Vírushíradó.hu

Megfertőződött a gépem?

, 2003. március 15. 13:00
A vírus megjelenésére és jelenlétére néha egyértelmű jelekből lehet következtetni, máskor azonban ezeket a jeleket a felhasználó nem észleli, és nem is észlelheti. Amíg egyes vírusok állományokat tesznek tönkre, lassítják vagy meggátolják bizonyos programok futását (Klez), illetve elérhetetlenné tesznek bizonyos weblapokat (Nimda), mások a háttérben működnek, kihasználva a számítógép lehetőségeit akár törvénytelen műveletek elvégzésére is. Az sem lehetetlen, hogy egy backdoorprogram segítségével valaki az Ön gépét használva próbál betörni egy ismeretlen komputerbe.
Az esetleges vírusfertőzés árulko dó jelei

- Indokolatlan lassulás, lefagyás tapasztalható.

- Levelezőpartnereink jelzik, hogy e-mail címünkről fertőzött leveleket kapnak.

- A számítógép minden ok nélkül újraindul.

- Egyes állományok fizikailag sérülnek vagy eltűnnek.

- Az Office-dokumentumok csak sablonként menthetők el.

- Megszokott menüpontok, funkciók vagy egész alkalmazások tűnnek el.

- Zavaros képernyőtartalom jelenik meg.

- Indokolatlanul hosszú ideig tart a levelek küldése.

- Látszólag ok és jóváhagyás nélkül internetkapcsolatot akar kezdeményezni valamely alkalmazás.

- A kapott e-mail mellékletének több kiterjesztése is van.

Nem mindegy tehát, mennyire megbízható vírusirtó program segítségével zárjuk ki a lehetőségét, hogy valaki kárt okozzon a gépünkben vagy azt felhasználva máséban. A világon naponta tucatnyi vírus "kerül forgalomba", ami azt jelenti, hogy azok bármelyike szinte azonnal vagy néhány napon, héten belül megfertőzheti komputerünket. Ezért ha biztonságosan meg szeretnénk állapítani, hogy gépünk tartalmaz-e vírust, nemcsak megbízható, hanem naprakész víruskereső, -izoláló és -irtó programot kell használnunk.

Hangsúlyozni kell, hogy a megelőzésre befektetett energia sokszorosan megtérül egy-egy komolyabb vírustámadás kivédésekor. A biztonsági óvintézkedések betartásával pedig elkerülhető, hogy az adatok megsérüljenek, elvesszenek - legyenek azok a saját tulajdonunkban vagy másokéban.

Mit tegyünk?

Az alábbi teendőlista nem lehet teljes, hiszen a vírusok hihetetlenül sokfélék, nem létezik minden esetben tökéletesen használható recept. Azonban megpróbálunk olyan lépéseket leírni, amelyek a legtöbb esetben segítenek elkerülni a vírus továbbterjedését és megakadályozni a károkozást.

Amennyiben gyanítjuk, hogy gépünkön vírus van, először is nyugodjunk meg. Ha eddig nem történt baj, és nem kapkodunk, akkor nem lesz gond. Ha viszont már bekövetkezett, amitől féltünk, helyzetünk csak jobbra fordulhat...

Amikor számítógépünkön vírust feltételezünk, általában az első dolgunk az, hogy megpróbáljuk leállítani a működését. Ha a vírus már a memóriában van, ez csak a gép kikapcsolásával és újraindításával lehetséges. Ilyenkor viszont figyelnünk kell, nehogy a vírus esetleg ismét aktivizálódni tudjon. Ezt a legegyszerűbben úgy érhetjük el, hogy egy vírusmentes komputeren vírusmentes indító-, azaz bootlemezt készítünk, bekapcsoljuk a lemez írásvédelmét, és arról indítjuk el gépünket. Így el tudjuk kerülni, hogy a bootvírus aktivizálódjon.

Meg kell győződnünk róla, hogy valóban megtörtént-e a baj, és ha igen, mely fájlok estek áldozatul (illetve van-e bootszektorfertőzésünk). Erre egy víruskereső szoftver használata ajánlott. Ilyenkor célszerű minden fájlra kiterjedően futtatni a programot, ami annak keresési paraméterei között állítható be. A szoftver által fertőzöttnek talált fájlok nevét és elérési útvonalát mentesítés előtt jól nézzük meg, mert ezek az információk segíthetnek annak felderítésében, hogy honnan kaptuk a vírust.

