ZALICZENIE 3

"Programy niepożądane"

Podaj definicje:

Wirus – program komputerowy, posiadający zdolność replikacji, tak jak prawdziwy wirus, stąd jego nazwa. Wirus do swojego działania potrzebuje i wykorzystuje system operacyjny, aplikacje oraz zachowanie użytkownika komputera. Wirusa komputerowego zalicza się do złośliwego oprogramowania.

Robak - samoreplikujący się program komputerowy, podobny do wirusa komputerowego. Główną różnicą między wirusem a robakiem jest to, że, podczas gdy wirus potrzebuje nosiciela – zwykle jakiegoś pliku wykonywalnego (chociaż istnieją wirusy pisane w językach skryptowych podczepiające się pod dokument lub arkusz kalkulacyjny), który modyfikuje doczepiając do niego swój kod wykonywalny, to robak jest pod tym względem samodzielny, a rozprzestrzenia się we wszystkich sieciach podłączonych do zarażonego komputera poprzez wykorzystanie luk w systemie operacyjnym lub naiwności użytkownika. Oprócz replikacji, robak może pełnić dodatkowe funkcje, takie jak niszczenie plików, wysyłanie poczty (z reguły spam) lub pełnienie roli backdoora lub konia trojańskiego.

Trojan - określenie oprogramowania, które podszywając się pod przydatne lub ciekawe dla użytkownika aplikacje dodatkowo implementuje niepożądane, ukryte przed użytkownikiem różne funkcje (programy szpiegujące, bomby logiczne, furtki umożliwiające przejęcie kontroli nad systemem przez nieuprawnione osoby itp.). Nazwa pochodzi od mitologicznego konia trojańskiego.

Backdoor - luka w zabezpieczeniach systemu utworzona umyślnie w celu późniejszego wykorzystania. Backdoor w systemie może być np. pozostawiony przez crackera, który włamał się przez inną lukę w oprogramowaniu (której przydatność jest ograniczona czasowo do momentu jej usunięcia) bądź poprzez podrzucenie użytkownikowi konia trojańskiego.

Spayware - to programy komputerowe, których celem jest szpiegowanie działań użytkownika. Programy te czasami mogą wyświetlać reklamy lub rozsyłać spam (patrz botnet).

Programy te gromadzą informacje o użytkowniku i wysyłają je często bez jego wiedzy i zgody autorowi programu. Do takich informacji należeć mogą:

- adresy www stron internetowych odwiedzanych przez użytkownika

- dane osobowe

- numery kart płatniczych

- hasła

- zainteresowania użytkownika (np. na podstawie wpisywanych słów w oknie wyszukiwarki)

- adresy poczty elektronicznej

- archiwum

Exploit - program mający na celu wykorzystanie błędów w oprogramowaniu. Exploit wykorzystuje występujący w oprogramowaniu błąd programistyczny (np. przepełnienie bufora na stosie lub stercie, czy format string) w celu przejęcia kontroli nad działaniem procesu i wykonania odpowiednio spreparowanego kodu maszynowego (tzw. shellcode), który najczęściej wykonuje wywołanie systemowe uruchamiające powłokę systemową z uprawnieniami programu, w którym wykryto lukę w zabezpieczeniach.Rootkit - narzędzie pomocne we włamaniach do systemów informatycznych. Ukrywa ono niebezpieczne pliki i procesy, które umożliwiają utrzymanie kontroli nad systemem. Historycznie rootkity były paczkami (ang. kit) zawierającymi zmodyfikowane kluczowe binaria systemowe w systemach uniksowych (inetd, sshd, ps), które zastępowały oryginalne tuż po dokonaniu włamania. Dzięki modyfikacjom w oryginalnym kodzie binaria z rootkita np. nie pokazywały wybranych procesów lub umożliwiały logowanie na roota za podaniem specjalnego hasła.

Rootkit - narzędzie pomocne we włamaniach do systemów informatycznych. Ukrywa ono niebezpieczne pliki i procesy, które umożliwiają utrzymanie kontroli nad systemem. Historycznie rootkity były paczkami (ang. kit) zawierającymi zmodyfikowane kluczowe binaria systemowe w systemach uniksowych (inetd, sshd, ps), które zastępowały oryginalne tuż po dokonaniu włamania. Dzięki modyfikacjom w oryginalnym kodzie binaria z rootkita np. nie pokazywały wybranych procesów lub umożliwiały logowanie na roota za podaniem specjalnego hasła.

