June 29, 2010

Компютърни вируси! Как да предпазим компютъра от вируси?

Версия: 1.2
comming soon in english

Целта на това ръководство не е да научите какво са вирусите, а как се разпространяват и как да предпазвате вашия компютър от заразяване.





Вирусите вече не се правят с цел да нанасят щети на компютъра или операционната система. Операционните системи и хардуера вече са доста по-умни - недопускат злонамерен кода да нанася щети. Също и антивирусните програми се справят по-добре с вируси нанасящи вреди на компютърни системи, от преди 10 години. Вирусите вече имат за цел да позволят неудостоверен достъп до системата, събиране на информация или използване на ресурсите на компютъра – памет, харддисково пространство, процесорно време. Вирусите са по-известни под имената: Rootkit, MalwareSpybot и др. В повечето си разновидности, са шпионски програми. Те също са вируси, но действията им са малко по различни. Имат за цел, събиране на информация за потребителите на системата (посещаваните интернет страници, било то лична информация, пароли, cookies), както информaция за самата система. В някои случаи дори предоставят неудостоверен достъп до системата на вируси или дори на хакери. Има специализирани антивирусни софтуери, наречени Anti-Rootkit, Anti-Malware, Anti-Spybot, които са направени специално за тези вирусни техники. Едни от най-използваните и доказали се софтуери са Spybot - search and destroy, Malwarebytes. Тези антивирусни софтуери имат същите функции както всички антивирусни програми, претърсват за вируси, ако могат поправят заразени файлове, изтриват зарезени файлове или налични вируси, както и постоянното следене за вирусна активност в системата.

Начините за заразяване с вирус са доста различни. Най-често това се случва от носител (CD/DVD, Flash memory, Diskettes).  Било то  дискети, било от дискове. Флаш паметите също са устройства влизащи в категория носители.  Дисковете и дискетите вече не представляват голяма заплаха за заразяване от носител. Но това все още не е така за флаш паметите.
 
Друг популярен "носител", от който може да се зарази с вируси компютъра ви, е елетронната кореспонденция - елетронната поща, съобщителните (чат) програми. Често се случва да получавате нежелани писма, така наречения  Spam. За Mail сървърите и Mail client програмите, често се използват антивирусни или анти-спам решения. Това са програми или допълнения към сървърния или пощенския софтуер. Анти-вирусните програми като Kaspersky, McAfee, Symantec, Avast, AVG и други, предоставят добавки (plug-in) за пощенските програми (енда от най-използваните е на Microsoft от пакета MS Office - Outlook ). 

В това ръководство ще се спра и ще дам примери за пощенския клиент на Outlook, на разпрастраненито на вируси чрез електронна поща. Това е най-използвания пощенски клиент във професионален аспект. Ръководството е повече насочено към хора, които използват компютъра си за професионални цели.
Често се случва да има заразени файлов в torrent файловете, които сваляте от торент (torrent) страниците. Вирусите може да се съдържат в генратори на лицензионни ключове (key generator, keygen) или в основното съдържание на торент файловете (.exe, .bat, .rar, .ini, .src и др.).
Възможно е  и заразяване от интернет страници, в които има злонамерен код.  Злонамерения код, често представлява Java script или код написан на друг програмен или скриптов език, използван за web страници. Това най-често е обвързано с инсталиране или разрешавене на права за запис, на злонамерен код, върху вашата система. За браузъра FireFox пък има добавка(add-on) - No Script, която спира злонамерен код в интернет страниците (web sites), които биха могли да инсталират с неудостоверен достъп злонамерен код.
Може да попаднете на страниците в които има злономерен код, който да не е сложен умишлено, т.е. да не е заложен от разработчиците на интернет страницата (макар, че има и обратния случай), ами да е заложен от хора с неудостоверен достап до ресурсите на страницата. С по-прости думи казано, ако страницата е хакната до степен на достъп до някой от ресурсите й (база данни, FTP - файлов достъп), може да бъде инсталиран злонамерен код или дори да се извърши така наречения fishing, но той не представлява предмет на това ръководство, тъй като е вид „хак”, а не вирус и затова няма да се спра на него в това ръководство.
 В официалните страници на производителите на антивирусен софтуер има инфорамация за нови вируси, за техните симптоми, за тяхното евентуално премахване без преинсталиране на операционната система. Една такава страница е страницата на производителя на антивирусен софтуер Symantec. Там може да намерите информация и списък с най-разпространените вирус, както и за най-новите които са активни, както и техники и инструменти за тяхното премахване.

