субота, 26. мај 2012.

Kako prepoznati računar zaražen virusima?

 

  •      Želim da proverim da li imam na računaru viruse!
  •      Koji su sigurni znaci da je računar zaražen?
  •      Šta mogu da učinim da sprečim ili smanjim mogućnost zaraze?
  •      Uputstva i saveti za totalne početnike
- Ova pitanja muče većinu korisnika Windows operativnih sistema, od početnika do profesionalaca u poznavanju računara. Microsoft operativni sistemi, od kojih je najpoznatiji i ubedljivo najpopularniji među korisnicima Windows XP, a tu su i Windows Vista, pa i novi Windows 7, su najviše na meti programera koji stvaraju takozvane „Viruse“. Virusi su u suštini programi čija je namena da, bez saglasnosti, često i bez znanja vlasnika računara izvrše na zaraženom računaru određene komande. Postoje virusi svih mogućih vrsta i namena, a njihovo prisustvo na računaru u većini slučaja usporava sistem i otežava ili onemogućava normalno korišćenje računara od strane korisnika. Proći ćemo kroz nekoliko jednostavnih načina na koje možemo ustanoviti da li je i u kolikoje meri naš računar zaražen virusima. Ovo su samo primeri na koje sam naleteo do sada i koji su bili siguran znak da je računar zaražen.

Računar je nemoguće normalno koristiti

  • Na pozadini desktopa je ispisano upozorenje da je računar zaražen virusima
  • Prilikom podizanja sistema pokreće se nepoznat program koji skenira računar i nalazi hiljade virusa, a zatim traži od korisnika da kupi licencu za program da bi virusi bili uklonjeni
  • Računar jako sporo radi, stalno se čuje „krčanje“ hard diska u pozadini, potrebno je više minuta da se otvori neki program ili folder…
  • Na desktopu nema ikonica, ne možemo da otvorimo „My Computer“, „Control Panel“, ne možemo da kreiramo novi folder, ne pojavljuje se kontekst meni (tj desni klik)

    Računar se najveći deo vremena ponaša normalno ali ipak želimo da proverimo da li je zaražen

    Windows Task Manager

    Mnogi virusi prilikom aktiviranja na računaru prave određene izmene u registrima, čime mogu da onemoguće pokretanje programa koji mogu da prikažu i onesposobe virus. Jedan od programa koje virusi često blokiraju je „Windows Task Manager“. Da bismo ga otvorili, kliknućemo desnim tasterom miša na „Taskbar“, tj donji panel na desktopu, i odabrati „Task Manager“. Ako se prozor programa ne otvori i dobijemo samo upozorenje da je Administrator zabranio otvaranje i korišćenje programa, postoji velika verovatnoća da je u pitanju delo virusa.










_________________________________________________________________________________
Napomena: Ako nalog na koji smo prijavljeni nema administratorske dozvole, moguće je da „Task Manager“ ne može da se pokrene zbog vrste naloga, a da nije u pitanju virus. Ovo je bio samo jedan od načina na koji možemo ustanoviti da li je računar zaražen virusima, ukoliko problemi postoje preporuka je da računar pogleda iskusnije lice.
_________________________________________________________________________________

Skriveni fajlovi i folderi

Windows Explorer podrazumevano korisniku ne prikazuje skrivene fajlove i foldere, važne sistemske fajlove, ekstenzije fajlova… Kada je računar zaražen virusom, fajlovi koje virus koristi se moraju nalaziti negde na računaru i kreirani su tako da budu skriveni. To znači da korisnik ne može da vidi te fajlove dok u podešavanjima ne zada Windows Explorer-u da prikazuje te vrste fajlova i foldera. Da bismo omogućili prikaz skrivenih i zaštićenih fajlova i foldera, pokrenućemo Windows Explorer i iz menija „Tools“ odabrati „Folder Options“. Otvoriće se prozor gde ćemo preći na karticu „View“, a zatim u listi opcija pronaći „Hidden files and folders“ i označiti „Show hidden files and folders“. Ispod ćemo ukloniti kvačicu sa opcije „Hide protected operating system files“ i na kraju kliknuti na „Apply“. Ako se pojavi upozorenje vezano za malopre napravljene izmene kliknućemo „OK“.
 