Keylogger - rodzaj oprogramowania lub urządzenia zbierającego i przechowującego informacje o klawiszach naciskanych przez użytkownika komputera. Programy te działają na zasadzie przejęcia kontroli nad procedurami systemu operacyjnego służącymi do obsługi klawiatury. Każde wciśnięcie klawisza jest odnotowywane w specjalnym pliku. Opcjonalnie informacje o wciśniętych klawiszach poszerzone są o dodatkowe informacje, jak nazwa aktywnego programu lub okna.

Dialer - to wyspecjalizowany rodzaj programu komputerowego do łączenia się z Internetem za pomocą modemu. Niekiedy program tego rodzaju, instalowany w komputerze bez wiedzy i zgody użytkownika, jest wykorzystywany do nawiązywania połączenia z siecią. ialer wykorzystuje nieświadomość użytkownika i łączy się poprzez numer dostępowy o kosztach wielokrotnie przekraczających typowe koszty dostępu do Internetu. Zwykle jest to numer w odległym i egzotycznym kraju. W wyniku tego nielegalnego procederu użytkownik jest zmuszony płacić wysokie rachunki telefoniczne. Przestępca, którego dialer zostaje zainstalowany w komputerze użytkownika, posiada umowę z egzotyczną kompanią telefoniczną, która dzieli się z nim zyskami.

Fa³szywy alarm - jedna z odmian łańcuszków internetowych rozsyłanych pocztą e-mail i skierowanych do odbiorców niezorientowanych w użytkowanym przez nich sprzęcie i oprogramowaniu. Zawiera ostrzeżenie przed nowym, groźnym wirusem i zachęca do przekazania ostrzeżenia wszystkim korespondentom z własnej książki adresowej. Instruuje także adresata, w jaki sposób ma sprawdzić rzekome zakażenie wirusem, a następnie jak temu zaradzić. Zaleca sprawdzenie, czy w pamięci komputera znajduje się plik o podanej nazwie (najczęściej mający istotne znaczenie dla prawidłowego funkcjonowania komputera) i jego natychmiastowe skasowanie.

Bomba logiczna - fragment kodu programu komputerowego (często wirusa zawartego w zwykłym programie lub robaka), umieszczony w nim bez wiedzy użytkownika. Przykładowe warunki zaktywizowania bomby logicznej:

- określona data/godzina/dzień tygodnia

- utworzenie/usunięcie danego pliku

- uruchomienie programu

- zalogowanie się danego użytkownika

- połączenie z internetem

- dana liczba uruchomień programu

- ilości danych

Aktywowana bomba logiczna może mieć dowolne działanie, np. skasowanie danych, zmiana haseł, zawieszenie systemu, dokonanie ataku typu DoS, czy umożliwienie autorowi przejęcia kontroli nad komputerem. Najczęściej spotykanym typem bomb logicznych są bomby czasowe (ang. time bomb), wykonujące się o określonym czasie. Działały w ten sposób m.in. sławne wirusy Michał Anioł oraz Czarnobyl, które przed kilkoma laty spowodowały ogromne straty, atakując komputery na całym świecie.

Bomba czasowa - to program, którego ukryte funkcje aktywowane zostają w określonym czasie (np. w dni parzyste).

Objawy infekcji:

-Komputer pracuje dużo wolniej niż zwykle

- Często przestaje reagować lub zawiesza się

- Co kilka minut przestaje działać i uruchamia się ponownie

- Samodzielnie uruchamia się ponownie, po czym nie działa w normalny sposób

- Aplikacje nie działają prawidłowo

- Dyski lub napędy są niedostępne

- Drukowanie nie działa prawidłowo

- Wyświetlane są niespotykane komunikaty o błędach

- Menu i okna dialogowe są zniekształcone

Działania w przypadku podejrzenia zainfekowania systemu wirusem:

- Zaktualizowanie swojego programu antywirusowego.

- Pełne przeskanowanie systemu.

- Porada na forum internetowym o wirusach.

- Próba znalezienia rozwiązania problemu w wyszukiwarce internetowej.

- Aktualizacja systemu.

- Utworzenie kopii zapasowej ważnych danych.

- Usunięcie zarażonych plików

- Nieuruchamianie podejrzanych plików exe.

- W krytycznych przypadkach zostaje nam tylko przeinstalowanie naszego systemu.

Co zrobić żeby zapobiec zainfekowaniu komputera złośliwym oprogramowaniem?