Има вируси, които използват възможността на USB флаш паметите за автоматично стартиране на файлове записани върху тях. Това e уязвимост в Windows операционните системи, така наречения Auto Run. Един такъв вирус използващ тази уязвимост е Win32Confi. Той все още е доста актуален и доста поразителен. Заразяването му става най-често от зарезени USB флаш памети. Вирусът създава скрипт за автоматично стартиране (.ini файъл), който използва уязвимостта в  MS Windows, която позволява на файлове върху носители да се изпълнят автоматично, дори без разрешението на потребителя. Също така Win32Confi се копира на други носители (USB флаш памети) или мрежови ресурси – мрежови дискове/споделени папки (Map Network Drive), на които има права за писане текущия потребител на системата. Като създава папка, която прилича на Recycle Bin в MS Windows.  Както знаеме това е кошчето на операционната система. Всъщност Recycle Bin представлява само една папка в която се съдържат файловете (до определена големиена зададена предварително) приготвени за изтриване от потребителя. Win32Confiколкото и да представлява опасност, не е непреодолим. Microsoft  имат обновяване (update), което коригира тази уязвимост в Auto Run опцията в MS Windows. Има и софтуерни инструменти които са разбратени, както за премахването на този вирус така и за други злонамерени софтуери.
Skype, най-използвания съобщитетелен (чат или телефония по интернет), софтуер за комуникация. Използван успешно, както за домашна - персонална употреба, така и много фирми и компании гласуват доверие на Skype в бизнес кореспонденцията, била тя с клиенти или партньори. Независимо, че комуникацията се извършва директно (P2P - директна комуникация между участниците в разговара двама или повече, макар, че в последната си версия на Skype, кореспонденцията вероятно минава през сървър който записва, може и да записва хронология на съобщенията) и е криптирана връзка (макар, че може би в някои страни не е съвсем криптирана), Skype се оказва все пак до известна степен разпространител на вируси. Това се разбира когато някой от списка ви абонати в Skype, изпрати съобщение с подозрително съдържание, в което има несмислен текс или линк с подозрително име, водещ до снимки на абоната или програма (изпълним файл, дори добавка към Skype, която ви дава определена възможност). Ако сте чули или прочели за някоя добавка на Skype, която добавя дадена възможност на клиентския софтуер и вие искате да я използвате, това най-добре го направете, като проверите за съществуването на такава добавка в официалната страница на Skype или в интернет страница на официални разработчици на Skype добавки. В друг случай е възможно да си свалите някой злонамерен софтуер, който да ви причини повреди по операционната система или да използва ресурсите на компютъра ви с неудостоверено достъп, дори може да открадне част от личната ви информация.
Как всъщност работят вирусите:

  1. Първо един вирус трябва да бъде маскиран. Може да бъде маскиран, като системен процес (service), в изпълним файъл (.exe, .bat, .rar, .ini, .src и др.) или в малък програмен код (скрипт), прикачен към интернетстраница или писмо.
  2. След което се избира начин за разпространение. Начините за разпространение може да са:
    1. писмо или съобщение по Skype, в което да се съдържа подозрителен линк водещ до злонамерен файл или подозрителна интернет страница;
    2. писмо съдържащо прикачен файл (скрипт, изпълним файл, архив), в който се съдържа вирус или злонамерен скрипт;
    3. чрез прикачване на злонамерен скрипт към документ (в някои случаи картинка), изпълним файъл или архив, който изглежда безобиден, но всъщност в него може да е заложен пътя за стартиране на вирус. Това най-често се случва чрез .ini файъл;
    4. заразени дискети, дискове, USB флаш памети. Те най-често съдържат заразени файлове, които се стартират от скрипт, в който е описан пътя на заразения файъл - вирус;
    5. заразяване чрез други спомагателни файлове, които са безобидни, но спомогат за заразяване на системата от интернет, чрез отваране на комуникационни портове, по които влизат вируси.
  3. След като вирусът достигне целта, той или изчаква определено време за активиране или изчаква да бъде стартиран от сктрипт (т.е. осъществява се определено събитие). Често вирусите намират скривалище в системни папки във вашата сиситема. Една такава папка е System Volume. Тази папка, се използва от инстромента System Restore на Windows, където се пазят предишни състояния на Windows, които могат да се използват при поправяне на системни грешки, чрез връщането на предишното и състояние.
  4. Когато вече вируса е стартиран, той започва изпълнението на своята задача. Това как ще изпълни и каква му е задачата, зависи от това какво е заложено в програмния код на вируса.


