Servicii profesioniste de devirusare

^{Servicii profesioniste de devirusare}

Chiar i cel mai experimentat utilizator de PC a avut necazuri cu viru ii sau adware/spyware-ul i nu ntotdeauna a putut s le fac fa cu brio. n cele ce urmeaz o s v ar t m cum pute i deveni un profesionist al devirus rii. V-aþi sãturat de un sistem încet ºi care gâfâie la aproape orice operaþie exe­cutatã? Bãnuiþi cã vreun vecin de reþea îºi face de cap prin fiºierele dum­neavoastrã? Vreþi sa fiþi sigur ca pozele ºi colecþia audio nu ajung pe mâinile cui nu trebuie? Ei bine, atunci citiþi cu atenþie cele ce urmeazã.

In numai câteva minute veþi putea avea toate informaþiile de care aveþi nevoie pentru a fi un profesionist al devirusãrii. Nu va mai fi cazul sã sunaþi un prieten sau apelaþi la serviciile unei firme ºi veþi putea lua pe cont propriu importanta operaþie de devirusare. Veþi înþelege cum funcþio­neazã viruºii ºi ce trebuie sã faceþi atunci când suspectaþi cã un corp periculos se aflã în sistemul dumneavoastrã. Vã veþi crea propriile instrumente de atac ºi veþi învãþa sã folosiþi un întreg arsenal de arme împotriva viruºilor. Trebuie doar sã par­curgeþi cu atenþie informaþiile din paginile urmãtoare. Veþi învãþa cum se realizeazã o scanare cu un program antivirus, cum puteþi interveni manual ca sã eliminaþi in­fecþiile sau cum sã creaþi ºi sã folosiþi un LiveCD drept instrument de devirusare.

Ce trebuie sã ºtiþi

Inainte de a ne apuca de treabã, haideþi sã trecem în revistã câteva elemente de bazã. Ele vã vor permite sã înþelegeþi mai bine conceptul de corp periculos ºi cum se poate scã 959h75j pa de el. în acelaºi timp, trebuie sã ºtiþi încã de la început cã nu toate opera­þiile de devirusare reuºesc sã refacã 100% un sistem. Pur ºi simplu infecþiile pot lãsa urme prea adânci pentru ca lucrurile sã poatã fi reparate de tot. însã meritã sã în­cercaþi!

Conceptul de virus

Nu intrãm în prea multe detalii ºi de aceea, generic vorbind, un virus este un progra­mei care are toate caracteristicile unui vi­rus (din definiþia medicalã). Adicã are o semnãturã proprie, de obicei are acþiuni periculoase (distrugere de date, furt de in­formaþie, generare de atacuri DDoS etc.), se înmulþeºte prin infectarea altor fiºiere/ sisteme ºi, ori de câte ori este posibil, stã rezident în memoria calculatorului, ocu­pând nejustificat resursele. Deºi nu este neapãrat o analogie corectã, în categoria de viruºi vom include atât viermii, adware/ spyware, rootkit-urile, dialer-ele ºi alte pro­grame care au caracter periculos pentru simplul fapt cã ne va fi mai uºor sã le iden­tificãm aºa.

Un virus de calculator este un program care se va încãrca la pornirea sistemului de operare ºi va face tot posibilul sã nu fie detectat ºi eliminat din sistem, în acelaºi timp ocupându-se de ceea ce ºtie mai bine sã facã, ºi anume sã se replice ºi sã încerce sã infecteze ºi alte fiºiere/sisteme. Pentru aceasta va altera modurile normale de exe­cuþie ale majoritãþii aplicaþiilor instalate, în special ale soluþiilor de securitate gen antivirus, antispyware etc, fapt pentru care prezenþa sa va fi simþitã indirect.

Primul semn cã un calculator este in­fectat este acela cã începe sã se miºte greu, spaþiul liber dispare nejustificat, apar fiºi­ere necunoscute cu nume bizare, este în­treruptã conexiunea la internet, apar blo­cãri ºi restartãri, desktop-ul este umplut de foarte multe ferestre ºi informaþie pe care nu aþi solicitat-o.

Dacã vã gãsiþi într-una din situaþiile de mai sus, atunci este momentul sã faceþi ceva!