- Zawsze instalować najnowsze aktualizacje

- Nie wchodzić na podejrzane strony internetowe

- Nie otwierać załączników w mailu od nieznanych adresów

- Nie instalować w systemie oprogramowania z nieznanego źródła

- Mieć włączoną zaporę sieciową

Znane złośliwe programy:

Wypełnij tabelkę

Nazwa programu	Działanie niepożądane	Sposób likwidacji, zapobieganie rozpowszechniania
Lovesan	pojawianie się komunikatu o błędzie w protokole RPC oraz restartowanie komputera	Firma Kaspersky Lab opublikowała darmowe narzędzie umożliwiające usunięcie nowego szkodnika z systemu - CLRAV. Program lokalizuje robaka w systemie, dezaktywuje go, usuwa zainfekowane pliki z lokalnych i sieciowych dysków oraz przywraca poprawną postać folderu systemowego Windows. Gdy program zakończy czyszczenie systemu należy uruchomić ponownie komputer i przetestować wszystkie dyski za pomocą skanera antywirusowego. W celu zabezpieczenia komputera przed atakami tego szkodnika należy wykonać następujące czynności: uaktualnić użytkowany program antywirusowy i nie wyłączać go podczas korzystania z internetu; zainstalować zaporę ogniową i zablokować porty 69, 135 oraz 4444; pobrać łatę udostępnioną przez firmę Microsoft, która zlikwiduje lukę w protokole DCOM RPC wykorzystywaną przez wirusa do infekowania komputerów;
Slamer	Wirus infekuje tysiące komputerów w mniej niż trzy godziny. Robak sieje spustoszenie w historii firmy na całym świecie, pukanie pieniężnych maszyn offline i opóźnienia lotów linii lotniczych.	Jeśli komputer jest zainfekowany wirusem W32.Slammer, który wywołuje atak typu „odmowa usługi”, firma Microsoft zaleca użycie następujących metod w celu usunięcia robaka: Usunięcie automatyczne Usunięcie robaka W32.Slammer z komputera za pomocą narzędzi zabezpieczeń programu SQL Server. Narzędzia mogą naprawić zainfekowane systemy i zapobiec wystąpieniu infekcji w przyszłości. Aby uzyskać więcej informacji, odwiedź następującą witrynę firmy Microsoft w sieci Web: Narzędzia służące do zwalczania robaka Slammer Usunięcie ręczne Aby ręcznie usunąć tego robaka, wykonaj następujące kroki. Ustaw stan usługi SQL Server na ręczny. Ponownie uruchom zainfekowany komputer. Wykonaj instrukcje znajdujące się w sekcji „Ochrona” w tym artykule dotyczące sposobu stosowania poprawki na komputerze w zależności od wersji programów SQL Server lub MSDE. Ustaw stan usługi SQL Server na automatyczny.
Sobig.f	Skutkiem infekcji, oprócz dalszego rozsyłania wirusa, jest instalacja trojana pozwalającego na ściąganie zadanych plików (specyficzny mechanizm samouaktualniania) oraz używanie zarażonej maszyny jako tzw. spam relay (ogniwo pośrednie w rozsyłaniu spamu).	SoBig.F installs drops the file winppr32.exe to the Windows directory and adds the following keys to Windows Registry: [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "TrayX" = %windir%\winppr32.exe /sinc [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "TrayX" = %windir%\winppr32.exe /sinc Antivirus vendors are providing free utilities designed to effectively remove the worm from memory, reverse the registry edits, and delete any infected files. F-Secure provides a special tool to disinfect the Sobig.F worm. The tool and disinfection instructions are available on their ftp site: ftp://ftp.f-secure.com/anti-virus/tools/f-sobig.zip ftp://ftp.f-secure.com/anti-virus/tools/f-sobig.txt ftp://ftp.f-secure.com/anti-virus/tools/f-sobig.exe The McAfee Avert Stinger has also been updated to remove this latest variant of Sobig in addition to several other common threats.
Swen	Wirus podszywa się pod wiadomości przesyłane rzekomo z Microsof Corp., mówiące o ważnym pliku, który należy zainstalować w celu ochrony przed wirusami. Podobnie, jak inne ostatnie robaki i wirusy, Swen rozprzestrzenia się różnymi metodami, włączając w to pliki peer-to-peer, forum dyskusyjne czy kanały typu IRC. Wirus aktywuje się od razu po otwarciu załącznika. Swen przychodzi w wiadomościach e-mail, posiadających temat "Microsoft Critical Patch", choć z tego co zauważyłam to w mojej skrzynce również upodobał sobie także temat "Newest Security Update" oraz zawiera załącznik z losowo wybraną nazwą. Sama wiadomość wygląda bardzo realistycznie, gdyż tekst przygotowany w formacie HTML zawiera nawet logo Microsoftu i linki do stron firmy. Zawarta instrukacja nakazuje użytkownikowi zainstalowanie załącznika, oczywiście "dla jego dobra".	