Infekcja komputera: krajobraz po katastrofie
Autor: Andrzej Witbrot
Kluczem do bezpieczeństwa komputera jest zapobieganie zagrożeniom i wykorzystywanie wszelkich możliwych sposobów na zabezpieczenie systemu przed infekcjami złośliwym oprogramowaniem zanim one nastąpią. Co jednak, gdy do infekcji już dojdzie?
Nie ma niczego odkrywczego w stwierdzeniu, że wszyscy staramy się chronić swoje komputery przed zagrożeniami, tak samo, jak chronimy się przed przeziębieniem kiedy nadchodzą jesienne słoty. Dobrze wiadomo jednak, że nie zawsze udaje nam się ustrzec przed grypą, nic więc dziwnego, że czasem także nasz komputer, pomimo zabezpieczeń, może zostać zainfekowany. Żaden program antywirusowy nie daje stuprocentowej gwarancji bezpieczeństwa. Jeśli nawet w testach osiąga wynik 99,9% wykrywalności, to należy mieć świadomość, że pozostały promil z liczby kilkuset tysięcy testowanych próbek złośliwego oprogramowania daje kilkaset potencjalnych e-zagrożeń, które mogą wymknąć się spod kontroli i narobić szkód. Często sami sprzyjamy niebezpiecznym sytuacjom przez złe nawyki i lenistwo – nie lubimy zmieniać haseł, lekceważymy wyświetlane komunikaty, dla własnej wygody obniżamy poziom zabezpieczeń.
Złośliwe oprogramowanie
Jak od dawna alarmują analitycy, oprócz olbrzymiego wzrostu ilości wzrasta również jakość szkodliwego oprogramowania. Nowe zagrożenia wykazują coraz większą złożoność, coraz szersze spektrum możliwości rozprzestrzeniania się i infekowania komputerów, coraz lepszą umiejętność maskowania się w systemie oraz omijania istniejących zabezpieczeń.
Chociaż w świadomości użytkowników najbardziej typowym zagrożeniem wciąż jest wirus komputerowy, w rzeczywistości jest to obecnie rzadziej spotykany napastnik, ustępujący pola swym krewniakom, jak robaki czy konie trojańskie. Klasyfikacja złośliwego oprogramowania rozróżnia przynajmniej kilkanaście różnorodnych typów, odmiennych pod względem funkcji, sposobów działania i przenoszenia. Oprócz wirusów, których charakterystyczną cechą jest obecność nosiciela (wirus dołącza się do innych plików), można wymienić wspomniane wcześniej trojany, czyli programy ukrywające swe zdradzieckie cele; robaki - samodzielne programy o szkodliwym działaniu; backdoory otwierające tylną furtkę i umożliwiające intruzom zdalne zarządzanie systemem; keyloggery śledzące naciśnięcia klawiszy; programy szpiegujące aktywność użytkowników (spyware), wyświetlające niechciane reklamy (adware), dialery łączące się poprzez drogie numery dostępowe, exploity wykorzystujące luki w oprogramowaniu i systemie, rootkity ukrywające inne niebezpieczne procesy; ataki phishingowe, pharmingowe, wstrzykiwanie kodu etc.
W zależności od rodzaju zagrożenia, różne są także źródła zarażenia i różne sposoby reagowania na zaistniałą infekcję. System może zostać zarażony przez spreparowaną lub przejętą przez napastnika stronę www, przez użycie zainfekowanego nośnika np. karty pamięci albo pendriva, uruchomienie szkodliwego programu, otwarcie załącznika e-mail ze szkodliwą zawartością, zezwolenie aplikacji na wykonanie niepożądanych działań, nieprzemyślane udostępnienie zasobów, zaniedbanie ochrony lub regularnej aktualizacji oprogramowania.