Devirusare folosind sistemul infectat

Bun. Am reuºit sã ne infectãm cu viruºi, aºa cã avem de ales între a reinstala tot sistemul sau a încerca sã scãpãm de in­fecþie. Nu credem cã prea mulþi utilizatori sunt fanii primei opþiuni ºi de aceea în cele ce urmeazã o sã vã arãtãm care sunt paºii pe care îi puteþi urma pentru a scãpa de infecþie. Cea mai simplã modalitate este sã scoateþi hard diskul din sistem, sã îl mon­taþi în sistemul unui prieten ºi de acolo sã începeþi curãþarea. însã nu este neapãrat necesar: uneori nu este posibil acest lucru (sã zicem cã avem un sistem sigilat sau fo­losim un laptop) ºi atunci este cazul sã gã­sim alte modalitãþi.

De cele mai multe ori, un sistem se infec­teazã nu neapãrat din cauza imprudenþei utilizatorului care a deschis un executabil infectat, ci a lipsei update-urilor în sistem (bine:), ºi aceasta este tot o imprudenþã...). O "gaurã" în sistem este mai mult ca sigur sursa infecþiei. în caseta "Scanare online" puteþi vedea ce trebuie sã faceþi atunci când suspectaþi cã aveþi un virus. De acum înainte o sã vã arãtãm cum puteþi scãpa de infec­þie, pe baza unui sistem de test construit ºi infectat de miile de e-mail-uri periculoase care ne ajung în cãsuþele de e-mail de la re­dacþie. Sunt cazuri fericite în care o scanare online oferã maximul de rezultat (dezinfecþia), nu doar numele infecþiei. De cele mai muite ori însã vã veþi alege doar cu o informaþie simpla: numele infecþiei. Ceea ce trebuie sã faceþi ulterior este sã folosiþi baza de date a companiei care v-a oferit sca­nare online ºi sã obþineþi mai multe infor­maþii despre infecþie. Spre exemplu, am folosit pe un sistem infectat soluþia de sca­nare online de la BitDefender ºi am obþi­nut niºte informaþii preliminare: Win32. Mydoom.L@mm. Cãutând în Google dupã numele acestui virus, am putut afla cã este un vierme care se rãspândeºte prin e-mail. Prin urmare putem sta liniºtiþi, aceastã in­fecþie nu se datoreazã unei gãuri de secu­ritate (situaþie în care ar fi trebuit sã cãu­tãm ºi sã descãrcãm manual patch-ul de sistem de operare/aplicaþie pentru a bloca o reinfecþie) ºi putem trece la curãþare.

Pregãtirea

Ori de câte ori detectãm o infecþie pe siste­mul nostru, primul lucru pe care trebuie sã îl facem este sã îl deconectãm de la in­ternet/reþea. Dacã tot am reuºit "perfor­manþa" sã ne infectãm, nu dorim ca siste­mul sã devinã o sursã de atacuri/infecþii pentru alþii. Apoi, trebuie sã facem rost de kit-ul unui antivirus. Vã propunem sã fo­losiþi kit-ul de Kaspersky Anti-Virus 7, ce poate fi gãsit pe CD/DVD-ul acestei luni ºi sã instalaþi soluþia de securitate pe sistem sau sã descãrcaþi una de pe site-ul www.kaspersky.com (îþi pot trimite lunar licenta pt el Este indicat ca, ori de câte ori este posibil, sã folosiþi o versiune cât mai recentã a kit-ului. Puteþi alege sã instalaþi în forma personalizatã sau în cea Express. Va recomandãm prima opþiune, dat fiind cã se pot alege modulele pe care le vom folosi. Pentru început, lâsaþi-le ac­tive pe toate. Veþi observa cã o sã aparã o fereastrã de dialog, în care vi se propune dezactivarea funcþiei de autoprotecþie a instalãrii. Sub nici o formã sã nu renunþaþi la ea, mai ales în cazul în care soluþia se instaleazã pe un sistem infectat - aºa sunt ºanse mari ca executabilul soluþiei de securitale sã nu fie infectat ºi ne poate servi ca mijloc de dezinfecþie. Dupã terminarea instalãrii, selectaþi opþiunea de protecþie primarã (recomandatã pentru cei mai mulþi utilizatori). Pentru restul setãrilor lãsaþi selecþia implicitã. Reporniþi calculatorul.

