Kompiuteryje įdiegta Microsoft operacinė sistema dažnai gali „užsikrėsti“ kenkėjiškomis programomis. Jų yra labai daug ir kiekviena iš jų sukurta tam tikram tikslui. Kenkėjiškų programų tikslas prasibrauti į kompiuterį, pro pagrindinį sargybinį – antivirusą.

Kadangi, naujai ir kokybiškai sukurtą kenkėjišką programą dažniausiai (arba net visada) praleis antivirusas, nes jis dar neturi duomenų bazėje įrašo – tai būtų naivu tikėti jog antivirusas gali sulaikyti 90% kenkėjų. Kur tada dingo heuristinė analizė, kuria mes pasitikime, ir be to kaip su antivirusinių testais? Ar gi testai už save nekalba?

Heuristinė analizė tai programos savybė įtarti jog pasileidęs procesas elgiasi įtariai. Tai padės apsisaugoti nuo tokios kenkėjiškos programinės įrangos, kuri sukurta, kad pademonstruotų savo veikimą užkrėstame kompiuteryje. Ne vieną kartą teko valyti kompiuterius, kurie buvo užsikrėtę tokiais virusais, kuriuos norėčiau pavadinti „show“ tipo virusais, juos rasdavo būtent antivirusinėje programoje aktyvuotas heuristinės analizės procesas. Bet kas iš to? Čia ir aklas galėtų užuosti apie kompiuteryje tūnantį virusą – atsiranda darbalaukyje nuorodos į porno puslapius, procesorius apkrautas vos ne 100%, vietoje google paieškos rodomas kitas paieškos puslapis, atsiradusios keistos naujos antivirusinės pradeda savaime skenuoti kompiuterį ir radusios menamą virusą pasiūlo išvalyti tik susimokėjus ir t.t.

Heuristinė analizė padeda aptikti keistai besielgiančias programas, tik gaila kad programišiai apie tai irgi žino, todėl kenkėjiškos programos kuriamos taip jog įtarimų šešėlis kristų kuo mažesnis. Paskutiniu metu tikrinant kompiuterių darbą (o jų yra virš 300) susidaro tokia nuomonė jog antivirusinių programų heuristinei analizei reiktų tobulėti, nes užsikrėtimų yra daug, o ši analizė mažai kuo ir pagelbsti. Aišku rašau ne apie vieną antvirusinę programą, nes teko jų daugiau išbandyti, bet kai kurios, mano manymu, nevertai nešioja antiviruso vardą.

O kaip su testais? Geriausia antivirusinė, kuri laimėjo testus! Galbūt geriausias automobilis, kuris laimėjo lenktynes (ar vairuotojas)? Galbūt protingiausias žmogus, kuris įsigijo daktaro laipsnį? Naivu taip būtų mąstyti, nes testai objektyviai negali parodyti antiviruso kokybės. Sutinku, kad dalinai testas gali padėti nustatyti antiviruso vertę, bet tik dalinai. Testuose pateikiami seni virusai, kuriuos antivirusinės programos turi surasti. Kodėl seni? Todėl, kad nauji virusai mums dar nežinomi. Antivirusas, kurio duomenų bazėje yra mažiau suvesta virusų parašų – dažniausiai jis ir pralaimi. Tai gi kartais patikrinus atntivirusinių kompanijų tinklapiuose skelbiamą informaciją apie antiviruso atpažįstamą virusų parašų skaičių – galima nuspėti kokia antivirusinė gali laimėti testus.

Be to testuose svarbu ne tik seno viruso radimas, bet ir antivirusinės programos greitis, resursų naudojimas, kartais ir valdymo patogumas ir t.t. Rasti kenkėjišką programą nurodytame kataloge yra lengviau, nei tą pačią programą išvalyti iš kompiuterio. Dažnai būna taip, jog kompiuteris užsikrečia kenkėjiška programa ir ją atranda antivirusas, bet jis nepajėgia viruso išvalyti su „šaknimis“. Kartais tenka kompiuterį paleisti saugiu režimu, kad būtų galima pilnai išvalyti virusą, bet teko patirtį atvejų, kai virusą pilnai išvalydavo tik atsisiųstas įrankis konkrečiam virusui šalinti.

