USUWANIE ZŁOŚLIWEGO OPROGRAMOWANIA CO TO JEST ZŁOŚLIWE OPROGRAMOWANIE? Złośliwe oprogramowanie - malware (z ang. malicious software) – wszelkie aplikacje, skrypty itp. mające szkodliwe, przestępcze lub złośliwe działanie w stosunku do użytkownika komputera RODZAJE ZŁOŚLIWEGO OPROGRAMOWANIA Robaki (ang. worm) – złośliwe oprogramowanie podobne do wirusów, rozmnażające się tylko przez sieć. W przeciwieństwie do wirusów nie potrzebują programu „żywiciela”. Często powielają się pocztą elektroniczną. Wabbit – program rezydentny nie powielający się przez sieć. Wynikiem jego działania jest jedna określona operacja, np. powielanie tego samego pliku aż do wyczerpania zasobów pamięci komputera. Trojan – nie rozmnaża się jak wirus, ale jego działanie jest równie szkodliwe. Ukrywa się pod nazwą lub w części pliku, który użytkownikowi wydaje się pomocny. Oprócz właściwego działania pliku zgodnego z jego nazwą, trojan wykonuje operacje w tle szkodliwe dla użytkownika, np. otwiera port komputera, przez który może być dokonany atak włamywacza (hakera). Backdoor – przejmuje kontrolę nad zainfekowanym komputerem, umożliwiając wykonanie na nim czynności administracyjnych, łącznie z usuwaniem i zapisem danych. Podobnie jak trojan, backdoor podszywa się pod pliki i programy, z których często korzysta użytkownik. Umożliwia intruzom administrowanie systemem operacyjnym poprzez Internet. Wykonuje wtedy zadania wbrew wiedzy i woli ofiary. Programy szpiegujące (ang. spyware) – oprogramowanie zbierające informacje o osobie fizycznej lub prawnej bez jej zgody, jak informacje o odwiedzanych witrynach, hasła dostępowe itp. Występuje często jako dodatkowy i ukryty komponent większego programu, odporny na usuwanie i ingerencję użytkownika. Programy szpiegujące mogą wykonywać działania bez wiedzy użytkownika – zmieniać wpisy do rejestru systemu operacyjnego i ustawienia użytkownika. Program szpiegujący może pobierać i uruchamiać pliki pobrane z sieci. scumware (ang. scum – piana; szumowiny, męty) – żargonowe, zbiorcze określenie oprogramowania, które wykonuje w komputerze niepożądane przez użytkownika czynności. Exploit – kod umożliwiający bezpośrednie włamanie do komputera ofiary, do dokonania zmian lub przejęcia kontroli wykorzystuje się lukę w oprogramowaniu zainstalowanym na atakowanym komputerze. Exploity mogą być użyte w atakowaniu stron internetowych, których silniki oparte są na językach skryptowych (zmiana treści lub przejęcie kontroli administracyjnej), systemy operacyjne (serwery i końcówki klienckie) lub aplikacje (pakiety biurowe, przeglądarki internetowe lub inne oprogramowanie). Rootkit – jedno z najniebezpieczniejszych narzędzi hackerskich. Ogólna zasada działania opiera się na maskowaniu obecności pewnych uruchomionych programów lub procesów systemowych (z reguły służących hackerowi do administrowania zaatakowanym systemem). Rootkit zostaje wkompilowany (w wypadku zainfekowanej instalacji) lub wstrzyknięty w istotne procedury systemowe, z reguły jest trudny do wykrycia z racji tego, że nie występuje jako osobna aplikacja. Zainstalowanie rootkita jest najczęściej ostatnim krokiem po włamaniu do systemu, w którym prowadzona będzie ukryta kradzież danych lub infiltracja. Keylogger – Odczytuje i zapisuje wszystkie naciśnięcia klawiszy użytkownika. Dzięki temu adresy, kody, cenne informacje mogą dostać się w niepowołane ręce. Pierwsze programowe keyloggery były widoczne w środowisku operacyjnym użytkownika. Teraz coraz częściej są procesami niewidocznymi dla administratora. Istnieją też keyloggery występujące w postaci sprzętowej zamiast programowej. Dialery – programy łączące się z siecią przez inny numer dostępowy niż wybrany przez użytkownika, najczęściej są to numery o początku 0-700 lub numery zagraniczne. Dialery szkodzą tylko posiadaczom modemów telefonicznych analogowych i cyfrowych ISDN, występują głównie na stronach o tematyce erotycznej. JAK DZIAŁA PROGRAM ANTYWIRUSOWY? W programie antywirusowym stosowanych jest kilka metod ochrony, niezależnie od tego, czy program działa w trybie dyskretnym czy doraźnym. Jedną z najbardziej znanych metod ochrony jest dokładne skanowanie komputera. Skanowanie (inicjowane przez użytkownika lub przeprowadzane regularnie) pozwala przeanalizować wszystkie