Malware. Wykrywanie/kasacja/ochrona
 

Spis treści.
1) Malware
2)Jak można się zarazić?
3) Rodzaje malware
4) Wykrywanie
5) Kasacja
6) Ochrona przed malware
7) Skanery on-line
8) Zakończenie
________________________
________________________

Malware
Malware jest to oprogramowanie które zostało stworzone i zaprojektowane w celu wykradania poufnych informacji typu hasła i informacji o abonencie, jak również kasowania informacji, zawartej na dyskach twardych i czytnikach pamięci. Służy również do przeprowadzania tzw. ataków Ddos poprzez tworzenie sieci z komputerami zombie. Malware może być także używany do roznoszenia równego spamu poprzez pocztę jak i programy komunikacyjne.

Jak można się zarazić?
Jak każdy wirus, malware może zostać przenoszony poprzez manualne działanie użytkownika, lub poprzez skrypty zawarte na stronie lub użyte w programie. Jednak wszystko sprowadza się do jednego - nieuwagi użytkownika komputera. By uchronić się przed zarażeniem, należy unikać każdej podejrzanej strony do której jesteśmy namawiani, by wejść. Każdy spam który otrzymujemy, poprzez pocztę lub program do obsługi poczty elektronicznej, powinien być usuwany. Czasami samo wejście w wiadomość jest równoznaczna z zarażeniem (przykładem może być nieskonfigurowany program microsoft outlook)

Rodzaje malware
- Robaki - Są to programy roznoszone poprzez pocztę elektroniczną i komunikatory. W swojej budowie zawierają złośliwy kod, który służy najczęściej do przejęcia zdalnej kontroli nad komputerem i wykorzystania go do różnego rodzaju ataków.

- Konie trojańskie - Nazwa pochodzi od mitologicznego konia, który w środku, zawierał niebezpieczeństwo (to tak w łopatologicznym skrócie ;) ). Konie trojańskie podszywają się, lub podpinają pod inne aplikacje, by zainstalowane na komputerze przenieść jeden ze złośliwych kodów.

- Bomby logiczne - dokładniej są to skrypty, które uruchamiają się w odpowiednim czasie, bądź po uprzednim wykonaniu jakiejś akcji. W budowie są podobne do konia trojańskiego

- Spyware - Jest to skrypt szpiegujący, który zbiera różne informacje na temat użytkownika np. Hasła dostępu do kont bankowych, poczte elektroniczną jak również loginy. Najczęściej występuje zaimplementowany (wbudowany) w inny złośliwy program np keyloggery, który pobrane informacje zapisuje do konkretnej lokalizacji

- Dialery - jeden z najstarszych i w aktualnych czasach mało niebezpieczny złośliwy skrypt. Jego działanie polega na potajemnym łączeniu się z numerami, których koszt wynosi od kilku do kilkunastu złotych za minutę połączenia. Najczęściej występuje on na stronach z erotyką. Napisałem że jest najmniej niebezpieczny, ponieważ osób, które używają modemów (użytkownicy neostrady mogą być bezpieczni - nie działają dialery) jest już nikła część.

- Backdoor - Jest to umyślne pozostawienie tzw tylnych drzwi do komputera ofiary. Dość często umieszczany jest w programach freeware jak i komercyjnych aplikacjach

- Rootkit - Skrypt, który przechowuje informacje na temat aplikacji uruchomionych w tle (inaczej: procesów) oraz plików, które posłużą do włamania do komputera.

- Keylogger - Chyba jedyny typ malware, który możemy spotkać na tym forum. jego działanie polega na pobieraniu informacji wpisanych przez użytkownika z klawiatury, następnie przetworzenie ich i zapisanie do pliku, bądź wysyłane są automatyczne na wskazany adres. Najczęściej tworzone są pod konkretne procesy, by niepotrzebne informacje nie były przechwytywane.


