ROBAKI I INNE KOMPUTEROWE PASKUDZTWA

Zawartość:

OBJAWY 3

DIAGNOZA I PRZYCZYNY 3

LECZENIE 5

1. Wyklucz problemy z dyskiem (ilością wolnego miejsca). 6

2. Sprawdź zainstalowane programy. 7

3. Utwórz dodatkowe konto z prawami administratora. 7

4. Eliminujemy wirusy. 7

5. Wirusy to nie wszystko. 8

6. Szpiedzy są wszędzie. 8

7. Rejestr systemu – ostatnia deska ratunku. 9

8. Nie wszystko jest takie kolorowe. 9

9. Nic na siłę, weź większy młotek. 10

10. Nie pomogło ??? 10

PROFILAKTYKA 10

OBJAWY

- komputer działa w sposób uniemożliwiający normalną pracę.

- bardzo długo ładują się ustawienia osobiste

- ikony na pulpicie pojawiają się z opóźnieniem

- komputer zawiesza się co jakiś czas

- przy korzystaniu z przeglądarki internetowej pojawiają sią reklamy

DIAGNOZA I PRZYCZYNY

Wymienione przez użytkownika objawy wskazują iż na komputerze zostało zainstalowane (świadomie, lub nieświadomie) oprogramowanie typu „malware”. Malware określane jest w języku polskim jako „szkodliwe oprogramowanie” - malware (z ang. malicious software). Można do niego zaliczyć wszelkie aplikacje, skrypty itp. mające szkodliwe, przestępcze lub złośliwe działanie w stosunku do użytkownika komputera. Oprogramowanie takie najczęściej instalowane jest bez wiedzy i zgody użytkownika, jednak w niektórych przypadkach sam użytkownik instaluje takie oprogramowanie licząc na zarobek lub informowanie go na bieżąco o jakimś temacie. Nie zdaje sobie równocześnie sprawy, że instalowane oprogramowanie będzie znacznie obciążało komputer, a z czasem może doprowadzić do sytuacji opisanej w objawach.

Do złośliwego oprogramowania należą:

W irus – program lub fragment wrogiego wykonalnego kodu, który dołącza się, nadpisuje lub zamienia inny program w celu reprodukcji samego siebie bez zgody użytkownika. Ze względu na różne rodzaje infekcji wirusy dzielą się na:

• wirusy gnieżdżące się w sektorze rozruchowym twardego dysku (ang. boot sector viruses),

• wirusy pasożytnicze (ang. parasitic viruses),

• wirusy wieloczęściowe (ang. multi-partite viruses),

• wirusy towarzyszące (ang. companion viruses),

• makrowirusy (ang. macro viruses).

Robaki (ang. worm) – złośliwe oprogramowanie podobne do wirusów, rozmnażające się tylko przez sieć. W przeciwieństwie do wirusów nie potrzebują programu "żywiciela". Często powielają się pocztą elektroniczną.

Wabbit – program rezydentny nie powielający się przez sieć. Wynikiem jego działania jest jedna określona operacja, np. powielanie tego samego pliku aż do wyczerpania zasobów pamięci komputera.

Trojan – nie rozmnaża się jak wirus, ale jego działanie jest równie szkodliwe. Ukrywa się pod nazwą lub w części pliku, który użytkownikowi wydaje się pomocny. Oprócz właściwego działania pliku zgodnego z jego nazwą, trojan wykonuje operacje w tle szkodliwe dla użytkownika, np. otwiera port komputera, przez który może być dokonany atak włamywacza (hakera).

Backdoor – przejmuje kontrolę nad zainfekowanym komputerem, umożliwiając wykonanie na nim czynności administracyjnych, łącznie z usuwaniem i zapisem danych. Podobnie jak trojan, backdoor podszywa się pod pliki i programy, z których często korzysta użytkownik. Umożliwia intruzom administrowanie systemem operacyjnym poprzez Internet. Wykonuje wtedy zadania wbrew wiedzy i woli ofiary.

