

Inne środki zaradcze. Poniżej opisujemy na przykładzie kilku popularnych serwisów internetowych, jak się zachować, gdy ktoś uniemożliwi ci dostanie się do twojego własnego konta.

- W wypadku portalu społecznościowego Facebook trzeba przywołać stronę www.facebook.com/hacked, po czym kliknąć na niej pole Zabezpieczenia mojego konta zostały złamane i zastosować się do wskazówek kreatora.

Czy twój komputer jest w rękach cyberprzestępców?

Większość serwisów internetowych (tu: Google Mail) zapewnia swoim użytkownikom możliwość zgłaszania przejęcia ich konta przez cyberprzestępców.

- W wypadku serwisu Google otwórz odpowiednią stronę, wpisując adres https://mail.google.com/support/bin/answer.py?hlrm=de&answer=46346, zaznacz opcję Moje konto zostało przejęte i wykonaj polecenia kreatora.

- W wypadku internetowego domu aukcyjnego eBay przywołaj ten adres internetowy, a następnie kliknij Jestem gościem. W następnym oknie zaznacz opcję Chcę zgłosić nadużycia i naruszenia dotyczące bezpieczeństwa konta i transakcji i potwierdź przyciskiem Kontynuuj. W kolejnym etapie wskaż opcję Ktoś korzysta z mojego konta bez pozwolenia. Następnie kliknij odnośnik Prosimy o wiadomość e-mail w dole okna. Wypełnij formularz, podając koniecznie swoje następujące dane osobowe: imię i nazwisko, adres, numer telefonu (wraz z godzinami, w których jesteś osiągalny), nazwę członkowską, adres e-mailowy i ewentualnie numer artykułu - jeżeli oszust dokonał zakupów w twoim imieniu. Ponadto opisz zwięźle całe zajście.

Zabezpieczanie konta w serwisie Facebook

Większość popularnych portali społecznościowych i komercyjnych serwisów internetowych pozwala poprawić ochronę konta przed cyberprzestępcami. Na przykład w Facebooku znajdziesz konfigurację zabezpieczeń, klikając ikonę trójkąta w prawym górnym narożniku okna i wskazując polecenie Ustawienia konta. Przeskocz do sekcji Bezpieczeństwo po lewej stronie. Jeśli wskażesz polecenie Edytuj w rubryce Powiadomienia dotyczące logowania i zaznaczysz odpowiednią opcję, otrzymasz wiadomość e-mail lub sms, gdy ktoś uzyska dostęp do twojego konta (z którego wcale jeszcze nie korzystałeś), używając w tym celu komputera lub smartfonu.

A jeżeli włączysz zatwierdzanie logowania, każdy, kto zechce otworzyć twoje konto przy użyciu obcego komputera, musi wprowadzić najpierw kod zabezpieczający wysyłany przez Facebooka w postaci wiadomości sms. W rubryce Aktywne sesje znajdziesz zestawienie wszystkich bieżących sesji w serwisie Facebook łącznie z informacjami o lokalizacji. Sprawdź w nim, czy ktoś nie odwołuje się do twojego konta z nietypowego miejsca. W tym wypadku kliknij przycisk zakończenia aktywności.

Oprócz tego powinieneś zaznaczyć opcję Bezpieczne przeglądanie, aby zawsze korzystać z serwisu Facebook za pośrednictwem szyfrowanego połączenia internetowego (rozpoznasz je po przedrostku https na pasku adresu).

- W wypadku portalu PayPal odwiedź stronę https://www.paypal.com/pl/ewf/f=sa_unauth i kliknij przycisk Kontynuuj w rubryce Nie możesz się zalogować. Potwierdź ponownie przyciskiem Kontynuuj. Następnie wypełnij formularz, opisując pokrótce zaistniały problem. Więcej informacji na temat zapobiegania kradzieży tożsamości znajdziesz pod tym adresem internetowym.

- W wypadku serwisu Nasza Klasa przywołaj adres http://nk.pl/support. Najpierw wybierz kategorię Nadużycia i kliknij pole Dalej. Zależnie od problemu wskaż w drugim etapie temat Ktoś korzysta z mojego konta, Ktoś założył konto z moimi danymi lub Ktoś podszywa się pode mnie. W następnym etapie zapoznaj się z informacjami na ekranie, kliknij pole Przejdź do formularza kontaktowego, podaj swoje dane kontaktowe wraz z opisem problemu i potwierdź, klikając Wyślij pytanie.

- Serwis aukcyjny allegro radzi nie podawać maila na stronie O mnie ani na stronie produktu. Jeśli jednak ktoś komuś uda się podszyć pod ciebie, wykonaj następujące czynności. Przywołaj adres http://allegro.pl/Contact2/Contact2.php i zaznacz wiersz Bezpieczeństwo w panelu kategorii po lewej stronie. Następnie zaznacz wiersz Ktoś przejął moje konto w Allegro i potwierdź przyciskiem Dalej. W następnym oknie kliknij przycisk Formularz, po czym wypełnij pola na ekranie, podając swój adres e-mailowy i krótki opis problemu. Potwierdź przyciskiem Wyślij wiadomość.