К несчастью, порой происходит так, что установленный в системе антивирус с самыми последними обновлениями не в состоянии обнаружить новый вирус, червя или троянскую программу. Увы - 100 процентов безопасности не гарантирует ни 1 антивирусная защита. В этом случае требуется определить факт заражения, обнаружить вирусный файл и отослать его в антивирусную компанию, продукт которой "проморгал" вредную программу и не сумел защитить компьютер от заражения.
Хотя в большей части случаев своими силами (без поддержки антивирусных программ) заметить факт заражения компьютера довольно трудно - многие черви и троянские утилиты никак не проявляют собственного присутствия. Бывают, естественно, случаи, когда троянцы явно сообщают пользователю, что компьютер заражен - к примеру, в ситуациях шифровки пользовательских файлов с последующим требованием выкупа за утилиту расшифровки. Однако как правило они скрытно инсталлируют себя в систему, нередко применяют особые методы маскировки и к тому же скрытно ведут собственную троянскую деятельность. Закрепить факт заражения возможно лишь по косвенным признакам.
Признаки заражения
К основным признакам заражения относится повышение исходящего интернет-трафика - правило честное как для личных пользователей, так и для корпоративных сетей. Если при этом не ведётся активная интернет-деятельность (к примеру, ночью), то это значит, что её ведёт кто-то еще. И, вероятнее всего, - в злоумышленных целях. При наличии сетевого дисплея сигналом о заражении могут являться попытки неизвестных приложений открыть интернет-соединения. Многочисленные рекламные "поп-апы" при посещении сайтов могут сигнализировать о том, что в системе есть рекламная система (Adware).
Нередкие зависания и сбои в работе компьютера могут к тому же быть вызваны фактом заражения. Хотя во массы ситуациях причина сбоев не вирусная, а программная или аппаратная. Если же похожие симптомы проявляются немедленно на некоторого количества (массы) компьютерах в сети, если при этом резко возрастает внутрисетевой трафик, то причина, вероятнее всего, кроется в распространении по сети очередного сетевого червя или троянской утилиты-бэкдора.
Косвенными признаками факта заражения могут являться к тому же симптомы и не компьютерные. К примеру, счета за телефонные звонки или SMS-сообщения, которых в действительности не было. Это может говорить о том, что на компьютере или в мобильном телефоне завёлся "телефонный троянец". Если зафиксированы случаи несанкционированного доступа к личному банковскому счёту или факты эксплуатации кредитной карты, то это может оказаться сигналом о шпионской программе, внедрённой в систему.
Рекомендуемые действия
Вероятно, что устарел набор антивирусных баз - требуется скачать последние обновления и проверить компьютер. Если это не помогло, вероятно, то, помогут антивирусы от иных изготовителей. Больше всего известных антивирусных фирм выпускают бесплатные версии своих продуктов (пробные версии или одноразовые "чистильщики") - рекомендуется воспользоваться этой услугой. Если вирус или троянская утилита обнаружена иным антивирусом - так или иначе зараженный файл нужно отправить разработчику того антивируса, который его не определил. Это поможет более оперативно прибавить его в обновления и защитить от заражения иных пользователей этого антивируса.
Если ничего не обнаружено, то, до того как приступить к поиску зараженного файла, рекомендуется физически выключить компьютер от интернета или от локальной сети, если он был к ней подключен, отключить Wi-Fi-адаптер и модем (если они есть). В последующем пользоваться сетью лишь в случае крайней потребности. Ни за что не пользоваться системами интернет-платежей и банковскими интернет-сервисами. Избегать обращения к персональным и любым конфиденциальным данным, не пользоваться интернет-службами, для доступа к которым требуется ввести логин и пароль.
Как отыскать заражённый файл
Обнаружение вируса или троянской утилиты на компьютере бывает как задачей непростой, требующей высокой квалификации, так и довольно обыкновенной - в зависимости от сложности вируса или троянца, от методов, которые применяются для скрытия вредоносного кода в системе. В "тяжелых ситуациях", когда применяются особые методы маскировки и скрытия зараженного кода в системе (к примеру, эксплойт-технологии), непрофессионалу отыскать зараженный файл не представляется возможным. Эта задача потребует специальных утилит, вероятно - подключения жесткого диска к другому компьютеру или загрузки системы с CD-диска. Если же встретился обыкновенный червь или троянская утилита, то отыскать её временами возможно довольно простыми способами.
