הגנה ממזיקים


איתור והסרת מזיקים ותיקון נזקים: משתמשים רבים פונים לתוכנות אבטחה כאשר המחשב שלהם
נדבק בדיבוק כלשהו, אמנם לא חסרות תוכנות המציעות הגנה על מערכת ההפעלה
אך הסיפור מסתבך כאשר מדובר בהסרת התוכנה הזדונית. ישנן כל כך הרבה סוגים
ווריאציות, איזו תוכנת אבטחה עלינו להתקין כאשר האינטרנט איטי? ואיזו כשהמחשב
מבצע אתחולים לא רצוניים? בעיה עוד יותר גדולה היא מה לעשות לאחר שהסרנו
את כל המסתננים, אך הנזק כבר נגרם למערכת והמחשב לא מגיב כפי שהוא אמור להגיב?
איך נוכל לדעת, האם המחשב על באמת נקי או עדיין שורץ במרגלים?


כשמדובר באנטיוירוס, רצוי להתקין תוכנה אחת בלבד כדי למנוע התנגשויות מיותרות במערכת,
אך כשמדובר באנטיספייוור כל המרבה הרי זה משובח ומומלץ לבצע סריקה עם מספר תוכנות
כדי לוודא שלא פספסנו אף אחד מהמסתננים… במקום להתקין כמה תוכנות אנטיספייוור
במקביל Anti-Malware Tookit, ניתן להשתמש בתוכנה הכוללת כמה מנועים בחבילה אחת,
אך נראה כי רוב התוכנות שמציעות סריקות אבטחה מסוג זה, עולות כסף!
ניתן להשתמש ב Hitman Pro המאפשרת סריקה ע"י 8 מנועים במקביל, אך התוכנה מוקבלת
ל 30 יום ניסיון בלבד.

מעבר לכך, תוכנות רבות המוצעות בחינם יעילות יותר כהגנה על מערכת קיימת
ופחות למטרת הסרה וניקיון מזיקים שכבר הספיקו להסתנן פנימה, לדוגמה: a-squared Free
תוכנה מסחרית לפלטופרמת וינדוס שהפכה לאחרונה לתוכנת חינם, מגינה על המחשב
ע"י 2 מנועים שונים מספקטרום רחב של מזיקים ומסתננים.
התוכנה יעילה כהגנה מספייוור ווירוסים אך לא לאיתור מזיקים קיימים.
תוכנות דומות: ThreatFire, WinPatrol ואף Sandboxie כולן מציעות הגנה
אך לא טיהור של מערכת קיימת.

פתרונות אלו יעילים למשתמשים המחפשים תוכנות אבטחה להגנה על מערכת ההפעלה,
אך מה בנוגע  לטיפול במחשב נגוע?

Spyware Terminator
תוכנה זו מציעה הגנה בזמן אמת והסרה של מזיקים ממערכת נגועה.
ממשק התוכנה אינטואיטיבי וקל לשימוש, ניתן לאתר ספקטרום רחב של מזיקים על מערכת ההפעלה
התוכנה מאפשרת הגדרות שונות בהתאם להבנת המשתמש.
ניתן לבצע הגדרה אוטומטית או לחלחל פנימה להגדרות אבטחה מתקדמות.
פיצ'רים נוספים:

  1. ביצוע סריקה מהירה או מלאה למערכת.
  2. ביצוע סריקה ידנית בה ניתן לבחור מה ברצוננו לסרוק ומה לא.
  3. הגנה בפני סקריפים והפעלה של תוכנות ללא אישור (לא טורדני).
  4. הסרת קבצים בזמן האתחול.

בזמן ההתקנה ניתן להוסיף את האנטי וירוס בקוד פתוח ClamWin
המלצה שלי לפתרון הגנה משופר יותר היא לבטל את האופציה הזו ולשלב
את האנטי וירוס של  Avira על אותה מערכת.

