Jak sprawdzić, czy twój system padł ofiarą cyberprzestępców?

Strona głównaJak sprawdzić, czy twój system padł ofiarą cyberprzestępców?
22.05.2010 09:00
Jak sprawdzić, czy twój system padł ofiarą cyberprzestępców?
Źródło zdjęć: © PC World

Sprawdź, czy twój pecet nie padł łupem cyfrowych przestępców! Z pewnością nie chcesz, aby był sterowany przez internetowego kryminalistę, który wykorzystywałby go do popełniania przestępstw.

Ogromne niebezpieczeństwo dla Twojego środowiska Windows - szkodliwy kod - może tak zarazić system operacyjny, że będzie całkowicie niepostrzeżenie zdalnie sterowany przez cyberprzestępców.

Zawładnięte w ten sposób komputery mają nawet specjalną nazwę - są określane mianem zombie. Z pozoru działają całkiem normalnie, tymczasem są połączone przez Internet z innymi komputerami, tworząc tzw. botnet.

Botnet służy internetowym rzezimieszkom do popełniania czynów karalnych - m.in. wysyła masowo wiadomości pocztowe mające na celu wyłudzenie poufnych informacji (tzw. phishing) lub atakuje wewnętrzne sieci określonych przedsiębiorstw lub witryny internetowe.

Równie przerażająca jest skala, w jakiej rozprzestrzenił się conficker, który zyskał tytuł robaka roku 2009. Według danych firmy F-Secure, która zajmuje się projektowaniem zabezpieczeń komputerowych, zaraził ponad 12 milionów komputerów na całym świecie.
Jednak to tylko sam czubek góry lodowej. Producent zabezpieczeń G-Data podaje w swoim półrocznym raporcie za okres lipiec - grudzień 200. r., że w ciągu tych sześciu miesięcy pojawiła się rekordowo wysoka liczba (924 053) nowych typów szkodników.
Dlatego skorzystaj z poniższej instrukcji, aby jeszcze dziś przeanalizować swój system. Tylko w ten sposób upewnisz się, że nie został zarażony i nie jest wykorzystywany za twoimi plecami do popełniania czynów przestępczych. Do dzieła!

1. Co powinno wzbudzić twoją uwagę?

Cyberprzestępcom zależy na tym, aby ich postępki nie zostały wykryte. Użytkownik ma możliwie późno nabrać podejrzeń (a najlepiej wcale), że coś jest nie w porządku, aby nie przedsięwziął środków zaradczych. Mimo to rzezimieszek, rzecz jasna, wykorzysta przechwycony komputer do swoich celów. Czynności te wywołają reakcje w systemie, które powinny wzbudzić twoją uwagę.

Pozostaw komputer na kilka minut, obserwując diody kontrolne twardego dysku i karty sieciowej (lub rutera). Pomoże ci to ustalić, czy w systemie dzieją się niepożądane rzeczy.

Jednak gdy ciągle mrugająca dioda wskazuje ustawiczne operacje odczytu/zapisu na twardym dysku lub ożywiony ruch w sieci, wcale nie musi oznaczać to nic złego. Operacje te mogą być wywołane na przykład automatycznym aktualizowaniem oprogramowania lub usługi indeksowania Windows wewnętrznego mechanizmu wyszukiwania. Mimo wszystko jest to przynajmniej wskazówka, że coś się dzieje bez twojego udziału lub że odbywa się transmisja danych.

Alternatywnie możesz przywołać Menedżer zadań systemu Windows. Przytrzymując naciśnięte klawisze [Ctrl] i [Shift], naciśnij klawisz [Esc]. Na karcie _ Wydajność _ możesz teraz poobserwować obciążenie procesora, zaś na karcie _ Sieć _ ruch sieciowy. Jeśli obie te wartości nie są na poziomie zerowym, twój komputer może być zarażony. Podejrzenia powinny wzbudzać także ślamazarnie działające aplikacje, które nie reagują na mysz ani klawiaturę.

