האם המחשב נגוע


קשה מאוד לדעת אם המחשב נגוע באיזשהו קוד זדוני. ישנם סימפטומים
אשר יכולים לרמוז על כך, כגון: איטיות, באנרים קופצים, כשאתר אינטרנט
שלא גלשנו אליו נפתח בפתאומיות ועוד…

כשמערכת ההפעלה נדבקת בקוד זדוני כלשהו, הטפיל חייב להוסיף את עצמו ל startup,
על מנת שיוכל לרוץ שוב לאחר אתחול המחשב. בגרסאות הישנות יותר של ווינדוס (ווינדוס 98 וכדו'…)
פעולת איתור הווירוס\ספייוור הייתה פשוטה יותר, מכיוון שהיו מקומות מעטים בהם נדרש לחפש.
במערכות ההפעלה של היום (XP ומעלה), זה כמעט בלתי אפשרי לחפש בכל המקומות הנסתרים
שמאפשרים לתוכנות לרוץ ב startup. על מנת להתמודד עם הבעיה עלינו להצטייד בעין ביונית
או להשתמש בתוכנה הנכונה. ישנן תוכנות רבות המפשטות את הפעולה בכך שהן מרכזות
ומציגות את היישומים הרצים מכל מרחבי המערכת.


איך נדבקנו?
בדרך כלל, לא יודע המשתמש להצביע על הגורם, הדרך או הסיבה בה המחשב
שלו נדבק ב"כולרה" ובצדק, האפשרויות הן רבות, בין אם זו ע"י תוכנה המכילה ספייוור,
אתר הדורש מהמשתמש להתקין איזשהו תוסף (active x) שבסופו של דבר מכיל קוד זדוני,
אתר המנצל פרצות ובאגים בדפדפן על מנת להחדיר קוד זדוני ללא התערבות המשתמש,
הודעת דואר המכילה קישור שנראה לגיטימי אך לאחר לחיצה עליו נילקח לאתר זדוני וכדו'…

זיהוי יישומים זדוניים
אם נכנס למנהל המשימות ונצפה ביישומים הרצים על המערכת, למעט כמה
שהספקנו כבר להכיר במשך הזמן, סביר להניח שלא נהיה בטוחים לגבי השאר.
ניתן כמובן לחפש בגוגל ומיד למצוא את התיאור המדויק של אותו היישום
או להיעזר באתר כגון Sysinfo המרכז אינפורמציה על יישומים שכיחים ומסוכנים.

אך הבעיה קצת יותר מורכבת מזו, גם אם זיהינו את היישום הרץ, למשל svhost.exe,
איך נדע האם הוא לגיטימי או נגוע? גם המשתמש המנוסה ביותר לא יוכל להגיד בבטחה
האם ה svhost הוא וירוס או בטוח, אלא אם כן הוא יחקור איזו תוכנה משתמשת בקובץ ולאיזו מטרה?

אבחון קבצים
ניתן להשתמש בתוכנה (File Information, FileAlyzer) שתבצע סקירה לאותם הקבצים
החשודים ותציג את כל האינפורמציה הרלוונטית. למרות שתוכנות אלו עשויות לשפוך קצת אור
על אופי הקבצים, עלולה הפעולה להיות סיזיפית מדי מכיוון שהיא דורשת יותר מדי התעסקות מצד המשתמש.

ניתן להשתמש בתוכנות המסוגלות להציג אינפורמציה לגבי אותם יישומים
שאנו לא בטוחים לגביהם, כגון שני הכלים המצוינים מחבילת ה sysinternals
Process Explorer ניטור תהליכים- התוכנה מציגה את השירותים הרצים על מערכת ההפעלה,
כמה זיכרון הם צורכים ואיזה קובץ מפעיל אותם-ווידאו.

Autoruns- מציגה את כל היישומים שרצים באתחול (startup) עם מידע נלווה.

התוכנות אמנם מאפשרות למשתמש לנתח את המצב ולהציג מידע על כול אחד מהיישומים,
אך נדרש ידע מסוים, רצון וזמן מצד המשתמש כדי לנתח את המצב, להבין מי נגד מי ולהגיע לתוצאות.

פתרון ידידותי ויעיל יותר למשתמשים בסיסיים או כל משתמש שלא יהיה, הוא
להתקין תוכנה שתבצע את כול הפעולות באופן אוטומטי ותדווח על המצב הקיים.

Assassin SE, Starter, Autostart Explorer
הן תוכנות זיהוי ודירוג יישומים הרצים על המערכת ומוגדרים להעלות בכל אתחול.
מאפשרות זיהוי, ריכוז,  דירוג ואינפורמציה על יישומים. סוג של אלטרנטיבה ידידותית
ל Autoruns ו
ProcessExplorer.