אנטיוירוס לקבצי מולטימדיה
Quttera- תוכנת אנטיוירוס מעניינת ולא שגרתית שמיועדת לסריקה והגנה מפני וירוסים
השוכנים בקבצי מולטימדיה. התוכנה לא מיועדת להחליף את תוכנת האנטיוירוס הקיימת,
אלא כפתרון נוסף למשתמשים שנוהגים להוריד קבצים רבים  (וידאו, אודיו, תמונות) מהרשת.
היתרון נוסף של התוכנה, שהיא לא צורכת עדכונים שוטפים על מנת לעדכן את
קבצי החתימה virus signatures, אלא משתמשת באמצעי בדיקה הֶאוּרִיסְטִי
לאבחון ומעקב, כלומר מנגנון מובנה לפענוח קוד זדוני.
spyware, adware, Trojans, key-loggers, hijackers,  malware

למשתמשים המחפשים פתרון כולל בחבילה אחת יכולים להשתמש ב Internet security
כגון: Comodo Internet Security או Eset Smart Security
תוכנה מבית Eset החברה שאחראית על תוכנת האנטיוירוס Nod32 למערכות וינדוס 32 ו 64 ביט.
חבילת אבטחה זו, כוללת את SysInspector בתוכה ומאפשרת הגנה בזמן אמת והסרה של ספייוור,
וירוסים ושאר המזיקים ממערכת נגועה. התוכנה כוללת פיצ'רים דומים לאלו
של Spyware Terminator והרבה מעבר:

  1. אנטיספאם מובנה: סריקת תיבות דואר SSL, SMTP, POP3, Imap
  2. איתור קוד זדוני בקבצים גדולים, מסמכי אופיס, כונני רשת ועוד…
  3. מנגנון מעקב והצגת דוחות לפי שעה, דקה או שנייה.
    ועוד…

ייתכן מצב שבו ביצענו סריקות עם תוכנת אבטחה שונות, הסרנו את כל האיומים השונים
ועל פניו נראה כי המערכת נקייה, אך משום מה המחשב עדיין לא מגיב כפי שהוא אמור להגיב?

תיקון שגיאות בסימפטומים של וירוס
נאמר שנדבקנו בוירוס שגורם לוינדוס להתנהג בצורה מוזרה, למשל:
בכל פעם שנקליק על כונן C, במקום שתפתח תצוגה נורמלית של הקבצים בכונן,
נפתח הדיאלוג של "פתיחה באמצעות",
עם הודעת שגיאה: Windows cannot find this program or file
נניח שהצלחנו להסיר את הוירוס באמצעות תוכנת האנטיוירוס אך הבעיה עדיין קיימת?
כלומר, למרות שהוירוס כבר לא קיים על המערכת, הוא גרם נזק לרגס'טרי אותו
נצטרך לתקן בדרך זו או אחרת.

Disk Healer- הינה תוכנה לתיקון שגיאות בסימטומים ונזקים שנגרמו ע"י וירוסים שונים,
שלא כמו תוכנות רבות המאפשרות תיקון שגיאות אוטומטי, תוכנה זו מתמקדת בנזקים
שנתבצעו ע"י וירוסים.

במידה והוירוס גרם להסתרת קבצים מסוימים במערכת על מנת שלא נוכל לגשת אליהם,
ולאחר הסרתו לא ניתן להחזיר את התצוגה לקבצים אלו.

מעבר לתיקון השגיאות,
מאפשרת התוכנה לבצע כל מיני שינויים להגדרות המערכת, כגון:

  1. Hide/Show Start menu- הצגה או הסתרה של תפריט התחל.
  2. Enable/Disable Task Manager -הפעלה או כיבוי של מנהל המשימות.
  3. Hide/Show My Computer panel- הצגה או הסתרה של הפאנל הצדדי מ My computer
  4. IE tweaks- נעילת הגישה לסרגל הכלים באינטרנט אקספלורר, שינוי עמוד הבית וכדו'…
  5. Enable/Disable the registry editor- הפעלה או כיבוי של עורך הרג'סטרי.
  6. My Documents Lock- נעילת הגישה לספריית "המסמכים שלי".
  7. Lock Manage Option- הפעלה וכיבוי של האופציה Manage מהקליק הימני על המחשב שלי.