Wykrywanie
Po czym rozpoznać, że twój komputer zawiera złośliwe programy?:

-Komputer zwalnia swoją prace pomimo uruchomienia niewielu programów.
-Pojawiają się nieznane procesy systemowe.
-W rejestrze pojawiają się nieznane wpisy
-Często pojawiają się nieznane pliki lub foldery, które posiadają rozszerzenie
-Porty komputera, mimo braku interwencji ze strony użytkownika są pootwierane
-Uruchamiają się programy, które użytkownik nie włączał (np internet explorer)

Kasacja
No i zjawiamy się w najtrudniejszym punkcie. Często, by pozbyć się oprogramowania typu malware, wystarczy najzwyklejszy antywirus. Jednak nowoczesne robaki posiadają bardziej skomplikowaną budowę. Często nowsze wersje tego oprogramowania są tworzone sposobem który w informatyce nazywa się heurystyką. na tej podstawie działa większość antywirusów. Heurystyka, jest to poszukiwanie powiązań między skryptami oraz algorytmami, by móc przyrównać je do istniejących.

Lista zadań potrzebnych, by pozbyć się malware:

-Skanowanie
Na początku, należy przeskanować komputer dostępnym programem antywirusowym. (wersje darmowe, które można pobrać z internetu i które polecam: Avira antyvirus, Avast. Z wersji komercyjnych najlepszym rozwiązaniem jest Kaspersky Antivirus lub NOD32) jeżeli zależy komuś na kompleksowej ochronie, warto zainwestować w pakiet Internet security

-Wynik skanowania.
Jeżeli zostały wykryte złośliwe oprogramowanie mogą zostać wykonane następujące rzeczy
*Usunięcie - plik zostaje usunięty z naszego komputera
*kwarantanna - plik zostaje zachowany na dysku, jednak zastopowane jest jego działanie oraz powiązania z innymi plikami (plik można przywrócić)
*Ignorowanie - plik zostaje pominięty przez skaner

To trzy najważniejsze działania, jakie może wykonać użytkownik. Jednak polecam zawsze usuwać niechciane pliki, bo nawet jeśli zostanie usunięty ważny plik systemowy, można go przywrócić z płyty startowej, lecz plusem tego jest fakt, że pozbywamy się wirusa.

Jeżeli plik nie może zostać usunięty, należy spróbować uruchomić system w trybie awaryjnym, oraz ponownie przeskanować komputer. W tym trybie, uruchomione są tylko najważniejsze procesy systemowe, co ułatwia usunięcie niechcianych programów.

-Kolejny skan ;)
Używamy darmowego programu ComboFix bądź HiJackThis
są to programy, które usuwają zbędne wpisy w rejestrach (na przykład po uprzednim usunięciu wirusa) oraz wyłącza nieznane procesy.

Jeżeli temat się przyjmie, stworzę osobny temat, w którym będziecie mogli wklejać logi z tych programów, bym mógł je przejrzeć i powiedzieć co jest nie tak.

-Skanowanie SpyBotem

używając programu Spybot Search&Destroy, można pozbyć się wszelkiej maści reklamiarzy, robaków, dialerów oraz pomniejszych aplikacji, których nie wykrywa rozbudowany antywirus (jeżeli będzie trzeba zamieszczę tutaj intrukcję obsługi)

Po tych czynnościach twój komputer powinien zostać "odkażony" i gotowy do pracy.

Ochrona przed malware
Teraz napisze kilka skutecznych rad które pewnie wszyscy znają, ale rzadko z nich korzystają ;)

-Myślenie -
chyba najważniejsza rzecz, podczas buszowania po internecie. Często odwiedzając niektóre strony, automatycznie zarażamy się zainfekowanymi aplikacjami.

-Używanie innej przeglądarki niż Internet Explorer -
Pomimo tego, że w wersji 7.0 została naprawiona dziura, która była wykorzystywana do przejmowania kontroli nad komputerem, IE nadal wypada najgorzej na scenie przeglądarek.
Polecam:
Mozille Firefox,
Opera,
Maxthon.