Как да предпазиме от заразяване с вируси, компютърната ни система:
Първото нещо е ние самите като потребители на сиситемата да внимавеме за нашите действия. Всички описани начини на заразяване с вируса са предизвикани от невнимателна работа от страна на потребителя;
Инсталиране на антивирусна програма, както и програмни продукти следящи за щпионски програми или промяна в регистрите на операционната система. Честа проверка за вируси.
Проверка на всеки свален файл било то, от носител (CD, DVD, Diskette, USB Flash memory) или от интернет страници (download, torrent).
Настройка на всички програми, които поддържат проверка за вируси от външни антивирусни програми (Outlook, Thunderbird, FlashGet, UTorrent, BitTorrent).
Сваляне на файлове и програми само от сигурни сайтове, за които знаете, че съдържанието не е зарезено. Най-често това са официални или дистрибуторни страници на софтуерни продукти.
Посещение на интернет страници, за които сте сигурни, че няма заложен злонамерен код. За това също може да се допитвате и до антивирусната ви програма, стига тя да има възможност да проверява страниците които посещавате. Това най-добре става когато влизате в интернет стрницата през търсачка. Така антивирусната програма, ще има възможност да провери страницата преди да я отворите.
Инсталиране, копиране или отваряне на софтуери или файлове от носители, за които сте сигурни предварително, че не са заразени с вируси, самите носители или съдържанието. Това може да направите чрез проверка на носителя с антивирусната ви програма, преди да използвате съдържанието му. Препоръчително е дори да изключите "Autorun" опцията на Winodws, за автоматично зареждане на всякакви файлове от различни външни устройства. Ето как може да го направите за различните версии на MS Windows.
Отваряне на прикачени файлове от писма, само за които знаете, че подателя не ви изпраща зарезен файл. Но дори и да познавате добре подателя, може прикачения файл или дори писмото да е зарезено с вирус или в съдържанието си да има подозрителни линкове, за което подателя дори и да не подозира, че изпраща такива писма, или дори да ви изпраща зарезен файл без предварително да го е проверил той самия.
Приемане на файлове от Skype, от абонати, само които познавате и на които предварително сте дали пълномощно. Също така катко споменах по-горе и по Skype, е възможно да получите вирус от абонат, който познавате, без той да подозира, че ви изпраща вируси или подозрителни интернет връзки сочещи към подозрителни страници.
Инсталиране на добавки към софтуерни продукти само от офицялните страници на производителите или от официални странични разработчици.
Инсталиране на разширения (extensions), добавка (add-on) или ActiveX, към вашия Browser (Mozzila FireFox, MS Internet Explorer – 6/7/8, Google Chrome), които са поискани от интернет страници. Това са сертификати, скриптове или софтуери, които стартират интернет базирани софтуерни продукти (web based software).
Допълнителното използване на филтриращи мрежовия трафик (Firewall) софтуери, би увеличило защитата ви от вируси или поне по-ранното известяване за опасност от заразявaне на компютърната сиситема с вируси или друг злонамерен код.

По какво може да разберете, че вашата компютърна система е зарезена с вирус. По някога е трудно да се разбере дали всъщност вашата система е зарезена с вирус, но ето и някои признаци, по които може да се ориентирате:

Затормозяване на вашия компютър. Забавяне при отваряне на някои софтуерни продукти. Това, най-често се разбира, ако често използван от вас софтуер при стартирането  му компютъра забява или има забавяне на другите процеси при неговото стартиране. Но имайте предвит, че това може да е причинено от затормозяване на харддиска. Това може да се оправи чрез сканиране или дефрагментиране на харддиска за остаряли или нуждаещи се от подредба файлове.