System File Checker
וינדוס כוללת פקודה מובנת SFC המאפשרת לבדוק את קבצי המערכת ולוודא שהם לא פגומים
במידה ונמצאו קבצים פגומים, תחליף אותם המערכת בקבצים המקוריים מה CD של וינדוס.
הסריקה מבצעת בדיקה לחתימה הדיגיטלית של קבצי המערכת ומוודא את אמינותם ותקינותם.
ניתן להריץ את הפקודה SFC /scannow מתפריט: Start, Run

הגנה על קבצי המערכת
כדי למנוע שינויים עתידיים של קבצי המערכת שלא אמורים להשתנות כלל אלא בזמן
התקנת עדכונים מ Windows Updates ניתן להשתמש בתוכנה כגון: System Protect
התוכנה מאפשרת להגן על קבצים וספריות שנבחר, כולל קבצי המערכת.
התוכנה ניתנת להתקנה על וינדוס XP 32 ו 64 ביט וויסטה 32 ביט.
ראה גם: הצפנה והגנה על קבצים.

יישור קו
במקרה שלא הצלחנו לפתור ולאתר את מקור הבעיה, ישנם כמה כלים שיכולים
לעזור לנו באבחון של תוכנות ואיתור התנהגות חריגה.
אך לפני כן חשוב לוודא שמערכת ההפעלה אכן מאובטחת כראוי
ולשם כך נבצע בדיקה מהירה למצב האבטחה הקיים וניישר קו עם העדכונים.

כשלב ראשון, ניתן לבצע בדיקת דמו כדי לבדוק אם המערכת הנוכחית
מוגנת בפני הרצת ספייוור או וירוס ע"י הורדת קובץ Free Security Test
לאחר הפעלת הקובץ תתבצע סימולציה לניסיון הדבקת המחשב הספייוור.

כדי לעבור את הבדיקה בהצלחה, המחשב צריך להיות מוגן עם תוכנת אנטיוירוס ופיירוול.

סריקת פגיעות של תוכנות למערכת ההפעלה
ביצוע סריקה לפגיעות מערכת ההפעלה ותוכנות מותקנות הינו פתרון מהיר
לאבחון מצב האבטחה בו המחשב מצוי.

Secunia
וינדוס הינה מערכת החשופה לפרצות רבות כאשר לא מטפלים בה כראוי,
אפילו עם מערכת ההפעלה מעודכנת עד לפריט האחרון, התוכנות שמותקנות
עלולות להיות מקור לפרצה והדבקת המערכת במזיקים.

התוכנה Secunia PSI מבצעת סריקה לתוכנות המותקנות על מערכת ההפעלה,
לאחר הסריקה תוצג רשימה של תוכנות שקיים להן עדכון אבטחה עם הסבר מפורט
על אופי הסיכון הקיים במצב הנוכחי. לדוגמה, תוכנות כמו אדובי, ג'אווה ואופיס דורשות עדכון
אבטחה תמידי על כך שהן זוכות לתשומת לב וניצול של תוכנות זדוניות.

לתוכנה פיצ'ר נוסף המאפשר להמשיך ולעקוב ברקע (ניתן לבטל את האופציה )
אחר תוכנות ולדווח כאשר קיים סיכון אבטחה.

אבחון התקשורת לאיתור מסתננים המנצלים את רוחב הפס

ESET SysInspector
תוכנת אבטחה יעילה לביצוע סריקה ואנליזה מהירה לפגיעות מערכת ההפעלה,
תוכנות וקבצים המתנהגים באופן חריג ועלולים להוות סיכון.
התוכנה מבצעת סריקה מחיצות הדיסק ולרג'סטרי ומקטלגת את רמת הסיכון מ 1-9,
כאשר 9 הוא המצב המסוכן ביותר.
בסיום הסריקה תוצג רשימה המחולקת לפי 8 קטגוריות שונות,
כגון: פרוססים הרצים על המערכת, תקשורת לאינטרנט וכדו'…
ניתן לייצר דוחות עם התוצאות שנתקבלו.