A keresők csak akkor kísérlik meg eltávolítani a vírust, ha biztosak benne, hogy azt maradéktalanul, károkozás nélkül tudják likvidálni, úgy, hogy a fertőzés előtti állapot álljon vissza. Ha erre nem képesek, akkor meg sem próbálják, hanem felhívják a figyelmet, hogy fertőzés történt, a kór nem gyógyítható, ezért a programot mentésből vissza kell állítani, vagy újra kell telepíteni. Ha a vírus eltávolítható, s az ennek megfelelő opciót beállítottuk, akkor a szoftver teszi a dolgát, és ezzel a fertőzéstől megszabadultunk.

Utoljára, ellenőrzésképpen indítsuk el még egyszer a víruskereső programot, és győződjünk meg róla, hogy gépünkön nem maradt fertőzött fájl vagy bootszektor.

Következő feladatunk a hasonló támadások elkerülése érdekében a vírus kiindulópontjának meghatározása. A károkozó, amikor megfertőzte gépünket, valamilyen hordozón keresztül jutott be a rendszerbe. Ez leggyakrabban e-mail melléklet, másolt program vagy floppy, de akár gyári CD-n (!) is kaphatunk vírust. Ha megvan a forrás, figyelmeztessük az illetőt a veszélyre.

Ezenfelül ajánlott egy rezidens, állandóan működő vírusvédelmi szoftver beszerzése is, amelyet lehetőleg naponta frissítsünk.

Amennyiben valószínűnek tartjuk, hogy gépünk vírusos, de a legfrissebb adatbázissal rendelkező antivírusszoftver ennek ellenére nem talált fertőzést, előfordulhat, hogy még nem ismert kártevővel van dolgunk. Ilyenkor az a legfontosabb, hogy ellene mielőbb kifejlesszék a védelmet, ezért küldjünk vírusmintát valamelyik adatbiztonsággal foglalkozó cégnek.

Egyéb hasznos tanácsok

Sohase hagyjunk floppylemezt a meghajtóban, ha elmegyünk a géptől. Áramszünet esetén előfordulhat, hogy a komputer a floppyról bootol, és ha az vírussal fertőzött, az máris a memóriába, illetve a winchesterünkre kerülhet át.

Az ismeretlen eredetű programot először ellenőrizzük, és csak utána futtassuk.

Mindig legyen egy tiszta, leragasztott rendszerlemezünk a közelben kritikus esetekre félretéve.

Gyanú esetén vizsgáljuk meg a teljes merevlemezt a víruskeresővel.

**

Tíz perc alatt a Föld körül

Az SQL-Slammer néven is ismeretes Sapphire féreg, amely január 25-én jelent meg a világhálón, új korszakot nyitott a gyorsan terjedő internetes vírusok világában. Egy neves elemzőcég felmérése szerint a megfertőződött SQL-szerverek 90%-a a járvány első 10 percében esett áldozatul a Slammernek.

A Cooperative Association for Internet Data Analysis (CAIDA) cég az amerikai kormányzat pénzügyi támogatását élvezi a Nemzeti Tudományos Alap keretein belül, tevékenysége elsősorban az internetforgalom mérésére szolgáló módszerek és eszközök kifejlesztésére irányul. Az általa nemrég publikált jelentés szerint a Slammer féreg közvetlenül a megjelenése után már minden 8,5. másodpercben megduplázta a fertőzött gépek összlétszámát, és 3 percen belül elérte aktivitása csúcspontját, amikor is másodpercenként 55 millió adatcsomagot küldött szét a világhálón.

A fenti ismérvek alapján a Slammer vírust a Warhol-típusú kártevők körébe kell sorolnunk, amelyek legfeljebb 15 perc alatt képesek megfertőzni az interneten található összes sebezhető gépet. Az ilyen férgekkel kapcsolatos elméleti felvetések már korábban is napvilágot láttak: Vern Paxson IT-biztonsági szakértő a 2002-es Usenix Biztonsági Szimpóziumon mutatta be ebben a témában írott dolgozatát. (A terjedési mód elnevezése Andy Warholra, a neves posztmodern festő- és képregényművészre utal, akinek az elektronikus média szerepéről szóló ismert mondása szerint a jövőben mindenkinek jut majd 15 perc hírnév - a szerk.)