Programy szpiegujące (ang. spyware) – oprogramowanie zbierające informacje o osobie fizycznej lub prawnej bez jej zgody, jak informacje o odwiedzanych witrynach, hasła dostępowe itp. Występuje często jako dodatkowy i ukryty komponent większego programu, odporny na usuwanie i ingerencję użytkownika. Programy szpiegujące mogą wykonywać działania bez wiedzy użytkownika - zmieniać wpisy do rejestru systemu operacyjnego i ustawienia użytkownika. Program szpiegujący może pobierać i uruchamiać pliki pobrane z sieci.

• scumware (ang. scum – piana; szumowiny, męty) – żargonowe, zbiorcze określenie oprogramowania, które wykonuje w komputerze niepożądane przez użytkownika czynności.

• stealware/parasiteware - służące do okradania kont internetowych,

• adware - oprogramowanie wyświetlające reklamy,

• Hijacker Browser Helper Object - dodatki do przeglądarek, wykonujące operacje bez wiedzy użytkownika.

Exploit – kod umożliwiający bezpośrednie włamanie do komputera ofiary, do dokonania zmian lub przejęcia kontroli wykorzystuje się lukę w oprogramowaniu zainstalowanym na atakowanym komputerze. Exploity mogą być użyte w atakowaniu stron internetowych, których silniki oparte są na językach skryptowych (zmiana treści lub przejęcie kontroli administracyjnej), systemy operacyjne (serwery i końcówki klienckie) lub aplikacje (pakiety biurowe, przeglądarki internetowe lub inne oprogramowanie).

Rootkit – jedno z najniebezpieczniejszych narzędzi hackerskich. Ogólna zasada działania opiera się na maskowaniu obecności pewnych uruchomionych programów lub procesów systemowych (z reguły służących hackerowi do administrowania zaatakowanym systemem). Rootkit zostaje wkompilowany (w wypadku zainfekowanej instalacji) lub wstrzyknięty w istotne procedury systemowe, z reguły jest trudny do wykrycia z racji tego, że nie występuje jako osobna aplikacja. Zainstalowanie rootkita jest najczęściej ostatnim krokiem po włamaniu do systemu, w którym prowadzona będzie ukryta kradzież danych lub infiltracja.

Keylogger – Odczytuje i zapisuje wszystkie naciśnięcia klawiszy użytkownika. Dzięki temu adresy, kody, cenne informacje mogą dostać się w niepowołane ręce. Pierwsze programowe keyloggery były widoczne w środowisku operacyjnym użytkownika. Teraz coraz częściej są procesami niewidocznymi dla administratora. Istnieją też keyloggery występujące w postaci sprzętowej zamiast programowej.

Dialery – programy łączące się z siecią przez inny numer dostępowy niż wybrany przez użytkownika, najczęściej są to numery o początku 0-700 lub numery zagraniczne. Dialery szkodzą tylko posiadaczom modemów telefonicznych analogowych i cyfrowych ISDN, występują głównie na stronach o tematyce erotycznej.

Mniej szkodliwe złośliwe oprogramowanie to:

fałszywe alarmy dotyczące rzekomo nowych i groźnych wirusów (ang. false positives); fałszywy alarm to także rzekome wykrycie zainfekowanego pliku, które powodują programy antywirusowe z najwyższym poziomem analizy heurystycznej.

Żarty komputerowe, robione najczęściej nieświadomym początkującym użytkownikom komputerów.

LECZENIE

Objawy opisane na wstępie mogą świadczyć o zainstalowaniu na komputerze nawet kilku aplikacji maware-owych, które najczęściej nie są ze sobą powiązane, ale nie koniecznie. Długie ładowanie się ustawień osobistych spowodowane może być ładowaniem do pamięci aplikacji szkodliwych, a przez to utratę cennej pojemności pamięci. Programy zaraz po uruchomieniu przystępują do pracy zbierając interesujące ich informację i często wysyłają je przez internet do swojego twórcy.

