Bezpieczeństwo komputera: jak zwalczyć infekcję?

Przeczytaj także: Ataki hakerskie 2012

Opanowanie sytuacji w obliczu infekcji

Pierwszym krokiem na drodze do opanowania infekcji jest zapobieżenie jej rozprzestrzenieniu zarówno w sensie zarażenia kolejnych komputerów, jak i pobierania kolejnych złośliwych programów przez działający w systemie malware. W tym celu dobrze jest odłączyć zarażony komputer od sieci, lub w inny sposób maksymalnie odizolować go od innych komputerów.

Jeśli infekcja dotyczy nowego, nieznanego zagrożenia, należy w miarę możliwości skontaktować się z producentem lub dostawcą używanego programu antywirusowego, czy też innego oprogramowania zabezpieczającego, i zgłosić zaistniały problem. Prawdopodobnie niezbędne będzie dostarczenie próbek złośliwego oprogramowania, czy też innych informacji w postaci logów systemowych, raportów programu antywirusowego itp. Większość producentów oprogramowania do ochrony danych umożliwia dostarczenie próbek szkodliwego oprogramowania, umieszczając na swoich stronach stosowne informacje.

Oczyszczanie i przywracanie systemu

W celu skutecznego oczyszczenia i zabezpieczenia systemu konieczne może być przeanalizowanie rodzaju infekcji i jej charakteru. Idealnie, gdyby tego rodzaju analiza została przeprowadzona przez specjalistę zajmującego się bezpieczeństwem informatycznym przy pomocy specjalistycznych narzędzi do badania systemu, pozwalających zebrać odpowiednie dane na temat modyfikacji rejestru dokonanych przez malware, uruchamianych przez niego procesów, obecności procesów ukrywających funkcjonowanie złośliwego oprogramowania (rootkitów), zapisanych kopii szkodliwych programów i innych plików, otwartych portów, udostępnionych zasobów itp.

Często złośliwe oprogramowanie utrudnia lub uniemożliwia dokonywanie czynności diagnostycznych i naprawczych, na przykład blokując funkcje systemowe takie jak menedżer zadań Windows czy narzędzia konfiguracji systemu. W takim wypadku można spróbować wykonać restart komputera w trybie awaryjnym, w którym ograniczona do minimum zostaje liczba uruchomionych elementów systemu. W skrajnych przypadkach konieczne może okazać się posłużenie dodatkową płytą bootowalną, jeśli istnieje problem z wystartowaniem systemu w normalny sposób. Może być to zresztą jeden ze sposobów na odratowanie ważnych danych z dysku twardego, jeśli istnieje ryzyko, że infekcja spowoduje nieodwracalne uszkodzenia plików. Najlepszym rodzajem płyty bootowalnej, w przypadku infekcji złośliwym oprogramowaniem, jest dysk ratunkowy zawierający oprogramowanie do zwalczania szkodników. Wykonanie takiej płyty umożliwiają niektórzy producenci oprogramowania antywirusowego, nośniki w postaci plików ISO można także pobrać z sieci (na przykład tutaj: http://www.killvir.pl/7-rozwiazania-bezplatne).

Wszelkie podejrzane procesy, wpisy w sekwencji startowej, albo pliki i foldery w katalogu systemowym dobrze jest sprawdzić wyszukując informacje w Internecie. Często można w ten sposób odnaleźć niezwykle cenne porady innych użytkowników i administratorów, którzy z takim lub podobnym problemem zetknęli się już wcześniej. Jeśli pozwalają na to warunki, zainfekowany komputer można poddać kwarantannie do czasu pojawienia się szczepionek zwalczających dane zagrożenie przez program antywirusowy.

Przy tym wszystkim nie należy tracić z oczu najważniejszego celu procesu oczyszczania systemu ze szkodliwego oprogramowania, jakim jest zapobieżenie utracie danych – czy to przez ich trwałe uszkodzenie, czy też kradzież lub udostępnienie niepowołanym osobom. Przywracanie systemu do stanu pełnej używalności może odbyć się na trzy sposoby.

• Wyczyszczenie komputera z malware'u oraz usunięcie lub naprawienie uszkodzonych plików.
• Odtworzenie systemu z kopii zapasowej.
• Odbudowanie systemu od początku.

Wariant drugi możliwy jest tylko pod warunkiem, że wykonana została wcześniej kopia zapasowa, w dodatku nie ma pewności, że backup wolny jest od złośliwego oprogramowania, ponieważ niektóre ze szkodników są tak zaprojektowane, aby uaktywniać swoje niszczycielskie zachowania z pewnym opóźnieniem, a przywrócenie takiej kopii zapasowej spowoduje ponowną infekcję. To samo dotyczy punktów przywracania, ponieważ i takie kopie mogą zawierać zainfekowane pliki systemowe, powodując kolejne zarażenie.