 
 
Kada smo napravili i primenili izmene, možemo da proverimo da li smo u mogućnosti da vidimo skrivene fajlove i foldere. Najjednostavnije je da otvorimo „My Computer“ i uđemo na „C“ particiju. Trebalo bi da izgleda otprilike ovako:

 

Na slici se može jasno videti koji fajlovi i folderi su skriveni i koji inače nisu bili vidljivi, a to su oni koji imaju bledu ikonicu. Većina virusa koji „napadaju“ particije ili flash memorije prave .inf i .exe fajlove u „root“-u, tj na mestu čim se otvori particija ili flash. Na taj način virusi budu aktivirani čim se otvori takva particija ili flash memorija i omogućeno je njihovo širenje na medije koji još nisu zaraženi.
_____________________________________________________________________________
Napomena: Većina skrivenih sistemskih fajlova su neophodni za rad sistema i ukoliko obrišemo pogrešan fajl ili folder može se dogoditi da sistem neće uopšte raditi. Ovo je bio samo jedan od načina na koji možemo ustanoviti da li je računar zaražen virusima, ukoliko problemi postoje preporuka je da računar pogleda iskusnije lice.
_____________________________________________________________________________
 
Ako i posle izvršenih izmena skriveni fajlovi i folderi nisu prikazani, velika je verovatnoća da je određeni virus preuzeo kontrolu i jednostavno svaki put vraća izmene na staro da izmene koje napravimo ne mogu biti primenjene. To možemo potvrditi ako ponovo otvorimo prozor „Folder Options“. Ako je u opciji „Hidden files and folders“ vraćeno podešavanje na „Do not show hidden files and folders“ potvrdili smo sumnju da na računaru ima virusa.

Brzina i lakoća širenja zaraze

Razlog što se virusi u većini slučaja pojavljuju na „root“-u određene particije ili eksterne memorije (flash memorija, memorijska kartica, eksterni hard diskovi…) je da bi bili aktivirani čim neko pokuša da otvori/uđe na zaraženu particiju ili folder. Koriste „Autoplay“ opciju Windows XP sistema, koja se do sada više pokazala kao slabost nego kao korisno rešenje. Ako je računar zaražen, dovoljno je samo da spojimo flash memoriju na USB ulaz i virus je na memoriji već napravio sebi fajlove pomoću kojih će, kada tu istu memoriju posle priključimo na neki drugi računar, da se širi. Taj drugi računar će virus ubaciti na sve memorije koje se priključe na njega i tako u nedogled, po principu „piramide“. Kada se u određenom krugu korisnika pojavi negde virus (recimo u školi, firmi, kod kuće…) posle je jako teško iskoreniti ga, jer je tada potrebno pregledati sve računare i eksterne memorije koje su se od pojave virusa priključivale na te računare. Tada je dovoljno da je samo na jednom računaru ili flash memoriji ostao virus, pa da se kroz par dana ponovo raširi.
Idealna zaštita protiv zaraze virusima i njihovog širenja ne postoji. Antivirusi mogu da spreče viruse za koje imaju definiciju u svojoj bazi, koje mogu da prepoznaju i spreče a, koliko god se trudili, proizvođači antivirus-a ne mogu da prate ogroman broj već postojećih virusa i da toliko brzo odreaguju čim se neki novi virus pojavi. Firewall programi neće izbaciti upozorenje kada se neki virus aktivira, ali će uspeti da blokiraju njegovu akciju i, ukoliko korisnik proceni da je u pitanju virus, na ovaj način može se sprečiti zaražavanje računara ili memorije.
Iz ličnog iskustva mogu da kažem da je 80% računara na koje sam priključivao svoju Flash memoriju bilo zaraženo nekim virusom. S obzirom da koristim Linux operativne sisteme, uvek sam u mogućnosti da Flash memoriju prvo spojim na računar gde je instaliran Linux i očistim memoriju od virusa. Isto tako, kada neko hoće svoju memoriju da priključi na moj računar sa Windows XP sistemom, uvek je prvo priključim na Linux radi provere. Linux operativni sistemi rade na sasvim drugačijem principu u odnosu na Windows sisteme i samim tim virusi pravljeni za Windows ne mogu da se aktiviraju i šire na računare sa instaliranim Linux-om. Linux ne koristi .exe fajlove i fajlovi koji su pod Windowsom skriveni ovde su vidljivi.
Rezultat priključivanja zaražene Flash memorije na računar sa instaliranim Linux operativnim sistemom je da možemo na lak i bezbedan način očistiti memoriju od virusa brisanjem određenih fajlova za koje smo sigurni da su virusi ili fajlovi koji pokreću viruse preko Windows-ov „autoplay“ opcije. Na slici ispod možemo videti kako izgleda zaražena Flash memorija priključena na računar sa Ubuntu sistemom.