Абсолютное больше всего червей и троянских программ обязаны приобретать управление при старте системы. Для этого в большей части случаев применяются 2 главных метода:
запись ссылки на зараженный файл в ключи автозапуска системного реестра Windows;
копирование файла в каталог автозапуска Windows.
Максимально "популярные" каталоги автозапуска в Windows 2000 и XP следующие:
\%Documents and Settings%\%user name%\Start Menu\Programs\Startup\
\%Documents and Settings%\All Users\Start Menu\Programs\Startup\
Если в таких каталогах обнаружены подозрительные файлы, то их рекомендуется незамедлительно отправить в компанию-разработчика антивируса с описанием трудности.
Ключей автозапуска в системном реестре довольно немало, максимально "популярные" из них ключи Run, RUNSERVICE, RUNONCE и RUNSERVICEONCE в ветках реестра:
[HKEY_LOCAL_MACHINE\SOFTWARE\Майкрософт\Windows\CURRENTVERSION\]
[HKEY_CURRENT_USER\SOFTWARE\Майкрософт\Windows\CURRENTVERSION\]
Скорее всего там будут обнаружены несколько ключей с малоговорящими названиями и пути к соответствующим файлам. Особое внимание нужно обратить на файлы, расположенные в системном или корневом каталоге Windows. Требуется запомнить их наименование, это пригодится при дальнейшем анализе.
Тоже "популярна" запись в следующий ключ:
[HKEY_CLASSES_ROOT\exefile\shell\open\command\]
Изначально в данном ключе стоит значение "%1" %*".
Максимально удобным местом для размещения червей и троянцев являются системный (system, system32) и корневой каталог Windows. Связано это с тем, что, в первую очередь, изначально показ содержимого таких каталогов в Explorer отключен. А во-вторых, там уже располагается большое количество разных системных файлов, назначение которых для рядового пользователя совершенно неизвестно, да и опытному пользователю понять - ли файл с именем winkrnl386.exe частью операционной системы или чем-то чужеродным - вполне проблематично.
Рекомендуется воспользоваться любым файловым менеджером с возможностью сортировки файлов по дате создания и модификации и отсортировать файлы в указанных каталогах. В итоге все не слишком давно измененные и созданные файлы будут показаны наверху каталога, и именно они будут представлять интерес. Наличие из них файлов, которые уже встречались в ключах автозапуска, - первое тревожным звонком.
Более опытные пользователи могут к тому же проверить открытые сетевые порты с помощью стандартной программы netstat. Рекомендуется к тому же поставить сетевой экран и проверить процессы, ведущие сетевую активность. К тому же рекомендуется проверить перечень активных процессов, при этом пользоваться не стандартными средствами Windows, а специализированными утилитами с расширенными возможностями - многие троянские утилиты успешно маскируются от штатных утилит Windows.
P.S. Один раз данные действия мне помогли, но ничто не стоит на месте, появляются всё новые "гадости" на просторах инета, так что борьба продолжается.
Однако универсальных советов на все случаи жизни нету. Нередко приходится иметь дело с технически "продвинутыми" червями и троянскими программами, вычислить которых не так просто. В этом случае требуется обратиться за помощью или в службу технической помощи антивирусной компании, защита от которой поставлена на компьютере, или в одну из фирм, специализирующихся на компьютерной поддержки, или попросить поддержки на соответствующих интернет-форумах. К подобным ресурсам возможно отнести русскоязычные www.virusinfo.info и anti-malware.ru, и англоязычные www.rootkit.com и www.gmer.net. К слову, такие форумы, специализирующиеся на поддержки пользователям, есть и у массы антивирусных фирм.
Пост создан под впечатлением от статьи на http://www.securelist.com/
Комментариев нет:
Отправить комментарий