Process Library ו Quicklinks
תוכנות אלו (מאותו האתר והמפתח) עובדות במקביל אחת לשנייה (גם בנפרד),
מרחיבות את האפשרויות במנהל ההתקנים ע"י הוספת איקון לצד כל יישום ויישום,
כשנלחץ עליו יוצג מידע נוסף על מטרת ואופי היישומים,
השילוב המנצח יהיה להשתמש גם ב ProcessScanner שתבצע סריקה אוטומטי,
תאבחן ותדרג את רמת אמינותם של אותם היישומים.

זיהוי ודירוג אוטומטי של יישומים
במידה והגענו למסקנה שאנו זקוקים לתוכנה המאבחנת ומדרגת את היישומים באופן אוטומטי
ישנם כמה פתרונות היותר ידידותיים למשתמש, להלן:

Security Task Manager
תוכנה פשוטה שלא דורשת יותר מדי התערבות מצד המשתמש, מציגה את היישומים הרצים
על המערכת, המיקום שלהם, מי מפעיל אותם, מי משתמש בהם בהסתר ולבסוף מהי רמת הסיכון שלהם.
ניתן לאתר אינפורמציה נוספת על כל יישום שרץ ולהכניס אותו להסגר במקרה הצורך.

RunScanner
תוכנה קטנטנה המבצעת סריקה לתוכניות הפועלות על המחשב, פרוססים שעולים ב startup,
שירותים (services) ודרייברים ומזהה פעילות זדונית במידה וקיימת.
התוכנה מזהה שינויים שנעשו בהגדרות המערכת ומאתרת הודעות שגיאה שנגרמו עקב
נוכחותו של ווירוס, ספיוור או ניסיון פלישה כלשהו.

התוכנה כוללת שני מצבי סריקה:
Expert mode- סריקה זו נועדה למשתמשים מנוסים, כוללת את כול האפשרויות על מנת
לאתר, לדווח, לסנן ולמחוק יישומים זדוניים.
Beginner mode- ביצוע סריקה והעלאת התוצאות לפורום התמיכה באופן אוטומטי,
לאחר מכן יישלח אלינו קובץ עם המידע או התיקון הרלוונטי.

OSAM Autorun Manager
תוכנה זו תומכת – מאתרת יישומים המוגדרים לעלות בכל אתחול של המחשב,
מכול פינה או שיטה אפשרית. התוכנה אף כוללת מנגנון סריקה אונליין מובנה לאיתור
ספייוור ומיילוור השוכנים בחשאי ברשומות האתחול.
ניתן להשתמש בה כפתרון לבדיקת אמינות של יישומים הרצים על המערכת,
ולקבל תמונה ברורה וצלולה יותר על מצב הפגיעות בה מצויה המערכת.
התוכנה מסוגלת לאתר סוגים רבים של נוכחות זדונית כולל
רוטקיט.

שימוש: למרות שממשק התוכנה פשוט וידידותי, המשתמש הבסיסי עלול לאבד את עצמו
מכורח האפשרויות הרבות.
הפעלה על פלטפורמת ווינדוס: Windows 2000, XP, 2003 and Vista. Windows 2008
ניתן להתקין את התוכנה או להפעילה מגרסת Portable.

FreeFixer
תוכנה המבצעת סריקה לתוכנות המותקנות על המחשב ובודקת את מצב הפגיעות שהן מצויות
או לפחות מה שמסתמן על פניו. השימוש בתוכנה פשוט למדי, לאחר ההפעלה נלחץ
על כפתור ה Start Scan. לאחר שהסריקה הסתיימה, יוצגו הסיכונים שנמצאו
ביישומים ושירותים שרצים על המערכת, תוספים המותקנים בדפדפן, סרגל הכלים ועוד…

לצד הפריטים שנגלו, מוצג קישור למידע נוסף (moreinfo) שיוביל אותנו להסבר על הסיכון.
במידה ונרצה להסיר את הרשומה, ניתן לסמן ולמחוק. למרות שאני לא ממליץ לבצע
מחיקה דרך התוכנה מכיוון שאין לדעת בוודאות שהרשומה אכן מזיקה,
אין דירוג לצד ממצאים! השימוש בתוכנה מומלץ לביצוע סריקה כבדיקה נוספת.
בפורום שבאתר התוכנה (FreeFixer group) ניתן למצוא פתרונות ממשתמשים אצלם נתגלו אותן הרשומות.

Secunia
סריקת פגיעות עם סקוניה -תוכנה זו נועדה לביצוע עדכוני אבטחה לתוכנות
המותקנות על המחשב כאשר לאחר הסריקה תוצג רשימת התוכנות שיש להן עדכון הבטחה עם הסבר

על הסיכון הקיים במצב הנוכחי – פרטים נוספים במאמר: הגנה ממזיקים.
התוכנה כוללת גם שירות אונליין לביצוע סריקת פגיעות: online security scan.