Taigi, antivirusinė surinkusi 99% testo rezultatų neįrodo jog yra patikimiausia. Galbūt įdiegta kompiuteryje ji atpažins 99% virusų, bet kaip ji elgsis, kai virusas bus aktyvuojamas? Kai kurios išgirtos antivirusinės programos (tame tarpe ir Nod32) puikiai surasdavo kenkėjiškas programas įvairiose bylose, atmintinėse, bet tai pačiai programai pasileidus, kažkodėl tai „užsimerkdavo“ ir „atsibusdavo“ virusui pilnai įlindus į sistemą. Tais atvejais būdavo pranešama jog kompiuteryje yra virusas, bet bandant išnaikinti programa mandagiai atsiprašydavo, o saugus režimas (Safe Mode) mažai padėdavo.

Ir svarbiausia – kaip su naujais virusais? Jie nerandami iki tol, kol išeina „parašas“ arba retais momentais – pranešama apie kažką įtartino. Susumuokime rezultatus ir pamatysime ką turime – procentai bus žymiai nukritę.

Rimta kenkėjiška programa kuriama taip, kad jos niekas nepastebėtų. Tad jeigu kompiuteryje yra antivirusinė programa, dar nereiškia, kad virusas bus greitai aptiktas.

Kaip aptikti kenkėjus?

Vienpusiškai būtų sunku ir atsakyti, nes yra įvairiausių būdų, kaip programa gali veikti. Tiesiog reiktų išbandyti įvairius tikrinimo variantus.

Keistos nuorodos

Jeigu darbalaukyje atsirado keistų nuorodų į tinklapius, kurių jūs neįkėlėte – galimas atvejis jog tai padarė kenkėjiška programa.

Naršyklės užduočių juostos

Kai kuriuos Panevėžio kolegijos darbuotojus tenka gelbėti nuo naršyklėje atsiradusių nesuskaitomos daugybės užduočių juostų (toolbar), per kurias jie nebegali matyti net trečdalio tinklapio vaizdo. Yra užduočių juostos ir gerai žinomų kompanijų (Google, Yahoo), kurios skirtos palengvinti darbą vartotojui, bet yra ir kitų, kurios veikia kaip šnipai bei nukreipinėja į savo tinklapius. Kai kuriuos duomenis gali rinkti ir Google įrankių juosta, bet kenkėjiškų programų įrankiai surinks duomenis, kad galėtų juos panaudoti kenkėjiškai veiklai (slaptažodžius panaudos įsibrauti į el. paštą ir surinkti draugų adresus).

Blokuojami antivirusinių programų tinklapiai

Jeigu tinklapiai atidaromi, išskyrus antivirusinių programų tinklapius – vadinasi kompiuteris užkrėstas kenkėjiška programa. Tokia programa dažniausiai įrašo rekšmes į hosts bylą (%SystemRoot%\system32\drivers\etc\). Surinkus antivirusinės programos adresą – pirmiausiai patikrinami hosts byloje esantys įrašai, o tik paskui kreipiamasi į DNS serverius, ir jeigu įrašas egzistuoja – atveriamas tas tinklapis, kurio IP adresas įrašytas hosts byloje. Ištrinus virusą, tokius adresus reiktų pašalinti iš hosts bylos.

Bylos su keistais pavadinimais

Kai kurios kenkėjiškos programos įrašo bylas į šakninį C:\ disko katalogą, Startup katalogą, System32 katalogą. Bylos ne tik įrašomos, bet jos paslepiamos ir pakeičiamas registras taip, jog nustatę rodyti paslėptas bylas – šios nebus rodomos. Aš peržiūrai naudoju archyvavimo programą 7-zip, nors galima tikrinti ir kitomis programomis. Tik svarbu, kad programa bylų tikrinimui nesinaudotų registrų nuostatomis. Būtent ši programa aplenkia registrą ir teisingai parodo visas paslėptas bylas.

Ko ieškome? Kaip minėjau – ieškome bylų keistais pavadinimais. Pavyzdžiui 3fgfsfsg.exe, asd456c.bat, system321.exe, rundl.exe, rt73isM.exe ir pan. Pirmiausiai reikia žinoti kaip atrodo standartinės bylos, nes kitų atvejų sunku bus nustatyti, kuri byla tikra: ar rundl32.exe, ar rundll32.exe. Jeigu radote įtartiną bylą – ją skenuokite www.virustotal.com tinklapyje. Jeigu rastas virusas – internete suraskite informaciją apie šį virusą ir jo pašalinimo įrankius ir virusą pašalinkite. Bylos šalinti neskubėkite, nes ji po kelių sekundžių bus vėl sukurta. Kadangi virusas pasileidęs – jis pastoviai pasitikrina ar jam svarbios bylos nėra pašalintos.