Oprócz tego sprawdź plik Hosts w folderze \Windows\System32\Drivers\etc. Otwórz go w dowolnym edytorze tekstowym (np. Notatniku). Przyjrzyj się wszystkim wierszom, które nie rozpoczynają się od znaku #. Jeśli zawierają inny ciąg znaków niż 127.0.0.1 localhost lub ::1 localhost, a nie zostały wpisane przez ciebie, mogą oznaczać, że twój komputer został zaatakowany.

Ponadto powinieneś sprawdzić, czy adres IP, a więc adres twojego łącza internetowego, figuruje w bazach danych gromadzących źródła niechcianych reklam e-mailowych (czyli tzw. spamu). Wprawdzie w wypadku łącza DSL ze zmiennym adresem IP jest to raczej mało prawdopodobne, lecz nie można tego wykluczyć całkowicie. Uruchom w tym celu przeglądarkę internetową i wpisz adres www.dnsbl.info. Następnie kliknij _ Check this IP _. Jeśli większość wpisów na liście wyników jest oznaczona czerwoną ikoną, twój adres IP figuruje w bazie, a twój komputer przypuszczalnie padł ofiarą cyberprzestępców.2. Poszukiwanie szkodliwych programów

W komputerze, który prawdopodobnie został przechwycony przez internetowych rabusiów, nie możesz zaufać żadnemu z zainstalowanych programów. Do poszukiwań szkodliwego kodu potrzebny ci czysty i bezpieczny system. Ma to dodatkowo tę zaletę, że mechanizmy maskujące w złośliwych programach typu rootkit stają się bezskuteczne. Tylko w ten sposób uzyskasz pewność, że program antywirusowy będzie miał dostęp do wszystkich plików.

Najlepiej sprawdzić system za pomocą płyty CD/DVD z zainstalowanym na niej systemem operacyjnym. Płytę taką możesz przygotować własnoręcznie za pomocą kreatora płyty ratunkowej z magazynu PC WORLD 4/2010 lub skorzystać z jednej z dystrybucji Live CD środowiska Linux (najpopularniejsze to Knoppix i Ubuntu)
. Włóż płytę do napędu i zrestartuj system. Być może konieczna okaże się zmiana sprawdzania napędów w BIOS-ie. Naciśnij w tym celu klawisz, którego nazwa pojawi się na chwilę na ekranie startowym w trakcie rozruchu (w większości wypadków jest to klawisz [Esc], [F2] lub [F10]). W BIOS-ie znajdź menu o nazwie _ Boot _ lub podobnej. Następnie przemieść wpis _ CD-ROM Drive _ na pierwsze miejsce na liście, naciskając klawisz podany na ekranie. Nazwy menu i wpisu mogą się różnić od powyższych zależnie od wersji BIOS-u. Następnie zapisz bieżące ustawienia, wyjdź z BIOS-u i zrestartuj system.

Sposób uruchamiania skanera antywirusowego z płyty startowej zależy od wersji systemu, który jest zainstalowany na tejże płycie. Musisz ustalić to, zapoznając się z dokumentacją płyty, bądź - jeśli jesteś doświadczonym użytkownikiem - uda ci się to zrobić bez lektury. Przed rozpoczęciem skanowania komputera pod kątem szkodliwego oprogramowania powinieneś zaopatrzyć aplikację zabezpieczającą w najnowsze aktualizacje bazy z sygnaturami. Dopiero potem zainicjuj poszukiwanie szkodliwego oprogramowania. Jeśli program antywirusowy nie zgłosi żadnego zagrożenia, to dobry znak. Jednak wcale nie daje to gwarancji, że dziwne zachowanie komputera nie jest spowodowane złośliwym kodem, który przedarł się do twojego systemu. Jeżeli aplikacji antywirusowej uda się wykryć coś niepokojącego, powinieneś poszukać w Internecie informacji na temat znalezionego szkodnika. Przede wszystkim dowiedz się, jakie następstwa na system ma zarażenie komputera ofiary. Oprócz tego powinieneś dobrze zastanowić się, czy zdarzyło ci się w ten
czy inny sposób przywołać plik znalezionego szkodnika.