- Posiadanie programu typu anty-spyware -
Posiadanie takiego programu uważam za konieczność, ponieważ zapewnia on dodatkową ochronę w czasie rzeczywistym (o ile zostanie włączona ochrona) i nie zajmuje zbyt dużo pamięci operacyjnej
*Ad-aware - program którego sam używam, i nie mam powodu do narzekania (freeware)
*Windows Defender - Program polecony przez użytkownika tego forum. Z informacji, które wydobyłem z internetu, doszedłem do wniosku, że jest to obiecujący program. Do zachęty może namawiać fakt, iż jest całkowicie darmowy


- Częste skanowanie -
pomimo tego, że traci się dużo czasu na to, mamy pewność że nasz komputer jest czysty i nikt nie wykradnie żadnych informacji.

- Unikanie podejrzanych stron oraz pornografii -
Może i dziwna rada, ale skuteczna. Nie wchodźcie na żadne strony na polskich serwerach ponieważ roi się w nich od przeróżnej maści keyloggerów. Strony pornograficzne, mimo że oficjalne, również zawierają zaimplementowane skrypty uruchamiające aplikacje zawarte na stronie.

Skanery On-line
www.virustotal.com/
http://www.kaspersky.pl/virusscanner.html
http://www.pandasoftware.com/actives..._principal.htm
http://security.symantec.com/sscv6/WelcomePage.asp
http://www.arcabit.pl/content/view/124/145/lang,polish/
http://support.f-secure.com/enu/home/ols.shtml

lista skanerów online pobrana z http://programy.57.pl/skanery,on-line.php

Zakończenie

Poradnik nie zawiera zdjęć, ponieważ nie jest to fotobook ale poradnik jak chronić komputer. jeżeli użytkownicy tego forum będą na to narzekać, wrzucę screeny skanerów oraz kurs obsługi.

Prostota w kolorach jest po to, aby łatwo się czytało. wytłuściłem i pokolorowałem adnotacje.

Informacje zawarte w poradniku wziąłem z głowy. Jestem na 3 roku technikum informatycznego, ale w komputerach siedzę już od przysłowiowego bajtla ;p Wszelkie podobieństwa do informacji zawartych w innych tego typu poradnikach lub informacjach na stronach internetowych są nieumyślne.

Pozdrawiam

Świetny poradnik, ładnie napisany, na pewno się przyda ;)

Tylko czy przyda się każdemu... Bo znając życie, to i tak różni Maciusie lat 10 wchodzą/pobierają wszystko co się da, a potem dopiero myślą.
Ale cóż, oby przynajmniej większości przydał się ów poradnik. ; )

Nic nie jest idealne :P 9,25/10

Noo ładnie ładnie na pewno się przyda :)
zaraz widać że Jeremu się na praktach nudzi ^^

Mile zaskoczony. Myślałem ,że to będzie kolejny shit a tu proszę. Dawno tak dobrego poradnika tutaj nie było. Jestem za przeniesieniem oczywiście jeśli nie jest to plagiat.

No i jerrry wziął się w końcu do czegoś pożytecznego zamiast wszystkich opie****ać na forum :P. Poradnik fajny :P. Masz zamiar studiować informatykę? :P

Pozdro jerrry xD.

Tak. mam zamiar studiować informatykę.

Jeżeli ktoś ma jeszcze jakieś obiekcje na temat ów poradnika to prosze o wypisanie mi ich. poprawie, ew. dopisze.

Poradnik nie jest plagiatem.

no jerrry postarałeś się :P

Aczkolwiek ja bym z listy polecanych anty wirusów usunął avasta - wystarczy 1 skrypt, i avast off. A po 2-gie - baardzo niska wykrywalność. (w przyszłości nie polecaj darmowych anti-virów)

Co do komercyjnych, to nie opłaca się kupować samego anti-virusa - najlepiej zakupić lub (...) pakiet Total Care lub Internet Security.