Odbudowanie systemu od zera jest najbezpieczniejszą formą przywrócenia systemu, zalecaną w ekstremalnych przypadkach, np. jeśli infekcja dotyczyła wykrycia w systemie backdoora lub rootkita – różne składniki tego typu ataku są niezwykle trudne do wiarygodnego wykrycia i nie ma stuprocentowej pewności, że dokonane modyfikacje systemu nie umożliwią kolejnego ataku. Jest to jednocześnie najbardziej pracochłonne przedsięwzięcie wymagające ponownej instalacji wszystkich używanych na komputerze programów oraz skopiowania dokumentów i innych ważnych danych z wykonanej kopii zainfekowanego systemu – po uprzednim upewnieniu się, że nie zawierają one groźnych pozostałości infekcji.

Oczyszczenie systemu bez reinstalacji i przywracania kopii najlepiej wykonać wtedy, gdy infekcja jest dobrze znana i udokumentowana przez producentów oprogramowania antywirusowego. Istnieje wówczas duża szansa, że za pomocą tego czy innego programu antywirusowego uda się usunąć wszelkie niebezpieczne elementy i cofnąć dokonane przez nie modyfikacje w systemie. Decydując się na ręczne oczyszczanie systemu należy ściśle trzymać się wytycznych dotyczących usuwania danego zagrożenia. Przede wszystkim należy zatrzymać funkcjonowanie szkodliwych procesów, a także uniemożliwić ich automatyczne lub zaplanowane uruchomienie. Następną ważną czynnością jest usunięcie wszelkich plików zapisanych w wyniku działania złośliwego oprogramowania oraz wprowadzonych przez nie zapisów w rejestrze systemowym. Wreszcie pozostaje cofnięcie wszelkich zmian dokonanych przez to oprogramowanie i przywrócenie dokumentów, ustawień i innych plików do stanu sprzed infekcji. Do naprawy systemu konieczne może być użycie dodatkowych narzędzi, np. funkcji odzyskiwania systemu zawartych na płycie instalacyjnej Windows.

Po wykonaniu oczyszczania konieczne jest uzyskanie potwierdzenia, że system jest wolny od szkodliwego oprogramowania. W tym celu należy przede wszystkim wykonać pełne skanowanie wszystkich dysków komputera programem antywirusowym, dla pewności dobrze jest wykonać drugie skanowanie innym antywirusem (na przykład jednym z bezpłatnych skanerów antywirusowych online). Warto także poświęcić czas na analizę działających w systemie procesów, otwieranych przez aplikacje portów i zestawianych przez komputer połączeń z adresami zewnętrznymi. Niezależnie od wszystkiego, należy zachować wzmożoną czujność i nadzwyczajną ostrożność podczas pracy z przywróconym systemem.

Zabezpieczenie przed ponowną infekcją

Oczyszczenie komputera ze szkodliwego oprogramowania i odzyskanie danych nie oznacza jeszcze zakończenia pracy nad przywróceniem systemu do pełnej funkcjonalności. Po potwierdzeniu, że system jest wolny od złośliwego oprogramowania należy wykonać czynności, które uniemożliwią nawrót infekcji. Bezwzględnie zalecana jest zmiana wszelkich haseł zapisanych w systemie na takie, które nie są łatwe do odgadnięcia. Drugim ważnym elementem jest zaktualizowanie systemu oraz innych używanych programów do najnowszych dostępnych wersji, ściągnięcie łat i poprawek poprawiających bezpieczeństwo.

Trzeba także zastanowić się nad weryfikacją wykorzystywanych dotychczas zabezpieczeń i ogólnej polityki bezpieczeństwa. Jeśli istnieje podejrzenie, że winę za infekcję ponosi niezapewniające dostatecznej ochrony oprogramowanie, warto rozważyć jego zmianę na takie, które w przyszłości pozwoli na uniknięcie podobnego ryzyka. Dokonując wyboru można posłużyć się wersjami testowymi programów, można także skorzystać z rankingów wykonywanych przez niezależne organizacje, takie jak AV-Test lub AV Comparatives. Nie należy jednak zapominać, że najważniejszym elementem skutecznej ochrony jest rozsądne użytkowanie komputera i zapobieganie zagrożeniom, a nie ich zwalczanie. Nawet najlepsze rozwiązanie antywirusowe nie zda się na nic, jeśli do sprawy bezpieczeństwa podchodzić będziemy lekkomyślnie.

Andrzej Witbrot,