Detecþie ºi eliminare

In situaþia fericitã în care antivirusul s-a instalat corect, la prima pornire deja vã va prezenta ferestre de dialog legate de in­fecþiile detectate. Mergem pe principiul cã sistemul este infectat cu viruºi necunoscuþi ºi de aceea orice atenþionare care vine din partea soluþiei de securitate trebuie tratatã cu multã atenþie. Decidem sã anulãm orice alarmã de tip riskware (apãsând butonul Terminate) ºi ori de câte ori avem ocazia mergem pe opþiunea Fix (reparare). Doar nu vrem sã rãmânem fãrã date ºi fãrã un sistem funcþional, nu? Când nu mai existã altã variantã, recurgem la funcþia de ºter­gere a fiºierelor infectate (Delete). Acolo unde este cazul, alegeþi opþiunea Apply to all pen­tru a nu fi nevoiþi sã rãspundeþi manual fiecãrei infecþii (de obicei, când un sistem este infectat va avea mai mult de un singur corp periculos ºi în mai multe locaþii). Când toate alarmele iniþiale au dispãrut (probabil dupã câteva reporniri ale siste­mului de operare), vine momentul în care putem realiza primul control mai amã­nunþit al sistemului. Trebuie însã sã facem câteva setãri mai detaliate. Porniþi inter­faþa soluþiei de securitate. Veþi putea ob­serva un mesaj de atenþionare, prin care sunteþi anunþaþi cã baza de semnãturi nu este de actualitate. Nu vã bateþi capul cu acest aspect deocamdatã. Daþi clic pe tab-ul Scan ºi selectaþi My Computer. Clic pe Settings ºi apoi pe Cuslomize din zona Security Level. Lãsaþi setarea Scan all files din dreptul File Types ºi bifaþi Parse email formats (se va scana ºi în e-mail-uri). Veri­ficaþi în tab-ul Additionat sã aveþi bifate toate cãsuþele. Tab-ul Heuristic analyzer este cel în care trebuie sã facem cele mai multe schimbãri. Suntem de pãrere cã este mai bine sã avem alarme false decât sã nu avem nici un fel de alarmã ºi viruºii sã rã­mânã în sistem. Prin urmare, bifaþi Enable rootkit detection, enable extended roolkit scan ºi Use heuristic analyzer (folosirea detecþiei euristice ce poate detecta viruºi necunoscuþi) pe valoarea Detail. Acestea fiind fãcute, putem valida alegerea prin Apply. Acum o sã setãm comportamentul motorului antivirus în cazul detecþiei unei infecþii. Dacã nu vrem sã validãm manual fiecare operaþie, este mai indicat sã bifam Do not prompt for action cu Disinfect ºi Delete (se va încerca o dezinfectie ºi, dacã nu este posibilã, va fi ºters fiºierul care ori­cum este nefolositor în aceastã formã). Apoi apasãm OK ºi Start scan. Aºteptãm sã se termine procesul de scanare, dupã care vom consulta log-ui de activitate (sau îl putem vedea în timp real apãsând bu­tonul Details). Dupã ce operaþia a luat sfârºit, reporniþi sistemul ºi repetaþi-o. Dacã totul pare în regulã, înseamnã cã putem sã trecem la pasul urmãtor: update-ul bazei de semnãturi.

Update

Pânã acum am realizat o scanare a siste­mului folosind un engine ºi o bazã de sem­nãturi de viruºi ceva mai vechi. Dar îndatã ce produsul este activat, putem trece la update. Conectaþi sistemul la internet ºi faceþi update (clic dreapta pe icon-ul Kaspersky ºi Update). Dupã ce s-au termi­nat descãrcarea ºi aplicarea actualizãrilor, reporniþi sistemul ºi repetaþi operaþia de scanare. în cel mai fericit caz nu veþi mai primi nici o atenþionare de infecþie. Sunt însã ºi situaþii în care anumite infecþii per­sistã.