Długi czas ładowania się ustawień osobistych może być również spowodowany przez mocno „zaśmiecony” rejestr systemu. Przy każdej instalacji każdego programu w rejestrze zapisywane są informacje konfiguracyjne takiego programu. Nawet jeśli aplikację usuniemy (odinstalujemy), w rejestrach wciąż pozostają niektóre wpisy po jej instalacji. Jeżeli nasz system operacyjny ma więcej niż rok (od jego postawienia) w rejestrze na pewno znajdują się już pewne wpisy, które w mniej lub bardziej widoczny sposób będą spowalniać jego działanie. Rejestr przy starcie systemu zawsze ładowany jest w całości (łącznie ze śmieciami).

Długi czas startu systemu często spowodowany jest kończącym się miejscem na dysku systemowym i problemami z pofragmentowanym plikiem wymiany.

Zawieszanie się co jakiś czas komputera na kilka sekund to typowy objaw pracy jakiejś aplikacji która „przejmuje” zasoby procesora i pamięci.

Natomiast wyskakiwanie reklam w czasie surfowania w Internecie to ewidentne działanie aplikacji typu adware (wyświetlającej reklamy).

Problemów które przyjdzie nam rozwiązać może być kilka i należy w sposób systematyczny sprawdzić wszelkie możliwe przyczyny niepoprawnego działania systemu.

1. Wyklucz problemy z dyskiem (ilością wolnego miejsca).

W tym celu kliknij ikonkę „Mój komputer”, a następnie prawym klawiszem myszy kliknij we właściwości dysku „C”. Na diagramie zobaczysz ile miejsca pozostało ci na dysku. Pamiętaj że system powinien mieć do dyspozycji ok 10% pojemności dysku do bezproblemowej pracy.

Jeżeli widzisz że miejsce na dysku kończy się użyj narzędzia oczyszczanie dysku. Zaznacz kategorie plików które chcesz usunąć, a następnie kliknij „OK”. System usunie z dysku pliki które wskazałeś. Zwolni się nam wówczas trochę miejsca na dysku. Najwięcej miejsca zazwyczaj zajmują pliki w koszu, tymczasowe pliki internetowe, oraz pliki tymczasowe.

J eżeli nie jesteśmy pewni czy komputer usunął wszystkie „śmieci” z dysku możemy sprawdzić zawartość katalogu TEMP. Na dyskach zazwyczaj katalogi TEMP (zawierające pliki tymczasowe – robocze) znajdują się przynajmniej w dwóch miejscach. C:\Windows\Temp (to zwykle są pliki powstające przy instalacji różnych aplikacji i przy aktualizowaniu się systemu, oraz c:\Użytkownicy\NAZWA UŻYTKOWNIKA\Ustawienia lokalne\Temp. Jeżeli w obecnej chili nie trwa żaden proces instalacji oprogramowania, nie masz otwartych innych aplikacji możesz spokojnie usunąć całą zawartość jednego i drugiego katalogu (łącznie z podfolderami). Czasem niektórych plików nie będzie dało się usunąć, ale tym się nie przejmuj i pozostaw je. Czasem trzeci katalog Temp występuje również bezpośrednio na dysku „C” więc pliki z tego katalogu również można usunąć.