כלי הגנה
כולנו יודעים בוודאי! חשוב שתהיה מותקנת תוכנת אנטי וירוס, אנטי ספייוור ופיירוול על המחשב.
מומלץ לבדוק מאמרים נוספים הנוגעים בפתרונות הגנה שונים למערכת ההפעלה

מדריך תחזוקה לווינדוס, זיהוי סימפטומים של וירוס, הגנה ממזיקים, הסרת ספייוור,
בדיקת ווירוסים, בדיקת רוטקיט, גלישה בחלון חול\ אבטחה וירטואלית ועדכוני תוכנה.

אינפורמציה על ספייוור

  1. Spywareinfo.com
  2. Spyware Removal Tutorials
  3. Top 10 tricks causing spyware epidemic
  4. Wikipedia Spyware

[Slashdot] [Digg] [Reddit] [del.icio.us] [Facebook] [Technorati] [Google] [StumbleUpon]

Related posts


נהנית מהפוסט? ניתן להביע זאת בעזרת השארת תגובה ויצירת המשך דיון, או הרשמה לפיד ה-RSS וקבלת כל הפוסטים ישידות לקורא ה-RSS שלך.

טרקבקים & פינגים

עדיין לא נשלחו טרקבקים ופינגים.

תגובות

הי משה
כתבה מדהימה, המון המון מידע
יום טוב

היי אחי מה המצב
שמעת אולי על תולעת מחשבים בשם
conficker

גרשון, מה נשמע- איך באנטרטיקה?
אני מבין שבמקום לנפוש אתה מתעדכן בווירוסים חדשים ברשת?

בקשר לתולעת אשר פוקדת ומאיימת על מחשבים המחוברים לאינטרנט ומנצלת פרצה בווינדוס
שנתגלתה לראשונה בספטמבר 2008. התולעת קרויה conficker או Downadup ומגיעה
בכל מיני וריאציות A,B ו-C שנחשבת הכי מפותחת.
ברגע ההידבקות התועלת מריצה מספר פעולות נסתרות, כולל פתיחת פורטים על המחשב המקומי.
הפורטים משמשים את התולעת להתחברות מרוחקת להזרקת קוד זדוני למערכת.
הסימטומים העיקריים הם חסימת הגישה לאינטרנט בדומיינים שונים (הזנת כתובת ה IP במקום שם הדומיין כן תתחבר).
התועלת חוסמת את הגישה לאתרים שונים כולל כאלה שמכילים אינפורמציה וכלים להסרתה!
לדוגמה, כניסה לאתרים כמו microsoft.com או symantec.com תכשל בעוד שהזנת ה IP תצליח להתחבר:
207.46.197.32 ו 206.204.52.31
התולעת ממשיכה לעדכן את עצמה ולקבל הוראות חדשות בכל 24 שעות- ניתן למצוא פרטים נוספים באתר: Sans.org.
בכל אופן, משתמשים שנדבקו יכולים להישתמש בכלים מיוחדים להסרתה- פרטים נוספים.

הראל

אחלה כתבות יש כאן בבלוג

וואלה אני זה נראה מפחיד להתקין את תוכנות ההבטחה האלה
אם יש לי קספרסקי זה יעשה את העבודה?

שון,
מפחיד מאיזו בחינה?
תוכנות אלו בודקות ומדרגות את אמינות היישומים שרצים על המערכת,
קספרסקי הוא אנטיווירוס, אני לא חושב שהוא מבצע את הפעולות הללו.
אני מציע שתנסה אחד מהתוכנות ותראה איך הולך לך…
לחלופין, אם תסביר מה הבעיה עם המחשב אולי אוכל לכוון אותך לתוכנה ספציפית?

הראל

עדכון!
Autoruns 9.5- גרסה חדשה לתוכנה זו (מוזכרת במאמר) עכשיו מאפשרת תצוגה של מקודדים המותקנים על המערכת.

הראל

ראשית אני מביע את התפעלותי מהיידע המקיף שיש כאן בבלוג, ומכמות העזרה שאת מציע ללא כל תמורה ועל כך תודה.
לצערי איני מבן כ"כ אנגלית, יש לי בעיה במחשבי, באנרים וחלונות קופצים וכן אינטרנט איטי במיוחד, אני מחודר לא באלחוטי, מותקן אצלי הavg החינמי, האם תוכל לומר לי מ עלי לעשות בכדי להיגאל מיסוריי?

מיקי,
ישנן אפשרויות רבות אך אני מציע שתתחיל עם שירות אונליין לסריקת ווירוסים
HouseCall או FreeScan ותוכנה לסריקה והסרת ספייוור Spyware Terminator או Malwarebytes.

כדאי גם למחוק את הקוקיס (שאריות הגלישה) ולהתקין את התוסף WOT המונע גלישה לאתרים זדוניים (IE,Firefox) והכי חשוב הוא לוודא שהווינדוס מעודכן עם כל עדכוני האבטחה האחרונים Windows update.

בהצלחה
הראל

Hi, i found interesting site with information about system and malicious computer processes at process-info.org. Nice day.

לא ניתן להגיב לפוסט כעת.