השלב הסופי- המשך עבודה תקינה

גלישה מאובטחת
למשתמשים הדואגים להגנת הגלישה באינטרנט ומי לא? כדאי לבדוק את
התוסף WebOfTrust שמציע פתרון ידידותי לזיהוי אתרים זדוניים ע"י הוספת אייקון
המדרג את אמינות האתר- סקירה.
ניתן לבצע סריקה לאתרים שאנו חושדים שהם מפעילים קוד זדוני מוסתר-Unmask Parasites
כדאי לאבחן ולבדוק את אמינותם של קבצי הקוקיס הקיימים- CookieDigger
לנקות את הקוקיס באופן תמידי ולהמשיך ולנהל אותם בצורה חכמה- Cookie Manager
לדאוג להסתיר את הסיסמאות מתוכנות ריגול ע"י הצפנתם וניהולן ממקום מרכזי- KeePass Password Safe

משתמשים המחפשים את הפתרון המושלם לגלישה מאובטחת באינטרנט יכולים להשתמש
בקופסת חול ,הבעיה הגדולה ביותר היא לזהות מזיקים שכבר הספיקו לחדור ולנצל את
תקשורת המחשב-הסימפטום הידוע ביותר הוא אינטרנט איטי או התנתקויות מהאינטרנט,
לכך נצטרך להשתמש בתוכנה שיודעת לנתח את התעבורה ולזהות התנהגות אשר מסווגת כלא כשירה,
כמו התוכנה הבאה:

Bothunter
תוכנה לפלטפורמת לינוקס וינדוס, הבודקת ומאבחנת את התקשורת המקומית
ומדווחת במידה ומגלה חשד לפריצה.
מנגנון התוכנה תוכנן לגלות דפוסי התנהגות של תוכנות זדוניות המנצלות את התקשורת
של המחשב לפעולות שונות. ניתן להתקין את התוכנה על מערכת ההפעלה או להוריד קובץ אימג'
אותו ניתן לצרוב ולהעלות כדיסק עלייה נפרד -Live-cd.

על מנת להפעיל את התוכנה נדרשים מהמשתמש מספר פרטים מזהים לרשת המקומית.
Address of SMTP- לא חובה למלא שדה זה, נועד לרשתות שמשתמשות בשרת דואר פנימי.
NetworkMask- הזנת טווח הרשת המקומית, ניתן לגלות את הפרטים הללו מתוך

ה Control Panel, Network Connections , דאבל קליק על local area connection
נבחר בטאב ה Support ונלחץ על כפתור Details
DNS- הזנת כתובת ה DNS שהמחשב משתמש, לא חובה למלא שדה זה.
Network Adapter- בחירת כרטיס הרשת בו המחשב משתמש.

SnoopFree Privacy Shield – אבטחת המקלדת מקיילוגרים.
תוכנה זו היא כמו פיירוול רק למקלדת, נועדה לחסום אפשרות הקלטה של פקודות
של תוכנות מעקב זדוניות כגון: קיילוגר, רוטקיט ושאר תוכנות הריגול שקיימות בג'ונגל.
כאשר תוכנה מסוימת תנסה לקרוא נתונים מהמסך, התוכנה תדווח לנו על כך באופן מיידי
וניתן לאשר או לחסום את הגישה לפעולה זו- הורדה.
תוכנה נוספת KeyScrambler -פתרון מצויין למשתמשים הנוהגים להזין שם משתמש
וסיסמה באתרים שונים.

[Slashdot] [Digg] [Reddit] [del.icio.us] [Facebook] [Technorati] [Google] [StumbleUpon]

Related posts


נהנית מהפוסט? ניתן להביע זאת בעזרת השארת תגובה ויצירת המשך דיון, או הרשמה לפיד ה-RSS וקבלת כל הפוסטים ישידות לקורא ה-RSS שלך.

טרקבקים & פינגים

עדיין לא נשלחו טרקבקים ופינגים.

תגובות

הראל שלום,
אחרי נסיונת נואשים להבין מאיזה סיבה(פירמוט,החלפת כרטיס מסך,הוספת מאווררים,הגנה ממזיקים,תוכנות לזיהוי בעיות) המחשב שלי קורס ומתכבה:(
שאלתי היא כזאת: אם אקח מחשב אחר(פנטיום 4) ואשים בו את ההרד דיסק שלי מהמחשב הזה הכל יעלה ויעבוד?, או שצריך לפרמט מחדש שמחליפים מחשב בלי להחליף הרד דיסק?
תודה מראש
קובי.