Bylos be parašų

Kompiuteryje esančios sisteminės bylos dažniausiai turi „ženklą“ – gamintojo pavadinimą ir parašą arba pastabą. Kenkėjiškos programos praktiškai neturi šių ženklų todėl gali būti aptinkamos tikrinant gamintojo pavadinimą ir pastabą (description). Kai kurios sisteminės bylos, taip pat gali būti be šių atributų, todėl reiktų elgtis atsargiai. Pasileidę (Safe Mode režimu) Autoruns programą patikriname visas paleistas bylas. Jeigu bylos pavadinimas yra keistų pavadinimų, be gamintojo vardo ir pastabos – galime nuskenuoti www.virustotal.com tinklapyje. Jeigu rastas virusas – Autoruns programos pagalba ją pašaliname. Jeigu Autoruns programa paleista ne saugiu režimu (Safe Mode) po kelių sekundžių byla vėl gal atsirasti toje pačioje vietoje.

Procesų analizė

Yra kenkėjiškų programų, kurios stipriai apkrauna procesoriaus darbą. Tokiu būdu atrandamas procesas, kuris labiausiai apkrauna procesorių ir išjungiamas. Paprasčiausiai tai galima padaryti „Task Manager“ programos pagalba, kurią galima pasileisti Ctrl+Shift+Esc klavišų kombinacijos pagalba. Protingesnės kenkėjiškos programos procesoriaus neapkrauna, todėl galima net ir ilgai nepastebėti esančio viruso. Jeigu viruso tikslas vogti vartotojo slaptažodžius – jis dirbs tyliai, ir atsargiai. Būna tokių atvejų, kad vartotojas giriasi, jog pas jį nėra ir nebuvo virusų. Užtenka pertikrinti kompiuterį ir surandi kenkėjiškas programas, kurios įsidiegę prieš pusę metų ar metus laiko.

Kad kenkėjiška programa veiktų – būtinas procesas. Jį išjungus – programa išsijungia (laikinai, kitą kartą gali pasileisti iš registrų). Bet ne visi kenkėjiškų programų procesai matomi „Task Manager“ programos pagalba. Kai kurie maskuojasi už pagrindinių procesų, tokių kaip svchost.exe. Išjungus šį procesą gali persikrauti kompiuteris, o kai kurių procesų nepavyks išjungti nes jie būtini sistemai. Tokiu atveju reiktu atsisiųsti treičiųjų šalių programinę įrangą, kuri rodytų ir tuos procesus, kurie slepiasi už pagrindinių. Šiame tinklapyje galima išsirinkti vieną iš siūlomų programų ir susiradus jos gamintoją internete – atsisiųsti. Aš kartais pasinaudodavau System Explorer programa.

Process Monitor programos pagalba galima stebėti realiuoju laiku vykstantį procesų aktyvumą.

Tinklo statistika

Kompiuterio veikla tinkle taip pat svarbus rodiklis, padedantis atrasti kenkėjiškas programas. Išjungiame Skype, uTorrent ir kitas tinkle dirbančias programas ir paleidžiame per Run eilutę cmd, o pasirodžius komandine eilutei įvedame komandą NETSTAT. Ši komanda parodys kas vyksta tinkle. Jeigu kompiuteryje išjungtos visos tinklo programos, bet komanda NETSTAT fiksuoja prisijungimus prie nežinomų serverių – reiktų išsiaškinti, kodėl tai vyksta. Šiuos prisijungimus gali atlikti ir jūsų kompiuterio antivirusinės programos atnaujinimo modulis, pasileisti Microsoft atnaujinimai, bet taip pat gali iš jūsų kompiuterio jungtis kenkėjiška programa į vieną ar net kelis šimtus serverių. Reiktų tikrinti ip adresus, prievadus, į kuriuos jungiamasi. Tokiu būdu taip pat galima aptikti kai kuriuos virusus.

Audrius Valinskas,
Panevėžio kolegijos IT centro tinklaraštis

Komentarai (33)