Действия при заражении компьютера
Признаки заражения
1. Увеличение исходящего интернет-трафика — правило справедливое, как для индивидуальных пользователей, так и для корпоративных сетей. При наличии сетевого экрана сигналом о заражении могут являться попытки неизвестных приложений открыть Интернет-соединения. Многочисленные рекламные "поп-апы" при посещении веб-сайтов могут сигнализировать о том, что в системе присутствует рекламная система (Adware);
2. Частые зависания и сбои в работе компьютера - также могут быть вызваны фактом заражения. Однако во многих случаях причина сбоев может быть не вирусная, а аппаратная или программная. При похожих симптомах сразу на нескольких (многих) компьютерах в сети, и при этом резко возрастает внутрисетевой трафик - причина, скорее всего, кроется в распространении по сети очередного сетевого червя или троянской программы-бэкдора;
3. К косвенным признакам факта заражения могут относиться симптомы, такие, как счета за телефонные звонки или SMS-сообщения, которых на самом деле не было. Это может указывать на то, что на компьютере или в мобильном телефоне завёлся "телефонный троянец". Если зафиксированы случаи несанкционированного доступа к личному банковскому счёту или факты использования кредитной карты, то это может быть сигналом о шпионской программе, внедрённой в систему.
Рекомендуемые действия
Возможно, что устарел набор антивирусных баз или система требует ручной (принудительное сканирование) антивирусной проверки. Если это не помогло, возможно, помогут антивирусы от других производителей. Большинство известных антивирусных компаний выпускают бесплатные версии своих продуктов (например, бесплатная лечащая утилита от компании Dr.Web - Dr.Web CureIt!). При обнаружении вируса или троянской программы с помощью другого антивируса, необходимо зараженный файл отослать разработчику того антивируса, который его не определил. Это поможет более оперативно добавить его в обновления и защитить от заражения других пользователей этого антивируса.
Если ничего не обнаружено, то необходимо приступить к поиску зараженного файла, перед этим предварительно физически отключив компьютер от интернета или от локальной сети (если он был к ней подключен), выключить Wi-Fi-адаптер и модем (если они есть). В дальнейшем пользоваться сетью только в случае крайней необходимости. Ни в коем случае не пользоваться системами интернет-платежей и банковскими интернет-сервисами. Избегать обращения к персональным и любым конфиденциальным данным, не пользоваться интернет-службами, для доступа к которым необходимо ввести логин и пароль.
Прежде, чем мы начнем разбирать вопрос о заражении компьютера, хочу сказать:
1. Некоторые вирусы не определяются антивирусными программами;
2. Всегда существует временной промежуток между созданием вируса и разработкой средств против него;
3. Даже если антивирусный пакет определит наличие вируса в системе, он не всегда может удалить его и тем более вылечить зараженные файлы. В свою очередь лечение зараженного файла может привести к более серьезным последствиям, чем наличие самого вируса в системе.
Исходя из перечисленного, сделаем вывод, что установленный в системе антивирус с самыми последними обновлениями не в состоянии обнаружить новый вирус, червя или троянскую программу. Поэтому, 100% безопасности не гарантирует ни одна антивирусная защита. В этом случае необходимо определить факт заражения, обнаружить вирусный файл и отправить его в антивирусную компанию, продукт которой "проморгал" вредоносную программу и не смог защитить компьютер от заражения.
Однако, самостоятельно (без помощи антивирусных программ или специальных знаний и навыков) заметить факт заражения компьютера достаточно сложно, т.к. многие черви и троянские программы никак не проявляют своего присутствия. Бывает, когда троянцы явно сообщают пользователю, что компьютер заражен — например, в случаях шифрования пользовательских файлов с последующим требованием выкупа за утилиту расшифровки. Но обычно они скрытно инсталлируют себя в систему и также скрытно ведут свою троянскую деятельность. Так что зафиксировать факт заражения можно только по косвенным признакам.
Как найти заражённый файл
В зависимости от сложности вируса или троянца, от методов, которые используются для скрытия вредоносного кода в системе - зависит поиск зараженного файла. Непрофессионалу найти зараженный файл не представляется возможным. Данная задача потребует специальных утилит, возможно — подключения жесткого диска к другому компьютеру или загрузки системы с CD-диска. Если же встретился обычный червь или троянская программа, то найти её иногда можно достаточно простыми способами.
Абсолютное большинство червей и троянских программ должны получать управление при старте системы.
Для этого в большинстве случаев используются два основных способа:
1. Запись ссылки на зараженный файл в ключи автозапуска системного реестра Windows;
2. Копирование файла в каталог автозапуска Windows.
Наиболее "популярные" каталоги автозапуска в Windows XP следующие:
* \%Documents and Settings%\%user name%\Start Menu\Programs\Startup\
* \%Documents and Settings%\All Users\Start Menu\Programs\Startup\
Если в этих каталогах обнаружены подозрительные файлы, то их рекомендуется незамедлительно удалить, а копию заархивировать и отослать в компанию-разработчика антивируса с описанием проблемы.
Наиболее популярные ключи автозапуска в системном реестре - ключи Run, RunService, RunOnce и RunServiceOnce в ветках реестра:
* [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\]
* [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\]
Наиболее интересные ключи будут иметь малоговорящие названия и пути к соответствующим файлам, а также на файлы, размещенные в системном или корневом каталоге Windows. Необходимо запомнить их название, т.к. это пригодится при дальнейшем анализе.
Довольно "популярна" запись в следующий ключ:
* [HKEY_CLASSES_ROOT\exefile\shell\open\command\]
По умолчанию в данном ключе стоит значение «%1" %*».
Наиболее удобным местом для размещения червей и троянцев являются системный (system, system32) и корневой каталог Windows. Т.к. по умолчанию показ содержимого данных каталогов в Explorer отключен. А также, там находится множество разнообразных системных файлов, назначение которых для рядового пользователя абсолютно неизвестно, да и опытному пользователю понять является ли файл с именем winkrnl386.exe частью операционной системы или чем-то чужеродным — весьма проблематично.
Рекомендуется воспользоваться любым файловым менеджером с возможностью сортировки файлов по дате создания и модификации и отсортировать файлы в указанных каталогах. Это покажет нам все недавно созданные и измененные файлы вверху каталога, и именно они будут представлять интерес. Наличие среди этих файлов, файлы которые уже встречались в ключах автозапуска, является первым тревожным признаком.
Более опытные пользователи могут также проверить открытые сетевые порты при помощи стандартной утилиты netstat. Рекомендуется установить сетевой экран и проверить процессы, ведущие сетевую активность. Также рекомендуется проверить список активных процессов, при этом пользоваться не стандартными средствами Windows, а специализированными утилитами с расширенными возможностями — многие троянские программы успешно маскируются от штатных утилит Windows.
Это самые простые советы по обнаружению зараженных файлов. На самом деле все не так просто. Приходится иметь дело с технически "продвинутыми" червями и троянскими программами, а это требует специальных знаний и навыков. Однако, приобретя технические навыки и необходимые инструменты, Вы сможете избавляться от вирусов гораздо эффективнее, чем при использовании любой антивирусной программы.
Если Вам это не интересно, тогда в случае заражения или подозрения на вирус, необходимо обратиться за помощью, либо в службу технической поддержки антивирусной компании, защита от которой установлена на компьютере, либо в одну из компаний, специализирующихся на компьютерной помощи, либо попросить помощи на соответствующих интернет-форумах.
Компьютер и Windows