2. Sprawdź zainstalowane programy.

C zęsto zdarza się że instalujemy na komputerze jakiś program, używamy go przez jakiś czas, a następnie o nim zapominamy. Należy sprawdzić czy na naszym komputerze nie ma przypadkiem właśnie takich programów. Uruchamiamy Panel sterowania, Programy i funkcje i na wyświetlonej liście sprawdzamy wszystkie nazwy programów. Jeśli znajdziemy tam jakiś program którego nazwa nam nic nie mówi powinniśmy sprawdzić (np. w Internecie) do czego ten program służy, a jeśli stwierdzimy że nie jest on nam już potrzeby odinstalować. Na tym wykazie często będziemy mogli również znaleźć część aplikacji typu adaware lub podobne i również je usunąć. W chwili odinstalowywania aplikacji warto na kartce papieru zapisać sobie nazwę aplikacji, ścieżkę dostępu, nazwę pliku który usuwamy aby później wyczyścić ręcznie rejestr systemu z pozostawionych przez desinstalatora wpisów. Warto sprawdzić wszystkie podejrzanie wyglądające nazwy i nie sugerować się nazwami zbliżonymi do plików systemowych – to właśnie w taki sposób często maskują się niechciane aplikacje.

3. Utwórz dodatkowe konto z prawami administratora.

P rzed dalszymi czynnościami na wszelki wypadek przed utratą kontroli nad systemem dobrze jest utworzyć dodatkowe konto użytkownika z prawami administratora. W tym celu w panelu sterowania wybieramy konta użytkowników a następnie w zarządzaniu kontami tworzymy nowy profil użytkownika z prawami administratora. Teraz po restarcie komputera możemy zalogować się na nowe konto i sprawdzić prędkość ładowania się ustawień osobistych, sprawdzić działanie Internetu (wyskakiwanie reklam). Jeżeli na nowym koncie wszystko działa poprawnie mamy pewność że aplikacje które spowalniały komputer zainstalowały się jedynie na dotychczasowym użytkowniku. W przypadku gdy komputer działa wciąż powoli i przywiesza się znaczy że aplikacje spowalniające są bardziej „ekspansywne” i zainstalowane są w części wspólnej systemu. Z założeń chcemy odzyskać naszego dotychczasowego użytkownika a więc ponownie restartujemy komputer i logujemy się na nasze dotychczasowe konto.

4. E liminujemy wirusy.

Instalujemy i uruchamiamy program antywirusowy. Po pobraniu najnowszych definicji wirusów skanujemy wszystkie dyski w poszukiwaniu wirusów, a jeśli jakieś znajdujemy usuwamy. Od jakości programu antywirusowego może zależeć skuteczność przeprowadzonych czynności.

5. Wirusy to nie wszystko.

U suwamy programy odpowiedzialne za wyświetlanie reklam – adware.

W tym celu pobieramy z internetu najnowszą wersję jednego z programów do usuwania programów adaware. Po uruchomieniu wybieramy zakres skanowania systemu i dysków i postępujemy zgodnie z komunikatami programu dążąc do całkowitego usunięcia z dysku i z systemu szkodliwego oprogramowania. Pamiętajmy o wypisywaniu na kartce nazw złośliwych aplikacji, lub na końcu działania programu zapiszmy raport zawierające te dane.

Nie wszystkie programy adware są szkodliwe. Przy decydowaniu, które aplikacje program ma usunąć należy zwrócić uwagę na to iż czasem sami świadomie zgodziliśmy się na zainstalowanie jakiejś darmowej aplikacji w zamian za wyświetlanie przez nią reklam przykładem może być popularny program gadu-gadu. Nie usuwajmy wszystkiego bezmyślnie bo możemy stracić coś co jest nam potrzebne. W razie wątpliwości – nierozpoznanej nazwie – sprawdźmy ją w Internecie.

Dobre programy do usuwania aplikacji adware mają możliwość zainstalowania się na dysku jako rezydentalne programy do ochrony przed kolejnymi infekcjami. Możemy taki program zainstalować i pozwalać mu na uruchamianie się przy starcie systemu i działanie w tle. W momencie wykrycie próby zainstalowania się kolejnej aplikacji adware program powstrzyma proces instalacji, a nasz komputer nie zostanie ponownie zainfekowany.