Jeśli okaże się, że złośliwy kod pootwierał w systemie tylne wejścia (tzw. _ backdoors _) lub dokonał innych poważnych zmian w systemie, na przykład wyłączył automatyczne aktualizowanie Windows, musisz - niestety - ponownie zainstalować cały system łącznie z wszystkimi programami. Najpierw jednak powinieneś koniecznie przebadać wszystkie bieżące procesy i połączenia internetowe w swoim systemie. W dalszej części materiału opisujemy, jak to zrobić za pomocą aplikacji TcpView i Process Explorer.3. Analizowanie połączeń sieciowych

Aby dowiedzieć się, czy twój komputer wysyła bez zezwolenia dane do cyberprzestępców w Internecie lub rozsyła niepożądaną reklamę w postaci wiadomości pocztowych, sporządź listę połączeń sieciowych nawiązywanych przez wszystkie działające w danej chwili aplikacje. Angielskojęzyczne narzędzie TcpView z pakietu SysinternalsSuite wykonuje to zadanie w czasie rzeczywistym. Wystarczy je tylko uruchomić.

Tabela wyników składa się z kilku kolumn. W pierwszej (_ Process ) jest podana nazwa programu nawiązującego połączenie sieciowe, w drugiej zaś ( Process ID ) znajduje się identyfikator tejże aplikacji. Kolejna kolumna ( Local Address _) zawiera nazwę twojego komputera i port, przez który odbywa się transmisja danych (na zewnątrz lub z zewnątrz komputera). W kolumnie _ Remote Address _ widnieje adres komputera docelowego, a więc tego, z którym zostało ustanowione połączenie. Ostatnia z kolumn podaje bieżący stan połączenia. _ Established _ oznacza nawiązane połączenie, zaś _ Listening _ nasłuchiwanie. Jeśli w kolumnie _ Remote Adress _ ujrzysz wpis _ localhost _ lub _ 127.0.0.1 _, rolę komputera docelowego pełni twój własny system.

Nie ma prostych reguł pozwalających jednoznacznie odróżnić złośliwe połączenia od bezpiecznych. Są jednak podejrzane połączenia. Najważniejsze kryterium podczas ich analizowania to port używany do przesyłania danych (kolumna nr 3). Jeśli na liście rezultatów w programie TcpView widnieje aplikacja o nazwie, która nic ci nie mówi, i otworzyła port z przedziału od 1024 do 49151 (tzw. zakres portów zarejestrowanych, z ang. _ registered ports _), powinieneś bardzo uważać. Zapamiętaj lub zanotuj nazwę procesu i jego identyfikator (dwie pierwsze kolumny). Aby ustalić ścieżkę dostępu do pliku aplikacji, kliknij nazwę procesu prawym przyciskiem myszy i wskaż polecenie _ Process Properties _.

Porty z zakresu 49152 do 65535 (tzw. _ Dynamic Ports _) są stosowane wyjątkowo rzadko. To doskonałe pole do popisu dla trojanów i innych szkodników. Jeśli któryś z programów otworzył port z tego przedziału, zanotuj jego nazwę, ścieżkę dostępu i identyfikator procesu, po czym zasięgnij dalszych informacji, jak opisujemy w następnym punkcie.

Listę wszystkich portów i korzystających z nich aplikacji znajdziesz np. w Wikipedii.4. Analizowanie bieżących procesów<br />
Czy znalazłeś podejrzane połączenie sieciowe? Jeśli tak, musisz koniecznie zbadać, z czym masz do czynienia. Uruchom w tym celu angielskojęzyczny program Process Explorer (plik Procexp.exe) z pakietu Sysinternals Suite.

Domyślnie program ten wyświetla wszystkie bieżące procesy w widoku drzewa, sortując je wg zależności. Kolor tła zdradza typy poszczególnych procesów. Na przykład wpisy zaznaczone na różowo to usługi. Niebieskim tłem są oznaczone zwyczajne aplikacje, brązowym zaplanowane zadania, a fioletowym skompresowane obrazy. Złośliwy kod przybiera najczęściej postać usługi lub skompresowanego obrazu.