Do komercyjnych, możesz dodać również G-Data TotalCare oraz Internet Security.

Jeśli chodzi o wykrywalność malware, to oprócz podstawowego zabezpieczenia (Pakiet IS/TC), należy również mieć specjalny program, który został stworzony do usuwania tego świństwa - na szczególną uwagę zasługuje program a-squared anti-malware - Najlepsza wykrywalność malware;

Oczywiście oprócz tego, należy mieć co najmniej 2 programy anty-spyware - tutaj na uwagę zasługuje windows defender oraz Ad-Aware;

Oczywiście poza tymi wszystkimi programami, warto w ustawieniach firewalla zablokować wszystkie porty z których nie korzystamy - zawsze możemy je otworzyć, a często malware wykorzystuje mało lub w ogóle nie używane porty;

No i oczywiście, przynajmniej 2x w tygodniu pełne/deep/full skanowanie całego komputera każdą z aplikacji (razem z 3-5 (oczywiście po kolei))

Myślę, że po zainstalowaniu wyżej wymienionych aplikacji i zamknięciu portów, możemy w miarę się czuć bezpiecznie - Oczywiście zawsze musimy mieć troszkę rozumu i rozwagi :)

ps. Nie zapominajmy, że te wszystkie aplikacje (pakeit IS/TC, anti-malware oraz anti-spyware) wzajemnie się uzupełniają, dając kompletną ochronę.

@jerry

powinieneś poradnik zaktualizować wg. moich wskazówek :) :baby:


jak coś mi jeszcze do łebka wpadnie to dopiszę :P

@edit

w sumie na początku tego nie zauważyłem :P

Do rodzaju malware powinieneś jeszcze dopisać:

1. Backdoor
2. Adware (i wszystkie jego odmiany, tj. stealware, parasiteware)
3. Expliot
4. Rootkit
5. Keylogger (najpopularniejszy na tym forum :P )

Nie musisz pisać dokładniej definicji, wystarczy wymienić

*Windows Defender - Program polecony przez użytkownika tego forum. Z informacji, które wydobyłem z internetu, doszedłem do wniosku, że jest to obiecujący program. Do zachęty może namawiać fakt, iż jest całkowicie darmowy

BŁAHAHAHAH... :] Niezle żarty

nie do konca, on je ukrywa modyfikujac jadro os

maxthon jest na podstawie ie, posiada tez jego bledy

to czym tak namietnie spamuja tutaj script kiddie ma malo wspolnego z keyloggerem

@2^945 av/a-spy etc
instalowanie paru takich aplikacji przynosi wiecej szkody niz pozytku. nie dosc ze zmula system to jeszcze potrafi nawzajem sie zwalczac i przeszkadzac wzajemnie.

duzo wszystkiego czyli prawie nic konkretnego.

"*Windows Defender - Program polecony przez użytkownika tego forum. Z informacji, które wydobyłem z internetu, doszedłem do wniosku, że jest to obiecujący program. Do zachęty może namawiać fakt, iż jest całkowicie darmowy"

Tak obiecujacy jak calkowicie darmowy Avast ktorego wiekszosc z was uzywa:baby:

Ładny poradnik 10/10 :) dzięki wielkie

Agnitum Outpost Firewall Pro + Avast Professional Edition + Firefox

I ręczę głową, że nic się nie prześliźnie niezauważone.
Ponad połowa wszystkich "zarażeń" wirusami jest z bezpośredniej winy użytkowników, trzeba patrzeć gdzie się klika. I najlepsza rada - im mniej programów zainstalowanych tym lepiej - mniej dziur w systemie. A do sprzątania rutynowego polecam darmowy program CCleaner.

Poradnik bardzo dobry.