Identyfikacja infekcji i ocena ryzyka
Wczesne wykrycie infekcji systemu jest niezwykle istotne i może zaważyć na powodzeniu całej operacji ratowania danych z zarażonego komputera. Jest to moment, w którym często najwięcej zależy od użytkownika komputera i tego, czy zostaną zauważone przejawy nietypowej aktywności oraz dziwnych zachowań programów i systemu. Jak zostało już powiedziane we wstępie, zainstalowane oprogramowanie antywirusowe niekoniecznie stanowi tu gwarancję bezpieczeństwa, ponieważ tempo rozprzestrzeniania się epidemii szkodliwego oprogramowania bywa nadzwyczaj szybkie i dla jej powstrzymania niezwykle ważny jest czas pomiędzy pojawieniem się epidemii, a uaktywnieniem się skutecznej ochrony, czyli uaktualnieniem bazy sygnatur programu antywirusowego – w sytuacji, gdy malware skutecznie ominął ochronę proaktywną. Przez ten czas, trwający od jednej do nawet kilkudziesięciu godzin, właśnie użytkownik jest w stanie rozpoznać objawy zarażenia systemu. Symptomami mogą być bardzo różne zachowania – na przykład pojawianie się dziwnych okien i reklam, wyłączenie się programu antywirusowego albo zapory, nagłe spowolnienie pracy komputera, otrzymywanie odpowiedzi z serwerów pocztowych na niewysyłane wiadomości, niestabilna praca systemu, zawieszanie się programów, niemożność wchodzenia na niektóre strony, zwłaszcza producentów oprogramowania antywirusowego, wyłączanie się komputera itp. Naturalnie, o wiele łatwiejsza do opanowania jest infekcja rozpoznana przez oprogramowanie antywirusowe – można wówczas oprzeć się na wskazówkach producenta danego oprogramowania. Ekstremalnym przypadkiem infekcji jest takie uszkodzenie plików systemowych lub nawet podzespołów komputera, że niemożliwe jest jego uruchomienie.
Po stwierdzeniu nietypowej aktywności pierwszą ważną czynnością jest ocena ryzyka występujących nieprawidłowości. Nie każde podejrzane zachowanie musi oznaczać infekcję. W tym momencie wymagana jest odrobina wyczucia, aby wykluczyć fałszywy alarm, lub nie poddać się panice przy spotkaniu z żartem komputerowym, a jednocześnie nie zlekceważyć symptomów poważnego zagrożenia.
Opanowanie sytuacji w obliczu infekcji
Pierwszym krokiem na drodze do opanowania infekcji jest zapobieżenie jej rozprzestrzenieniu zarówno w sensie zarażenia kolejnych komputerów, jak i pobierania kolejnych złośliwych programów przez działający w systemie malware. W tym celu dobrze jest odłączyć zarażony komputer od sieci, lub w inny sposób maksymalnie odizolować go od innych komputerów.
Jeśli infekcja dotyczy nowego, nieznanego zagrożenia, należy w miarę możliwości skontaktować się z producentem lub dostawcą używanego programu antywirusowego, czy też innego oprogramowania zabezpieczającego, i zgłosić zaistniały problem. Prawdopodobnie niezbędne będzie dostarczenie próbek złośliwego oprogramowania, czy też innych informacji w postaci logów systemowych, raportów programu antywirusowego itp. Większość producentów oprogramowania do ochrony danych umożliwia dostarczenie próbek szkodliwego oprogramowania, umieszczając na swoich stronach stosowne informacje.
Oczyszczanie i przywracanie systemu
W celu skutecznego oczyszczenia i zabezpieczenia systemu konieczne może być przeanalizowanie rodzaju infekcji i jej charakteru. Idealnie, gdyby tego rodzaju analiza została przeprowadzona przez specjalistę zajmującego się bezpieczeństwem informatycznym przy pomocy specjalistycznych narzędzi do badania systemu, pozwalających zebrać odpowiednie dane na temat modyfikacji rejestru dokonanych przez malware, uruchamianych przez niego procesów, obecności procesów ukrywających funkcjonowanie złośliwego oprogramowania (rootkitów), zapisanych kopii szkodliwych programów i innych plików, otwartych portów, udostępnionych zasobów itp.