W32.Swen.A@mm has not been quarantined or deleted If your Symantec antivirus product has not quarantined or deleted W32.Swen.A@mm, and you suspect or know that W32.Swen.A@mm is on your system, follow these steps: Download and run the W32.Swen.A@mm Removal Tool. Complete instructions are in the W32.Swen.A@mm Removal Tool document. After the tool has run, update the virus definitions. Symantec Security Response fully tests all the virus definitions for quality assurance before they are posted to our servers. There are two ways to obtain the most recent virus definitions: Running LiveUpdate, which is the easiest way to obtain virus definitions: These virus definitions are posted to the LiveUpdate servers once each week (usually on Wednesdays), unless there is a major virus outbreak. To determine whether definitions for this threat are available by LiveUpdate, refer to the Virus Definitions (LiveUpdate). Downloading the definitions using the Intelligent Updater: The Intelligent Updater virus definitions are posted on U.S. business days (Monday through Friday). You should download the definitions from the Symantec Security Response Web site and manually install them. To determine whether definitions for this threat are available by the Intelligent Updater, refer to the Virus Definitions (Intelligent Updater).
Sober	Sober jest przysyłany jak list elektroniczny pochodzący z Wielkiej Brytanii lub Niemiec, gdzie do użytkowników poczty przesyłana jest w formie załącznika oferta handlowa. Robak wykorzystuje szeroki zestaw nagłówków, podając że załącznik zawiera ofertę począwszy od pornografii aż do oprogramowania antywirusowego. Reklama Po aktywacji wirus instaluje na dysku pliki drv.exe, similare.exe lub systemchk.exe, modyfikuje rejestr tak, aby jego kopia w pliku drv.exe była automatycznie uruchamiana przy każdym starcie systemu Windows, a następne rozsyła się dalej na wszystkie adresy udostępnione na zainfekowanym komputerze, wykorzystując do tego własną maszynę SMTP. W celu utrudnienia wyśledzenia źródła wiadomości, wychodzący mail posiada zafałszowany nagłówek. Czytaj więcej na http://nt.interia.pl/Programy/news-nowy-wirus-sober,nId,650187?utm_source=paste&utm_medium=paste&utm_campaign=firefox	Szczepionka opracowana przez firmę G DATA Software oprócz I-Worm.Sober rozpoznaje i niszczy wirusy oraz robaki internetowe: I-Worm.Bagle, Worm.Mydoom, Worm.Win32.Sasser, W32.Netsky, Blaster, I-Worm.Mabutu oraz kilkadziesiąt innych, a także usuwa pozostałości po wirusach z dysków i rejestru plików komputera. Aby usunąć wirusa z zainfekowanego komputera, należy pobrać plik szczepionki i zapisać go w dowolnej lokalizacji na dysku twardym (zalecamy lokalizację Pulpit).
Sasser	Od kilku dni komputery z systemami Windows NT, 2000 i XP atakowane są przez nowy, bardzo szybko rozprzestrzeniający się wirus o nazwie "Sasser". Dostaje się on do komputerów z sieci, wykorzystując "dziury" w bezpieczeństwie systemu. W systemach Windows 95 i 98 wirus może się uruchamiać (powodując spowalnianie pracy komputera), ale nie ma możliwości zainfekowania systemu - będzie jednak w tym czasie atakował inne komputery! Metoda działania wirusa oraz sposób jego usuwania są analogiczne do niedawnego wirusa Blaster.	Aby usunąć wirusa z komputera należy: Zalogować się do systemu na konto administratora. (jeżeli po włączeniu komputera system nie prosi o zalogowanie się, ten krok można pominąć) Wyłączyć działający w tle proces wirusa. W tym celu należy wyświetlić listę aktualnie działających w komputerze procesów wciskając równocześnie klawisze Ctrl-Alt-Delete (jeżeli lista nie pojawia się od razu, należy w wyświetlonym okienku kliknąć przycisk "Menedżer zadań"). Na tej liście należy odnaleźć program o nazwie "avserve" (w innych mutacjach wirusa możliwe są także nazwy: avserve2 lub skynetave) i zakończyć jego działanie. Pobrać z Internetu program do usuwania wirusa. Można skorzystać z programu FxSasser firmy Symantec lub polskiego MksClean firmy MKS. Odłączyć komputer od Internetu! na czas usuwania wirusa. (dotyczy tylko systemu Windows XP) Wyłączyć funkcję przywracania systemu (System Restore). W tym celu należy z menu Start wybrać opcję Panel sterowania i w okienku Panelu sterowania dwukrotnie kliknąć ikonę System. W okienku, które się pojawi, wybrać zakładkę Przywracanie systemu i zaznaczyć kwadracik Wyłącz Przywracanie systemu (por. rys.) (rysunek) Uruchomić program, ktory odszuka i usunie wirusa.