6. Szpiedzy są wszędzie.

P rogramy szpiegujące są bardziej szkodliwe niż wyskakujące reklamy. Reklamy powodowały że traciliśmy głównie czas na zamykanie okienek. W przypadku programów typu spyware możemy stracić również pieniądze, lub dostęp do własnej skrzynki email. Programy te instalują się w komputerze i zbierają różne informacje. Począwszy od tego jakie strony w Internecie odwiedzamy, aby przesyłać nam spersonalizowane reklamy, aż pro loginy i hasła do wszelkich miejsc w sieci. Nie trzeba nikomu mówić co może się z tym wiązać.

Do usuwania i zabezpieczania się przed programami typu spyware służą kolejne programy, które działają w podobny sposób jak te dotyczące adware. Również podobnie jak one mogą pozostawać na dysku i chronić komputer w czasie rzeczywistym przed kolejnymi infekcjami.

7. Rejestr systemu – ostatnia deska ratunku.

Jak wspomniałem wcześniej rejestr systemu przechowuje informacje nawet o tych programach których już nie ma na naszym dysku. Rozmiar rejestru z czasem (od chwili instalacji systemu) wciąż rośnie, nigdy sam nie maleje, a więc z czasem do pamięci ładowanych jest coraz więcej danych i to nie koniecznie potrzebnych.

Jeżeli w trakcie usuwania całego oprogramowania malware zapisywaliśmy na kartce nazwy usuwanych aplikacji możemy teraz przystąpić do wyczyszczenia rejestru z pozostawionych tam wpisów.

U ruchamiamy program REGEDIT i przez polecenie szukaj odszukujemy w całym rejestrze wszelkie zapisy dla interesujących nas aplikacji. Kiedy system odnajdzie taki klucz w rejestrze usuwamy jego wartość, lub cały klucz którego zapis dotyczy.

Przy tych czynnościach należy być bardzo ostrożnym bowiem łatwo się pomylić i usunąć nie to co chcemy. Operacja usuwania jest nieodwracalna, a rejestr to przecież serce naszego systemu, więc to jak operacja na żywym organizmie i to bez znieczulenia.

Wyczyszczenie rejestru to nie koniec naszych zmagań z rejestrem. Mimo iż usunęliśmy zapisy w rejestrze rozmiar samego rejestru nie uległ zmianie. Teraz musimy wyeksportować cały rejestr do pliku tekstowego. W tym celu w menu Plik programu Regedit wybieramy eksportuj i zapisujemy plik w miejscu docelowym. Proces ten może potrwać nawet kilka minut. Po utworzeniu się pliku na dysku klikamy ponownie w plik a następnie importuj. Wskazujemy przed chwilą utworzony plik i to już koniec. Restartujemy komputer i sprawdzamy czy wszystko działa jak należy.

8. Nie wszystko jest takie kolorowe.

Po restarcie komputera okazać się może że nie wszystko udało nam się usunąć, a komputer wciąż ma objawy niepokojące. Bywa tak z plikami które nie dały się usunąć we wcześniejszych procesach bo były załadowane do pamięci, a takich plików nie da się usunąć bez zakończenia ich działania.

W celu usunięcia tego typu plików należy je zamknąć przed usunięciem lub nie pozwolić na ich uruchomienie w czasie ładowania systemu. Niektórych programów nie będziemy w stanie zamknąć po ich uruchomieniu (takie odporne programy to głównie dialery, które łączą się z wysokopłatnymi numerami, ale nie tylko).

Aby zamknąć program który chcemy usunąć należy wywołać menadżera zadań, a następnie w zakładce procesy odnaleźć jego nazwę i zakończyć działanie procesu. Dopiero teraz będziemy mogli usunąć fizycznie plik z dysku.

Jeżeli mimo zatrzymania procesu usunięcie nie jest możliwe należy sprawdzić teraz ponownie odwołania w rejestrze i usunąć wszystkie zapisy dotyczące szkodliwego pliku.