Często złośliwe oprogramowanie utrudnia lub uniemożliwia dokonywanie czynności diagnostycznych i naprawczych, na przykład blokując funkcje systemowe takie jak menedżer zadań Windows czy narzędzia konfiguracji systemu. W takim wypadku można spróbować wykonać restart komputera w trybie awaryjnym, w którym ograniczona do minimum zostaje liczba uruchomionych elementów systemu. W skrajnych przypadkach konieczne może okazać się posłużenie dodatkową płytą bootowalną, jeśli istnieje problem z wystartowaniem systemu w normalny sposób. Może być to zresztą jeden ze sposobów na odratowanie ważnych danych z dysku twardego, jeśli istnieje ryzyko, że infekcja spowoduje nieodwracalne uszkodzenia plików. Najlepszym rodzajem płyty bootowalnej, w przypadku infekcji złośliwym oprogramowaniem, jest dysk ratunkowy zawierający oprogramowanie do zwalczania szkodników. Wykonanie takiej płyty umożliwiają niektórzy producenci oprogramowania antywirusowego, nośniki w postaci plików ISO można także pobrać z sieci (na przykład tutaj)
Wszelkie podejrzane procesy, wpisy w sekwencji startowej, albo pliki i foldery w katalogu systemowym dobrze jest sprawdzić wyszukując informacje w Internecie. Często można w ten sposób odnaleźć niezwykle cenne porady innych użytkowników i administratorów, którzy z takim lub podobnym problemem zetknęli się już wcześniej. Jeśli pozwalają na to warunki, zainfekowany komputer można poddać kwarantannie do czasu pojawienia się szczepionek zwalczających dane zagrożenie przez program antywirusowy.
Przy tym wszystkim nie należy tracić z oczu najważniejszego celu procesu oczyszczania systemu ze szkodliwego oprogramowania, jakim jest zapobieżenie utracie danych – czy to przez ich trwałe uszkodzenie, czy też kradzież lub udostępnienie niepowołanym osobom. Przywracanie systemu do stanu pełnej używalności może odbyć się na trzy sposoby.
- Wyczyszczenie komputera z malware'u oraz usunięcie lub naprawienie uszkodzonych plików.
- Odtworzenie systemu z kopii zapasowej.
- Odbudowanie systemu od początku.
Wariant drugi możliwy jest tylko pod warunkiem, że wykonana została wcześniej kopia zapasowa, w dodatku nie ma pewności, że backup wolny jest od złośliwego oprogramowania, ponieważ niektóre ze szkodników są tak zaprojektowane, aby uaktywniać swoje niszczycielskie zachowania z pewnym opóźnieniem, a przywrócenie takiej kopii zapasowej spowoduje ponowną infekcję. To samo dotyczy punktów przywracania, ponieważ i takie kopie mogą zawierać zainfekowane pliki systemowe, powodując kolejne zarażenie.
Odbudowanie systemu od zera jest najbezpieczniejszą formą przywrócenia systemu, zalecaną w ekstremalnych przypadkach, np. jeśli infekcja dotyczyła wykrycia w systemie backdoora lub rootkita – różne składniki tego typu ataku są niezwykle trudne do wiarygodnego wykrycia i nie ma stuprocentowej pewności, że dokonane modyfikacje systemu nie umożliwią kolejnego ataku. Jest to jednocześnie najbardziej pracochłonne przedsięwzięcie wymagające ponownej instalacji wszystkich używanych na komputerze programów oraz skopiowania dokumentów i innych ważnych danych z wykonanej kopii zainfekowanego systemu – po uprzednim upewnieniu się, że nie zawierają one groźnych pozostałości infekcji.