Процеси които заемат голямо количество памет или използват процесорно време без причина. Това може да се провери от Windows Task Manager или с друг софтуер, който следи и ви показва заредените файлове и процеси в паметта. Такива са Open File View, Hijack This и други програми които показват какво е зареденот в паметта и кой процес, колко процесорно време и памет използва.
Увеличаване на мрежовия трафик. Мрежовия трафик е най-добре да се следи с филтрираща програма или друг подобен софтуер показващ текущите възки от и към вашия компютър или текущия трафик.
Затормозяване на храддиска, което е добликат на първия от посочените симптоми, но искам само да каже, че има случаи когато вирусите може да забавят само работата на харддиска, а не изобщо на целия компютър. Но това пак трябва да се допусне само след предварителна профилактика на харддиска, както и да се допусне, че харддиска все пак има жизнен цикъл, който зависи от неговата натовареност и охлаждане, и може просто да ви подсказва, че скоро ще се наложи да го подмените, и че не може да разчитате на настоящия ви храддиск.
Често рестартиране на вашата система. Има случай когато вирусите създават системни грешки, които довеждат до умишлено рестартиране на компютъра ви без ваша намеса. Тези системни грешки се отчитат от операционната система, но не винаги може да са породени от злонамерен софтуер. Може просто някой доброжелателен софтуер да не работи правилно или просто да не е съвместим с друг, което води до нестабилност на цялата система.
Зареждане на програма , която не е задедане от вас за стартиране при стартирането на операционната система. В MS Windows (9x, XP, Vista, 7) има инструмент (msconfig), чрез който се управлява стартирането на програми и процеси при стартирането на Windows. Този инструметн може да се стратира от Старт > Изпълни > и въвеждане на командата msconfig в полето за изпълнение на команди.
Проверете да ли вашия компютър не се е свързал, т.е. отворил комуникационен порт, към някой адрес или интернет страница в интернет без да знаете. Това може да се случи когато вирус тип "троянски кон" е проникнал във вашия компютър и след това се опитва да отвори задна врата за вируси които без проблемно ще заразат вашия компютър.





Какво да направиме след като вашата антивирусна програма ви извести за наличието на вириус или вие подозирате, че компютъра ви е заразен с вирус:

Оставете вашата антивирусна програма да се опита да изтрие вируса или да поправи заразения файъл;
Ако неуспее вашата антивирусна да премахне или изчисти вашата система. Премахнете я и инсталирайте нова. Сканирайте с нея вашия компютър.
Установете името на вируса с който е заразен вашия компютър. Това може да направите от журналите на антивирусната програма или друг детектор за вируси.
Потърсете информация за вирусите, с които е зарезена вашата система. Освен чрез резултати от Google, може да намерите информация и в официалните страници на антивирусната програма или антивирусния инструмент, който е открил наличието на вируси във вашата сиситема.
Обърнете се за обновяване на вашата операционна сиситема в официалната страница на прозиводителя. Microsoft публикува бюлетин относно уязвимостите в Windows, както и прилежащи обновявания, които отстраняват пропуски.
Проверка на системата с други детектори за вируси. Възможно е дори и след премахването на открития вирус, той да е осигурил достъп на други злонамерени софтуери,  до вашия компютър, които вашия антивирусен софтуер да не е отктрил.
Ако попаднете на информация от интернет търсачки за вирус, който е заразил вашата система, прочетете за опита, който имат потребителите заразили се преди вас. Вероятно вече са запознати до колко е опасен вируса, а също и как да го премахнат от вашата система.
Събирането на информация за вируса, който е заразил вашия комютър, ще ви помогне да разберете уязвимите места във системата ви, както и да предотвратите бъдещи зарази.
Ако използвате способността на Windows - System Restore Point, може да опитате да върнете предишно състояние на вашата система. Но имайте предвид, че връщането на предишно състояние на системата, може да изтрие важни за вас документи или да върне стари настройки на програми, а дори и да върне вируса.
Преинсталиране на операционната ви система да бъде последното нещо което мислите да направите.

Ако искате можете да свалите най-важното от тази публикация в pdf документ или във формат готов за презентация.

Намерих и няколко интересни видео демонстрации на действието на вируси и как антивирусните програми биха пропуснали наличието им във вашата система.









Изтегли публикацията
Публикацията е подкрепена от:







No comments:

Post a Comment