9. Nic na siłę, weź większy młotek.

S potkaliśmy się z naprawdę złośliwym plikiem? Ratunkiem na taką sytuację będzie uruchomienie konsoli uruchamiania Msconfig i w niej wyłączenie uruchamiania interesujących nas aplikacji. Po ponownym uruchomieniu komputera niechcianą aplikację powinno się dać usunąć. Czasem do pełnego sukcesu należy uruchomić komputer w trybie awaryjnym i dopiero tam z poziomu administratora przeprowadzić powyższe działania.

10. Nie pomogło ???

Ostatnim – ostatecznym - rozwiązaniem które można zastosować w takiej sytuacji jest skorzystanie z wcześniej utworzonego nowego konta z prawami administratora. Restartujemy komputer i logujemy się na wcześniej utworzone konto, które jak sprawdziliśmy wcześniej działało poprawnie. Następnie korzystając z menadżera plików przekopiowujemy wszystkie pliki z katalogu dotychczasowego użytkownika do katalogu nowego użytkownika (tam są zapisane nasze pliki wynikowe, ustawienia niektórych programów). Niestety przy takim – ostatecznym - rozwiązaniu może być konieczne skonfigurowanie od początku niektórych zainstalowanych aplikacji. Jeżeli po tych czynnościach stwierdzamy że komputer działa w sposób zadowalający możemy w panelu sterowania w części dotyczącej zarządzaniem kontami usunąć poprzedni profil.

Jeżeli wcześniejsze działania przyniosły oczekiwany skutek możemy śmiało usunąć stworzony na początku dodatkowy profil, lub jedynie wyłączyć go tak aby nie można było się na niego zalogować (może się nam jeszcze kiedyś przydać).

PROFILAKTYKA

Aby uniknąć na przyszłość podobnych sytuacji należy z dużą uwagą instalować aplikacje pobrane z Internetu. Przy instalacjach programów zawsze wybierać opcję „instalacja zaawansowana” w czasie której zostaniemy zapytani o zainstalowanie dodatkowych opcji, które często są powiązane z niekoniecznie potrzebnymi dodatkowymi aplikacjami które zainstalują się równolegle. Częstym dodatkiem do różnych programów instalacyjnych są dodatkowe paski i narzędzia do przeglądarek internetowych np.: AskBar, czy pasek Google, MSG i inne. Jeżeli nie zamierzamy z nich korzystać to nie należy ich instalować.

Po postawieniu systemu należy koniecznie zainstalować podstawowe oprogramowanie antywirusowe i dbać o to by zawsze miało ono dostęp do aktualnych baz danych. Można również od razu zainstalować programy wspomniane wcześniej do zabezpieczenia się przed pobraniem i zainstalowaniem adaware i spyware. Te aplikacje będą działać w tle podobnie jak program antywirusowy. Swoim działaniem mogą jednak trochę spowalniać komputer więc jeśli nie korzystamy w danym momencie z Internetu można taką aplikację chwilowo wyłączyć, lub włączać ją dopiero przy uruchamianiu przeglądarek internetowych.

Najważniejszą rzeczą by uniknąć zainfekowania komputera jakimś robakiem lub innym paskudztwem jest rozsądne surfowanie po sieci i unikanie stron które często są źródłem takich kłopotów (strony o tematyce erotycznej, strony warezowe, strony z cracami do programów), nie klikanie w linki o dziwnych nazwach, nie instalowania programów niewiadomego pochodzenia lub zcracowanych nielegalnych kopi oprogramowania.

Jeżeli będziemy stosować się do tych zasad to w 95% przypadków uda nam się uniknąć zagrożenia. Zawsze pozostaje te kilka procent na chwile gdy nasza czujność została uśpiona zmęczeniem lub zbyt dobrą zabawą , ewentualnie gdy młodsze rodzeństwo lub starsi rodzice nieświadomi zagrożeń zdążą coś nabroić w naszym komputerze.