Oczyszczenie systemu bez reinstalacji i przywracania kopii najlepiej wykonać wtedy, gdy infekcja jest dobrze znana i udokumentowana przez producentów oprogramowania antywirusowego. Istnieje wówczas duża szansa, że za pomocą tego czy innego programu antywirusowego uda się usunąć wszelkie niebezpieczne elementy i cofnąć dokonane przez nie modyfikacje w systemie. Decydując się na ręczne oczyszczanie systemu należy ściśle trzymać się wytycznych dotyczących usuwania danego zagrożenia. Przede wszystkim należy zatrzymać funkcjonowanie szkodliwych procesów, a także uniemożliwić ich automatyczne lub zaplanowane uruchomienie. Następną ważną czynnością jest usunięcie wszelkich plików zapisanych w wyniku działania złośliwego oprogramowania oraz wprowadzonych przez nie zapisów w rejestrze systemowym. Wreszcie pozostaje cofnięcie wszelkich zmian dokonanych przez to oprogramowanie i przywrócenie dokumentów, ustawień i innych plików do stanu sprzed infekcji. Do naprawy systemu konieczne może być użycie dodatkowych narzędzi, np. funkcji odzyskiwania systemu zawartych na płycie instalacyjnej Windows.
Po wykonaniu oczyszczania konieczne jest uzyskanie potwierdzenia, że system jest wolny od szkodliwego oprogramowania. W tym celu należy przede wszystkim wykonać pełne skanowanie wszystkich dysków komputera programem antywirusowym, dla pewności dobrze jest wykonać drugie skanowanie innym antywirusem (na przykład jednym z bezpłatnych skanerów antywirusowych online). Warto także poświęcić czas na analizę działających w systemie procesów, otwieranych przez aplikacje portów i zestawianych przez komputer połączeń z adresami zewnętrznymi. Niezależnie od wszystkiego, należy zachować wzmożoną czujność i nadzwyczajną ostrożność podczas pracy z przywróconym systemem.
Zabezpieczenie przed ponowną infekcją
Oczyszczenie komputera ze szkodliwego oprogramowania i odzyskanie danych nie oznacza jeszcze zakończenia pracy nad przywróceniem systemu do pełnej funkcjonalności. Po potwierdzeniu, że system jest wolny od złośliwego oprogramowania należy wykonać czynności, które uniemożliwią nawrót infekcji. Bezwzględnie zalecana jest zmiana wszelkich haseł zapisanych w systemie na takie, które nie są łatwe do odgadnięcia. Drugim ważnym elementem jest zaktualizowanie systemu oraz innych używanych programów do najnowszych dostępnych wersji, ściągnięcie łat i poprawek poprawiających bezpieczeństwo.
Trzeba także zastanowić się nad weryfikacją wykorzystywanych dotychczas zabezpieczeń i ogólnej polityki bezpieczeństwa. Jeśli istnieje podejrzenie, że winę za infekcję ponosi niezapewniające dostatecznej ochrony oprogramowanie, warto rozważyć jego zmianę na takie, które w przyszłości pozwoli na uniknięcie podobnego ryzyka. Dokonując wyboru można posłużyć się wersjami testowymi programów, można także skorzystać z rankingów wykonywanych przez niezależne organizacje, takie jak AV-Test lub AV Comparatives. Nie należy jednak zapominać, że najważniejszym elementem skutecznej ochrony jest rozsądne użytkowanie komputera i zapobieganie zagrożeniom, a nie ich zwalczanie. Nawet najlepsze rozwiązanie antywirusowe nie zda się na nic, jeśli do sprawy bezpieczeństwa podchodzić będziemy lekkomyślnie.
Andrzej Witbrot - 2012 - www.killvir.pl - www.wwknet.pl
Licencjonowane artykuły dostarcza Artelis.pl.
Twórcy wirusów komputerowych
”.