קובי,
זה מצב מבאס ומייאש, הרשה לי לשאול כמה שאלות לפני שאנו ממהרים להחליף מחשב!
האם ניסית להחליץ ספק כוח?
איזה מערכת הפעלה אתה מריץ עם איזה ServicePack?
האם הבעיה היתה קיימת כל הזמן או שהתחילה ביום בהיר אחד?

בקשר לשאלתך, החלפת הדיסק לא תעזור מכיוון שזו חומרה אחרת, במידה ולא תפתור את הבעיה, תצטרך לפרמט ולהתקין מחדש.

הראל

כן החלפתי ספק כוח לחדש.פנטיום.cpu:3.40gHz 1.00GB-ram
ServicePack 3 מערכת ההפעלה.
הבעייה (קריסה וכיבוי)התחילה מהרגע שהפכתי את המחשב למרכז הבידור הראשי בבית,במקום הכבלים.
זה אומר שהתחלתי לצפות בהמון סרטים דרך המחשב להשתמש באופן תדיר בתוכנות שיתוף(אימיול),אתרי צפייה ישירה,ואז תוך כדי השימוש בתכני מולטימדיה המחשב קרס ונפל…..שום בדיקה או עידכון לא פתרו את הבעיה.
דבר נוסף:
קבלתי בחינם מחשב נוסף 80Gהרד דיסק\ 2.4GH \500gb-ram-האם אתה יכול להציע לי על דרך בא אוכל ליעד את המחשב שקיבלתי אך ורק לאחד מין השניים,וכך לחלק את העומס
האפשריות: או לשיתוף קבצים, או למחשב מולטימדיה סלוני,מה עדיף,ואיזה משני המחשבים (החזק או החלש יותר)בוחרים למחשב בידורי ומחשב לשיתוף?
אני מכווה שהייתי מספיק מדיוק בהסבר הבעיה ואפשריות הפיתרון העומדות לפני,תודה על הסבלנות עד כה וחנוכה שמח :)
קובי

קובי, חנוכה שמח גם לך.
:)
ל SP3 ישנה בעיית הגורמת למערכת הפעלה לקרוס, תנסה להסיר את החבילה ולראות אם הבעיה נמשכת.
האם המחשב קורס בתדירות קבועה? האם הוא קורס גם במצב בטוח?
בקשר למחשב בידור, אני ממליץ לך להציץ באתר: hometheater.co.il , יש שם הרבה חומר על הנושא.

הראל

שלום הראל,
המחשב קורס בתדירות לא קבועה,משהו כמו פעמיים שלוש ממוצע ביום.
על הבעיה של- SP3 אני קורא פעם ראשונה אצלך בפוסט sp3 לולאה אין סופית,ויש דימיון רב(לא ודאי)בין בעיית העידכון של SP3 לבין הקריסות במחשב שלי,אני בהחלט אסיר מיד את העידכון חבילת SP3.
האם אני מוחק את העידכוןSP3 וממשיך לעבוד כרגיל?
והאם העידכונים האוטמטים של מייקרוסופט ינסו להתקין ליSP3 שוב?
תודה רבה.
קובי.

קובי,
תוכל להסיר את הסימון מהעדכון של SP3 ולהמשיך ולבצע עדכונים כרגיל.

הראל

תודה הראל :)
בנתיים המחשב עושה רושם שזו כניראה היית הבעיה\:, אין קריסות וכיבויים,והכל עובד ללא הפרעות עד כה.שוב אלפי תודות על העזרה!
קובי

הראל שלום

שמעתי שקיימת בעייה של גישה לגורם זדוני דרך מסלול חיפוש.
והפתרון שהוצע KB2264107
התחלתי לקרוא את ההוראות והסתבכתי שם מרוב אפשריות והסברים.
1. האם קיים תהליך קצר ולא מסוכן?
2. בין השאר הבנתי שקודם מפעילים תוסף שגורם לשדות נוספים ברגיסטרי ואזי בשלב שני קובעים דרכם את רמת האבטחה. רציתי לבדוק אולי השדות האלה כבר קיימים אצלי ברגיסטרי.
ניסיתי לפתוח את הריסטרי והוא מסרב להפתח.. גם כאשר אני מנסה לפתוח אותו כמנהל עם זכויות. מה עושים כדי שיפתח ותהיה לי גישה אליו?
מע הפעלה חלונות7 64 ביט.

