Jak sprawdzić, czy twój system padł ofiarą cyberprzestępców?
-
- Krzysztof Daszkiewicz,
-
- Christian Löbering,
- 22.05.2010, godz. 08:26
Artykuły o bezpieczeństwie, testy programów antywirusowych:
- TEST: 20 programów antywirusowych. Który najlepszy?
- E-banki - scenariusze ataków
- Bezpieczeństwo w Windows 7
- Test bezpłatnych programów antywirusowych
- Jak odinstalowywać programy antywirusowe, aby nie pozostawiały po sobie śmieci?
- Test: najlepsze programy Internet Security
Programy antywirusowe do pobrania:
- BitDefender Antivirus 2010 Build 13.0.20.34
- AVG Anti-Virus 9.0 Build 814a2810
- Panda Antivirus Pro 2010 PL
- Avast! 5 Professional Edition 5.0.396 pl
- Kaspersky Anti-Virus 2010 9.0.0.736 pl
- ESET NOD32 Antivirus 4.0.437 (32-bit)
Więcej programów antywirusowych a dziale "do pobrania: bezpieczeństwo/antywirusy".
3. Analizowanie połączeń sieciowych
Aby dowiedzieć się, czy twój komputer wysyła bez zezwolenia dane do cyberprzestępców w Internecie lub rozsyła niepożądaną reklamę w postaci wiadomości pocztowych, sporządź listę połączeń sieciowych nawiązywanych przez wszystkie działające w danej chwili aplikacje. Angielskojęzyczne narzędzie TcpView z pakietu SysinternalsSuite wykonuje to zadanie w czasie rzeczywistym. Wystarczy je tylko uruchomić.
Tabela wyników składa się z kilku kolumn. W pierwszej (Process) jest podana nazwa programu nawiązującego połączenie sieciowe, w drugiej zaś (Process ID) znajduje się identyfikator tejże aplikacji. Kolejna kolumna (Local Address) zawiera nazwę twojego komputera i port, przez który odbywa się transmisja danych (na zewnątrz lub z zewnątrz komputera). W kolumnie Remote Address widnieje adres komputera docelowego, a więc tego, z którym zostało ustanowione połączenie. Ostatnia z kolumn podaje bieżący stan połączenia. Established oznacza nawiązane połączenie, zaś Listening nasłuchiwanie. Jeśli w kolumnie Remote Adress ujrzysz wpis localhost lub 127.0.0.1, rolę komputera docelowego pełni twój własny system.
Zobacz również:
Nie ma prostych reguł pozwalających jednoznacznie odróżnić złośliwe połączenia od bezpiecznych. Są jednak podejrzane połączenia. Najważniejsze kryterium podczas ich analizowania to port używany do przesyłania danych (kolumna nr 3). Jeśli na liście rezultatów w programie TcpView widnieje aplikacja o nazwie, która nic ci nie mówi, i otworzyła port z przedziału od 1024 do 49151 (tzw. zakres portów zarejestrowanych, z ang. registered ports), powinieneś bardzo uważać. Zapamiętaj lub zanotuj nazwę procesu i jego identyfikator (dwie pierwsze kolumny). Aby ustalić ścieżkę dostępu do pliku aplikacji, kliknij nazwę procesu prawym przyciskiem myszy i wskaż polecenie Process Properties.
Porty z zakresu 49152 do 65535 (tzw. Dynamic Ports) są stosowane wyjątkowo rzadko. To doskonałe pole do popisu dla trojanów i innych szkodników. Jeśli któryś z programów otworzył port z tego przedziału, zanotuj jego nazwę, ścieżkę dostępu i identyfikator procesu, po czym zasięgnij dalszych informacji, jak opisujemy w następnym punkcie.
Listę wszystkich portów i korzystających z nich aplikacji znajdziesz np. w Wikipedii.