Aby dowiedzieć się więcej na temat ustalonego uprzednio procesu, znajdź odpowiedni identyfikator (tzw. Process ID) w drugiej kolumnie listy wyników (_ PID _). Kliknij ten identyfikator prawym przyciskiem myszy i wskaż polecenie _ Properties _ w menu podręcznym. Na karcie _ Security _ znajdziesz informację, jakie uprawnienia są przydzielone danemu procesowi. Jeśli w najwyżej położonym wierszu obok wpisu _ User _ widnieje np. _ NT-AuthoritySystem _, proces dysponuje prawami systemu (przypuszczalnie działa jako usługa systemowa), a więc ma pełną swobodę w twoim komputerze.

W tym wierszu może być podana twoja nazwa, pod którą logujesz się w systemie. Oznacza to, że sam (zapewne bezwiednie) uruchomiłeś dany proces lub zleciłeś jego uruchomienie. Jeśli pracujesz w systemie przydzieliwszy sobie prawa administratora, dysponuje nimi także dany proces - a to niedobrze. Na karcie _ Threads _ ujrzysz listę procesów podrzędnych, które uruchomił.

Gdy podejrzenie, że masz do czynienia ze szkodnikiem, stanie się jeszcze bardziej prawdopodobne, przeskocz na kartę _ Image _, a następnie kliknij _ Kill Process _, aby zakończyć złośliwy proces wraz ze wszystkimi procesami podrzędnymi.

Jeśli w trakcie analizowania systemu za pomocą programu TcpView zwróciło twoją uwagę jakieś połączenie pochodzące od procesu Svchost.exe, nie popadaj w panikę. Przypuszczalnie chodzi tylko o automatyczne aktualizacje systemu Windows. Niemniej jednak powinieneś się upewnić.

W następujący sposób dowiesz się, jakie usługi kryją się za ustalonym uprzednio procesem Svchost.exe. Kliknij prawym przyciskiem myszy wpis ze stosownym identyfikatorem w oknie programu Process Explorer i wskaż polecenie _ Properties _. Gdy przeskoczysz na kartę _ Services _, ujrzysz listę wszystkich usług, którymi zarządza ten proces Svchost.exe. Jeśli w pierwszej kolumnie listy występuje wpis wuauserv, potwierdzi się przypuszczenie, że chodzi o automatyczne aktualizowanie systemu Windows. W przeciwnym razie musisz poszukać dalszych informacji o usłudze w Internecie. Wpisz w wyszukiwarce internetowej nazwę figurującą w kolumnie _ Display Name _ programu Process Explorer. Jeśli okaże się, że nie trafiłeś na standardową usługę Windows, lecz na intruza, lepiej zakończ jej działanie, klikając przycisk _ Stop _ w Process Explorerze. Fachowa chińszczyzna

Backdoor to szkodliwy kod przemycony do komputera ofiary, który tworzy w nim lukę w zabezpieczeniach i umożliwia np. zdalne sterowanie zarażonym w ten sposób pecetem. Backdoor działa bez wiedzy użytkownika zainfekowanego komputera, dysponuje prawami administratora i otwiera jeden z portów. Wówczas pecet oczekuje na polecenia kryminalisty, który może wykorzystać go np. do rozsyłania niepożądanej poczty (spamu). Otwarty backdoor należy do najbardziej niebezpiecznych skutków infekcji. Aby się ich pozbyć, trzeba od nowa zainstalować cały system operacyjny i pozostałe oprogramowanie.

Botnet to grupa połączonych ze sobą komputerów, których łącze sieciowe, moc obliczeniowa i zasoby zgromadzone na twardych dyskach są dostępne dla całej grupy. Operatorzy nielegalnych botnetów instalują w tych komputerach oprogramowanie umożliwiające im zdalne sterowanie zainfekowanych pecetów. Robią to za plecami właścicieli i wykorzystują przejęte w ten sposób komputery do własnych celów. Rozwijająca się obecnie grupa Kneber botnet opanowała w ciągu 3 miesięcy aż 7. tysięcy komputerów.

Plik Hosts może zawierać przypisania adresów IP do witryn internetowych. Można go więc wykorzystać, aby przekierowywać użytkowników przywoływujących określone witryny internetowe do komputerów cyberprzestępców w celu np. wyłudzania haseł (phishing).