בתודה

שאול,
תיקון זה מאפשר למנוע הזרקה של קבצי DLL זדוניים מכונני רשת ו WebDAV לתוך תוכנות המשתמשות ב dynamically linked libraries- ראה תוכנות הפגיעות לסוג זה של התקפה. הפגיעות של הזרקת DLLלים קיימת מזה זמן רב, אך לאחרונה פורסמו מקרים רבים של התקפות מסוג זה.

במקום להסתבך וליישם את השינויים ברג'סטרי באופן ידני, ניתן לבצע זאת באופן
פשוט ע"י קליק על כפתור ה Fix IT הנופיע בסוף המאמר KB2264107.
אפרופו, איזו הודעת שגיאה אתה מקבל שאתה מנסה לפתוח את הרג'סטרי?

הזהרה!
ישנה סיבה שבגללה מיקרוסופט לא הפיצה תיקון זה ב Winsows updates וזאת
כי במקרים מסויים התיקון עלול "לשבור" פונקציות מסויימות ולגרום לאי יציבות במערכת.
לכן הייתי חושב פעמיים בטרם הייתי מבצע את התיקון.

קישורים
National Cyber Alert System
DLL hijacking vulnerabilities
DLL Preloading remote attack vector

הראל

היי הראל

אני לא מקבל שום הודעה.
זה פשוט לא נפתח… משהו מתרחש ברקע אולם אין שום הודעה ולא נפתח מסך חדש.
לגבי יציבות מערכת .. במידה ונוצרת אי יציבות אני מבין שניתן לקבוע רמת הגנה 0 ואזי אין הגנה ויש יציבות?

בתודה

שאול,
בנוגע לכך שאתה לא מצליח לפתוח את הרג'סטרי:
בהנחה שאתה אכן יודע לפתוח את הרג'סטרי (כתיבת הפקודה regedit בחלון החיפוש).
1. האם ה regedit.exe מופיע במנהל המשימות?
2. בדוק האם הקובץ C:\Windows\Regedit.exe קיים?
3. כנס ל Start->Run->gpedit.msc->User Configuration->Administrative Templates->System->Prevent Access to Registry Editing Tools
וודא שאופציה כבויה (ב disabled או not configured).
4. נסה לשחזר את ה Registry Editor ע"י תוכנה כמו Re-Enable או Virus Effects Remover.

הראל

הראל תודה

סליחה אבל אתה צודק .. כנראה שלא בצעתי תהליך נכון של פתיחת הרגסטרי והוא אכן נפתח.
התקנתי את התיקון ולחצתי FIXIT והו הכניס את הערך 2 במשתנה.
האם אני צודק שתמיד אוכל לשים שם ערך 0 במקרה אכי גרוע במידה וזה יגרום לבעיות אי יציבות?

בתודה

שאול,
שינוי הערך לאפס לא יבטל זאת, תוכל להיכנס למאמר KB2264107 וללחוץ על כפתור ה Disable Fix המופיע בתחתית העמוד כדי להסיר את התיקון. אפרופו, למה התיקון הזה חשוב לך כל כך?

הראל

היי הראל

אולי אני מגזים אבל שמעתי את הגורו סטיב גיבסון ממליץ לעשות זאת.

בתודה

שאול,
יש לי הערכה רבה לסטיב גיבסון (הוא מלך), באיזה פודקאסט\תוכנית\פרק הוא המליץ על כך?
שלח קישור אני אאזין גם.

:)
הראל

היי הראל

להלן הקישור להאזנה לסטיב גיבסון, בה הוא ממליץ על כך:
http://www.podtrac.com/pts/redirect.mp3/aolradio.podcast.aol.com/sn/sn0265.mp3

השארת תגובה

(חובה)

(חובה)