pliki po kolei i sprawdzić, czy nie zawierają one wirusów. Metoda ta jest najskuteczniejsza w przypadku podejrzenia o zainfekowanie komputera wirusem. Istnieje możliwość sprawdzenia wszystkich plików lub ich części albo skoncentrowania się tylko na plikach przechowywanych na dyskietkach. Podczas skanowania program antywirusowy szuka śladów wirusa za pomocą własnej bazy danych sygnatur wirusów. Podobnie jak wszystkie programy wykonywalne, wirusy składają się z kodów. Za każdym razem, gdy zostanie odkryty nowy wirus, producenci oprogramowania antywirusowego rejestrują kody nazywane „sygnaturami” i dodają je do baz danych swojego oprogramowania. Sygnatura składa się z ciągów znaków niezrozumiałych dla użytkowników, ale czytelnych dla komputera. Przykład: X5O!P%@AP[4\PZX54(P^)7CC)7$EICAR-STANDARDANTIVIRUS-TEST-FILE!$H+H* Po skopiowaniu tych wierszy do pliku tekstowego i zapisaniu ich jako pliku wykonywalnego o rozszerzeniu .com program antywirusowy rozpozna ten plik jako wirusa, ponieważ kody te są przechowywane w jego bazie danych. Monitorowanie w czasie rzeczywistym Skaner umożliwia uzyskanie obrazu systemu w dowolnym momencie. W celu zapewnienia stałej ochrony w czasie rzeczywistym oprogramowanie odwołuje się do środków bezpieczeństwa wymagających zastosowania innej procedury: monitorowania w tle. Ta funkcja ochrony antywirusowej, znana też jako „monitor”, jest przez cały czas aktywna, działając w sposób niezauważalny dla użytkownika. Monitoruje ona wszystkie pliki przychodzące i wychodzące, analizuje każdy nowy dokument zapisany na dyskietce, pobrany z sieci czy przesłany za pośrednictwem poczty e?mail. Proces ciągłego monitorowania pozwala wykryć każdy podejrzany plik i chroni system przed wirusami. Podobnie jak skaner, monitor także korzysta z bazy danych sygnatur wirusów. Jeśli baza nie jest aktualizowana, program antywirusowy nie może wykryć najnowszych zagrożeń. Mimo to wielu użytkowników nie aktualizuje baz sygnatur lub nie robi tego wystarczająco często. Tymczasem zbyt późna aktualizacja bazy może okazać się bardzo groźna w skutkach: pod koniec sierpnia w ciągu zaledwie jednego tygodnia pojawiły się aż trzy wirusy poziomu 3 i 4. Istnieje jeszcze inne źródło zagrożenia: wirusy polimorficzne, których sygnatury zmieniają się wraz z każdą kolejną infekcją. Takie wirusy trudno zidentyfikować za pomocą sygnatur. W celu rozwiązania tego typu problemów producenci oprogramowania antywirusowego opracowali system wyszukiwania heurystycznego. Pracując niezależnie od sygnatur, system ten wykrywa obecność wirusów przy użyciu technologii sztucznej inteligencji. Rozpoznaje on wzorce zachowań nietypowe dla normalnej pracy aplikacji. Przykład: Po uruchomieniu normalnego programu zaczyna on szukać opcji wiersza poleceń. Natomiast wirusy zachowują się w różny sposób: szukają plików wykonywalnych, aby się powielić, próbują zapisać się bezpośrednio na dysku lub — jeśli są to wirusy polimorficzne — odszyfrować swój początkowo zaszyfrowany kod itd. Jeśli program antywirusowy wykryje kilka anomalii w aplikacji (np. kod formatowania dysku twardego), wygeneruje alarm wirusowy. Program antywirusowy może następnie zablokować wirusy, które są wciąż nieznane i nie ma ich w bazie danych sygnatur. Związane z tą metodą ryzyko wystąpienia fałszywego alarmu (program antywirusowy może np. pomylić narzędzie do formatowania z wirusem) jest zminimalizowane dzięki jednoczesnemu zastosowaniu innych narzędzi, takich jak kontroler spójności. Narzędzie to regularnie sprawdza określone stałe wartości oprogramowania (takie jak rozmiar, datę utworzenia itd.). Jeśli dane te zmieniły się, oznacza to obecność wirusa. Błyskawiczna naprawa Po wykryciu zainfekowanych plików program antywirusowy najpierw poddaje je kwarantannie, aby uniemożliwić wirusowi powielanie się. Następnie próbuje je wyczyścić, usuwając kod wirusa i naprawiając uszkodzone fragmenty. Zastosowanie takiej procedury naprawczej jest możliwe, jeśli wirus rozprzestrzeniał się przez dodawanie swojego kodu do kodu aplikacji. Jednak niektóre wirusy infekują całe pliki i wówczas odzyskanie plików nie jest możliwe. W takim wypadku program antywirusowy poddaje kwarantannie cały plik i zaleca jego usunięcie. KONIEC Dziękujemy za uwagę: Adrian Gołembiewski, Eryk Linda