Ennél is veszélyesebb módszert ismertetett a Usenixen Nicholas Weaver, a CAIDA kutatója, amelynek alapján egy Flash (Villanás) típusú kártevő akár 15 másodpercen belül átvizsgálhatja az egész internetet gépi áldozatok után kutatva. Ilyen típusú férget eddig szerencsére még nem engedtek szabadon a rosszindulatú hackerek.

A Slammerről szóló jelentésben a CAIDA munkatársai kifejtik, hogy ez a vírus alapul szolgálhat olyan jövőbeli változatok kifejlesztéséhez, amelyek még gyorsabban terjednek, és még nagyobb káoszt hagynak maguk után. "Ha a Slammer írói elterjedtebb szoftvert vagy biztonsági hiányosságot választanak célpontjukul, és pusztító rutinnal egészítik ki a féregvírust, minden bizonnyal sokkal komolyabb kárt okoznak" - szerepel az elemzésben.

A Slammer terjedése két nagyságrenddel (!) gyorsabb volt a 2001 nyarán megjelent CodeRed vírusénál, amely átlagosan 37 percenként duplázta meg a fertőzött gépek számát. A CAIDA szerint összesen mintegy 359 ezer komputer esett áldozatul a CodeRed-járványnak. A Slammer összességében kevesebb gépet fertőzött meg, mint a CodeRed, amit a tervezésében elkövetett hibáknak tulajdonítanak a szakemberek. A CAIDA elemzése szerint még a benne található ötletes véletlenszámgenerátor-rutin sem volt képes az összes IP-címet előállítani, és mivel a féreg által alkalmazott nagyon agresszív terjedési mechanizmus túlterhelte az adathálózatokat, a Slammer-járvány egy kis idő elteltével saját magát fojtotta le.

A szerzők figyelmeztetnek, hogy bár a Slammer által megcélzott SQL-hiba nagyon megkönnyítette a terjedést (egyetlen, megfelelő portra küldött kisméretű UDP-csomag tartalmazta az ún. exploitot és a féreg kódját is), ebből nem következik az, hogy más elven működő kártevők ne tudnának hasonló sebességgel elterjedni. "Ha a pusztító rutint megfelelően kis kódméretben elő tudjuk állítani, bármelyik féregvírusnak elkészíthető hasonló, kisebb sávszélességű hálózatokra szánt változata."

A hagyományos vírusvédelmi rendszerek gyakorlatilag tehetetlenek az új típusú járvánnyal szemben - figyelmeztet az elemzés. "A nagy sebességgel terjedő féregvírusok ma már nemcsak elvi fenyegetést jelentenek, eljött hát az idő, hogy automatizáljuk a férgek ellen védő rendszereket. Nincs arra mód, hogy egy ilyen gyorsan terjedő járvánnyal szemben a rendszergazdák időben cselekedhessenek" - állítják.

Stuart Okin, a Microsoft angliai IT-biztonsági főnöke arra figyelmeztetett, hogy az SQL-Slammer jövőben megjelenő alváltozatai nagyobb kárt okozhatnak az eredeti járványnál, ahol a pusztító rutin nélküli féreg nem végzett célzott rombolást, tevékenysége a szolgáltatásmegtagadásban és a hálózatok túlterhelésében merült ki. Ez tette lehetővé, hogy a fertőzött gépeket mindössze egy rendszer-újraindítás és a biztonsági javítás telepítése révén mentesíteni lehetett, ami egy újabb, valóban kártékony változatnál valószínűleg már nem lesz ilyen egyszerű.

Kulcsszavak: security =biztos

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

Törj be a digitális élvonalba: Nevezd ’Az Év Honlapja’ pályázatra!

2024. november 5. 11:59

Gépek is rajthoz állnak a most induló Országos IT Megmérettetésen

2024. október 28. 18:06

Megnyitott a Vatera Galéria, a válogatott műtárgyak új platformja

2024. október 22. 15:25

Egy év alatt 45 milliárd forintot loptak el tőlünk a digitális bűnözők

2024. október 15. 16:51