 
 
Kada ugledamo nek sumnjiv fajl na flash memoriji ili na računaru, uvek možemo na Internetu potražiti informacije o kakvom se fajlu radi i, ukoliko je u pitanju virus, saznati na koji način možemo da ga iskorenimo sa računara/memorije. U ovom slučaju Ghost.pif, autorun.inf, comment.htt a verovatno i ku’a.vsd su sigurno fajlovi kojima je flash memorija zaražena. Osim toga, kada na flash memoriji vidimo folder „RECYCLER“ velika je verovatnoća da u sebi sadrži neki virus. Folder „RECYCLER“ Windows koristi kada nešto obrišemo na računaru ili ubacimo u „Recycle Bin“. Virusi često smeštaju upravo u te foldere, odakle uvek mogu da se vrate (restore) i napadnu sistem. Bez obzira da li sadrži viruse ili ne, preporučujem brisanje ovih foldera jer njihovo brisanjem nećemo učiniti nikakvu štetu kako sistemu, tako ni našim podacima. autorun.inf je fajl iz kojeg Windows dobija informacije šta da uradi kada se Flash memorija priključi na računar. autorun.inf fajlovi se uglavnom nalaze na CD/DVD-ovima i služe da pokrenu instalaciju softvera (uglavnom pokreću setup.exe za instalaciju neke igre, programa…) čim ubacimo CD/DVD u čitač, ali može se upotrebiti i za pokretanje virusa.
Evo još nekoliko primera kako izgleda zaražena flash memorija i sadržaj fajla „autorun.inf“ koji pokreće virus i izvršava komande:
 
 
 
 
Virusi koji služe za „širenje“ se u većini slučajeva nalaze u „root“-u particije ili nekog medija, ali na računarima koji su zaraženi uglavnom se smeštaju u sistemske foldere (C:\WINDOWS; C:\WINDOWS\System; C:\WINDOWS\System32…), smeštaju se među procese koji se pokreću svaki put kada se računar uključi, prave određene izmene u registrima onemogućavajući korisnicima da učine bilo šta da spreče ili uklone zarazu…

Šta učiniti?

Pod Linux operativnim sistemom dovoljno je obrisati neželjene fajlove i za svaki slučaj odjaviti, pa ponovo priključiti memoriju jer se zna dogoditi da nam nešto promakne i virusi budu ponovo kreirani. Ukoliko pod Windows-om primetimo viruse na memoriji već je kasno jer je virus već aktiviran i sprečiće bilo kakav pokušaj njegovog brisanja. Računar je zaražen i virus/virusi će se proširiti na sve medije koje budu u bilo kakvom kontaktu sa tim računarom. Skeniranje računara pomoću više vrsta antivirusa može da potraje satima, ponekad i danima, a na kraju postoji velika verovatnoća da računar nije „očišćen“ u potpunosti. Virusi prave toliku štetu sistemu da posle čišćenja od virusa neće nikada raditi kako je radio pre pojave virusa i da mnoge funkcije sistem neće moći normalno da obavlja… Zbog toga se uvek preporučuje čuvanje bitnih podataka i reinstalacija sistema. Ovo isto važi za sve vrste eksternih memorija koje su se priključivale i koje će se posle priključivati na računar. Jedino na taj način možemo biti 100% sigurni da nemamo viruse na računaru i da ih nećemo pokupiti ponovo istog momenta kada priključimo još uvek zaraženu Flash memoriju ili karticu iz fotoaparata.
 
 
 

Нема коментара:

Постави коментар