Acþiuni specializate

Este cazul sã trecem la acþiuni mai în forþã, pentru care avem nevoie de niºte instru­mente mai aparte. Accesaþi site-ul https://www.microsoft.com/technet/sysinternals/default.mspx , fostul www.sysinternals.com ºi descãrcaþi de acolo aplicaþiile Process Explorer, PsKill, PsList ºi RootkitRevealer, pe care le veþi dezarhiva într-un director pe hard disk. Rulaþi apoi Process Explorer ºi validaþi (Allow) acþiunea în cã­suþa de dialog pe care motorul de detecþie. Kaspersky o sã vi-o prezinte. Urmãriþi cu atenþie lista de procese prezentate. Uitaþi-vã dupã nume suspecte de tipul Lsasss.exe sau smess.exe, care seamãnã foarte mult cu procesele smss.exe sau lsass.exe din Windows. Puteþi folosi funcþia de cãutare online (clic dreapta pe Process, Search on-line) ca sã obþineþi mai multe informaþii despre respectivul proces ºi sã puteþi sta­bili mai uºor legitimitatea lui. Odatã de­tectat un proces suspect, cu clic dreapta pe el ºi Properties veþi obþine mai multe in­formaþii (calea cãtre executabil este una dintre informaþiile de care avem nevoie), încercaþi sã terminaþi respectivul proces cu ajutorul opþiunilor existente în Process Explorer. Veþi observa cã serviciul reapare ºi ori de câte ori l-aþi opri, el reporneºte automat. Notaþi informaþiile pe care le-aþi obþinut despre el (calea cãtre respectivul executabil ºi numele procesului). Sã luãm ca exemplu adware-ul WhenU, care se gãseºte în foarte multe kit-uri de instalare, aºa-zis gratuite ºi sã vedem cum putem scãpa rapid de el. Pentru orice proces care vi se pare suspect puteþi foarte uºor sã repetaþi paºii. Cu ajutorul lui Process Ex­plorer obþinem informaþii interesante: are douã procese RelevantKnowIedge ºi WhenU Save, ale cãror executabile sunt rlvknlg. exe ºi save.exe din Windows\system32\ rlvknlg.exe respectiv Program Files\Save\ Save.exe. înarmaþi cu aceste informaþii, vom crea un fiºier de tip text de forma eliminare.cmd. în el introducem urmã­toarea secvenþã pskill -t -u administrator -p parola de administrator save.exe ce va termina procesul. Mai adãugãm liniile attrib -S -H -R -A "c:\Program Files\Save\ Save.exe" (eliminãm toate atributele de protecþie ale fiºierului) ºi del /F /Q "c:\ Program Files\SaveVSave.exe". Salvãm fiºie­rul astfel creat în directorul în care se aflã aplicaþiile Sysinternals. Deschidem o fe­reastrã Command Prompt (Start, Run, cmd ºi navigam cãtre directorul dorit cu secvenþa cd c:\nume director). Apoi scriem eliminare.cmd ºi Enter ºi am scãpat de fiºierul buclucaº. Dacã sunt mai multe procese, atunci faceþi un singur fiºier cu comenzile necesare eliminãrii lor dupã structura: închidem procesul cu ajutorul comenzii pskill ºi ºtergem executabilul.

Ulterior, apelând aplicaþia msconfig, putem elimina rularea aplicaþiei la porni­rea sistemului de operare (dacã este listatã ca aplicaþie în tab-ul Startup) sau ca ser­viciu, în cel din urmã caz se poate scãpa de un serviciu prin intermediul comenzii "se delete nume serviciu". Numele îl obþi­nem din lista de servicii afiºatã de coman­da services.msc datã în Start-Run. Repornim sistemul ºi urmãrim efectele prin lansarea aplicaþiei Process Explorer. Dacã nu mai vedem nici un proces suspect, atunci am reuºit sã scãpãm de probleme. Acum realizaþi o scanare dupã un rootkit cu ajutorul lui Rootkit Revealer pentru cã de multe ori odatã cu un virus/vierme se instaleazã ºi un rootkit. în nefericitul caz în care aveþi un rootkit, va trebuie sã in­stalaþi ºi sã folosiþi soluþia F-Secure Back-light. Ulterior este indicatã încã o scanare cu soluþia antivirus.