Porty (protokołu) to numery pozwalające identyfikować kanały komunikacyjne, poprzez które programy w twoim komputerze mogą wymieniać informacje z innymi komputerami w sieci. Porty z zakresu od 0 do 102. są określane mianem Well Known Ports. Są stosowane po większej części przez znane aplikacje. Jeśli regularnie wyposażasz swój system i oprogramowanie w aktualizacje zabezpieczeń, porty z tego zakresu nie stanowią zagrożenia.

Registered Ports to grupa portów z zakresu od 102. do 49 151 nie są powiązane z określonymi aplikacjami. Są stosowane często przez oprogramowanie internetowe, pocztowe i aplikacje do pogawędek sieciowych. Programy te otwierają tymczasowo port o losowym numerze z powyższego zakresu, aby umożliwić komunikację (np. wyświetlenie witryny internetowej lub sprawdzić nową korespondencję w skrzynce pocztowej). Porty te są zamykane tuż po zakończeniu komunikowania się aplikacji.

Rootkit to oprogramowanie, które maskuje siebie i inne szkodliwe aplikacje zainstalowane w komputerze ofiary. W ten sposób zapobiega wykrycie ich przez użytkownika lub zainstalowane program antywirusowy.

Ruter to urządzenie, które pełni rolę węzła komunikacyjnego w sieciach komputerowych. Upraszczając, łączy komputery gospodarstwa domowego lub firmy z Internetem. Rutery są przeważnie wyposażone we własną zaporę sieciową (firewall)
. Ma ona za zadanie blokować próby wdzierania się niepożądanych danych z Internetu do sieci lokalnej. Jednak nie zabezpiecza przed skutkami niebezpiecznych czynności wykonanych przez użytkownika.

Skompresowane obrazy to aplikacje, które są szyfrowane i kompresowane w czasie rzeczywistym za pomocą takich metod jak UPX (Ultimate Packer for eXecutables). Rozwiązanie to jest stosowane przede wszystkim po to, aby utrudnić czytelność takich plików (a więc kodu maszynowego). Autorzy złośliwego kodu korzystają z niego, aby maskować swoje programy i przechytrzyć aplikacje antywirusowe.

Svchost.exe (Service Host Process) to najważniejszy proces w środowisku Windows. Ma za zadanie wczytywać podstawowe usługi Windows i zarządzać nimi. Dlatego przeważnie działa równolegle kilka procesów Svchost.

Usługi zapewniają lub rozszerzają określone funkcje w systemach operacyjnych Windows NT4. 2000, XP, Vista i 7. Dysponują przez cały czas prawami systemu. Są wykorzystywane przeważnie przez system lub zainstalowane w nim aplikacje. Interfejs użytkownika lub interakcja z użytkownikiem są przewidziane tylko w wypadkach wyjątkowych.

Zaplanowane zadania to polecenia lub programy wykonywane o określonych porach za pośrednictwem modułu harmonogram zadań systemu Windows.

Zombie - gdy komputer zombie staje się dystrybutorem spamu, szkodliwy program, który przeważnie dysponuje własnym modułem wysyłającym - tzw. silnikiem SMTP, rozsyła masowo niechciane wiadomości pocztowe do portu 25 serwera e-mailowego. Zazwyczaj port ten jest używany przez serwery pocztowe do komunikowania się między sobą. Port 25 nie wymusza uwierzytelniania od nadawcy wiadomości. Dlatego wiadomości pocztowe mogą pochodzić od dowolnych nadawców, a i tak są przekazywane dalej. Problem spamu zostałby rozwiązany, gdyby wszyscy operatorzy internetowi zablokowali swoim klientom port 25, realizując cały ruch pocztowy poprzez port 587. Port ten wymaga uwierzytelniania. Jednak dopóki nie zdecydują się na takie rozwiązanie, musisz mieć dokładnie na oku cały ruch sieciowy wychodzący z twojego komputera.

Udostępnij:
Wybrane dla Ciebie
Komentarze (137)