Jak sprawdzić, czy twój system padł ofiarą cyberprzestępców?
- Krzysztof Daszkiewicz,
- Christian Löbering,
- 22.05.2010, godz. 08:26
Artykuły o bezpieczeństwie, testy programów antywirusowych:
- TEST: 20 programów antywirusowych. Który najlepszy?
- E-banki - scenariusze ataków
- Bezpieczeństwo w Windows 7
- Test bezpłatnych programów antywirusowych
- Jak odinstalowywać programy antywirusowe, aby nie pozostawiały po sobie śmieci?
- Test: najlepsze programy Internet Security
Programy antywirusowe do pobrania:
- BitDefender Antivirus 2010 Build 13.0.20.34
- AVG Anti-Virus 9.0 Build 814a2810
- Panda Antivirus Pro 2010 PL
- Avast! 5 Professional Edition 5.0.396 pl
- Kaspersky Anti-Virus 2010 9.0.0.736 pl
- ESET NOD32 Antivirus 4.0.437 (32-bit)
Więcej programów antywirusowych a dziale "do pobrania: bezpieczeństwo/antywirusy".
4. Analizowanie bieżących procesów
Czy znalazłeś podejrzane połączenie sieciowe? Jeśli tak, musisz koniecznie zbadać, z czym masz do czynienia. Uruchom w tym celu angielskojęzyczny program Process Explorer (plik Procexp.exe) z pakietu Sysinternals Suite.
Domyślnie program ten wyświetla wszystkie bieżące procesy w widoku drzewa, sortując je wg zależności. Kolor tła zdradza typy poszczególnych procesów. Na przykład wpisy zaznaczone na różowo to usługi. Niebieskim tłem są oznaczone zwyczajne aplikacje, brązowym zaplanowane zadania, a fioletowym skompresowane obrazy. Złośliwy kod przybiera najczęściej postać usługi lub skompresowanego obrazu.
Zobacz również:
Aby dowiedzieć się więcej na temat ustalonego uprzednio procesu, znajdź odpowiedni identyfikator (tzw. Process ID) w drugiej kolumnie listy wyników (PID). Kliknij ten identyfikator prawym przyciskiem myszy i wskaż polecenie Properties w menu podręcznym. Na karcie Security znajdziesz informację, jakie uprawnienia są przydzielone danemu procesowi. Jeśli w najwyżej położonym wierszu obok wpisu User widnieje np. NT-Authority\System, proces dysponuje prawami systemu (przypuszczalnie działa jako usługa systemowa), a więc ma pełną swobodę w twoim komputerze.
W tym wierszu może być podana twoja nazwa, pod którą logujesz się w systemie. Oznacza to, że sam (zapewne bezwiednie) uruchomiłeś dany proces lub zleciłeś jego uruchomienie. Jeśli pracujesz w systemie przydzieliwszy sobie prawa administratora, dysponuje nimi także dany proces - a to niedobrze. Na karcie Threads ujrzysz listę procesów podrzędnych, które uruchomił.
Gdy podejrzenie, że masz do czynienia ze szkodnikiem, stanie się jeszcze bardziej prawdopodobne, przeskocz na kartę Image, a następnie kliknij Kill Process, aby zakończyć złośliwy proces wraz ze wszystkimi procesami podrzędnymi.
Jeśli w trakcie analizowania systemu za pomocą programu TcpView zwróciło twoją uwagę jakieś połączenie pochodzące od procesu Svchost.exe, nie popadaj w panikę. Przypuszczalnie chodzi tylko o automatyczne aktualizacje systemu Windows. Niemniej jednak powinieneś się upewnić.
W następujący sposób dowiesz się, jakie usługi kryją się za ustalonym uprzednio procesem Svchost.exe. Kliknij prawym przyciskiem myszy wpis ze stosownym identyfikatorem w oknie programu Process Explorer i wskaż polecenie Properties. Gdy przeskoczysz na kartę Services, ujrzysz listę wszystkich usług, którymi zarządza ten proces Svchost.exe. Jeśli w pierwszej kolumnie listy występuje wpis wuauserv, potwierdzi się przypuszczenie, że chodzi o automatyczne aktualizowanie systemu Windows. W przeciwnym razie musisz poszukać dalszych informacji o usłudze w Internecie. Wpisz w wyszukiwarce internetowej nazwę figurującą w kolumnie Display Name programu Process Explorer. Jeśli okaże się, że nie trafiłeś na standardową usługę Windows, lecz na intruza, lepiej zakończ jej działanie, klikając przycisk Stop w Process Explorerze.