Okužen računalnik, kaj zdaj?

Je naš računalnik morda okužen?

Ugotoviti, ali se je naš računalnik okužil s škodljivo kodo (virus, trojanec, keyloger …), ni vedno enostavna naloga. Napadalci uporabljajo vedno bolj napredne metode za namestitev, kot tudi za prikrivanje različnih oblik škodljive kode. Včasih imamo občutek, da se računalnik "obnaša" drugače, deluje počasneje, samodejno se nam odpirajo "pop-up" okna pri brskanju na Internetu, domača stran brskalnika kaže na www.nekaj…. in podobno. Ali pa dobimo elektronsko pošto svojega Internet poudnika, da so omejili delovanje našega IP naslova zaradi nedovoljenih aktivnosti , kot so pošiljanje nezaželjene pošte, naš okužen računalnik napada druge uporabnike Interneta in podobno.  In tako kot vsi drugi informatiki, imam tudi jaz svoje "prijatelje", ki se me spomnijo samo v primeru omenjenih težav in pričakujejo hitro rešitev njihovih problemov v stilu -"dvakrat klikneš in problem je rešen". Pa žal v večini primerov ni tako, in ura dela se spremeni v celo popoldne ali v najslabšem primeru v cel vikend (večina mojih t.i. prijateljev besede backup  tako ali tako ne pozna, na računalniku pa so družinske slike zadnjih 10 let, seminarske naloge otrok…..pa saj poznate podobne zgodbe). Zato sem spodaj zapisal nekaj prvih korakov, ki so vam lahko v pomoč pri detekciji in odpravi težav, povzročenih zaradi okužb s škodljivo kodo.

Prvi korak, ki ga naredim na sistemu je analiza mrežnega prometa procesov.  Izbira sta vedno programa TCPview ali CurrPorts. Programa sta namenjena monitoriranju TCP/IP prometa, prikažeta delujoče procese, porte, IP naslove, količino prenesenih podatkov in podobno. Večina programov škodljive kode tako ali drugače komunicira preko omrežja in na tak način odkriva svoje delovanje. Nekateri to počnejo stalno, drugi pa občasno, kar oteži njihovo detekcijo. Zato je včasih pametno vključiti log opcijo v okviru CurrPorts programa, ki vsako aktivnost zapiše v datoteko, ki jo lahko kasneje analiziramo. Datoteko  z imenom cport.log najdete na svojem namizju.

V nekaterih primerih je procese in škodljivo delovanje enostavno odkriti. Njihova akrivnost na omrežju je zelo "agresivna" (veliko odprith portov, povezav…), imena procesov so nam neznana, domači direktorij se nahaja na Temporary Internet Files direktoriju in podobno. Napredne oblike škodljive kode pa želijo svojo aktivnost prikriti – povzročajo malo mrežnega prometa, svojo lokacijo namestitve selijo na sistemske direktorije ali na skrite lolacije, uporabljajo sistemskim datotekam podobna imena in podobno. Take procese je seveda težje odkriti, zato so lahko tukaj koristni programi kot so ProcessExplorer in System Explorer. Predvsem slednji ima odlično funkcijo, ki poleg procesa poda tudi njegovo "varnostno" oceno. Programe, ki jih pozna označi kot varne, za ostale pa imamo opcijo pridobiti informacije na Internetu na naslovih SystemExplorer.net, ProcessLibrary.com ali pa pri stricu Googlu.

V primeru, da ne dobimo uporabnega odgovora, pa nam ostane opcija, da sumljivo datoteko pošljemo v preverjanje online antivirusnim naslovom, kot sta VirusTotal.com in Virusscan.jotti.org.

Odkrivanje škodljivega procesa ali programa običajno ni edini korak za odpravo okužbe.  Že sama zaustavitev ali "kill" programa ni vedno možna. Program je naložen v računalniškem spominu, vezan je na delovanje še drugih procesov in podobno. Če nam zaustavitev procesa uspe, pa napadalci poskrbijo, da se zaustavljen program ponovno požene že v času delovanja sistema ali pa ob njegovem ponovnem zagonu. Zato je potrebno odkriti lokacijo in način nameščanja škodljive kode. Prvi korak je običajno zagon Windows aplikacije MSCONFIG (del operacijskega sistema), ki nam omogoča pregled programov, ki se zaganjajo preko "startup" opcije. Kliknemo gumb START in v polje zaženi vpišemo msconfig. Pojavi se okno aplikacije, kjer izberemo zavihek startup za prikaz programov, ki se naložijo na sistem ob zagonu računalnika. Startup lokacija je velikokrat zlorabljena s strani napadalcev za namestitev škodljive kode.

Seveda pa napadalci za zagon škodljive kode poleg startup opcije uporabljajo še druge lokacije in metode. Za pomoč pri odkrivanju le teh,  je na voljo nekaj aplikacij, ki običajno nosijo oznako "hijack tools". Pred leti je bila prva izbira vedno orodje HijackThis, ki je sedaj v lasti podjetja TrendMicro. HijackThis izvede analizo vsem možnih lokacij za zagon procesov in njegovih modulov, vendar pa je potrebno opozoriti, da program sam ne prepoznava škodljive kode. V obliki poročila samo poda informacije, kaj se v posameznih lokacijah sistema nahaja, detekcija in odstranitev pa je prepuščena posamezniku. Zato mora uporabnik takega orodja dobro vedeti kaj počne, napačna odločitev lahko povzroči kritično napako, katere posledica je nedelovanje sistema. Pogosto se je uveljavila praksa, da je uporabnik objavil HijackThis poročilo na forumu, kjer so mu potem bolj izkušeni uporabniki svetovali primerne nastavitve.

Sam sem dolgo časa uporabljal HijackThis, vendar pa mi je pred časom prišel pod roke  program Runscanner, ki po mojem mnenju bolj pregledno prikaže rezultate ugotovitev. Ponuja še nekaj dodatnih opcij, kot so filtriranje rezultatov, online analizo procesov (Google, Systemlookup.com,Runscanner.net,VirusTotal), backup/restore funkcijo, MD5 kontrolo in analizo certifikatov posameznih datotek. Analiza prikaže podatke o delujočih procesih in servisih, autostart opcijo, različne lokacije v registru, module in nastavitve brskalnikov, zapise v host datoteki in še veliko drugih informacij.

To je nekaj prvih korakov za detekcijo in pomoč pri odpravi okužb s škodljivo kodo. Čeprav bodo marsikatero okužbo odpravile že zbirke različnih AV programov (glej priporočila Prva pomoč), te niso vedno uspešne. Zato nam lahko poznavanje omenjenih orodij in t.i. "ročne" metode, pomagajo pri razumevanju delovanja in odpravi zahtevnejših okužb s škodljivo kodo.