@up
Nie ma to jak wydawac kase na avast profesjonal zamiast kupic nortona 2009 albo noda :D

Jeśli juz miałbym kupowac to byłby Kaspersky, a to po prostu mam i nie musisz wiedzieć skąd:evul:

Tak czy siak dla przeciętnego internauty poradnik b. dobry i o tym jest ten temat;)

Dzięk za wspaniały poradnik 11/10 Wszystko jest ładnie wytłumaczone itp itd etc. Nic tylko pogratulowac .... .... GŁUPOTY ^^

Fajny poradniczek dla tych, którzy są gorzej zaznajomieni w tematyce ale mam kilka uwag, które mogą się przydać:

1. ComboFix - nie powinieneś polecać w temacie programu, który jest naprawdę potężnym narzędziem i może wyrządzić w systemie wiele szkód niedoświadczonym użytkownikom. Sam używam go w przypadku poważniejszych infekcji jednak jestem świadomy jego działania i tego, że może doprowadzić do trwałych zmian w moim systemie na które poradzi jedynie ponowna instalacja oprogramowania. ComboFix często jest polecany do użytku jednak pod czujnym okiem ekspertów, którzy takie użycie zlecają a zwykle logi generowane przez program służą następnym określonym zabiegom. Dodaj proszę notkę o tym programie do swojego poradnika.

2. "-Często pojawiają się nieznane pliki lub foldery, które posiadają rozszerzenie" - każdy plik w systmie Windows posiada rozszerzenie ;p Dopisz, że zwykle keyloggery i trojany przenoszone są w plikach z rozszerzeniem *.src lub wykonywalnych plikach (exe)

3. Jak już ktoś wspomniał proponowanie darmowego Avasta jako alternatywy innych programów do wykrywania zagrożenia to mijanie się z celem. Darmowa Avira jeszcze daje radę, podobnie jak inne pakiety antywirusowe zawierające w swoich standardach firewalle, wykrywanie malware, oferujące ochronę 24/7 i pewnie jeszcze pełniące funkcje automatu do kawy ;p Odradzam stosowanie takich mixów, a wpisał bym do zestawu uznany program Malwarebytes Anti-Malware, który w swojej darmowej wersji ma naprawdę świetną wykrywalność jak i ochronę. Nawet licencja, która kosztuje około 100zł na jeden komputer a oferuje już pełną dożywotnią ochronę komputera jest warta uwagi. Osobiście dodam, że program ten wiele razy pomógł mi w usunięciu złośliwych plików i naprawdę jest godny polecenia.

4. Firewall. Nie napisałeś nic o konkretnym firewallu, który często może być naszą ostatnią deską ratunku. Tutaj także nie mam na myśli programów, które blokują wszystko co może korzystać z internetu w naszym systemie, ale konkretne propozycje, które mogą często nas uratować przed hackiem. Osobiście polecam program Sygate Personal Firewall Pro, który mimo że jakiś czas temu stracił już wsparcie a na systemach Windows 7 może powodować pewne problemy w postaci odmowy współpracy, to jednak w systemie Windows XP sprawdza się znakomicie. Po instalacji, pozostaje kwestia ustawienia jakie programy mogą łączyć się z internetem o których program automatycznie nas informuje podając docelowy serwer w postaci IP jak i nazwy a także inne dane.

Taka ciekawostka:
Kiedyś uratował mnie ten firewall przed pewnym hackiem gdy to z własnej głupoty ściągnąłem na PC jakiegoś keyloggera i po wpisaniu passów do tibii i naciśnięciu enter wymonitował mi że zewnętrzny program próbował wysłać pakiet do podanego serwera. Mało że podał IP to jeszcze z nazwy wyczytałem jakąś stronę dotyczącą botów właśnie do tibii. Oczywiście miałem możliwość zablokować program i odrazu zareagować co uchroniło mnie przed atakiem hackera. Dlatego polecam dopisać coś w poradnikach o firewallach :)

Moja ocena: 7,5/10. Jak poprawisz kilka kwestii to z czystym sumieniem będzie 9/10 (jako, że nie można dać idealnej oceny z względów oczywistych) :)